Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT: Port Forwarding (IN) von 2.1.5 auf 2.2.2 funktioniert nicht mehr

    Scheduled Pinned Locked Moved Deutsch
    15 Posts 3 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      databjowi
      last edited by

      Hallo,
      Einige Dienste sind von Externe nach Intern über Port Forwarding (Inbound) erreichbar.

      Ich habe bisher Version 2.1.5 im Einsatz und ein Update auf die aktuelle Version 2.2.2 probiert.
      Nach dem Updaten funktioniert keine dieser Regeln. Von Extern nach Intern ist nichts mehr erreichbar.

      Dann habe ich ein neues System mit 2.2.2 aufgesetztz und komplett neu eingerichtet.
      Auch hier funktionieren die Port Forwarding Regeln nicht.

      Hat jemand einen Tipp was hier gegenüber der alten Version anders ist, oder ist das noch ein Bug?

      #Update
      Habe noch folgende Versionen probiert:
      2.2.1: negativ
      2.2  : negativ
      2.1.5: positiv (eine Verbindung von Extern nach Intern an den entsprechenden Dienst klappte sofort)

      Beispiel: NAT: Port Forwarding

      Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports

      • *           WAN address 443 (HTTPS) 192.xxx.xxx.xxx 443 (HTTPS)
      • *           WAN address 61080         192.xxx.xxx.xxx 1080
      1 Reply Last reply Reply Quote 0
      • F
        flix87
        last edited by

        NAT sind ja echt Basics also das sollte schon klappen ;)

        Hast du nach dem Update mal die Firewall Regeln geprüft?
        Hast du es wirklich von Extern getestet oder hast du selbst auch hinter dieser PfSense gesessen?
        Wenn ja dann mal prüfen wie NAT reflection eingestellt ist? (sollte dann auf enable stehen)

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Hat jemand einen Tipp was hier gegenüber der alten Version anders ist, oder ist das noch ein Bug?

          Also da bin ich bei flix, ich hab mehrere Kisten von 2.1 auf 2.2 aktualisiert, und das sind PF (der Paketfilter) Basics. Da ist weder ein Bug noch was "anders" als in der alten Version, denn an der Stelle wurde am PF selbst gar nichts verändert.
          Solange du uns da nicht ein wenig mehr Infos gibst, was du wie getestet hast sieht das mit den Regel oben ganz sinnvoll aus, zumindest wenn unten noch der Haken zur automatischen Regelerstellung drin ist. Sonst fehlen natürlich die Filterregeln. Und abgehende NAT sollte natürlich auch sauber klappen. :)

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • D
            databjowi
            last edited by

            Danke für die Infos.
            Ich habe u.a. auch von Außen probiert, mit Mail und den Sonden die extern stehen.
            Wenn hier kein Fehler bekannt ist, werde ich mit der Version 2.2.2 noch einmal probieren.

            Kann ich mir vielleicht die erstellten NAT Rules komplett anzeigen lassen?

            –-----------------------------
            Unten in den Optionen:
            NAT reflection: "Pure NAT" oder "NAT+Proxy"
            Filter rule association: Pass

            Im Firewall-Log habe ich die Verbindungen als geblockt gesehen.
            Easy Rules brachte keinen Erfolg, obwohl diese unter Rules erschien.

            ...(z.B. Mail vom speziellen Host von Extern und Probes auch von Extern)
            <nat><rule><source>

            <address>HierALIASmitIPs</address>

            <destination><network>wanip</network>
            <port>6625</port></destination>
            <protocol>tcp</protocol>
            <target>192.168.xxx.104</target>
            <local-port>25</local-port>
            <interface>wan</interface>

            <associated-rule-id>nat_5569a69b19e0d2.67598376</associated-rule-id></rule>
            <rule><source>
            <any><destination><network>wanip</network>
            <port>12345</port></destination>
            <protocol>tcp</protocol>
            <target>192.168.xxx.134</target>
            <local-port>12345</local-port>
            <interface>wan</interface>

            <associated-rule-id>nat_5569a6f2c2c096.08494504</associated-rule-id></any></rule></nat>
            …

            1 Reply Last reply Reply Quote 0
            • F
              flix87
              last edited by

              @databjowi:

              Im Firewall-Log habe ich die Verbindungen als geblockt gesehen.
              Easy Rules brachte keinen Erfolg, obwohl diese unter Rules erschien.

