OPNsense Portumleitung auf FritzBox
Hallo zusammen,
ich habe eine vermutlich sehr simple Frage, aber anscheinend checke ich es nicht und brauche Hilfe.
Ich habe eine FritzBox als Router, die die Einwahl ins Internet macht mit fester öffentlicher IP-Adresse. Dahinter hängt eine OPNsense und diese ist als Exposed Host bei der FB eingetragen. Die FB hat LAN-seitig die 192.168.200.1 und meine OPNsense hat WAN-seitig die 192.168.200.254. Also klassisches Doppel-NAT.
Auf der OPNsense ist beim WAN-Port als Firewallregel für eine bestimmte öffentliche IP der Zugriff überall hin erlaubt, die OPNsense GUI lauscht auf 8443. Zugriff auf die Oberfläche von außen über https://wan-ip:8443 funktioniert prima, es geht alles.
Was ich nun will: Ich will über eine Portumleitung oder per Outbound-NAT (ja nach dem) von außen (mit meiner öffentlichen festen IP) über einen anderen Port als 8443 auf die Oberfläche der FritzBox kommen. Zum Beispiel 6443. Problem ist, dass ich derzeit nicht an die FB ran kann (entfernter Standort) und ich bei der FB vergessen habe, die statischen Routen ein zu tragen. Daher hoffe ich, dass ich per NAT oder SNAT auf die FB komme um das nachzuholen.
Sprich: Über https://wan-ip:6443 --> Portumleitung auf 192.168.200.1:443
Ich habe es per Portweiterleitung probiert und per Outbound-NAT in verschiedenen Varianten, aber ich bekomme es nicht hin. Hier mal ein Quasi-Nachbau auf meiner eigenen OPNSense mit deaktivierten Regeln:
Portweiterleitung: Von WAN auf WAN:
Outbound-NAT:
Habe ich einen grundsätzlichen Gedankenfehler oder geht es technisch nicht und ich habe einfach keine Ahnung? Die FritzBox soll denken, dass die Anfrage über Port 80 oder 443 aus ihrem LAN (OPNsense) kommt und die OPNsense soll mir das entsprechend umleiten.
Ich denke, grundsätzlich liege ich richtig in der Annahme, dass das per NAT umsetzbar ist, aber mir fehlt dafür noch das Verständnis.
Kann mir jemand helfen?
Danke!
MfG
ich habe eine vermutlich sehr simple Frage, aber anscheinend checke ich es nicht und brauche Hilfe.
Ich habe eine FritzBox als Router, die die Einwahl ins Internet macht mit fester öffentlicher IP-Adresse. Dahinter hängt eine OPNsense und diese ist als Exposed Host bei der FB eingetragen. Die FB hat LAN-seitig die 192.168.200.1 und meine OPNsense hat WAN-seitig die 192.168.200.254. Also klassisches Doppel-NAT.
Auf der OPNsense ist beim WAN-Port als Firewallregel für eine bestimmte öffentliche IP der Zugriff überall hin erlaubt, die OPNsense GUI lauscht auf 8443. Zugriff auf die Oberfläche von außen über https://wan-ip:8443 funktioniert prima, es geht alles.
Was ich nun will: Ich will über eine Portumleitung oder per Outbound-NAT (ja nach dem) von außen (mit meiner öffentlichen festen IP) über einen anderen Port als 8443 auf die Oberfläche der FritzBox kommen. Zum Beispiel 6443. Problem ist, dass ich derzeit nicht an die FB ran kann (entfernter Standort) und ich bei der FB vergessen habe, die statischen Routen ein zu tragen. Daher hoffe ich, dass ich per NAT oder SNAT auf die FB komme um das nachzuholen.
Sprich: Über https://wan-ip:6443 --> Portumleitung auf 192.168.200.1:443
Ich habe es per Portweiterleitung probiert und per Outbound-NAT in verschiedenen Varianten, aber ich bekomme es nicht hin. Hier mal ein Quasi-Nachbau auf meiner eigenen OPNSense mit deaktivierten Regeln:
Portweiterleitung: Von WAN auf WAN:
Outbound-NAT:
Habe ich einen grundsätzlichen Gedankenfehler oder geht es technisch nicht und ich habe einfach keine Ahnung? Die FritzBox soll denken, dass die Anfrage über Port 80 oder 443 aus ihrem LAN (OPNsense) kommt und die OPNsense soll mir das entsprechend umleiten.
