12
NAS von extern erreichbar machen mit OPNSense?
Hallo!
Vielleicht kann mir jemand helfen, ich habe hier eine NAS, welche aus dem WWW erreichbar sein muss.
Das Ganze muss an einer OPNSense-Firewall eingerichtet werden, da diese den gesamten Datenverkehr verwaltet. Der Router / das Gateway gibt alle Anfragen von außen an die OPNSense weiter (Exposed Host).
Welche Regeln sind hier zu konfigurieren, damit das funktioniert?
DIe NAS ist so konfiguriert, dass sie über einen ganz bestimmten Port angesprochen werden kann.
Vielleicht kann mir jemand helfen, ich habe hier eine NAS, welche aus dem WWW erreichbar sein muss.
Das Ganze muss an einer OPNSense-Firewall eingerichtet werden, da diese den gesamten Datenverkehr verwaltet. Der Router / das Gateway gibt alle Anfragen von außen an die OPNSense weiter (Exposed Host).
Welche Regeln sind hier zu konfigurieren, damit das funktioniert?
DIe NAS ist so konfiguriert, dass sie über einen ganz bestimmten Port angesprochen werden kann.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6516882188
Url: https://administrator.de/forum/nas-von-extern-erreichbar-machen-mit-opnsense-6516882188.html
Ausgedruckt am: 19.01.2025 um 11:01 Uhr
12 Kommentare
Neuester Kommentar
Moin,
die Frage der Sicherheit und Sinnhaftigkeit lasse ich mal bewusst außen vor.
Portforwarding geht über Firewall - Nat - Portforwarding.
Und dann einfach die Destination, Redirect Target und Ports ausfüllen.
Kontrolliere im Anschluss auf dem entsprechenden Interface, ob die Allow Regel, die opnsense automatisch anlegt, an der richtigen Stelle von der Reihenfolge her steht. Fertig.
https://docs.opnsense.org/manual/nat.html#port-forwarding
VG
die Frage der Sicherheit und Sinnhaftigkeit lasse ich mal bewusst außen vor.
Portforwarding geht über Firewall - Nat - Portforwarding.
Und dann einfach die Destination, Redirect Target und Ports ausfüllen.
Kontrolliere im Anschluss auf dem entsprechenden Interface, ob die Allow Regel, die opnsense automatisch anlegt, an der richtigen Stelle von der Reihenfolge her steht. Fertig.
https://docs.opnsense.org/manual/nat.html#port-forwarding
VG
Moin,
warum Lücken in die Firewall sprengen, wenn die auch VPN kann?
Gruß
Uwe
warum Lücken in die Firewall sprengen, wenn die auch VPN kann?
Gruß
Uwe
Moin,
schonmal vielen Dank für die Hilfen.
die NAS wird pro Tag von ca. 15-20 Personen angesprochen, es ist nicht möglich bei all denen einen VPN-Client zu installieren.
Ich habe es jetzt soweit geschafft, dass die NAS wieder erreichbar ist unter HTTP.
Allerdings ist die NAS eigentlich so konfiguriert, dass sie eingehende HTTP-Verbindungen automatisch zu HTTPS umleitet. Dafür ist auch ein entsprechendes Zertifikat hinterlegt.
Weiß jemand, wie ich die NAT-Regel hier noch anpassen muss? Das geht jetzt nämlich noch nicht.
schonmal vielen Dank für die Hilfen.
die NAS wird pro Tag von ca. 15-20 Personen angesprochen, es ist nicht möglich bei all denen einen VPN-Client zu installieren.
Ich habe es jetzt soweit geschafft, dass die NAS wieder erreichbar ist unter HTTP.
Allerdings ist die NAS eigentlich so konfiguriert, dass sie eingehende HTTP-Verbindungen automatisch zu HTTPS umleitet. Dafür ist auch ein entsprechendes Zertifikat hinterlegt.
Weiß jemand, wie ich die NAT-Regel hier noch anpassen muss? Das geht jetzt nämlich noch nicht.
Http ist Port 80, https Port 443
Moin,
für den Redirect muss ebenfalls eine NAT Regel für Https angelegt werden.
Das ganze ist aber, wie schon erwähnt wurde, nicht besonders sich.
Ich würde zumindest per Geo Filter den Zugriff von extern auf das nötigste beschränken.
Gruß
Spirit
für den Redirect muss ebenfalls eine NAT Regel für Https angelegt werden.
Das ganze ist aber, wie schon erwähnt wurde, nicht besonders sich.
Ich würde zumindest per Geo Filter den Zugriff von extern auf das nötigste beschränken.
Gruß
Spirit
Danke, jetzt geht es!
An der NAS sind die HTTP / HTTPS Ports auf dynamische Ports geändert worden, um es wohl sicherer zu machen.
Ich habe jetzt für den HTTPS-Port noch eine zweite NAT-Regel erstellt und jetzt geht es.
