Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OPNsense Routing - NAT Problem

Mitglied: Philippe27

Philippe27 (Level 1) - Jetzt verbinden

23.02.2020, aktualisiert 21:23 Uhr, 522 Aufrufe, 7 Kommentare

Hallo

Ich hab das Problem das ich zwei getrennte Netzwerkinstallation habe und nun dazwischen mittels "Routing" Subnet eine Verbindung für den Zugriff auf ein Gerät einrichten muss.
Wichtig, es ist kein VPN sondern ein physischer Ethernet Link zwischen zwei OPNsense und dieser muss so bleiben.

Im Anhang ein einfaches Schema des Aufbau's, der wie folgt aussieht:

Netzwerk A: (mit dem Gerät "Web Server")
WAN: 1.1.1.1
LAN: 192.168.200.0/24
Routing Netz: 192.168.10.0/24
Gerät "Web Server": 192.168.200.20

OPNsense A:
WAN: 1.1.1.1
LAN: 192.168.200.1
Routing: 192.168.10.254 mit GW 192.168.10.1

Netzwerk B: (mit dem Client)
WAN: 2.2.2.2
LAN: 192.168.20.0/24
Routing Netz: 192.168.10.0/24
Client: via DHCP im Bereich 192.168.20.0/24

OPNsense B:
WAN: 2.2.2.2
LAN: 192.168.20.1
Routing: 192.168.10.1 ohne GW

aufbau - Klicke auf das Bild, um es zu vergrößern

Der Zugriff übers WAN erfolgt pro Firewall über den eigenen Anschluss.
Ich hab nur zwei Anforderungen, welche nicht korrekt funktionieren:
- Gerät "Web Server" muss über das WAN von OPNsense A errerichbar sein
- Gerät "Web Server" muss über DNAT via Routing IP 192.168.10.1 und PNAT (Bsp. 22222 -> 8081) erreichbar sein

Am Ende sollte der Client zB https://192.168.10.254:22222 eingeben und erhält dann die Ausgabe des Web Servers, eigentlich simpel.

Siehe:
zugriff - Klicke auf das Bild, um es zu vergrößern

Die Routing Verbindung dazwischen funktioniert, da ich von beiden LAN Subnet aus via Ping oder Web Gui über die jeweilige Routing Interface IP Zugreifen kann.
Ebenfalls funktioniert ein Traceroute ins dahinter gelegene Subnet bis zum Routing Interface der Gegenseite, weiter komme ich logischerweise nicht ohne entsprechende Freigaben.
Daher schliesse ich ein Fehler in der Routing Konfiguriation aus.

Damit ich von A nach B und umgekehrt komme, muss ich auf der OPNsense A das Outbound NAT auf Manuell stellen und habe dort die Einträge gemäss Anhang "Outbound NAT A" erstellt.
Wenn ich das Outbound NAT auf Seite A auf automatisch stelle, funktioniert der Zugriff über das WAN A auf das Gerät "Web Server", dabei habe ich dann aber nicht mehr auf die gegenseitige Routing IP Zugriff.
Wenn ich das Outbound NAT auf Seite A auf Manuelle gemäss Anhang stelle, funktioniert der Zugriff übers WAN A nicht mehr, jedoch kann ich dann die gegenseitige Routing IP wieder erreichen.

Sowohl auf OPNsense A auch B sind im LAN und Routing Netz eine Any to Any Rule hinterlegt.

Irgendwas mache ich falsch, nur finde ich den Fehler nicht.

Wer kann mir einen Tipp geben?

Im Anhang sind noch diverse Screenshots von der Firewall A, weitere kann ich gerne machen.

Gruss Philippe
gateway a - Klicke auf das Bild, um es zu vergrößern
lan rules a - Klicke auf das Bild, um es zu vergrößern
outbound nat a - Klicke auf das Bild, um es zu vergrößern
port forwarding a - Klicke auf das Bild, um es zu vergrößern
routing rules a - Klicke auf das Bild, um es zu vergrößern
static routes a - Klicke auf das Bild, um es zu vergrößern
Mitglied: Henere
24.02.2020 um 07:17 Uhr
Moin,

wieso Nattest du zwischen den beiden Netzen ? Sehe hier den Sinn nicht, ausser dass Du die Sache unnötig verkomplizierst.
Mit den Hintergrundinfos kann man Dir bestimmt besser helfen.

