6
Geräte von Fritzbox LAN in OPNsense LAN erreichen
Hallo,
ich habe mich gestern ein wenig herumgespielt, der Erfolg ist aber leider ausgeblieben.
Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Ich habe das WAN Interface von OPNsense an einen LAN Anschluss der Fritzbox angesteckt und eine feste IP für dieses zugewiesen (192.168.178.30).
Zusätzlich habe ich diese IP als Exposed Host eingestellt und erlaubt selbstständig Portfreigabe zu erstellen.
Das klappt soweit auch alles, sogar der OpenVPN Zugang klappt zur OPNsense von unterwegs.
Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen, auf dem Hyperion auf Port 19444 reagiert.
Alle Versuche dieses zu erreichen, waren leider erfolglos.
Ich habe es bisher mit einer Route und Portfreigaben versucht, vielleicht könnt ihr mir dabei behilflich sein.
Danke!
P.s. Habe ich durch die Einstellung Exposed Host ein doppeltes NAT?
ich habe mich gestern ein wenig herumgespielt, der Erfolg ist aber leider ausgeblieben.
Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Ich habe das WAN Interface von OPNsense an einen LAN Anschluss der Fritzbox angesteckt und eine feste IP für dieses zugewiesen (192.168.178.30).
Das klappt soweit auch alles, sogar der OpenVPN Zugang klappt zur OPNsense von unterwegs.
Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen, auf dem Hyperion auf Port 19444 reagiert.
Alle Versuche dieses zu erreichen, waren leider erfolglos.
Ich habe es bisher mit einer Route und Portfreigaben versucht, vielleicht könnt ihr mir dabei behilflich sein.
Danke!
P.s. Habe ich durch die Einstellung Exposed Host ein doppeltes NAT?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 541652
Url: https://administrator.de/contentid/541652
Printed on: April 16, 2024 at 23:04 o'clock
6 Comments
Latest comment
Was genau versuchst du denn aus dem "Fritz!Box-Netz" zu erreichen?
NAT auf der Sense konfiguriert?
Die entsprechende Firewallregel sollte dann von der Sense automatisch gesetzt werden.
Das blocken privater Netze auf der Schnittstelle WAN deaktiviert?
NAT auf der Sense konfiguriert?
Die entsprechende Firewallregel sollte dann von der Sense automatisch gesetzt werden.
Das blocken privater Netze auf der Schnittstelle WAN deaktiviert?
Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Eine typische Router Kaskade.Was in so einem Design zu beachten ist in puncto Port Forwarding steht hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen
WO steht dieser RasPi ?? Das ist leider unklar. 
Vermutlich wohl im lokalen LAN der pfSense oder OPNsense, richtig ?
Bedenke das die Firewall im Default NAT macht ! Das FritzBox Netz ist für die Firewall das "Internet". Entsprechend sichere Regeln hat sie dort per Default und deshalb kannst du generell ohne entsprechendes Customizen niemals aus dem FB Netz Clients im lokalen LAN der FW erreichen.
Das ist aber natürlich ganz einfach lösbar mit den folgenden ToDos:
- 1.) Generell solltest du in so einem Kaskaden Setup das Blocken der RFC 1919 IP Netze (Private IPs) generell AUSschalten. Bei der pfSense sieht das so aus am WAN Port:
- 2.) Dann erstellst du eine Firewall Regel die den Zugriff auf die FW WAN IP Adresse mit Port 19444 (ob UDP oder TCP fehlt auch !) auf die WAN IP mit Absender Netzwerk 192.168.178.0 /24 erlaubt.
- 3.) Als letztes machst du ein Port Forwarding von WAN --> eingehend Port TCP/UDP 19444 auf die lokale LAN IP des RasPis. Hier wieder pfSense Beispiel:
- 4.) Et voila...! Wenn du nun vom Client die WAN Port IP der Firewall auf dem Port 19444 ansprichst leidet die das durch ihre NAT Firewall weiter auf die interne IP des RasPis mit Port 19444.
So einfach ist das !
Wenn du nur eine simple geroutet IP Trennung zwischen beiden Netzen haben willst ohne Firewall Schutz dann gilt das hier für dich:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Statische Routen sind in einem NAT Kaskaden Design nicht erforderlich ! Logisch, denn durch das NAT am FW WAN Port "sieht" die FB das lokale Firewall LAN gar nicht !
und erlaubt selbstständig Portfreigabe zu erstellen.
Uhhh, wie gruselig ! Das kann ja dann jeder Angreifer aus dem Internet auch...
Vermutlich wohl im lokalen LAN der pfSense oder OPNsense, richtig ?
Korrekt.2.) Dann erstellst du eine Firewall Regel die den Zugriff auf die FW WAN IP Adresse mit Port 19444 (ob UDP oder TCP fehlt auch !) auf die WAN IP mit Absender Netzwerk 192.168.178.0 /24 erlaubt.
Es handelt sich um TCP.Die RFC 1919 IP Netze hatte ich per Default geblockt, macht aber natürlich keinen Sinn in dem Setup, daher ist der Haken jetzt raus.
Die restlichen Dinge hatte ich schon genau so eingerichtet, trotzdem klappt es nach wie vor nicht.
Was meinst du damit?
Du musst einmal den Zugriff erlauben auf die FW aus dem FB Netz, dann Port Forwarding einrichten. Ohne das kannst du die NAT Firewall nicht überwinden wenn du weiterhin eine Schutz haben willst zwischen dem FB Netz und dem Firewall LAN.
So einfach ist das !
So einfach ist das !
4.) Et voila...! Wenn du nun vom Client die WAN Port IP der Firewall auf dem Port 19444 ansprichst leidet die das durch ihre NAT Firewall weiter auf die interne IP des RasPis mit Port 19444
Klappt doch, man sollte nur zu Ende lesen, danke!!!
Ich habe es jetzt noch einfacher hinbekommen.
Wenn man beim Port Forwarding als Source die IP des Clients im Fritbox LAN angibt, dann spart man sich die Firewall Regel von Schritt 2.
Wenn man beim Port Forwarding als Source die IP des Clients im Fritbox LAN angibt, dann spart man sich die Firewall Regel von Schritt 2.
Glückwunsch ! Du siehst selber...etwas Nachdenken über den IP Paket Flow hilft ! 
Case closed.
Case closed.