An der NAS sind die HTTP / HTTPS Ports auf dynamische Ports geändert worden, um es wohl sicherer zu machen.
Ich habe jetzt für den HTTPS-Port noch eine zweite NAT-Regel erstellt und jetzt geht es.
Noch besser wäre ein VPN und der Zugriff damit auf das NAS!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Zeigt leider das du deine OPNsense nicht wirklich kennst, aber egal...
Wie man Zugriffe in einer Routerkaskade einrichtet beschreibt dir ebenfalls ein hiesiges Tutorial im Detail:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Einfach mal die Suchfunktion benutzen...!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
es ist nicht möglich bei all denen einen VPN-Client zu installieren.
Ist auch Blödsinn, denn die o.g. Tutorials nutzen allesamt die onboard VPN Clients aller Betriebssysteme und Smartphones. Keinerlei Installation erforderlich lediglich 3 Mausklicks.Zeigt leider das du deine OPNsense nicht wirklich kennst, aber egal...
Wie man Zugriffe in einer Routerkaskade einrichtet beschreibt dir ebenfalls ein hiesiges Tutorial im Detail:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Einfach mal die Suchfunktion benutzen...!
1
Es ist einfach nicht realistisch, bei all den Leuten Anpassungen an den Geräten vorzunehmen... Da sind Windows, mac und bestimmt auch Linux-Geräte dabei, und außerdem sollen die sich dann auch nicht in meinem Netzwerk bewegen dürfen sondern lediglich die Dienste der NAS in Anspruch nehmen...
Man kann sich das Leben halt nicht immer so leicht machen und es gibt nicht immer solche Pauschallösungen.
Man kann sich das Leben halt nicht immer so leicht machen und es gibt nicht immer solche Pauschallösungen.
So wie sich das liest, hängt das NAS ja im gleichen Netz wie alles andere. Wenn dies kompromittiert wird, da im Internet erreichbar, sind die anderen Geräte unmittelbar gefährdet.
1
Das ganze Netzdesign ist dann ziemlicher Murks und der Frickelrest eine Folge davon. Vermutlich greifen die User dann auch noch völlig ungeschützt auf die Daten zu. Per Port Forwarding ungeschützten Internet Traffic in ein lokales LAN zu lassen und dann noch auf so ein zentrales und sensitives Gerät wie ein NAS ist eher fahrlässig. Fragt man sich warum der TO eine Firewall betreibt die so ad absurdum geführt wird. Aber nungut, wem das völlig Wumpe ist der kann sowas natürlich problemlos machen. Sauberes und sicheres Netzdesign sieht anders aus...
1
Moin,
Es ist einfach nicht realistisch, bei all den Leuten Anpassungen an den Geräten vorzunehmen... Da sind Windows, mac und bestimmt auch Linux-Geräte dabei, und außerdem sollen die sich dann auch nicht in meinem Netzwerk bewegen dürfen sondern lediglich die Dienste der NAS in Anspruch nehmen...
Dann richte doch, so nicht schon vorhanden, auf der OPNSense eine DMZ ein und klöppel das NAS an selbige.
Gruß
Uwe
Es ist einfach nicht realistisch, bei all den Leuten Anpassungen an den Geräten vorzunehmen... Da sind Windows, mac und bestimmt auch Linux-Geräte dabei, und außerdem sollen die sich dann auch nicht in meinem Netzwerk bewegen dürfen sondern lediglich die Dienste der NAS in Anspruch nehmen...
Dann richte doch, so nicht schon vorhanden, auf der OPNSense eine DMZ ein und klöppel das NAS an selbige.
Gruß
Uwe
1
Moinsen,
alles, was die erfahreneren Menschen bereits geschrieben haben...
Unter pfsense gibt es das Paket pfblockerNG, damit kannst du die erwähnte IP Sperre für den Zugriff (GeoIP) bereitstellen.
Ich schätze mal, dass auch OPNsense etwas Vergleichbares anbietet...? Wäre dann unbedingt zu empfehlen (wenn die VPN Lösung wirklich nicht gewünscht ist, was aber deutlich besser wäre)...
Dazu eben mal schauen, ob in einem Netzwerk für den NICHT-Hausgebrauch eine Segmentierung des LANs (VLANs, DMZ) nicht langsam mal an der Zeit wäre...
alles, was die erfahreneren Menschen bereits geschrieben haben...
Unter pfsense gibt es das Paket pfblockerNG, damit kannst du die erwähnte IP Sperre für den Zugriff (GeoIP) bereitstellen.
Ich schätze mal, dass auch OPNsense etwas Vergleichbares anbietet...? Wäre dann unbedingt zu empfehlen (wenn die VPN Lösung wirklich nicht gewünscht ist, was aber deutlich besser wäre)...
Dazu eben mal schauen, ob in einem Netzwerk für den NICHT-Hausgebrauch eine Segmentierung des LANs (VLANs, DMZ) nicht langsam mal an der Zeit wäre...
3