Henere
Bitte warten ..
Mitglied: aqui
24.02.2020, aktualisiert um 08:32 Uhr
Genau das habe ich auch nicht verstanden.... Aus welchem Grund wird über die lokale .10.0er Verbindung geNATet ? Das ist doch irgendwie sinnfrei zumal die IP Adressen ja eindeutig sind und es lokal damit keinerlei Grund für ein NAT gibt ?!
Bitte warten ..
Mitglied: adminst
24.02.2020 um 10:16 Uhr
Hallo
Mir erschliesst sich der Sinn des NAT auch nicht. Du hast ja ein Transit Netz. Einfach das Netzsegment welches du möchtest über das Transit Netz routen + Rückroute auf der Gegenseite setzen. Per Firewall kannst du nachher definieren welche Ports etc. du zulassen möchtest.
Somit wäre das ganze schon abgehandelt.

Gruss
adminst
Bitte warten ..
Mitglied: Philippe27
24.02.2020, aktualisiert um 22:00 Uhr
Danke für eure Kommentare.

Leider kann ich an der Vorgabe eines NAT's nichts ändern, da im Kundennetz die Firewall B von einer staatlichen Organisation verwaltet wird. Der Zugriff wird nur exakt auf meine Interface IP gewährt.
Beim Kunden habe ich das gleiche Problem, weswegen ich es selbst mit zwei OPNsense nachgebaut habe und daher euch so Frage.

Mir ist weiterhin nicht klar wieso das verändern des Outbound NAT nur immer die eine Seite zulässt.

Gruss Philippe
Bitte warten ..
Mitglied: aqui
25.02.2020, aktualisiert 27.02.2020
Irgendwie machst du hier einen Denkfehler !
Du schreibst z.B. "Am Ende sollte der Client zB https:/ /192.168.10.254:22222 eingeben und erhält dann die Ausgabe des Web Servers, "
Das kann so nicht klappen.
Wenn man das etwas kranke Konstrukt richtig versteht dann haben wir folgende Fakten:
  • 1.) OPNsense A ist die rechte FW (2.2.2.2 WAN Adresse, leider fehlt die Beschreibung was A und B ist )
  • 2.) OPNsense B nimmt über eine entsprechende Regel rein nur Traffic von der IP 192.18.10.1 an.
  • 3.) Daraus (Punkt 2.) folgt dann im Umkehrschluss das FW B dann ein Outbound NAT machen muss an diesem Port für Traffic mit der Absender IP 192.168.20.x und Ziel IP 192.168.200.x oder präziser: nur die .200.20 wenn rein nur der Web Server erreicht werden soll.
Der Rest ist simpler Standard.

Damit ist die Zielangabe oben dann Unsinn, denn "192.168.10.254:22222" würde ja einzig nur einen Host erreichen der im Koppelnetz .10.0 steht. Dort ist der Webserver aber gar nicht !! Gar kein Endgerät befindet sich hier.
Logischerweise muss dann also vom Client aus dem lokalen Site A-LAN (.20.0) dann immer die wirkliche Zieladresse des Webservers eingegeben werden nämlich .200.20.
Das wird dann über das Koppelnetz .10.0 geroutet und bekommt dann mit dem Outbound NAT an FW A eine Absender IP 192.168.10.1. Gaukelt der Firewall B damit also wegen ihres o.g. strikten Regelwerkes auf nur diese IP einen Absender im 10.0er Netz vor.
Die Firewall B erhält dann dieses Paket mit Zieladresse 192.168.200.20 und Absender IP 192.168.10.1, was ja dann auch ihr striktes, staatliches Regelwerk passieren kann, da dies ja laut TO rein nur Traffic von der Absender IP .10.1 zulässt. Soweit so gut....
Firewall B routet das Paket dann zum Webserver weiter und gut ist.

In sofern stimmen also oben schonmal die Webserver Zieladresse aus dem Client Netz A gar nicht.
Auch das LAN Regelwerk ist sinnfrei. Oben wir alles ins 10er und 20er explizit zugelassen und dadrunter wird dann so oder so alles durchgelassen. Dann hätte man sich die Regeln oben auch gleich sparen können, denn sie sind vollkommen überflüssig.
Viele Dinge passen da also irgendwie nicht zusammen....?!
Bitte warten ..
Mitglied: Philippe27
26.02.2020 um 20:52 Uhr
Hallo aqui

Die Firewall A ist links und B rechts.

