Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Geräte von Fritzbox LAN in OPNsense LAN erreichen

Mitglied: easy4breezy

easy4breezy (Level 1) - Jetzt verbinden

31.01.2020, aktualisiert 10:46 Uhr, 256 Aufrufe, 6 Kommentare

Hallo,

ich habe mich gestern ein wenig herumgespielt, der Erfolg ist aber leider ausgeblieben.

Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Ich habe das WAN Interface von OPNsense an einen LAN Anschluss der Fritzbox angesteckt und eine feste IP für dieses zugewiesen (192.168.178.30).
picture - Klicke auf das Bild, um es zu vergrößern
Zusätzlich habe ich diese IP als Exposed Host eingestellt und erlaubt selbstständig Portfreigabe zu erstellen.
Das klappt soweit auch alles, sogar der OpenVPN Zugang klappt zur OPNsense von unterwegs.

Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen, auf dem Hyperion auf Port 19444 reagiert.
Alle Versuche dieses zu erreichen, waren leider erfolglos.

Ich habe es bisher mit einer Route und Portfreigaben versucht, vielleicht könnt ihr mir dabei behilflich sein.

Danke!

P.s. Habe ich durch die Einstellung Exposed Host ein doppeltes NAT?
Mitglied: ichi1232
31.01.2020, aktualisiert um 13:18 Uhr
Was genau versuchst du denn aus dem "Fritz!Box-Netz" zu erreichen?

NAT auf der Sense konfiguriert?
Die entsprechende Firewallregel sollte dann von der Sense automatisch gesetzt werden.

Das blocken privater Netze auf der Schnittstelle WAN deaktiviert?
Bitte warten ..
Mitglied: aqui
LÖSUNG 31.01.2020, aktualisiert um 16:22 Uhr
Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Eine typische Router Kaskade.
Was in so einem Design zu beachten ist in puncto Port Forwarding steht hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen
WO steht dieser RasPi ?? Das ist leider unklar.
Vermutlich wohl im lokalen LAN der pfSense oder OPNsense, richtig ?
Bedenke das die Firewall im Default NAT macht ! Das FritzBox Netz ist für die Firewall das "Internet". Entsprechend sichere Regeln hat sie dort per Default und deshalb kannst du generell ohne entsprechendes Customizen niemals aus dem FB Netz Clients im lokalen LAN der FW erreichen.
Das ist aber natürlich ganz einfach lösbar mit den folgenden ToDos:
  • 1.) Generell solltest du in so einem Kaskaden Setup das Blocken der RFC 1919 IP Netze (Private IPs) generell AUSschalten. Bei der pfSense sieht das so aus am WAN Port:
wanporet - Klicke auf das Bild, um es zu vergrößern
  • 2.) Dann erstellst du eine Firewall Regel die den Zugriff auf die FW WAN IP Adresse mit Port 19444 (ob UDP oder TCP fehlt auch !) auf die WAN IP mit Absender Netzwerk 192.168.178.0 /24 erlaubt.
regel - Klicke auf das Bild, um es zu vergrößern
  • 3.) Als letztes machst du ein Port Forwarding von WAN --> eingehend Port TCP/UDP 19444 auf die lokale LAN IP des RasPis. Hier wieder pfSense Beispiel:
pfw - Klicke auf das Bild, um es zu vergrößern
  • 4.) Et voila...! Wenn du nun vom Client die WAN Port IP der Firewall auf dem Port 19444 ansprichst leidet die das durch ihre NAT Firewall weiter auf die interne IP des RasPis mit Port 19444.
Du musst einmal den Zugriff erlauben auf die FW aus dem FB Netz, dann Port Forwarding einrichten. Ohne das kannst du die NAT Firewall nicht überwinden wenn du weiterhin eine Schutz haben willst zwischen dem FB Netz und dem Firewall LAN.
So einfach ist das !

Wenn du nur eine simple geroutet IP Trennung zwischen beiden Netzen haben willst ohne Firewall Schutz dann gilt das hier für dich:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
Statische Routen sind in einem NAT Kaskaden Design nicht erforderlich ! Logisch, denn durch das NAT am FW WAN Port "sieht" die FB das lokale Firewall LAN gar nicht !
und erlaubt selbstständig Portfreigabe zu erstellen.
Uhhh, wie gruselig ! Das kann ja dann jeder Angreifer aus dem Internet auch...
Bitte warten ..
Mitglied: easy4breezy
02.02.2020 um 23:37 Uhr
Vermutlich wohl im lokalen LAN der pfSense oder OPNsense, richtig ?
Korrekt.

