easy4breezy
Goto Top

Geräte von Fritzbox LAN in OPNsense LAN erreichen

Hallo,

ich habe mich gestern ein wenig herumgespielt, der Erfolg ist aber leider ausgeblieben.

Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Ich habe das WAN Interface von OPNsense an einen LAN Anschluss der Fritzbox angesteckt und eine feste IP für dieses zugewiesen (192.168.178.30).
picture
Zusätzlich habe ich diese IP als Exposed Host eingestellt und erlaubt selbstständig Portfreigabe zu erstellen.
Das klappt soweit auch alles, sogar der OpenVPN Zugang klappt zur OPNsense von unterwegs.

Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen, auf dem Hyperion auf Port 19444 reagiert.
Alle Versuche dieses zu erreichen, waren leider erfolglos.

Ich habe es bisher mit einer Route und Portfreigaben versucht, vielleicht könnt ihr mir dabei behilflich sein.

Danke!

P.s. Habe ich durch die Einstellung Exposed Host ein doppeltes NAT?

Content-ID: 541652

Url: https://administrator.de/forum/geraete-von-fritzbox-lan-in-opnsense-lan-erreichen-541652.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

ichi1232
ichi1232 31.01.2020 aktualisiert um 13:18:26 Uhr
Goto Top
Was genau versuchst du denn aus dem "Fritz!Box-Netz" zu erreichen?

NAT auf der Sense konfiguriert?
Die entsprechende Firewallregel sollte dann von der Sense automatisch gesetzt werden.

Das blocken privater Netze auf der Schnittstelle WAN deaktiviert?
aqui
Lösung aqui 31.01.2020 aktualisiert um 16:22:15 Uhr
Goto Top
Mein Netzwerk besteht aus einer Fritzbox (192.168.178.1) und einer OPNsense (10.10.20.1).
Eine typische Router Kaskade.
Was in so einem Design zu beachten ist in puncto Port Forwarding steht hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Jetzt habe ich versucht aus dem Netzwerk der Fritzbox einen Raspberry Pi zu erreichen
WO steht dieser RasPi ?? Das ist leider unklar. face-sad
Vermutlich wohl im lokalen LAN der pfSense oder OPNsense, richtig ?
Bedenke das die Firewall im Default NAT macht ! Das FritzBox Netz ist für die Firewall das "Internet". Entsprechend sichere Regeln hat sie dort per Default und deshalb kannst du generell ohne entsprechendes Customizen niemals aus dem FB Netz Clients im lokalen LAN der FW erreichen.
Das ist aber natürlich ganz einfach lösbar mit den folgenden ToDos:
  • 1.) Generell solltest du in so einem Kaskaden Setup das Blocken der RFC 1919 IP Netze (Private IPs) generell AUSschalten. Bei der pfSense sieht das so aus am WAN Port:
wanporet
  • 2.) Dann erstellst du eine Firewall Regel die den Zugriff auf die FW WAN IP Adresse mit Port 19444 (ob UDP oder TCP fehlt auch !) auf die WAN IP mit Absender Netzwerk 192.168.178.0 /24 erlaubt.
regel
  • 3.) Als letztes machst du ein Port Forwarding von WAN --> eingehend Port TCP/UDP 19444 auf die lokale LAN IP des RasPis. Hier wieder pfSense Beispiel:
pfw
  • 4.) Et voila...! Wenn du nun vom Client die WAN Port IP der Firewall auf dem Port 19444 ansprichst leidet die das durch ihre NAT Firewall weiter auf die interne IP des RasPis mit Port 19444.
Du musst einmal den Zugriff erlauben auf die FW aus dem FB Netz, dann Port Forwarding einrichten. Ohne das kannst du die NAT Firewall nicht überwinden wenn du weiterhin eine Schutz haben willst zwischen dem FB Netz und dem Firewall LAN.
So einfach ist das !

Wenn du nur eine simple geroutet IP Trennung zwischen beiden Netzen haben willst ohne Firewall Schutz dann gilt das hier für dich:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Statische Routen sind in einem NAT Kaskaden Design nicht erforderlich ! Logisch, denn durch das NAT am FW WAN Port "sieht" die FB das lokale Firewall LAN gar nicht !
und erlaubt selbstständig Portfreigabe zu erstellen.
Uhhh, wie gruselig ! Das kann ja dann jeder Angreifer aus dem Internet auch...
easy4breezy
easy4breezy 02.02.2020 um 23:37:38 Uhr
Goto Top
Vermutlich wohl im lokalen LAN der pfSense oder OPNsense, richtig ?
Korrekt.

2.) Dann erstellst du eine Firewall Regel die den Zugriff auf die FW WAN IP Adresse mit Port 19444 (ob UDP oder TCP fehlt auch !) auf die WAN IP mit Absender Netzwerk 192.168.178.0 /24 erlaubt.
Es handelt sich um TCP.

Die RFC 1919 IP Netze hatte ich per Default geblockt, macht aber natürlich keinen Sinn in dem Setup, daher ist der Haken jetzt raus.

Die restlichen Dinge hatte ich schon genau so eingerichtet, trotzdem klappt es nach wie vor nicht.

Was meinst du damit?
Du musst einmal den Zugriff erlauben auf die FW aus dem FB Netz, dann Port Forwarding einrichten. Ohne das kannst du die NAT Firewall nicht überwinden wenn du weiterhin eine Schutz haben willst zwischen dem FB Netz und dem Firewall LAN.
So einfach ist das !
easy4breezy
easy4breezy 02.02.2020 um 23:40:04 Uhr
Goto Top
4.) Et voila...! Wenn du nun vom Client die WAN Port IP der Firewall auf dem Port 19444 ansprichst leidet die das durch ihre NAT Firewall weiter auf die interne IP des RasPis mit Port 19444

Klappt doch, man sollte nur zu Ende lesen, danke!!! face-smile
easy4breezy
easy4breezy 03.02.2020 um 00:06:07 Uhr
Goto Top
Ich habe es jetzt noch einfacher hinbekommen.

Wenn man beim Port Forwarding als Source die IP des Clients im Fritbox LAN angibt, dann spart man sich die Firewall Regel von Schritt 2.
aqui
aqui 03.02.2020 aktualisiert um 10:30:58 Uhr
Goto Top
Glückwunsch ! Du siehst selber...etwas Nachdenken über den IP Paket Flow hilft ! face-wink
Case closed.