Switch hinter pfSense ansprechen

schnauber

Hi Leute,

ich möchte über's internet einen Switch ansprechen (WebGui über port 80), der hinter einer pfSense Firewall hängt.
Zum Aufbau: pfSense V.2.0 mit 3 Nic's ist mit Captive Portal Lösung im Einsatz. An Nic3 (Opt1, DHCP, Captive Portal) hängt ein Switch an dem wiederum ein paar Access Points hängen. Nun möchte ich vie Port Forwarding diesen Switch über Fernwartung steuern. Hierzu habe ich an meiner FritzBox schonmal Port Forwarding (Benutze hierzu Port 51300 z.B.) auf die IP der Firewall eingetragen. Jetzt ist die Frage wie ich pfSense konfigurieren muss, sodass auch das Captive Portal weiterhin funktioniert. Muss man hierzu eine Route anlegen?

Folgende Konfig ist bis jetzt am start:
1. FritzBox IP 192.168.0.1
2. Firewall WAN 192.168.168.0.3
3. Firewall OPT1 192.168.4.1
4. Switch 192.168.4.2

Ich muss ja mittels Port Forwarding eine Umsetzung von Port 51300 auf Port 80 machen zu 192.168.4.2 aber wie teile ich der Firewall mit, dass hierfür OPT1 angesprochen werden muss. Sorry das ich mich hier eventl. falsch Ausdrücke, bin kein Netzwerkspezi.

Danke und Gruss
Paul

Nachtfalke

Die Fritzbox bietet vermutlich eine Option an, die sich "Exposed Host" nennt. An deiner Stelle würde ich die pfsense als exposed host einstellen. Dann stört die Firewall der fritzbox nicht weiter und alle ports vom WAN werden ungefiltert an die WAN schnittstelle der pfsense weitergeleitet.

Dort an der WAN Schnittstelle der pfsense richtest du ein PortForwarding ein:

Protocol: TCP
Source IP: any
Source port: any
Destination IP: WAN address
Destination Port: 51300
NAT-IP: IP des switches
NAT-PORT: port des switches (80)

"Create associated firewall rule" richtet passend dazu eine firewall Regel ein.
Das ist alles, was man zum Thema PortForwarding der pfsense für dieses szenario wissen muss

Wenn du die Portweiterleitung an der fritzbox auch noch einzel einstellen willst, also nicht exposed host, dann müsste es so aussehen:

Port 51300 wird weitergeleitet auf die pfsense WAN IP mit port 51300

schnauber

Hallo,

die Einstellungen habe ich übernommen aber ich komme immer noch nicht auf den Switch. Das Port Forwarding auf der FritzBox klappt, habe es mit einem anderen Port ausprobiert und gehe über HTTPS auf die GUI der Firwall (als Bsp.). Daran kann es also nicht liegen. Folgende Regel hat PfSense bei WAN Interface angelegt:
Proto: TCP
Source: *
Port: *
Destination: 192.168.4.2
Port: 80
Gateway: *
Quee: none

Fehler den der Browser liefert: HTTP Error Status: 502 Bad Gateway

Nachtfalke

Hat der switch einen Gateway (und einen DNS eingetragen) ?
Der Switch muss ja wissen, wohin er die Antwortpakete zurück senden muss. Als am Switch pfsense als Gateway eintragen.

schnauber

Guter Punkt. Bin mir ziemlich sicher den Gateway von Opt1 sprich 192.168.4.1 eingetragen zu haben. DNS weiss ich jetzt garnicht. Werde das morgen prüfen. Gateway müsste hier ja OPT1 sein oder?

Nachtfalke

@schnauber:

Guter Punkt. Bin mir ziemlich sicher den Gateway von Opt1 sprich 192.168.4.1 eingetragen zu haben. DNS weiss ich jetzt garnicht. Werde das morgen prüfen. Gateway müsste hier ja OPT1 sein oder?

Jop, laut deinem ersten Post sollte das der GW sein.

Ansonsten würde es sich evtl. auch anbieten, zuerst einmal aus den fritzbox netz den switch anzusprechen. wenn das geht, ist an der pfsense alles in Ordnung.