Port-Forwarding über VPN-Verbindung?

[lanwahn]

Hallo zusammen,

ich stehe etwas auf dem Schlauch ...
Ich habe eine IPSecVPN-Verbindung von pfSense (auf einem vServer gehostet mit statischer öffentlicher IP) auf einen LANCOM 1781VA, welche an sich funktioniert.
Ich habe dort das Transfernetz 10.96.0.0/16.

Der Sinn der VPN-Verbindung ist folgender: Ich möchte einige Port-Anfragen wie z.B. HTTP und HTTPS welche an der öffentlichen WAN-Adresse der pfSense eingehen über die VPN-Verbindung zum LANCOM 1781VA schieben um dann von dort mittels ?Port-Forwarding? an den Web-Server weiterleiten.

Auf der Seite der pfSense habe ich dementsprechend Port-Forwarding konfiguriert und die Anfragen scheinen auch durch den Tunnel zu gehen. Ich sehe esp_decrypted und encap 4in4 Einträge im Trace.

Hier ein Beispiel: Host > Öffentliche IP > Pfsense > Mapping von Port 80 auf 10080 > Weiterleitung von 10.96.0.1 durch Tunnel mit Ziel-IP 10.96.0.2 > LANCOM-Router > Mapping von 10080 auf 80 > Weiterleitung an Webserver

Wie bekomme ich den LANCOM nun dazu die Pakete vom Transfernetz anzunehmen und dort ein Port-Forwarding vorzunehmen?
Kann der Router überhaupt Port-Forwarding über eine lokale IP-Adresse?


Danke schonmal für Ideen bzw. Vorschläge!

[lanwahn]

Also jetzt habe ich es bis zum IP-Router geschafft, welcher aber noch immer nicht wirklich beeindruckt ist:
Ich habe jetzt mal das ummappen von 80 auf 10080 und umgekehrt erstmal weggelassen:

Code: Alles auswählen

[VPN-Packet] 2020/11/17 22:02:19,924  Devicetime: 2020/11/17 22:02:20,032
esp_decrypted: decap: 116.85.55.195->10.96.0.2   52  ESP SPI[e398f999]
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0x02) (Precedence 0 Low Cost) / (DSCP CS0/BE ECT(0))
Total length        : 52
ID                  : 15505
Fragment            : Offset 0 DontFrag
TTL                 : 110
Protocol            : TCP
Checksum            : 6583 (OK)
Src Address         : 116.85.55.195
Dest Address        : 10.96.0.2
-->TCP Header
Src Port            : 61870
Dest Port           : HTTP
Sequence Number     : 3576989041
Ack Number          : 0
Header Length       : 32
Flags               : SYN ECN CWR
Window Size         : 8192
Checksum            : 19249 (OK)
Urgent Pointer      : 0
-->TCP Options
MSS                 : 1460
No-Operation        :
Window Scale        : 8(-->256)
No-Operation        :
No-Operation        :
SACK Permitted      :

[Firewall] 2020/11/17 22:02:19,924  Devicetime: 2020/11/17 22:02:20,034
Packet matched rule ALLOW_STATIC01_TRAFFIC_IN
DstIP: 10.96.0.2, SrcIP: 116.85.55.195, Len: 52, DSCP/TOS: 0x02
Prot.: TCP (6), DstPort: 80, SrcPort: 61870, Flags: SEC
Seq: 3576989041, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted

inbound masquerading, packet rejected

[IP-Router] 2020/11/17 22:02:19,924  Devicetime: 2020/11/17 22:02:20,034
IP-Router Rx (GW_STATIC_01, RtgTag: 0): 
DstIP: 10.96.0.2, SrcIP: 116.85.55.195, Len: 52, DSCP/TOS: 0x02
Prot.: TCP (6), DstPort: 80, SrcPort: 61870, Flags: SEC
Seq: 3576989041, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Network unreachable (blocked by masquerading) => Discard

[backslash]

Hi lanwahn,

die 10.96.0.2 ist ist auch die IP, die das LANCOM im VPN-Tunnel hat? Es darf nicht seine LAN-IP sein.
Und wenn du nicht die aktuelle 10.40RU3 verwendest, bitte erstmal darauf updaten...

Gruß
Backslash

[lanwahn]

Nein, der LANCOM hat die IP 10.96.0.3 auf der LAN-Seite.
Das habe ich aber gemerkt, als ich bei der Einrichtung dann auf der öffentlichen statischen IP auf einmal die Anmeldeseite des LANCOMs hatte
Also der Tunnel an sich geht schon
Durch die Firewall geht es auch, wie man sehen kann und bleibt dann beim IP-Router stecken.
Kann ich mir irgendwie eine effektive Tabelle mit den geöffneten Ports und den jeweiligen Gegenstellen anzeigen lassen?
Wie müsste in einem solchen Fall denn überhaupt eine-Port-Forwarding-Tabelle und die dazu passende Routing-Tabelle aussehen?
Die Maskierung muss denke ich für die IP 10.96.0.2 ja aktiv sein, sonst wird es das Port-Forwarding gar nicht erst in Betracht ziehen, oder?

Danke für die Hinweise und danke schonmal im Voraus!

lanwahn

Edit:

Etwa so?:

Anfangs-Port 80
End-Port 80
Gegenstelle 10.96.0.2
Intranet Adresse: 192.168.3.14
Map-Port 80
Protokoll TCP
WAN-Adresse 0.0.0.0

Bei der Routing-Tabelle habe ich gerade keine Idee...Reicht mir hier ein Eintrag mit der IP 10.96.0.2 und der Subnetzmaske 255.255.255.255 für die VPN-Gegenstelle als Router aus?