              Die Regel saß dann aber auch über den möglicherweise vorhandenen Block Regeln? Firewall arbeiten ja immer von oben nach unten.
              Öffentliche IP Hast du direkt auf der PfSense? Weil private werden ja druch eine spezielle Regel auf den WAN Interface geblockt die du nur am Interface selbst rausnehmen kannst.

              Ansonsten wäre Screenshots schön da sieht man vielleicht mehr.

              1 Reply Last reply Reply Quote 0
              • F
                flix87
                last edited by

                da fehlen die Regeln auf dem WAN Interface.

                Beim anlegen der NAT Regel unten bei "Filter rule association" habe ich noch nie mit Pass gearbeitet immer mit add assosicated filter rule.

                Also am besten die Regel löschen und dann neu anlegen und statt pass einfach add assosicated filter rule auswählen (sollte auch Standard sein)
                Dann solltest du auf dem WAN Interface auch die Regel sehen.

                1 Reply Last reply Reply Quote 0
                • F
                  flix87
                  last edited by

                  hat die PfSense denn direkt die Öffentliche IP oder hängt die noch hinter einer anderen Firewall.

                  Was verbirgt sicht denn hinter dem Alias Block? nicht das der das vielleicht schon weg blockt.

                  1 Reply Last reply Reply Quote 0
                  • D
                    databjowi
                    last edited by

                    Der Alias-Block sind externe IP's - in der Version 2.1.5. die ich als Referenzsystem habe, weil hier alles funktioniert.

                    Jetzt zum Test in der Version 2.2.2  ist hier (*).

                    Was mich aber wundert, dass ich mit dem Befehl "pfctl -vvsa | grep 10.0.2.4" keine Filtereinträge finde.

                    Wie oben im Bild sind diese aber in der WebUI vorhanden?

                    1 Reply Last reply Reply Quote 0
                    • F
                      flix87
                      last edited by

                      Im Log sieht man ja das es geblockt wird.

                      Wenn externe IP's geblockt werden von dieser Regel kommt die Firewall ja gar nicht zu den allow Regeln.

                      Wenn jetzt ein * drin steht wird ja alles geblockt?

                      Die Firewall arbeitet immer von Oben nach Unten wenn eine Regel greift geht es nicht weiter.
                      Wenn du also * machst und dann block kommt er gar nicht zu den Regel.

                      Mache diese Regel dann einfach nochmal raus zum testen und schaue ob es dann geht.

                      Und du hast immer noch nicht gesagt ob die Pfsense direkt die öffentliche IP hat ;) weil wenn nicht und sie eine private hat gibt es immer noch die default Regel die auch alles blocken was privat ist.

                      Daher beantworte die Fragen dann kommen wir sicher weiter :)

                      1 Reply Last reply Reply Quote 0
                      • F
                        flix87
                        last edited by

                        wenn du speicherst und apply drückst wird die config direkt aktiv.

                        habe im Log sehen du hast es mal mit 4443 versucht war das vertippt oder absicht? weil deine NAT Regel Leitet ja extern 443 zu inten 443 um.

                        Wenn dann müsstest du da extern 4443 und intern 443 machen und dann nochmal testen

                        ansonsten wüsste ich auch nicht weiter weil das muss so gehen.

                        1 Reply Last reply Reply Quote 0
                        • D
                          databjowi
                          last edited by

                          Danke trotzdem.

                          Habe auf beiden Systemen eine Änderung in einer NAT Regel gemacht.