Ich konnte mittlerweile das Problem lösen.
Aus irgendeinem Grund hat mir der Proxy auf Seite A dazwischen gefummelt.

Ich habe die Konfiguration auf einer Fabrikneuen OPNsense nochmals aufgebaut und nun funktioniert es einwandfrei.
Sowohl über das WAN als auch über das DNAT vom Routing Interface.

Damit kann der Therad geschlossen werden.
Bitte warten ..
Mitglied: aqui
27.02.2020, aktualisiert um 15:11 Uhr
Damit kann der Therad geschlossen werden.
Das solltest dann bitte DU selber machen !!
https://administrator.de/faq/32

FAQs lesen und verstehen hilft wie immer !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing und NAT auf sich selbst
gelöst Frage von lcer00Router & Routing4 Kommentare

Hallo zusammen, ich stehe mal wieder etwas auf dem Schlauch, vielleicht denke ich auch nur zu kompliziert um die ...

Netzwerkgrundlagen
VLAN routing - mit oder ohne NAT?
gelöst Frage von Alex29Netzwerkgrundlagen6 Kommentare

Hallo in die Runde, ich habe eine Frage an die Netzwerkprofis. Ich habe hier ein kleines Netzwerk mit vier ...

Netzwerkmanagement
Virtualbox NAT
Frage von TechTobiNetzwerkmanagement8 Kommentare

Hallo Leute, ich habe mal eine Netzwerkfrage mit der Verbindung im Bereich virtualbox. Laut diesem Blog wird der Host ...

LAN, WAN, Wireless
Verständnisproblem NAT
Frage von BytedreherLAN, WAN, Wireless1 Kommentar

Hallo zusammen, ich habe eine ZyWALL USG 50 und ein "Problem", was ich mir leider nicht selbst erklären kann. ...

Neue Wissensbeiträge
Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 4 StundenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Instant Messaging

Die Kommunikations-App Zoom kommt aus der Kritik so schnell nicht mehr raus

Information von Frank vor 5 StundenInstant Messaging4 Kommentare

Ich würde Zoom ja gerne nutzen (das Featureset ist ziemlich gut) aber irgendwie hinterlassen die ganzen Nachrichten einen faden ...

Off Topic
Die Känguru-Chroniken - ab April im Streaming
Information von Frank vor 23 StundenOff Topic2 Kommentare

Die Corona-Krise hat auch die Kinos zum Stillstand gebracht. Daher gehen einige Verleiher neue Wege und stellen ihre Filme ...

Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Information von System-Fehler vor 2 TagenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Heiß diskutierte Inhalte
Router & Routing
Windows Server DHCP vlan Problem! Discover aber kein offer!
gelöst Frage von J3nnydaRouter & Routing18 Kommentare

Hi! Aktuell habe ich Home-office bedingt viel zeit und versuche deshalb das Netzwerk unseres Gemeinnützigen (Sport-)Vereins auf Vordermann zu ...

Internet Domänen
Subdomain auf subdomain bzw. dyndns mit port weiterleiten?
Frage von DynlaraBartisInternet Domänen15 Kommentare

hey ich habe einen server bei mir mit proxmox auf diesem habe ich vm´s im heimnetz habe ich eine ...

Batch & Shell
Alle Dateien eines Typs in Unterordnern in ein anderes Verzeichnis kopieren, aber so, dass sie in einem einzigen Unterverzeichnis liegen
Frage von Julia1989Batch & Shell14 Kommentare

Hallo, ich habe folgendes Problem: Ich habe viele *.php dateien, diese liegen in jeweils verschiedenen Unternordnern also C:\PfadZumOberverzeichnis\{A bis ...

Windows 10
Über Remotedesktopverbindung erkennen, ob Monitor angeschaltet ist
Frage von Tomac84Windows 1013 Kommentare

Hallo Zusammen, Auf Grund der Krise arbeite ich vom Home Office aus. Ich melde mich per Remotedesktopverbindung an meinen ...