1
Probleme mit OPNsense und pfsense
Guten Tag,
ich bin gerade dabei einen ausgiebigen Test mit beiden Systemen durchzuführen. Leider sind da einige Probleme zum Vorschein gekommen:
Bei OPNsense habe ich wahrscheinlich einen Bug ausfindig gemacht, wobei ich mir da nicht sicher bin. Es ist nicht möglich bei OPNsense eine SSH-Verbindung über das WAN-Schnittstelle herzustellen. Mit TCPdump sehe ich zwar die Anfragen ankommen, aber statt die Antwort direkt über das Netzwerk an den Client zu schicken, schickt er es über das Gateway. Was nach meinem Verständins ja nicht sein kann. Das Gateway wirft dann natürlich die Antworten weg.
Übersehe ich hier etwas? Jemand eine Ahnung woran das liegt?
Der Aufbau sieht so aus:
Internet > Router > Client > OPnsense-Gateway > Client
So ungefähr muss man es sich vorstellen... leider sind meine Möglichkeiten der Darstellung begrenzt. Das Gateway hat natürlich eine Verbindung zum Router.
Bei Pfsense funktioniert es dagegen einwandfrei... dort habe ich aber andere Probleme. Da ich einige Anforderungen an das neue System habe, versuche ich diese natürlich vorher erstmal zu testen ob diese Anforderungen auch funktionieren.
Folgendes Szenario stelle man sich vor: Ein Client mit der Beispiel-IP 10.0.0.2 befindet sich im LAN des PFsense-Gateways. Dies ist auch über diese IP von außerhalb erreichbar. Nun möchte ich aber das dieser Client noch über eine andere IP ansprechbar ist, meinetwegen 10.50.10.10 (rein fiktive IP)... sollte also mit DNAT kein Problem darstellen. Problem ist aber das er dies erstmal macht... aber wenn ich jetzt seperat von dem Client wieder nach außen kommuniziere möchte ich nicht das er mit 10.50.10.10 sondern wieder mit 10.0.0.2 antwortet. Leider konnte ich keine Einstellung finden die dies ermöglicht. Auch musste ich lesen, das dies extra so gewollt sei.
Ist eine Deaktivierung somit ausgeschlossen? Wie komme ich dennoch zu meinem Ziel?
Dabei ist dies nur eine Anforderung von vielen... speziell die Firewall macht mir Probleme. Der Rest ist eher nicht so tragisch. Folgende Sachen sollten im Kern mit der Firewall umsetzbar sein:
- SNAT auf eigene Schnittstelle (Masquerading)
- SNAT auf virtuelle IP
- DNAT auf virtuelle externe IP
- DNAT auf virtuelle interne IP
- Policy-Routing (überhaupt möglich?!?)
Leider sehe ich derzeit nicht wirklich eine intuitive Lösungsfindung in beiden Systemen. Oftmals (zumindest bei mir) kommt es vor das man in einem völlig anderem Menü eine Option findet die man braucht, bis man diese gefunden hat, vergehen leider oftmals Stunden. Ein wirkliches System hinter den Oberflächen konnte ich leider bisher nicht entdecken.
Ich hoffe es kann mir da einer helfen?
MfG
ich bin gerade dabei einen ausgiebigen Test mit beiden Systemen durchzuführen. Leider sind da einige Probleme zum Vorschein gekommen:
Bei OPNsense habe ich wahrscheinlich einen Bug ausfindig gemacht, wobei ich mir da nicht sicher bin. Es ist nicht möglich bei OPNsense eine SSH-Verbindung über das WAN-Schnittstelle herzustellen. Mit TCPdump sehe ich zwar die Anfragen ankommen, aber statt die Antwort direkt über das Netzwerk an den Client zu schicken, schickt er es über das Gateway. Was nach meinem Verständins ja nicht sein kann. Das Gateway wirft dann natürlich die Antworten weg.
Übersehe ich hier etwas? Jemand eine Ahnung woran das liegt?
Der Aufbau sieht so aus:
Internet > Router > Client > OPnsense-Gateway > Client
So ungefähr muss man es sich vorstellen... leider sind meine Möglichkeiten der Darstellung begrenzt. Das Gateway hat natürlich eine Verbindung zum Router.
Bei Pfsense funktioniert es dagegen einwandfrei... dort habe ich aber andere Probleme. Da ich einige Anforderungen an das neue System habe, versuche ich diese natürlich vorher erstmal zu testen ob diese Anforderungen auch funktionieren.
Folgendes Szenario stelle man sich vor: Ein Client mit der Beispiel-IP 10.0.0.2 befindet sich im LAN des PFsense-Gateways. Dies ist auch über diese IP von außerhalb erreichbar. Nun möchte ich aber das dieser Client noch über eine andere IP ansprechbar ist, meinetwegen 10.50.10.10 (rein fiktive IP)... sollte also mit DNAT kein Problem darstellen. Problem ist aber das er dies erstmal macht... aber wenn ich jetzt seperat von dem Client wieder nach außen kommuniziere möchte ich nicht das er mit 10.50.10.10 sondern wieder mit 10.0.0.2 antwortet. Leider konnte ich keine Einstellung finden die dies ermöglicht. Auch musste ich lesen, das dies extra so gewollt sei.
Ist eine Deaktivierung somit ausgeschlossen? Wie komme ich dennoch zu meinem Ziel?
Dabei ist dies nur eine Anforderung von vielen... speziell die Firewall macht mir Probleme. Der Rest ist eher nicht so tragisch. Folgende Sachen sollten im Kern mit der Firewall umsetzbar sein:
- SNAT auf eigene Schnittstelle (Masquerading)
- SNAT auf virtuelle IP
- DNAT auf virtuelle externe IP
- DNAT auf virtuelle interne IP
- Policy-Routing (überhaupt möglich?!?)
Leider sehe ich derzeit nicht wirklich eine intuitive Lösungsfindung in beiden Systemen. Oftmals (zumindest bei mir) kommt es vor das man in einem völlig anderem Menü eine Option findet die man braucht, bis man diese gefunden hat, vergehen leider oftmals Stunden. Ein wirkliches System hinter den Oberflächen konnte ich leider bisher nicht entdecken.
Ich hoffe es kann mir da einer helfen?
MfG
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 279138
Url: https://administrator.de/forum/probleme-mit-opnsense-und-pfsense-279138.html
Ausgedruckt am: 22.04.2025 um 03:04 Uhr
1 Kommentar
Hat keiner ne Antwort?