2.) Dann erstellst du eine Firewall Regel die den Zugriff auf die FW WAN IP Adresse mit Port 19444 (ob UDP oder TCP fehlt auch !) auf die WAN IP mit Absender Netzwerk 192.168.178.0 /24 erlaubt.
Es handelt sich um TCP.

Die RFC 1919 IP Netze hatte ich per Default geblockt, macht aber natürlich keinen Sinn in dem Setup, daher ist der Haken jetzt raus.

Die restlichen Dinge hatte ich schon genau so eingerichtet, trotzdem klappt es nach wie vor nicht.

Was meinst du damit?
Du musst einmal den Zugriff erlauben auf die FW aus dem FB Netz, dann Port Forwarding einrichten. Ohne das kannst du die NAT Firewall nicht überwinden wenn du weiterhin eine Schutz haben willst zwischen dem FB Netz und dem Firewall LAN.
So einfach ist das !
Bitte warten ..
Mitglied: easy4breezy
02.02.2020 um 23:40 Uhr
4.) Et voila...! Wenn du nun vom Client die WAN Port IP der Firewall auf dem Port 19444 ansprichst leidet die das durch ihre NAT Firewall weiter auf die interne IP des RasPis mit Port 19444

Klappt doch, man sollte nur zu Ende lesen, danke!!!
Bitte warten ..
Mitglied: easy4breezy
03.02.2020 um 00:06 Uhr
Ich habe es jetzt noch einfacher hinbekommen.

Wenn man beim Port Forwarding als Source die IP des Clients im Fritbox LAN angibt, dann spart man sich die Firewall Regel von Schritt 2.
Bitte warten ..
Mitglied: aqui
03.02.2020, aktualisiert um 10:30 Uhr
Glückwunsch ! Du siehst selber...etwas Nachdenken über den IP Paket Flow hilft !
Case closed.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
FRITZBOX VPN LAN-LAN Tunnel
Frage von alexandersrzRouter & Routing5 Kommentare

Hallo, ich bin dabei einen VPN Tunnel zwischen zwei Fritzboxen aufzubauen. Zur Situation. - Standort A hat eine Fritzbox ...

Router & Routing
FritzBox 7490 LAN zu LAN Kopplung
Frage von diemilzRouter & Routing5 Kommentare

Hallo zusammen, ich versuche, zwei Fritzboxen 7490 miteinander per VPN zu verbinden, basierend auf den Knowledgebase-Einträgen bei AVM ) ...

Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN
Frage von macjoloRouter & Routing1 Kommentar

Moin moin, ich habe folgendes Szenario: Standort A: FritzBox 6490 von KDG mit dyn. öff. IP und eingerichtetem DynDNS, ...

Switche und Hubs
Drucker über Fritzbox in Lan
gelöst Frage von martenkSwitche und Hubs10 Kommentare

Hallo Gemeinschaft, habe einen Drucker, der nur LAN kann - wollte aber kein Kabel legen - gibt es eine ...

Neue Wissensbeiträge
Microsoft Office
O365 Makro Schutz nicht immer per GPO möglich
Information von sabines vor 23 StundenMicrosoft Office

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 2 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 2 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 4 TagenHumor (lol)19 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
gelöst Frage von kfj-deWindows Server18 Kommentare

Hallo zusammen, habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der ...

Windows 10
Reicht eine 64GB SSD für einen Einwahl-PC für die Funktionsupgrade?
gelöst Frage von StefanKittelWindows 1016 Kommentare

Hallo, ich weiß, bei Google steht ganz viel, aber das meiste zu 32GB und irgendwie schreibt jeder was Anderes. ...

Windows Server
Problem bei der Installation von .Net Framework 3.5 auf Server 2012R2
Frage von Timo0oWindows Server15 Kommentare

Hallo zusammen, vielleicht kann mir hier wer helfen ich bin nämlich langsam am Verzweifeln. Ich habe hier einen Server ...

Netzwerke
FortiGate Firewall Konfiguration
gelöst Frage von ObaidaNetzwerke14 Kommentare

Guten Morgen, ich möchte fragen, wenn man eine Firewall zwischen den Server, der für eine Umgebung test gemacht wurde ...