OPNsense portforwarding

[seithan]

Χαίρεται, 

έχω εγκαταστήσει το OPNsense σε παλιό μηχάνημα με μια έξοδο ethernet, μέσω VMware.

Κατα την εγκατάσταση/ παραμετροποίηση επέλεξα να υπάρχει ένα subnet και για τους δύο Network adapters, bridged.

 

Το Router μου έχει την διεύθυνση 192.168.1.254

Το OPN-WAN 192.168.1.253

To OPN-LAN 192.168.1.1

ένα από τα μηχανήματα/clients 192.168.1.91

Δρομολογώ αιτήματα μέσω του router στο 192.168.1.1 το port-range 5900-5904 (VNC) και έπειτα θέλω ανάλογα το αρχικό αίτημα από το source (Π.χ. αίτημα από το κινητό προς το router στην πόρτα 5901) να δρομολογήται στον αντίστοιχο client (π.χ. 192.168.1.91).

 

Ως τώρα δοκίμασα :

Firewall Rules: WAN

==========

Pass

Apply action immidately

Interface: WAN // Direction: In

IPv4//TCP/UDP

Source: Any // Port Range 5900-5904

Destination: LAN Address (εαν δεν κάνω λάθος, εννοείται το OPN-LAN interface IP, 192.168.1.1)  // Port Range 5900-5904

Match priority: 7, highest

έπειτα:

Firewall: NAT: Port Forward

==============

Interface: LAN

IPv4// TCP/UPD

Source: Any // Port Range 5901-5901

Destination: LAN Address (192.168.1.1, σωστά;) // Port Range 5901-5901

Redirect target IP: 192.168.1.91 // Port 5900 (VNC)

Filter rule association: Pass

στο Firewall: Log Files: Live View, βλέπω την εισερχόμενη κλήση αλλά το OPN-WAN (192.168.1.253) την απορρίπτει:

    wan        Sep 8 15:28:52    [εξωτερικό-IP]:9537    192.168.1.253:5901    tcp    Default deny rule

(

__timestamp__    Sep 8 15:28:52
ack    
action     [block]
anchorname    
datalen    0
dir     [in]
dst    192.168.1.253
dstport    5901
ecn    
id    30703
interface    em1
interface_name    wan
ipflags    DF
ipversion    4
label    Default deny rule
length    60
offset    0
protoname    tcp
protonum    6
reason    match
rid    02f4bab031b57d1e30553ce08e0ec131
rulenr    8
seq    3055014704
src    [εξωτερικό-IP]
srcport    9537
subrulenr    
tcpflags    S
tcpopts    
tos    0x0
ttl    54
urp    65535

)

Αλλάζοντας τους κανόνες και επεμβαίνοντας στο LAN αντί του WAN, το ίδιο αλλά φτάνει μέχρι το 192.168.1.1 αντί του 192.168.1.253.

 

Τι κάνω/ δεν κάνω σωστά; Τι έχω καταλάβει λάθος;

 

Ευχαριστώ για την όποια βοήθεια!

[eliasbats]

Καταρχάς απ'ότι καταλαβαίνω απλά πειραματίζεσαι, γιατί αλλιώς θα μπορούσες να κάνεις το port forwarding απευθείας από το router, αφού ο router βλέπει απευθείας το LAN δίκτυο, σωστά??

Κατα τ'αλλα, δεν είμαι σίγουρος ότι τα πειράματά σου θα σου δείξουν καλά συμπεράσματα με αυτήν την αρχιτεκτονική. Ένα firewall δεν μπορεί να έχει το ίδιο subnet στο LAN και στο WAN. Για να μπορέσει να κάνει σωστά τη δουλειά του (connection tracking, firewalling, etc.) υπάρχει βασική προϋπόθεση να έχει τουλάχιστον 2 interfaces, ένα WAN και ένα LAN (με διαφορετικά subnets φυσικά).

Τώρα, αν στο lab σου έχεις μόνο ένα φυσικό interface όπως λες, τότε μπορώ να σου προτείνω 2 επιλογές: 

Είτε να καταφέρεις με κάποιο τρόπο να κάνεις το φυσικό interface στα Windows να υποστηρίζει VLANs και 802.1q (υπάρχουν π.χ. ειδικοί drivers για κάρτες Intel, με άλλη κάρτα δεν ξέρω αν θα είσαι τυχερός) και μετά να το συνδέσεις σε ένα managed switch με trunk σύνδεση,

Είτε το αρκετά πιο εύκολο και προτιμότερο, να ορίσεις στο VMware ότι το WAN interface του OPNsense να είναι bridged με το φυσικό του υπολογιστή και το LAN interface του OPNsense να είναι ένα virtual interface με ένα νέο subnet (θα εμφανιστεί ως virtual κάρτα δικτύου στα Windows). Μετά μπορείς να σηκώσεις και ένα VM ως client στο  νέο virtual LAN και να συνεχίσεις τα πειράματά σου. 

(Εννοείται όμως πως δυστυχώς δεν θα μπορέσεις να εντάξεις στο νέο - firewalled - LAN την ήδη υπάρχουσα συσκευή 192.168.1.91 σε αυτήν την περίπτωση. Αυτό θα μπορούσες να το κάνεις μόνο με την 1η επιλογή.)

[seithan]

Σε ευχαριστώ για την απάντηση σου, γιατί όμως; Γιατί επεμβαίνει ο def deny rule αφου εχω βαλει rule ρητά να επιτρέπει; Ναι μπορώ να το κανω μέσω router αλλα ήθελα να πειραματιστώ λογω σχετικού εργασιακού αντικειμένου. Πάντως ειτε το στειλω στο wanaddress ειτε στο lanaddress, ακριβως το ίδιο. Θα δοκιμασω με vnet, αν χλωμό αφού ουτως ή άλλως με κόβει. 

Επεξ/σία 11 Σεπτεμβρίου 2021 από seithan

[eliasbats]

Μήπως το rule στο WAN έπρεπε να είναι:

source: any IP address, any port

destination: 192.168.1.253,  Port Range 5900-5904  ??

[seithan]

4 hours ago, eliasbats said:

Μήπως το rule στο WAN έπρεπε να είναι:

source: any IP address, any port

destination: 192.168.1.253,  Port Range 5900-5904  ??

το δοκίμασα και αυτό, με κόβει είτε στο wan είτε στο lan....

δοκίμασα και ένα ακόμη σετάπ με μόνο lan interface , με rule να περνάνε οι πόρτες στο lanaddress από source:any, τα ίδια! μέσα στην εβδομάδα θα δοκιμάσω μια διπλή gigabit ethernet να δώ εάν με σωστό setup θα παίξει.

μια ακόμη ερώτηση, τα vm που θέλω να τα παίξω ώς "host" nics, πως μιλάνε μεταξύ τους (πάνω στον ίδιο host εννοείται); Για παράδειγμα, στο opnsense έβαλα το ethernet του lan (πάντα με μια physical port στο host μηχάνημα) ώς "host" από τις ρυθμίσεις του vmware και στο δεύτερο vm επίσης το ίδιο. Στο opnsense vm ενεργοποίησα dhcp  server στο lan αλλά το δεύτερο vm δεν πέρνει σωστό ip, αλλά ούτε καρφωτά δουλεύει.

[eliasbats]

Αν η LAN του OPNsense είναι στο ίδιo VMnet με το δεύτερο VM τότε θα έπρεπε να βλέπουν το ένα το άλλο. Αν το VMnet είναι προσφάτως δημιουργημένο δοκίμασε κανένα reboot του host μηχανήματος.