cryptic3007
Goto Top

Zugriff über WAN einrichten

Hallo zusammen, ich benötige Hilfe bei der Einrichtung einer weiterleitung von meinem Router zu der Sophos XG bzw. zu einem Dienst welcher auf Proxmox läuft.

Kurz zur Netzwerk Konfig:

- ISP Router im Bridge Modus
- TP-LINK ER605 Router in welchem auch die ISP Zugangsdaten hinterlegt sind IP:192.168.0.1
- Sophos Firewall als VM in Proxmox Sophos WAN IP: 192.168.0.104 LAN IP: 172.16.16.16:4444
- Proxmox IP 172.16.16.1:8006
- IP des Containers auf welchen Zugriff über das Internet kommen soll: 172.16.16.27:5216
- DynDNS ist eingerichtet auf der Sophos. Auch ist ein Eintrag beim Hoster all-inkl. eingerichtet bzgl. DynDNS
- zusätzlich habe ich auch einen NGINX als LXC mit der IP: 172.16.16.30

Nun zum Problem:

Wenn ich im Router die Ports freigebe kann ich die IP wählen an welche diese weitergeleitet werden sollen.
Wenn ich die WAN IP des Routers eingebe, komme ich über das Internet auf die Login Seite des Routers, was aber nicht das Ziel ist.
Wenn ich die WAN IP der Sophos eingebe mit den selben Ports passiert nix, kein Zugriff über das Internet möglich.

Ich habe auch versucht eine Regel in der FW zu erstellen das der Zugriff über WAN auf den NGINX erlaubt wird aber auch da tut sich nix.

Es ist auch leider nicht möglich die öffentliche IP zu Pingen, es kommt keine Antwort.

Ziel ist das ich von aussen über DynDNS Zugriff auf den LXC mit der IP 172.16.16.27:5216 bekomme.

Sollten noch Infos benötigt werden, stelle ich diese gerne rein. Danke euch im Voraus.

Content-ID: 668913

Url: https://administrator.de/contentid/668913

Printed on: December 3, 2024 at 10:12 o'clock

MirkoKR
MirkoKR Oct 22, 2024 at 07:03:40 (UTC)
Goto Top
Etwas wirr klingen die Angaben deiner Netzwerke.

Erstelle doch bitte ein Netzwerkdiagramm, das man da durch blickt ...
NordicMike
NordicMike Oct 22, 2024 at 07:16:32 (UTC)
Goto Top
Portfreigabe ist die falsche Methode dafür. Richte ein VPN dafür ein.
Crusher79
Crusher79 Oct 22, 2024 at 07:20:55 (UTC)
Goto Top
Moin,

Bild vom Portforwarding des Routers könntest du mal hier reinkippen.

Virtual Server Settings z.B., wenn du die geutzt hast. Oder sowas wie 1:1 NAT? DMZ gibt es ja auch noch. Das Sophos Gateway auf Proxmox filtert ja auch Traffic.

DMZ oder Exposed Host würde hier auch gehen. Normal kann man aber bei Virtual Server nur bestimmte Ports weiterleiten. Alles hinter der Sophos kennt der Router ja nicht.

2. Ziel wäre also Sophos, die dann die Pakete an den Server weiterleitet.

Poste mal Bild der Router Einstellungen
cryptic3007
cryptic3007 Oct 22, 2024 at 07:21:55 (UTC)
Goto Top
Ich hoffe das es so besser zu verstehen ist:

home
cryptic3007
cryptic3007 Oct 22, 2024 at 07:26:35 (UTC)
Goto Top
router

Welche Einstellungen brauchst du noch?
Crusher79
Crusher79 Oct 22, 2024 at 07:54:43 (UTC)
Goto Top
Management Port? Normal poppt doch da eine Warnmeldung auf wenn 80 für den Router reserviert ist.

https://www.tp-link.com/de/support/faq/1379/

A) If you want to open port 80 for a local device, please change the router’s remote management port (service port) number first since its default number is 80. As for the internal port, 80 is reserved for the local management and cannot be modified although the remote management port has changed.


Je nach Modell!!! Muss bei dir nicht kommen. Normal sollten alle "freien Ports" über die Konfig einstellbar sein. Wenn der Router errecihbar ist könnte es am Managment Port liegen, der den Rest das Wasser abgräbt.

