[GELÖST] NAT Port 80 Rule von WAN zu LAN klappt nicht



  • Hallo liebe Supporter,

    ich habe hier ein Problem und komme einfach nicht weiter. Deswegen brauche ich Hilfe.

    Ich habe eine neu installierte PFSense. Auf der LAN-Seite hängen im Moment ca. 20 Clients und diese können problemlos durch die Firewall hindurch ins Internet connecten.

    Einer der "Clients" fungiert auch als "Server" und muss deswegen auch "von außen" erreichbar sein. Auf Port 80. Nur klappt die Rule einfach nicht.

    Zur Konfiguration mit Screenshots:

    LAN-Interface: 192.168.99.10/24
    WAN-Interface: 10.0.88.10/24

    Für die von außen zu erreichende Maschine habe ich eine virtuelle IP eingerichtet:

    Als Nächstes gibt es ein 1:1 NAT von 10.0.88.61 nach 192.168.99.61. Testhalber hatte ich hier auch schon ein Portforwarding für den 80'er von WAN zu 192.168.99.61 eingerichtet - klappt leider auch nicht:

    Zum Schluß die Rule vom WAN-Interface zu 192.168.99.61:

    Im Moment (zum Test) habe ich "any" Protokolle auf "any" Ports freigeschaltet. ICMP-Ping sollte also testweise auch erstmal funktionieren. Später, wenn alles läuft, wird dann nur noch TCP auf Port 80 erlaubt.

    Den "Access auf NICHTS" hatte ich auch schon entfernt, ohne Erfolg.

    Der Vollständigkeit halber hier dann auch noch die LAN-Rules:

    Der 192.168.99.61 lässt sich innerhalb des Segments pingen und antwortet auch auf Port 80. Hier ein Screenshot von einem meiner Clients:

    Im 10.0.88.x-Netz habe ich auch noch eine Maschine, von der ich nun versuche, auf die 10.0.88.61 zu connecten … und das klappt nicht mehr.

    Offensichtlich (laut traceroute) antwortet PFSense noch auf der virtuellen IP 10.0.88.61, leitet dann aber die Pakete nicht weiter an die 192.168.99.61.

    Laut System Log ist aber alles in Ordnung:

    Wo ist mein Fehler?

    Danke im Voraus und Grüße,

    Glenn.



  • Warum machst Du so einen Aufwand mit P-ARP, wenn Du nur auf Port:80 von extern zugreifen willst?



  • Ich will irgendwann mal alle Clients hier im lokalen Netzwerk (192.168.99.x) eindeutig auf unserem nachgeschalteten Proxy-Server identifizieren können.

    Im Moment sehe ich in den Proxy-Logs immer nur die "10.0.88.10", egal welcher Client hier surft.

    Wenn ich dann mal sämtlichen Clients eine virtuelle IP im 10.0.88'er Netz verpasst habe, kann ich diese dann auch so auf unserem Proxy erkennen.

    Bis dahin muss aber erstmal der Zugriff hier auf den Port 80 klappen … das ist im Moment wichtiger.



  • Das eine ist Outbound, Port:80 erreichbar zu machen ist Inbound.

    Reicht da nicht erst einmal eine Forward vom Router:80 (sofern Du die webGUI dort schon weggeschubst hast)?
    Das wäre dann ein NAT Eintrag und im Zweifelsfall wird die zugehörige FW Regel automatisch passend erzeugt.



  • So, wie ich es sehe, brauche ich für die Outbound Translation Adress eine Virtual IP.

    Ist aber auch erstmal nicht mein Problem.

    Unabhängig vom Outbound und der damit verbundenen Virtual IP muss ja der 192.168.99.61 (bzw. genatted als vIP 10.0.88.61) von außen auf Port 80 inbound erreichbar sein … und das ist er nicht.



  • Fehler gefunden!

    Die im ersten Posting genannte PFSense Konfiguration war und ist völlig in Ordnung.

    Der Verursacher war hier Kaspersky auf dem "Server" 192.168.99.61.

    Innerhalb des Segmentes hat er zwar die Zugriffe auf den Port 80 erlaubt … sowie aber eine Anfrage über den Router (und dann durch die Firewall hindurch) kam, wurde diese geblockt.


Locked