                          Unter Diagnostics: Execute command
                          pfctl -vvsa | grep NAT

                          auf dem System 2.1.5 wird die Konfigurationsänderung korrekt angezeigt
                          auf dem System 2.2.2 wird kein Änderung angezeigt.

                          Hast Du einen Tipp.

                          1 Reply Last reply Reply Quote 0
                          • D
                            databjowi
                            last edited by

                            Vielleicht ist das hier das Problem, ich weiß aber auch nicht weiter wie ich das lösen könnte.
                            Wäre schön wenn jemand einen Tipp hat  :)

                            Habe die pfS 2.2.2 zurückgesetzt und erneut probiert.

                            1. Befehl ausgeführt: pfctl -vvsa
                            Im Defaultzustand sind FILTER RULES: @0 bis @73

                            2. Habe eine NAT Rule angelegt:
                            keine Änderung - also der Filter ist hier nicht vorhanden, obwohl die WebUI alles korrekt anzeigt.

                            3. Diagnostics: Execute command
                            pfctl -vvsa | grep 10.0.2.52

                            NAT-4.png
                            NAT-4.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • D
                              databjowi
                              last edited by

                              Erledigt:
                              Folgendes war das Problem.

                              Ich hatte von der Version 2.1.5 die "ALIAS" übernommen, hier gab es auch ALIAS-URLs.

                              Der Befehl: "pfctl -f /tmp/rules.debug"
                              gab folgenden Fehler aus:
                              …
                              /tmp/rules.debug /tmp/rules.debug:32:
                              /var/db/aliastables/Suchen.txt"
                              ...

                              Alle ALIAS-URLs entfernt und der Befehl: "pfctl -f /tmp/rules.debug" gab keinen Fehler aus = OK.

                              Nun REBOOT
                              Und nun werden alle Firewall-Rules sofort mit dem Befehl: "pfctl -vvsa" angezeigt. (ggfs verfeinern pfctl -vvsa | grep NAT)

                              Also wurden wahrscheinlich durch die "defekte'" ALIAS Table die Konfigurationen nicht korrekt übernommen.

                              Noch ein Hinweis: in Version 2.1.5 gab es keine Fehlermeldung.

                              1 Reply Last reply Reply Quote 0
                              • JeGrJ
                                JeGr LAYER 8 Moderator
                                last edited by

                                Hast du zwischenzeitlich die Aliase wieder angelegt? Ich habe in meiner Konfiguration auch URL basierende Aliase und hier gabs beim Update keine Probleme. Hattest du evtl. in deinen URLs zufällig irgendwelche Sonderzeichen abseits normaler Konventionen? Ansonsten kann das an dieser Stelle natürlich auch sehr ungeschickter Zufall gewesen sein, interessant wäre bspw. gewesen, was in der Zeile 32 der Alias Tabelle stand. Vielleicht gabs hier auch ein DNS Problem beim Auflösen der URLs und der Parser hat dann Unfug da reingeschrieben.

                                Grüße

                                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                1 Reply Last reply Reply Quote 0
                                • D
                                  databjowi
                                  last edited by

                                  Die beiden Aliase hatte ich, wobei nach dem ich "Suchen" entfernt hatte, war der Fehler weg.
                                  Ich habe aber beide entfernt und noch nicht neu angelegt.
                                  Bin erstmal froh das es läuft.

                                  <alias><name>Suchen</name>
                                  <url>www.google.de</url>
                                  <updatefreq>32</updatefreq>

                                  <address>www.google.de</address>

                                  <descr><type>urltable</type>
                                  <detail></detail></descr></alias>
                                  <alias><name>Updates</name>
                                  <url>http://updates.pfsense.org</url>
                                  <updatefreq>128</updatefreq>

                                  <address>http://updates.pfsense.org</address>

                                  <descr><type>urltable</type>
                                  <detail></detail></descr></alias>

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.