7
OPNsense NAT Reflection
Hallo,
früher bei pfSense ging das mal einwandfrei, allerdings bin ich mittlerweile zu OPNsense gewechselt und wundere mich das die NAT Relection nicht funktioniert. Eventuell übersehe ich da was.
Problem: Ich habe ein Gäste-VLAN, das komplett abgeschirmt ist von meiner restlichen Infrastruktur. Der DHCP gibt als DNS die Google-DNS raus, das will ich auch so beibehalten. Deshalb kommt Split-DNS nicht in Frage. Ich habe hier eine Soft-PBX on-premise und die Port-Forwardings liegen auf einem WAN-VIP. Vom Mobilfunk oder einen anderen Anschluss kann ich einwandfrei die Port-Forwardings erreichen, allerdings intern nicht.
Normalerweise sollte für mein Verständnis der erste Schalter reichen...
Ich habe mittlerweile alle drei probiert, ändert nichts.
In den Port-Forwardings habe ich explizit angeschalten...
Bringt auch nichts. Wenn ich am entsprechenden internen Interface Scheunentor mache und dann mit TCPdump den Verkehr mitschneide, sehe ich nur als Ziel vom Client die externe IP-Adresse. Ich habe dann noch explizit eine Pass-Rule für diese Adresse am Interface des Gäste-VLAN gemacht, aber es brachte nichts.
Gibt es da noch irgendwo einen Schalter?
Gruß
früher bei pfSense ging das mal einwandfrei, allerdings bin ich mittlerweile zu OPNsense gewechselt und wundere mich das die NAT Relection nicht funktioniert. Eventuell übersehe ich da was.
Problem: Ich habe ein Gäste-VLAN, das komplett abgeschirmt ist von meiner restlichen Infrastruktur. Der DHCP gibt als DNS die Google-DNS raus, das will ich auch so beibehalten. Deshalb kommt Split-DNS nicht in Frage. Ich habe hier eine Soft-PBX on-premise und die Port-Forwardings liegen auf einem WAN-VIP. Vom Mobilfunk oder einen anderen Anschluss kann ich einwandfrei die Port-Forwardings erreichen, allerdings intern nicht.
Normalerweise sollte für mein Verständnis der erste Schalter reichen...
Ich habe mittlerweile alle drei probiert, ändert nichts.
In den Port-Forwardings habe ich explizit angeschalten...
Bringt auch nichts. Wenn ich am entsprechenden internen Interface Scheunentor mache und dann mit TCPdump den Verkehr mitschneide, sehe ich nur als Ziel vom Client die externe IP-Adresse. Ich habe dann noch explizit eine Pass-Rule für diese Adresse am Interface des Gäste-VLAN gemacht, aber es brachte nichts.
Gibt es da noch irgendwo einen Schalter?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33212552632
Url: https://administrator.de/contentid/33212552632
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
Moin.
Habe das gerade mal virtuell nachgebaut, klappt hier im Testaufbau problemlos ohne weitere Verrenkungen mit der üblichen NAT Reflection. Hast du denn für das Gastnetz in den Firewall Rules eine Ausnahme-Regel angelegt die besagt
ALLOW
QUELLE: GASTNETZ
ZIEL: WAN-ADRESSE DER OPNSENSE
PORT: EXTERNER PORT
?
Und diese auch vor allen anderen Regeln platziert?
Hier meine fürs Gastnetz vorhandenen Regeln. (NAT Reflection in der oberen Regel aktiviert):
und hier mein Test-Port-Forward ins normale LAN
Works as designed.
Gruß sid.
Habe das gerade mal virtuell nachgebaut, klappt hier im Testaufbau problemlos ohne weitere Verrenkungen mit der üblichen NAT Reflection. Hast du denn für das Gastnetz in den Firewall Rules eine Ausnahme-Regel angelegt die besagt
ALLOW
QUELLE: GASTNETZ
ZIEL: WAN-ADRESSE DER OPNSENSE
PORT: EXTERNER PORT
?
Und diese auch vor allen anderen Regeln platziert?
Hier meine fürs Gastnetz vorhandenen Regeln. (NAT Reflection in der oberen Regel aktiviert):
und hier mein Test-Port-Forward ins normale LAN
Works as designed.
Gruß sid.
1
So habe ich es auch. War auch mein erster Gedanke. Split-DNS habe ich jetzt eingerichtet, damit geht es prinzipiell auch. Aber meine Soft-PBX (3cx) lässt auch kein Webmeeting mehr zu.
Mit dem Split-DNS ist doch keine Lösung. Für das Zertifikat und den externen Zugriff verwende ich HAproxy auf der OPNsense mit ACME. Das Problem ist dann das er Ports für SIP und Sprachkanäle dann auch an die OPNsense sendet, weshalb man dann eventuell wieder NAT machen müsste.
Aber das kann nicht die Lösung sein. Das muss mit dem NAT Reflection funktionieren. Anders geht es nicht.
Im Endeffekt ähnlich diesem Tut:
https://www.3cx.com/docs/pfsense-firewall/
Aber das kann nicht die Lösung sein. Das muss mit dem NAT Reflection funktionieren. Anders geht es nicht.
Im Endeffekt ähnlich diesem Tut:
https://www.3cx.com/docs/pfsense-firewall/
Hier klappt es ja mit NAT Reflection out of the box, du musst halt noch etwas in deiner Config drin haben das den Zugriff verhindert. Glaskugel Bowling ohne deine FW-Rules hier vorliegen zu haben. Wahrscheinlich nur ein simpler Firewall-Rule-Fehler auf deiner Seite, Check deine Logs! Um was für ein Protokoll handelt es sich denn überhaupt was du hier forwardest?
1
Ok... ich komme der Lösung näher. Static Port hatte ich unter Outbound NAT vergessen anzuhaken.
Nachdem oben geposteten Tutorial soll ein Split-DNS eingerichtet werden, aber sobald ich da ein Override mit dem FQDN eingerichtet wird, crasht der HAProxy. Sehr eigenartig. Leider wirft mir dieser absolut keine Fehlermeldung trotz debug-Level aus.
Nachdem oben geposteten Tutorial soll ein Split-DNS eingerichtet werden, aber sobald ich da ein Override mit dem FQDN eingerichtet wird, crasht der HAProxy. Sehr eigenartig. Leider wirft mir dieser absolut keine Fehlermeldung trotz debug-Level aus.
Static Port hatte ich unter Outbound NAT vergessen anzuhaken.
Hier weiß immer noch niemand was für Dienste/Protokolle du forwardest (s. Frage oben), je nach dem kann hier ein NAT unterschiedlich drastische Auswirkungen haben.crasht der HAProxy.
Aha noch was was keiner vorher wusste das überhaupt eingerichtet, auf Ratespielchen habe ich ehrlich gesagt keine Lust ... ich bin raus.Good luck 🖖.
sid.
Ich habe es lösen können. Im Endeffekt geht es nicht ohne Split-DNS aber dafür muss an der 3cx auch intern ein valides Zertifikat installiert sein.
