Alternativer SSH-Port auf WAN



  • Guten Tag,

    habe hier mal ein kleines Problem:

    Ich möchte die pfSense über das WAN per SSH erreichen. Unter System>Advanced habe ich bereits den Haken gesetzt und somit ist Sie aus dem LAN per SSH auf dem Port 22 erreichbar, dies soll auch so bleiben. Somit fällt es schonmal aus, dort einfach den Default Port zu ändern.

    Folgende Regeln habe ich jetzt erstellt…

    NAT Port Forward => Haken bei "Enabling this option will disable redirection for traffic matching this rule." => Source any => Source Port 8000 (Beispiel) => Destination This Firewall (self) => Destination Port range SSH 22

    und

    Firewall Rules WAN => Pass => IPv4 => TCP => Source any => Source Port range 8000 => Destination This Firewall (self) => Destination Port range SSH 22

    Sollte doch so eigentlich klappen oder?

    Leider bekomme ich, wenn ich bei Putty jetzt die WAN-Adresse und den Port 8000 angebe keine SSH-Verbindung zustande. Jemand eine Idee woran das liegt?



  • gib mal bei destination die LAN ip der PfSense bei dir ein und lasse die regel am besten automatisch erstellen das sollte dann klappen



  • Hmmm scheint nicht zu funktionieren :-\

    Wen ich den Haken setze bei "Enabling this option will disable redirection for traffic matching this rule." dann kann ich keine Rule automatisch erstellen lassen. Die Option verschwindet. Lass ich den Haken draußen, möchte er unbedingt eine "Redirect Target IP" und "Redirect Target Port", ohne diesen Angaben kann ich die NAT-Regel nicht erstellen.

    Edit: Habe es hinbekommen… NAT Port Forward => WAN => TCP => Source any => Source Port any => Destination This Firewall (Self) => Destination Port 8000 => Redirect Traget IP LAN-Adresse => Redirect Target Port SSH 22

    So hat es funktioniert.

    @flix87: Der Tipp war dennoch hilfreich



  • ich meinte ja auch Redirect target IP  ;) da muss die LAN address rein
    bei Destiantion sollte dann "WAN address" rein wenn du es auf dem WAN Interface erstellst.
    Wenn es bei dir so geht ist auch okay. richtiger wäre aber WAN address denke ich  :)



  • Ist ja Lustig das es trotzdem funktioniert ;D

    Ich werde es mal zeitnah ändern und testen.



  • Die hauptsächliche Änderung der letzten Regel war das der Source Port auf any gesetzt wurde oder? Statt vorher 8000.  :o