Wie @NordicMike schon sagte kommt es auf den Fall an! Nur kleine Benutzergruppe, die unter deiner Kontrolle ist: VPN und dann die Dienste rein intern zur Verfügugn stellen.

Im Prinzip ist Firewall, Firewall. Stimmt das Konzept, kann die auch nach außen öffnen. Sonst würden Ja weltweit Server sofort gehackt werden oder es aber alle mit VPN.

Du musst nur wissen, was du tust.
SlainteMhath
SlainteMhath Oct 22, 2024 at 08:09:35 (UTC)
Goto Top
Moin,

Wenn ich die WAN IP des Routers eingebe, komme ich über das Internet auf die Login Seite des Routers,
Uff, das würde ich als allererstes abstellen face-smile

lg,
Slainte
cryptic3007
cryptic3007 Oct 22, 2024 at 08:22:29 (UTC)
Goto Top
Das habe ich schon deaktiviert bzw. die WAN IP der Sophos hinterlegt und dann ist halt kein Zugriff mehr möglich.
Crusher79
Crusher79 Oct 22, 2024 at 08:29:57 (UTC)
Goto Top
In den normalen Einstellungen musst du mal schauen.

Bei OPNsense z.B. auch so. Management und "interne" Ports für die Kiste/ Stück Software direkt vor dir wird meist global in den Einstellungen hinterlegt!

Da muss man nix in der Firewall bocken oder weiterleiten. Bei vielen kann man das pauschal mit einen Knopfdruck ändern/ abschalten.

Oben im Link ist doch Hersteller Handbuch! Lies es dir mal durch.
cryptic3007
cryptic3007 Oct 22, 2024 at 09:50:01 (UTC)
Goto Top
Also im Handbuch finde ich nicht wirklich was.

Hat jemand von euch denn eine Lösungsansatz?
em-pie
em-pie Oct 22, 2024 at 09:50:47 (UTC)
Goto Top
Moin,

erstelle doch an der Sophos mal eine Drop-Log Regel, dann siehst du, ob da was am, Port 443 ankommt und verworfen wird?

Was soll am Port 443 denn ankommen?
Crusher79
Crusher79 Oct 22, 2024 at 11:31:08 (UTC)
Goto Top
Für den Anfang weg von den Standard Ports. Dafür ist ja auch Virtual Server da.

47180 -> 80

z.B. so sollte sich dann nix "vor" dem Ziel melden.

https://www.tp-link.com/de/support/faq/1379/

Da stand das doch mit dem Webmanagement Port auch drin!

Go to Security->Remote Management, and then change the Web Management Port to other ports such as 8080 and Save.


Normal wie gesagt macht das eher mit VPN an der Stelle. Nach außen hin braucht man eine Fw zum Konfigurieren nciht öffnen.

Wenn du hier ka 1280 einträgst sollten man auch Port 80 forwarden können.
SPOK71
SPOK71 Oct 22, 2024 at 11:48:13 (UTC)
Goto Top
Mach zunächst etwas einfaches, danach mach es komplizierter...der Router hat bereit eine Firewall, wozu wird noch eine Firewall dahinter richtung LAN geschaltet? Also, erstmal diese Firewall entfernen, dann normal den Portforwading mit Dydns ausprobieren, so daß alle Ziel Hosts von außen erreichbar sind.

Wenn das funktioniert hat, wissen wir was das Problem ist.
cryptic3007
cryptic3007 Oct 28, 2024 at 19:58:32 (UTC)
Goto Top
Hi zusammen, also zunächst mal danke für die Hilfe. Ich habe es jetz auch zum laufen gebracht.

DynDns in der Sophos eingetragen und alles in der Sophs dirket konfiguriert, am Router musste nix gemacht werden.

Jetzt hätte ich aber eine andere Frage, und zwar wie bekomme ich die Lets Encrypt Zertifikate auf der Sophos zum laufen.

Wenn ich das Zert.pem und die privat.key einfüge werden diese zwar von der Sophos hinzugefügt aber als nicht vertrauenswürdig markiert. Die R3 sowie auch das isrgrootx zert von Lets Encrypt habe ich bei der Sophos hinzugefügt, jedoch ohne erfolg.