7
OPNsense NAT Reflection
Hallo,
früher bei pfSense ging das mal einwandfrei, allerdings bin ich mittlerweile zu OPNsense gewechselt und wundere mich das die NAT Relection nicht funktioniert. Eventuell übersehe ich da was.
Problem: Ich habe ein Gäste-VLAN, das komplett abgeschirmt ist von meiner restlichen Infrastruktur. Der DHCP gibt als DNS die Google-DNS raus, das will ich auch so beibehalten. Deshalb kommt Split-DNS nicht in Frage. Ich habe hier eine Soft-PBX on-premise und die Port-Forwardings liegen auf einem WAN-VIP. Vom Mobilfunk oder einen anderen Anschluss kann ich einwandfrei die Port-Forwardings erreichen, allerdings intern nicht.
Normalerweise sollte für mein Verständnis der erste Schalter reichen...
Ich habe mittlerweile alle drei probiert, ändert nichts.
In den Port-Forwardings habe ich explizit angeschalten...
Bringt auch nichts. Wenn ich am entsprechenden internen Interface Scheunentor mache und dann mit TCPdump den Verkehr mitschneide, sehe ich nur als Ziel vom Client die externe IP-Adresse. Ich habe dann noch explizit eine Pass-Rule für diese Adresse am Interface des Gäste-VLAN gemacht, aber es brachte nichts.
Gibt es da noch irgendwo einen Schalter?
Gruß
früher bei pfSense ging das mal einwandfrei, allerdings bin ich mittlerweile zu OPNsense gewechselt und wundere mich das die NAT Relection nicht funktioniert. Eventuell übersehe ich da was.
Problem: Ich habe ein Gäste-VLAN, das komplett abgeschirmt ist von meiner restlichen Infrastruktur. Der DHCP gibt als DNS die Google-DNS raus, das will ich auch so beibehalten. Deshalb kommt Split-DNS nicht in Frage. Ich habe hier eine Soft-PBX on-premise und die Port-Forwardings liegen auf einem WAN-VIP. Vom Mobilfunk oder einen anderen Anschluss kann ich einwandfrei die Port-Forwardings erreichen, allerdings intern nicht.
Normalerweise sollte für mein Verständnis der erste Schalter reichen...
Ich habe mittlerweile alle drei probiert, ändert nichts.
In den Port-Forwardings habe ich explizit angeschalten...
Bringt auch nichts. Wenn ich am entsprechenden internen Interface Scheunentor mache und dann mit TCPdump den Verkehr mitschneide, sehe ich nur als Ziel vom Client die externe IP-Adresse. Ich habe dann noch explizit eine Pass-Rule für diese Adresse am Interface des Gäste-VLAN gemacht, aber es brachte nichts.
Gibt es da noch irgendwo einen Schalter?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33212552632
Url: https://administrator.de/contentid/33212552632
Printed on: April 28, 2024 at 11:04 o'clock
7 Comments
Latest comment
Moin.
Habe das gerade mal virtuell nachgebaut, klappt hier im Testaufbau problemlos ohne weitere Verrenkungen mit der üblichen NAT Reflection. Hast du denn für das Gastnetz in den Firewall Rules eine Ausnahme-Regel angelegt die besagt
ALLOW
QUELLE: GASTNETZ
ZIEL: WAN-ADRESSE DER OPNSENSE
PORT: EXTERNER PORT
?
Und diese auch vor allen anderen Regeln platziert?
Hier meine fürs Gastnetz vorhandenen Regeln. (NAT Reflection in der oberen Regel aktiviert):
und hier mein Test-Port-Forward ins normale LAN
Works as designed.
Gruß sid.
Habe das gerade mal virtuell nachgebaut, klappt hier im Testaufbau problemlos ohne weitere Verrenkungen mit der üblichen NAT Reflection. Hast du denn für das Gastnetz in den Firewall Rules eine Ausnahme-Regel angelegt die besagt
ALLOW
QUELLE: GASTNETZ
ZIEL: WAN-ADRESSE DER OPNSENSE
PORT: EXTERNER PORT
?
Und diese auch vor allen anderen Regeln platziert?
Hier meine fürs Gastnetz vorhandenen Regeln. (NAT Reflection in der oberen Regel aktiviert):
und hier mein Test-Port-Forward ins normale LAN
Works as designed.
Gruß sid.
1
So habe ich es auch. War auch mein erster Gedanke. Split-DNS habe ich jetzt eingerichtet, damit geht es prinzipiell auch. Aber meine Soft-PBX (3cx) lässt auch kein Webmeeting mehr zu.
Mit dem Split-DNS ist doch keine Lösung. Für das Zertifikat und den externen Zugriff verwende ich HAproxy auf der OPNsense mit ACME. Das Problem ist dann das er Ports für SIP und Sprachkanäle dann auch an die OPNsense sendet, weshalb man dann eventuell wieder NAT machen müsste.
Aber das kann nicht die Lösung sein. Das muss mit dem NAT Reflection funktionieren. Anders geht es nicht.
Im Endeffekt ähnlich diesem Tut:
https://www.3cx.com/docs/pfsense-firewall/
Aber das kann nicht die Lösung sein. Das muss mit dem NAT Reflection funktionieren. Anders geht es nicht.
Im Endeffekt ähnlich diesem Tut:
https://www.3cx.com/docs/pfsense-firewall/
Hier klappt es ja mit NAT Reflection out of the box, du musst halt noch etwas in deiner Config drin haben das den Zugriff verhindert. Glaskugel Bowling ohne deine FW-Rules hier vorliegen zu haben. Wahrscheinlich nur ein simpler Firewall-Rule-Fehler auf deiner Seite, Check deine Logs! Um was für ein Protokoll handelt es sich denn überhaupt was du hier forwardest?
1
Ok... ich komme der Lösung näher. Static Port hatte ich unter Outbound NAT vergessen anzuhaken.
Nachdem oben geposteten Tutorial soll ein Split-DNS eingerichtet werden, aber sobald ich da ein Override mit dem FQDN eingerichtet wird, crasht der HAProxy. Sehr eigenartig. Leider wirft mir dieser absolut keine Fehlermeldung trotz debug-Level aus.
Nachdem oben geposteten Tutorial soll ein Split-DNS eingerichtet werden, aber sobald ich da ein Override mit dem FQDN eingerichtet wird, crasht der HAProxy. Sehr eigenartig. Leider wirft mir dieser absolut keine Fehlermeldung trotz debug-Level aus.
Static Port hatte ich unter Outbound NAT vergessen anzuhaken.
Hier weiß immer noch niemand was für Dienste/Protokolle du forwardest (s. Frage oben), je nach dem kann hier ein NAT unterschiedlich drastische Auswirkungen haben.crasht der HAProxy.
Aha noch was was keiner vorher wusste das überhaupt eingerichtet, auf Ratespielchen habe ich ehrlich gesagt keine Lust ... ich bin raus.Good luck 🖖.
sid.
Ich habe es lösen können. Im Endeffekt geht es nicht ohne Split-DNS aber dafür muss an der 3cx auch intern ein valides Zertifikat installiert sein.