Edit 2: Router ist bereits auf der neusten stabilen LCOS Version 10.40.0414RU3, da bin ich in der Regel up-to-date

[backslash]

Hi lanwahn

Nein, der LANCOM hat die IP 10.96.0.3 auf der LAN-Seite.

schön, aber welche IP hat die VPN-Verbidnug selbst? Hat sie die 10.96.0.2?
ich finde es halt merkwürdig, daß die Adresse der VPN-Verbindung eine aus dem LAN des LANCOMs sein soll.
Normalereweise bekommen VPN-RAS-Verbindungen von der Gegensite eine IP per IKE-Config-Mode zugewiesen und die paßt selten zum eigenen LAN.
Oder wenn die statisch ist, dann wird sie der Geregnstelle in der IP-Parameter-Tabelle (Kommunikation -> Protokolle -> IP-Parameter) zugewiesen - oder für IKEv1in der Spalte "Extranet-Adresse" der VPN-Verbindung (VPN -> IKE/IPSec -> Verbinduzngsliste)

Durch die Firewall geht es auch, wie man sehen kann und bleibt dann beim IP-Router stecken.

ähhh, nein... Die Firewall verwirft das Paket (inbound masquerading, packet rejected), weil es zum Einen adreßmässig für das LAN betimmt ist und zum Anderen die 10.96.0.2 offenbar eben nicht die IP der VPN-Verbindung ist.
Daher genau meine Frage nach der Adresse

Kann ich mir irgendwie eine effektive Tabelle mit den geöffneten Ports und den jeweiligen Gegenstellen anzeigen lassen?

Portforwardings sind statisch und stateless - d.h. es gilt genau das, was in der Portforwarding-Tabelle definiert ist.

Die Maskierung muss denke ich für die IP 10.96.0.2 ja aktiv sein, sonst wird es das Port-Forwarding gar nicht erst in Betracht ziehen, oder?

ohne Maskierung kein Port-Forwarding - das ist korrekt. Hier stimmt die Adresse nicht, weshalb dei Firewall das Paket verwirft.

Etwa so?:

Anfangs-Port 80
End-Port 80
Gegenstelle 10.96.0.2
Intranet Adresse: 192.168.3.14
Map-Port 80
Protokoll TCP
WAN-Adresse 0.0.0.0

nein... Bei Gegenstelle muß der Name der VPN-Verbindung stehen...

Gruß
Backslash

[lanwahn]

Danke für den Input und die Hilfe!

Nach etwas testen habe ich es nun hinbekommen, war gar nicht so schwer .
Natürlich will ich für die Suche im Forum hier auch kurz aufzeigen was nun wie eingestellt wurde:

IKEv2/IPSec-Tunnel zwischen einer VM mit pfSense auf einem vServer mit statischer öffentlicher IP und einem LANCOM 1781VA
Das Transfernetz ist 10.96.0.0/16
VM-Tunnelendpunkt 10.96.0.1
LANCOM-Tunnelendpunkt 10.96.0.2

Das Transfernetz darf nicht in einem lokalen Netzwerk unter
IPv4 -> Allgemein > IP-Netzwerke
liegen oder dort definiert sein.

Es wurde in diesem Fall keine IKE-Config verwendet, sondern die Gegenstelle der VPN-Verbindung wurde statisch unter
Kommunikation -> Protokolle -> IP-Parameter
festgelegt.

Kommunikation -> Protokolle -> IP-Parameter
Gegenstelle GW_STATIC_01 (Name der VPN-Verbindung unter VPN > IKEv2)
IP-Adresse 10.96.0.2
Netzmaske 255.255.0.0
Maskierungs-IP-Adresse 0.0.0.0
Standard-Gateway 10.96.0.1
Erster DNS 10.96.0.1 (optional, da keine DNS-Auflösung über die Verbindung)
Zweiter DNS 0.0.0.0
Erster NBNS 0.0.0.0
Zweiter NBNS 0.0.0.0

IP-Router -> Routing -> IPv4-Routing-Tabelle
IP-Adresse 10.96.0.1
Netzmaske 255.255.255.255
Routing-Tag 0
Schaltzustand Route ist aktiviert und wird immer via RIP propagiert (sticky)
Router GW_STATIC_01 (Name der VPN-Verbindung unter VPN > IKEv2)
RIP-Distanz 0
IP-Maskierung Intranet und DMZ maskieren (Standard)
Administrative Distanz 0
Kommentar (Beliebig)

Hier in diesem Beipiel für einen Webserver:

IP-Router -> Maskierung -> Port-Forwarding-Tabelle
Anfangs-Port 80
End-Port 80
Gegenstelle GW_STATIC_01 (Name der VPN-Verbindung unter VPN > IKEv2)
Intranet Adresse 192.168.3.14 (IP des Webservers)
Map-Port 80
Protokoll TCP
WAN-Adresse 0.0.0.0
Kommentar Webserver (Beliebig)


Und dann natürlich noch eine Firewall-Regel welche Anfragen aus dem Transfernetz bzw. spezifisch an die IP 10.96.0.2 zu dem Webserver durchlässt.

Der Thread kann als abgeschlossen bzw. gelöst markiert werden, danke!