Ich denke, grundsätzlich liege ich richtig in der Annahme, dass das per NAT umsetzbar ist, aber mir fehlt dafür noch das Verständnis.
Kann mir jemand helfen?
Danke!
MfG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7462603964
Url: https://administrator.de/forum/opnsense-portumleitung-auf-fritzbox-7462603964.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
8 Kommentare
Neuester Kommentar
Habe ich einen grundsätzlichen Gedankenfehler
Ja, denn die OPNsense hat mit der Anforderung ja nicht das Geringste zu tun. Diese Konfigs dort sind allso völlig überflüssig und sinnfrei wenn es dir nur um einen remoten Zugang der FB geht. Fragt sich warum du das machst wenn die OPNsense hinter der FB kaskadiert ist?!Zudem ist deine Schilderung oben technisch falsch, denn die Fritzbox hält ja deine öffentliche IP ins Internet und nicht die dahinter kaskadierte Firewall. Folglich muss also die Beschreibung richtig lauten...über https://<wan_ip_fritzbox>:8443
TCP 8443 kommt dann an der FB an die den Traffic dann per Port Translation auf die 192.168.200.254:8443 weiterleitet. So wäre es technisch korrekt.
Beachte auch das der Port TCP 8443 kein freier Port sondern ein weltweit fest von der IANA registrierter und reservierter Port ist, den man besser nicht einfach so kapert.
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Besser ist wenn du dafür den freien Bereich der Ephemeral Ports verwendest zw. 49152 und 65535 wie z.B. 58443!
Einfache Lösung:
Du musst im Fritzbox Setup lediglich den HTTPS Zugang über das Internet erlauben und fertig ist der Lack. Dann kannst du über die WAN IP schlicht und einfach mit https://<wan_ip_fritzbox> (TCP 443) im Browser auf deren Konfig Oberfläche zugreifen.
Sollte man sich aber immer gut überlegen sein Konfig Interface so offen ins Internet zu exponieren. Intelligenter und sicherer wäre es hier ein VPN zu nutzen was immer best Practise ist.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zitat von @Tezzla:
Moin.
Warum immer alles ins Web exposen?!
Mach dir doch einfach für die paar Male, wo du in die Fritzbox musst, einen VPN Zugang über die opnsense. Dann kannst du auch auf deine Fritzbox zugreifen, wenns korrekt eingestellt wird.
VG
Moin.
Warum immer alles ins Web exposen?!
Mach dir doch einfach für die paar Male, wo du in die Fritzbox musst, einen VPN Zugang über die opnsense. Dann kannst du auch auf deine Fritzbox zugreifen, wenns korrekt eingestellt wird.
VG
Man kann auch direkt per wireguard sich auf die Fritte verbinden und dann über das VPN zugreifen.
lks
...oder mit jedem beliebigen onboard VPN Client auf die OPNsense und dann intern auf die FB. Siehe Client VPN Tutorial oben!
Der Remotezugang sollte nur für 2 Minuten aktiv sein
Das geht logischerweise nicht und weisst du auch selber. Man kann dan Admin Zugang nicht zeitgesteuert aktivieren. Es geht nur entweder an oder aus.Deshalb ja die dringende Empfehlung per VPN über die OPNsense zu gehen.
Du wählst dich gesichert über ein VPN ein über die OPNsense und kannst dann mit dem VPN Client von remote über das Koppel LAN immer auf die FB zugreifen ohne den Management Zugang auf der FritzBox ungeschützt ins Internet zu exponieren.
Habe mir schnell einen VPN installiert und über den VPN komme ich nun auch auf die FB drauf.
So sollte es sein und ist der richtige Weg! 👍Klar geht das.
OK, mit "Handbetrieb" ist klar das das klappt. Automatisch aber nicht...zumindestens nicht mit der Fritzbox. allerdings weiß die Fritte nicht ohne eine statische Route, wie sie ins entfernte Netz kommen kann.
Ist bekannt und steht ja auch im Tutorial!!Danke nochmal.
Immer gerne! 🙂