Verständnisfrage (eines Anfängers) zu Portweiterleitung



  • Mit der folgenden Portweiterleitung:
    Bild Text
    gestatte ich meinem Smartphone Zugriff auf das NAS (bzw. den darauf befindlichen Kalender) im heimischen LAN. 'Mobile' ist der Alias für die DynDNS Adresse (mobile.meinedomain.tld) mit der aktuellen IP meines Telefons.
    Die Anfrage des Telefons erfolgt auf einem hohen Port, der dann durch die pfSense auf die IP des NAS mit dem richtigen Port weitergeleitet wird. Das funktioniert soweit einwandfrei, wenn das Telefon im Mobilfunknetz oder auch einem WLAN unterwegs ist (zur Aktualisierung der IP meines Telefons beim DynDNS nutze ich die App 'Dynamic DNS Update' und das 'Aliases Hostnames Resolve Interval' auf der pfSense habe ich auf 30 Sekunden heruntergesetzt).

    Was ich nicht verstehe, ist warum das nicht funktioniert, wenn das Telefon über VPN mit dem heimischen LAN verbunden ist (dann sollte die automatische Synchronisation mit den gleichen Einstellungen auf dem Telefon natürlich auch möglich sein).
    Durch "Herumprobieren" habe ich festgestellt, dass ich auf dem openVPN Interface die analoge Portweiterleitung anlegen muss:
    Bild Text

    Könnte mir jemand kurz erklären, warum bei einer openVPN-Verbindung die separate Portweiterleitung notwendig ist. In meiner Unkenntnis war ich der Meinung, die Verbindung des Mobiltelefons geht - auch wenn diese über openVPN läuft - am WAN-Interface ein, so dass die dortige Portweiterleitung ausreichen sollte.

    Ich würde mich freuen, wenn jemand mir bzw. meinem mangelnden Verständnis etwas "auf die Sprünge" helfen könnte. :-)

    Herzlichen Dank im voraus.
    Jürgen



  • @cantor said in Verständnisfrage (eines Anfängers) zu Portweiterleitung:

    In meiner Unkenntnis war ich der Meinung, die Verbindung des Mobiltelefons geht - auch wenn diese über openVPN läuft - am WAN-Interface ein, so dass die dortige Portweiterleitung ausreichen sollte.

    Wenn du den gesamten Traffic über die VPN routest ("Redirect gateway" angehakt), geht natürlich auch die Verbindung zur WAN-IP über die VPN.
    Dann ist auch die zusätzliche NAT-Regel am OpenVPN-Interface nötig. Alternativ kannst du aber auch NAT-Reflection verwenden.