WAN Port umleiten



  • Guten Tag,

    ich habe gerade irgendwie ein Verständnis-Problem und ich bin mir eigentlich ziemlich sicher das ich schonmal irgendwie geschafft habe, aber ich komme nicht mehr drauf. Folgendes möchte ich realisieren:

    Eine ankommende IP möchte meine Pfsense über einen bestimmten Port ansprechen. Meinetwegen Port 10411.

    Ich möchte aber das er die Firewall nicht auf dem Port 10411 sondern auf dem Port 10422 anspricht. Ich habe also die IP, den Port auf dem er versucht die Pfsense anzusprechen und den Port an den ich es umleiten möchte.

    Wie bewerkstelligt man sowas? Normalerweise mit NAT oder nicht? Wie müsste eine ensprechende NAT-Rule aussehen?

    Ich wäre über jede Hilfe sehr erfreut.

    Gruß


  • Moderator

    Hallo Haithabu,

    ist denn der Service der angesprochen werden soll auch auf der Firewall oder wird hier auf einen internen Dienst weitergeleitet?

    Im Prinzip ist das was du möchtest ein Port Forwarding:

    • Firewall / NAT / Port Forward
    • Add
    • Source (Display Advanced)
    • Source (IP/Netz) eintragen wie gewünscht
    • Destination (meist WAN Address)
    • Port Range definieren (oder einzelnen Port)
    • Redirect Target IP -> das ist das eigentliche Ziel (intern)
    • Redirect Port -> und der Zielport

    Dann dazu die Auswahl "add associated filter rule", dann wird auch gleich eine Regel dafür erstellt und verknüpft, und dann sollte das auch klappen.



  • Richtig. Der Dienst, ein OpenVPN-Server, befindet sich direkt auf der Pfsense. Gilt hier somit das selbe Prozedere? Nur das ich bei "Redirect Target IP" die WAN Adresse angebe?



  • Nutz doch den Assistenten dafür… https://pfsense/wizard.php?xml=openvpn_wizard.xml



  • Das hätte mir im diesen Fall nicht geholfen. Damit kann ich ja nur einen neuen OpenVPN Server oder Client anlegen, dies war aber garnicht gefragt.


  • Moderator

    Richtig. Der Dienst, ein OpenVPN-Server, befindet sich direkt auf der Pfsense. Gilt hier somit das selbe Prozedere? Nur das ich bei "Redirect Target IP" die WAN Adresse angebe?

    Moment: wenn der Service doch selbst auf der pfSense liegt, warum dann den Port verbiegen?
    Ich frage nur weil es durchaus sinnvolle Gründe gibt, ich hinterfrage nur ob das in dem Fall auch Sinn macht ;)

    Ansonsten: hängt davon ab. Du konfigurierst OpenVPN ja auf ein Interface. Wenn du das so über Port Forwards lösen willst (was pfSense / OVPN dir für bestimmte Settings sogar vorschlägt), dann binde den OVPN Server auf Localhost (127.0.0.1) und einen anderen Port (bspw. 11940 o.ä.). Dann leg ein Forwarding an und gib als Redirect IP dann 127.0.0.1 Port 11940 an. Damit kannst du dann bspw. den Traffic auf udp/1194 annehmen und auf Localhost udp/11940 verbiegen. Das ist bspw. bei MultiWANs ja ein Konfig-Vorschlag :)

    Grüße



  • Eigentlich macht es nicht viel Sinn. Tatsächlich hätte ich der anderen Firma einfach nur sagen müssen das die in ihrer Client-Konfiguration einen anderen Port verwenden sollen, da es aber nicht bei einem "nur" bleibt, entschied ich mich das selbst in die Hand zu nehmen. Ich hatte irgendwie keine Lust wegen einer Portänderung wieder ein Formular auszufüllen und wieder 2-3 Wochen zu warten bis die endlich hinbekommen haben dies einzustellen.

    Ich habe jetzt als Redirect Target Ip meine WAN Adresse eingerichtet und hatte es auch so schon vor dem Erstellen dieses Themas so eingerichtet. Ich hatte nur den Punkt mit dem "add associated filter rule" vergessen, somit konnte es natürlich nicht funktionieren. Danke nochmal das du mich daran erinnert hast  ;).

    Jetzt scheint es zumindest zu funktionieren.


  • Moderator

    Ich hatte irgendwie keine Lust wegen einer Portänderung wieder ein Formular auszufüllen und wieder 2-3 Wochen zu warten bis die endlich hinbekommen haben dies einzustellen.

    Autsch, ja solche Firmenpolitik ist mir durchaus bekannt ;) Da arbeitet man dann gern drumherum :)

    Wenns aber jetzt klappt ist ja gut :D - ich würde es allerdings trotzdem eher mit localhost bauen und den VPN Server entsprechend konfigurieren, aber das ist subjektiv :)