DYNDNS zur pfsense
-
also ich habe nun mir so etwas erstellt:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports DescriptionWAN TCP * 54321 192.168.1.4 22 (SSH) 192.168.1.4 22 (SSH) ssh-oss
WAN TCP * 443 (HTTPS) 192.168.1.4 443 (HTTPS) 192.168.1.4 443 (HTTPS) https-oss
Aber leider klappt das nicht.
der Router hat die 192.168.2.1 , die WAN der pfsense die 192.168.2.2, die LAN der pfsense hat 192.168.1.1 und der Server am nic1 hat die 192.168.1.4 . Ist da noch irgendwo ein gedanklicher fehler drin ?
Und wieso steht da nun NAT IP und PORT, ob wohl ich da "redirection ip und port" angeben mußte ?EDIT hier der netzplan
WAN / Internet
:
: Cable
:
.–---+-----.
| Router KD | 192.168.2.1 , PFSENSE in der DMZ
'-----+-----'
|
WAN |192.168.2.101 PFSENSE
|
.-----+-----.
| pfSense |
'-----+-----'
|
LAN | 192.168.1.1
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Server) eth0 192.168.1.4 -
also ich habe nun mir so etwas erstellt:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports DescriptionWAN TCP * 54321 192.168.1.4 22 (SSH) 192.168.1.4 22 (SSH) ssh-oss
WAN TCP * 443 (HTTPS) 192.168.1.4 443 (HTTPS) 192.168.1.4 443 (HTTPS) https-ossAber leider klappt das nicht.
der Router hat die 192.168.2.1 , die WAN der pfsense die 192.168.2.2, die LAN der pfsense hat 192.168.1.1 und der Server am nic1 hat die 192.168.1.4 . Ist da noch irgendwo ein gedanklicher fehler drin ?
Und wieso steht da nun NAT IP und PORT, ob wohl ich da "redirection ip und port" angeben mußte ?Der Source-Port liegt normalerweise im Bereich 1024-65535 und die Dest.-addr ist die IP der WAN-Schnittstelle:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
WAN TCP * 1024-65535 WAN address 22 (SSH) 192.168.1.4 22 (SSH) ssh-oss
WAN TCP * 1024-65535 WAN address 443 (HTTPS) 192.168.1.4 443 (HTTPS) https-ossFalls der Zugriff auf den Server damit immer noch nicht möglich ist, mußt du in dem Router evtl. ebenfalls NAT einrichten.
Block private networks' das Häkchen entfernen! -
und wie richte ich da NAT ein ?
-
und wie richte ich da NAT ein ?
–> http://static.highspeedbackbone.net/pdf/D-Link-DIR-615-Manual.pdf Seite 28 (Port Forwarding)
Zieladresse ist die WAN-Adresse der PfSense.
-
Source port und source IP bleiben in den allermeisten Fällen immer any ( * )
-
@Gitano:
und wie richte ich da NAT ein ?
–> http://static.highspeedbackbone.net/pdf/D-Link-DIR-615-Manual.pdf Seite 28 (Port Forwarding)
Zieladresse ist die WAN-Adresse der PfSense.
So das habe ich nun gemacht, im DLINK eine Portweiterleitung : Name "all" port: 1-65535 , auf Pfsense (nun 192.168.2.101) und Datenverkehrytyp: beliebig.
Also das ALLES was reingeht zur pfsense geht und diese dann entscheidet.In der PFsense habe ich dann bei Firewall-Nat eine regel erstellt:
WAN TCP * * 192.168.2.101 54321 192.168.1.4 22 (SSH)
Diese Nat: Port Forward ist mit einer Regel in der Firewall verbunden:
TCP * 54321 192.168.1.4 22 (SSH) * none
Also ist doch nun im Prinzip für den zugriff von ssh eigentlich alles so wie es sein sollte.
Trotzdem klappt der Zugriff noch nicht. ? -
So das habe ich nun gemacht, im DLINK eine Portweiterleitung : Name "all" port: 1-65535 , auf Pfsense (nun 192.168.2.101) und Datenverkehrytyp: beliebig.
Also das ALLES was reingeht zur pfsense geht und diese dann entscheidet.In der PFsense habe ich dann bei Firewall-Nat eine regel erstellt:
WAN TCP * * 192.168.2.101 54321 192.168.1.4 22 (SSH)
Diese Nat: Port Forward ist mit einer Regel in der Firewall verbunden:
TCP * 54321 192.168.1.4 22 (SSH) * none
Also ist doch nun im Prinzip für den zugriff von ssh eigentlich alles so wie es sein sollte.
Trotzdem klappt der Zugriff noch nicht. ?Sicherheitstechnisch sollten in dem Router nur die Ports weitergeleitet werden, die auch benötigt werden.
Aktiviere mal unter: Status: System logs: Settings
Log packets blocked by the default rule, dann kannst du im Log sehen, wie die Pakete aufgebaut sind, die eigentlich durchgelassen werden sollen. … und dann schau dir nochmals meine Beispiel-Regeln für die PfSense an. -
Source port und source IP bleiben in den allermeisten Fällen immer any ( * )
Welcher SSH- bzw. HTTPS-Client benutzt Quellports < 1024, oder anders gefragt: Welchen Sinn macht es, mehr freizugeben als unbedingt notwendig?
Mein Grundsatz ist: Freigaben so restriktiv wie möglich -Blockregeln so global wie möglich!
-
Wenn du versuchst, dich per SSH zu verbinden, gibst du dann auch den port 54321 an ?
Deine Zieladresse sollte folgende sein:
IP: 192.168.2.101
Port: 54321 -
Wenn du versuchst, dich per SSH zu verbinden, gibst du dann auch den port 54321 an ?
Deine Zieladresse sollte folgende sein:
IP: 192.168.2.101
Port: 54321;) klar gebe ich port 54321 mir an : ssh -CX -p 54321 host
und mittlerweile klappt das auch.
auf dem Router habe ich deswegen alles auf gemacht, weil der nur den zugang regeln soll und dyndns machen soll. Alles andere soll die PFsense machen.
Aber nachdem nun ssh und https laufen, kann ich auch die anderen ports einstellen.@offtopic: ich würde mich als zugange noch an openvpn ran wagen. gibt es ein tutorial, was ihr mir besonders empfehlen könnt ?
Gruß Sebastian
-
Ich würde dir diese Zugangsmethode über Port Forwarding für SSH und HTTPS sowieso nicht wirklich ans Herz legen, wenn du das nur zu Administrationszwecken benötigst. Wenn du einen Webserver betreibst ist es klar, dass du eine Portweiterleitung für https brauchst.
Ich würde ein OpenVPN mit Zertifikat einrichten und den Zugang zum Netz nur noch alleine über VPN erlauben.
Ein Tutorial wäre sicherlich das hier:
http://forum.pfsense.org/index.php/topic,22115.0.htmlAnsonsten gibt es im Forum sicherlich noch andere Threads die man mit den Begriffen "OpenVPN" und "Road Warrior" bzw "RoadWarrior" finden kann.
Ich persönlich empfehle OpenVPN, das finde ich persönlich einfacher zu konfigurieren, aber da gibt es sicherlich geteilte Meinungen.
Solltest du weitere Fragen zum Thema OpenVPN etc. haben, dann einfach in den passenden Threads nachfragen oder eben einen neuen erstellen - der Übersichtlichkeit halber.
Viel Erfolg!