2
OPNSense NAT Port-Forwarding Regeln von internen Netzen greifen nicht
Moin zusammen,
wir haben unseren Lancom Router gegen eine OPNSense Firewall ausgetauscht. Die OPNSense betreiben wir als VM auf einem VMWare Hypervisor mit mehreren internen Netzen.
Grundsätzlich funktioniert auch fast alles. Nur die Portfreigaben greifen nicht von den internen Netzen. Wenn man z.B. die öffentliche IP-Adresse vom internen Netz im Browser eingibt, kommt die OPNSense Login-Seite. Von extern greift die öffentliche Portweiterleitung perfekt nur von keinem internen Netz.
Ich vermute, es fehlt eine spezielle Route, oder die erste, automatische angelegte Regel macht hier das Problem?
Kann mir hier jemand bei dem Gedankenfehler weiterhelfen?
1.000 Dank im Voraus!
wir haben unseren Lancom Router gegen eine OPNSense Firewall ausgetauscht. Die OPNSense betreiben wir als VM auf einem VMWare Hypervisor mit mehreren internen Netzen.
Grundsätzlich funktioniert auch fast alles. Nur die Portfreigaben greifen nicht von den internen Netzen. Wenn man z.B. die öffentliche IP-Adresse vom internen Netz im Browser eingibt, kommt die OPNSense Login-Seite. Von extern greift die öffentliche Portweiterleitung perfekt nur von keinem internen Netz.
Ich vermute, es fehlt eine spezielle Route, oder die erste, automatische angelegte Regel macht hier das Problem?
Kann mir hier jemand bei dem Gedankenfehler weiterhelfen?
1.000 Dank im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671852
Url: https://administrator.de/forum/opnsense-nat-port-forwarding-regeln-von-internen-netzen-greifen-nicht-671852.html
Ausgedruckt am: 10.03.2025 um 21:03 Uhr
2 Kommentare
Neuester Kommentar
Wieso braucht man von intern Port Forwarding?? Das ist eigentlich ein Hinweis auf einen grundsätzlichen Denkfehler?! Mit Routing hat das logischweise rein gar nichts zu tun sofern du keine zusätzlichen Router hast.
Falls du mit einem internen Client einen Hostnamen ansprichst der auf eine externe Firewall WAN IP auflöst um dort Port Fowarding zu nutzen klappt das nicht weil du dann immer in eine Hairpin NAT Falle tappst:
https://docs.opnsense.org/manual/how-tos/nat_reflection.html
Abgesehen davon ist sowas auch unsinnig und zeugt auch noch von einem falschen DNS Design.
Falls du mit einem internen Client einen Hostnamen ansprichst der auf eine externe Firewall WAN IP auflöst um dort Port Fowarding zu nutzen klappt das nicht weil du dann immer in eine Hairpin NAT Falle tappst:
https://docs.opnsense.org/manual/how-tos/nat_reflection.html
Abgesehen davon ist sowas auch unsinnig und zeugt auch noch von einem falschen DNS Design.
Hallo,
DU vermutest komplett falsch. Der eine Router (Zugang ins Internet) kanns und der andere kanns nicht. Lancom Modell XYZ kanns, OPNSense kanns auch, aber ein bischen anders. Wir reden hier von Hairpin NAT. https://de.wikipedia.org/wiki/Hairpin-Technologie
https://www.reddit.com/r/eero/comments/6we6er/hairpin_nat_what_is_it_goo ...
https://wiki.securepoint.de/UTM/RULE/Portumleitung-Intern
https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
https://community.home-assistant.io/t/router-to-do-nat-hairpinning/62818 ...
https://piazza.com/class_profile/get_resource/h3gukiu63l4vq/h6rbipbirpb1 ...
https://www.reddit.com/r/mikrotik/comments/tpjht6/hairpin_nat_help_wante ...
https://forum.mikrotik.com/viewtopic.php?t=164040
Gruss,
Peter
DU vermutest komplett falsch. Der eine Router (Zugang ins Internet) kanns und der andere kanns nicht. Lancom Modell XYZ kanns, OPNSense kanns auch, aber ein bischen anders. Wir reden hier von Hairpin NAT. https://de.wikipedia.org/wiki/Hairpin-Technologie
https://www.reddit.com/r/eero/comments/6we6er/hairpin_nat_what_is_it_goo ...
https://wiki.securepoint.de/UTM/RULE/Portumleitung-Intern
https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung
https://www.computerweekly.com/de/definition/Hairpinning-NAT-Loopback
https://community.home-assistant.io/t/router-to-do-nat-hairpinning/62818 ...
https://piazza.com/class_profile/get_resource/h3gukiu63l4vq/h6rbipbirpb1 ...
https://www.reddit.com/r/mikrotik/comments/tpjht6/hairpin_nat_help_wante ...
https://forum.mikrotik.com/viewtopic.php?t=164040
Kann mir hier jemand bei dem Gedankenfehler weiterhelfen?
Und, Hairpin NAT ist nicht als Standard festgeschrieben. Selbst unterschiedliche Geräte vom gleichen Hersteller können sich da unterscheiden, und muss nicht in den Techn. Daten zum Gerät genannt werden. Wer also seine LAN Interne angebotene Dienste per Hairpin NAT abhängig macht hat evtl. beim Router tausch (Gerät ist nach 6 Jahren Putt) sich im Vorfeld schon massive Probleme selbst gemacht.Gruss,
Peter
1
