support-m
Goto Top

OPNsense Portumleitung auf FritzBox

Hallo zusammen,
ich habe eine vermutlich sehr simple Frage, aber anscheinend checke ich es nicht und brauche Hilfe.

Ich habe eine FritzBox als Router, die die Einwahl ins Internet macht mit fester öffentlicher IP-Adresse. Dahinter hängt eine OPNsense und diese ist als Exposed Host bei der FB eingetragen. Die FB hat LAN-seitig die 192.168.200.1 und meine OPNsense hat WAN-seitig die 192.168.200.254. Also klassisches Doppel-NAT.

Auf der OPNsense ist beim WAN-Port als Firewallregel für eine bestimmte öffentliche IP der Zugriff überall hin erlaubt, die OPNsense GUI lauscht auf 8443. Zugriff auf die Oberfläche von außen über https://wan-ip:8443 funktioniert prima, es geht alles.

Was ich nun will: Ich will über eine Portumleitung oder per Outbound-NAT (ja nach dem) von außen (mit meiner öffentlichen festen IP) über einen anderen Port als 8443 auf die Oberfläche der FritzBox kommen. Zum Beispiel 6443. Problem ist, dass ich derzeit nicht an die FB ran kann (entfernter Standort) und ich bei der FB vergessen habe, die statischen Routen ein zu tragen. Daher hoffe ich, dass ich per NAT oder SNAT auf die FB komme um das nachzuholen.

Sprich: Über https://wan-ip:6443 --> Portumleitung auf 192.168.200.1:443

Ich habe es per Portweiterleitung probiert und per Outbound-NAT in verschiedenen Varianten, aber ich bekomme es nicht hin. Hier mal ein Quasi-Nachbau auf meiner eigenen OPNSense mit deaktivierten Regeln:
Portweiterleitung: Von WAN auf WAN:
portweiterleitung1

Outbound-NAT:
snat

Habe ich einen grundsätzlichen Gedankenfehler oder geht es technisch nicht und ich habe einfach keine Ahnung? Die FritzBox soll denken, dass die Anfrage über Port 80 oder 443 aus ihrem LAN (OPNsense) kommt und die OPNsense soll mir das entsprechend umleiten.
Ich denke, grundsätzlich liege ich richtig in der Annahme, dass das per NAT umsetzbar ist, aber mir fehlt dafür noch das Verständnis.

Kann mir jemand helfen?

Danke!

MfG

Content-Key: 7462603964

Url: https://administrator.de/contentid/7462603964

Printed on: July 13, 2024 at 01:07 o'clock

Member: aqui
Solution aqui Jun 08, 2023, updated at Jun 09, 2023 at 08:00:06 (UTC)
Goto Top
Habe ich einen grundsätzlichen Gedankenfehler
Ja, denn die OPNsense hat mit der Anforderung ja nicht das Geringste zu tun. Diese Konfigs dort sind allso völlig überflüssig und sinnfrei wenn es dir nur um einen remoten Zugang der FB geht. Fragt sich warum du das machst wenn die OPNsense hinter der FB kaskadiert ist?!
Zudem ist deine Schilderung oben technisch falsch, denn die Fritzbox hält ja deine öffentliche IP ins Internet und nicht die dahinter kaskadierte Firewall. Folglich muss also die Beschreibung richtig lauten...über https://<wan_ip_fritzbox>:8443
TCP 8443 kommt dann an der FB an die den Traffic dann per Port Translation auf die 192.168.200.254:8443 weiterleitet. So wäre es technisch korrekt.
Beachte auch das der Port TCP 8443 kein freier Port sondern ein weltweit fest von der IANA registrierter und reservierter Port ist, den man besser nicht einfach so kapert. face-sad
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Besser ist wenn du dafür den freien Bereich der Ephemeral Ports verwendest zw. 49152 und 65535 wie z.B. 58443!

Einfache Lösung:
Du musst im Fritzbox Setup lediglich den HTTPS Zugang über das Internet erlauben und fertig ist der Lack. Dann kannst du über die WAN IP schlicht und einfach mit https://<wan_ip_fritzbox> (TCP 443) im Browser auf deren Konfig Oberfläche zugreifen.
Sollte man sich aber immer gut überlegen sein Konfig Interface so offen ins Internet zu exponieren. Intelligenter und sicherer wäre es hier ein VPN zu nutzen was immer best Practise ist.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Member: Tezzla
Tezzla Jun 09, 2023 at 05:59:41 (UTC)
Goto Top
Moin.

Warum immer alles ins Web exposen?!
Mach dir doch einfach für die paar Male, wo du in die Fritzbox musst, einen VPN Zugang über die opnsense. Dann kannst du auch auf deine Fritzbox zugreifen, wenns korrekt eingestellt wird.

VG
Member: Lochkartenstanzer
Lochkartenstanzer Jun 09, 2023 updated at 07:24:11 (UTC)
Goto Top
Zitat von @Tezzla:

Moin.

Warum immer alles ins Web exposen?!
Mach dir doch einfach für die paar Male, wo du in die Fritzbox musst, einen VPN Zugang über die opnsense. Dann kannst du auch auf deine Fritzbox zugreifen, wenns korrekt eingestellt wird.

VG

Man kann auch direkt per wireguard sich auf die Fritte verbinden und dann über das VPN zugreifen.

lks
Member: aqui
aqui Jun 09, 2023 at 08:01:55 (UTC)
Goto Top
...oder mit jedem beliebigen onboard VPN Client auf die OPNsense und dann intern auf die FB. Siehe Client VPN Tutorial oben!
Member: support-m
support-m Jun 09, 2023 at 09:44:23 (UTC)
Goto Top
Hallo zusammen,
danke für eure Antworten.

Zitat von @aqui:

Habe ich einen grundsätzlichen Gedankenfehler
Ja, denn die OPNsense hat mit der Anforderung ja nicht das Geringste zu tun. Diese Konfigs dort sind allso völlig überflüssig und sinnfrei wenn es dir nur um einen remoten Zugang der FB geht. Fragt sich warum du das machst wenn die OPNsense hinter der FB kaskadiert ist?!

Der Remotezugang sollte nur für 2 Minuten aktiv sein, damit ich das Routing auf der FB anpassen kann. Die kennt aktuell die LANs der beiden Standorte nicht. Der Zugriff erfolgt dann über eine Site2Site.

Zitat von @aqui:
Zudem ist deine Schilderung oben technisch falsch, denn die Fritzbox hält ja deine öffentliche IP ins Internet und nicht die dahinter kaskadierte Firewall. Folglich muss also die Beschreibung richtig lauten...über https://<wan_ip_fritzbox>:8443
TCP 8443 kommt dann an der FB an die den Traffic dann per Port Translation auf die 192.168.200.254:8443 weiterleitet. So wäre es technisch korrekt.
Beachte auch das der Port TCP 8443 kein freier Port sondern ein weltweit fest von der IANA registrierter und reservierter Port ist, den man besser nicht einfach so kapert. face-sad
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Besser ist wenn du dafür den freien Bereich der Ephemeral Ports verwendest zw. 49152 und 65535 wie z.B. 58443!

Ja, so wie du das schreibst, ergibt das Sinn, danke für die Aufklärung face-smile
Dass 8443 "belegt" ist, wusste ich nicht. Was genau ist pcsync-https?

Zitat von @aqui:
Einfache Lösung:
Du musst im Fritzbox Setup lediglich den HTTPS Zugang über das Internet erlauben und fertig ist der Lack. Dann kannst du über die WAN IP schlicht und einfach mit https://<wan_ip_fritzbox> (TCP 443) im Browser auf deren Konfig Oberfläche zugreifen.
Sollte man sich aber immer gut überlegen sein Konfig Interface so offen ins Internet zu exponieren. Intelligenter und sicherer wäre es hier ein VPN zu nutzen was immer best Practise ist.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ja, das ist mir klar. Ich will die FB ja garnicht im WWW exponieren. Ich will nur diese 2 Routing-Einträge machen :D

Ich hatte nur derzeit das Problem, dass die FB für mich nicht direkt erreichbar ist und ich nur den Zugriff auf die OPNsense hatte. Aber die Idee mit dem VPN war gut. Habe mir schnell einen VPN installiert und über den VPN komme ich nun auch auf die FB drauf.

Danke!

MfG
Member: aqui
aqui Jun 10, 2023 updated at 11:28:13 (UTC)
Goto Top
Der Remotezugang sollte nur für 2 Minuten aktiv sein
Das geht logischerweise nicht und weisst du auch selber. Man kann dan Admin Zugang nicht zeitgesteuert aktivieren. Es geht nur entweder an oder aus.
Deshalb ja die dringende Empfehlung per VPN über die OPNsense zu gehen.
Du wählst dich gesichert über ein VPN ein über die OPNsense und kannst dann mit dem VPN Client von remote über das Koppel LAN immer auf die FB zugreifen ohne den Management Zugang auf der FritzBox ungeschützt ins Internet zu exponieren.
Habe mir schnell einen VPN installiert und über den VPN komme ich nun auch auf die FB drauf.
So sollte es sein und ist der richtige Weg! 👍
Member: support-m
support-m Jun 13, 2023 at 07:48:24 (UTC)
Goto Top
Zitat von @aqui:

Der Remotezugang sollte nur für 2 Minuten aktiv sein
Das geht logischerweise nicht und weisst du auch selber. Man kann dan Admin Zugang nicht zeitgesteuert aktivieren. Es geht nur entweder an oder aus.
Klar geht das. Einschalten, statische Routen setzen und Zugang wieder ausschalten. 2 Minuten :D
Die Site2Site besteht ja schon, allerdings weiß die Fritte nicht ohne eine statische Route, wie sie ins entfernte Netz kommen kann. Ich wollte nur diese eine Routing-Konfig setzen. Das habe ich ja jetzt mit dem VPN geschafft face-smile

Danke nochmal.

MfG
Member: aqui
aqui Jun 13, 2023 at 07:51:14 (UTC)
Goto Top
Klar geht das.
OK, mit "Handbetrieb" ist klar das das klappt. Automatisch aber nicht...zumindestens nicht mit der Fritzbox. face-wink
allerdings weiß die Fritte nicht ohne eine statische Route, wie sie ins entfernte Netz kommen kann.
Ist bekannt und steht ja auch im Tutorial!!
Danke nochmal.
Immer gerne! 🙂