Dimensione OpnSense Port Forwarding

xarenwo

Buongiorno, qualcuno usa opnsense/pfsense con Dimensione ?
Dovrei aprire delle porte per dei proggetti (esempio un semplice server nginx), ho provato alcune regole di port forwarding ma non funziona.
Le configurazioni sono cosi

Ho ovviamente la Vlan taggata 835 (Dimensione_VLAN) sulla Wan e un'interfaccia lan di uscita che poi va in uno switch 2.5G che distribuisce su vari pc.

Ho l'ip pubblico statico ( quello pagato 3/mese mi pare)

Ho fatto il port forwarding sull'interfaccia Vlan con destinazione Vlan_address ( L'ip statico pubblico ) ma non funziona.
192.168.1.226 e' una macchina windows con apache installato e che ascolta sulle porte 8080 e 4443

Qualcuno sa se il port forwarding va fatto dal Vlan alla Vlan Address oppure dalla Wan alla vlan_address o ha qualche suggerimento ?

Grazie

x_term

xarenwo Ho l'ip pubblico statico ( quello pagato 3/mese mi pare)

L’IP pubblico lo dovresti avere sulla PPPoE, non configurandolo a mano. Mi pare di vedere che l’indirizzo assegnato invece è 100.64 che è CGNAT. Senti l’assistenza, forse non si è attivato.

giuzdonk

x_term Potrebbe anche esserci un problema di configurazione: se noti l'interfaccia DIMENSIONE_VLAN ha indirizzo IPv6 link-local ma IPv4 pubblico, mentre l'interfaccia LAN ha IPv4 privato ma IPv6 GLA

xarenwo

Ciao a tutti e grazie per le risposte. Ho risolto, avevo provato a cancellare il post prima che fosse approvato ma comunque scrivo come ho risolto.

Il port forwarding era fatto giusto, sulla Vlan, quindi come nella foto (potete anche lasciare la wan, ma io ho lasciato solo Dimensione_Vlan alla fine).

Facendo cosi funziona gia', il problema e' che se provi ad accedere tramite l'ip pubblico ad un servizio locale, non funzionera', se invece si prova col telefono tramite 4g, quindi non tramite la LAN, funziona.

Questo perche' non avevo attivato Firewall->Settings->Advanced Automatic outbound NAT for Reflection

Senza questo, il firewall non riflette in modo corretto il traffico nella rete interna, quindi le risposte del server web che ho, potrebbero non arrivare all'interno sul mio pc (sulla lan), in quanto la richiesta era fatta dall'ip pubblico, e quindi le risposte vanno all'ip pubblico.

E' una spiegazione fatta male, comunque per quanto riguarda OpenFiber con la Vlan taggata 835, basta fare il port forwarding sulla VLAN, quindi non sulla WAN, come nella foto sopra, e in questo modo gia' altra gente puo' vedere i vostri servizi, ma se li volete vedere anche voi dalla stessa rete (router,switch ecc collegati alla porta LAN nel opnsense) bisogna attivare Automatic outbound NAT for Reflection ( Se non funziona provate anche Reflection for port forwards, Reflection for 1:1 ).

x_term L'ip pubblico e' quello con 195, e' sulla PPPoE ( che e' la VLAN, le credenziali PPPoE vanno messe sulla VLAN taggata 835 ).
Quello con la 100.64 e' il gateway.
Ho risolto e risposto sopra, era una questione di NAT, grazie

PS: Allego le foto delle configurazioni cosi se qualcuno avesse bisogno nel futuro puo' fare riferimento a questo.

Dove 192.168.1.226 e' il mio pc dove ho il server apache sulla porta 80 e 443 (HTTP e HTTPS).
Attenzione che per fare questo sulla porta 80 e 443, bisogna spostare l'interfaccia GUI di OPNSENSE su un'altra porta, io l'ho spostata sulla porta 4443 e ho tolto la porta 80, lasciando quindi solo 4443 con https.
Quello che voglio dire e', andate su System->Settings->Administration e su Protocol mettete Https (dovrebbe essere cosi di default).
Poi Disabilitate Http Redirect -> Disable web gui redirect Rule, in questo modo, la porta 80 diventa libera anche dall'interno della Lan, altrimenti la porta 80 rimane comunque assegnata alla GUI di opnsense tramite la "Lockout rule" nel firewall.

Una volta fatto questo, mettete la porta che volete (io ho messo ripeto 4443) nel System->Settings->Administration -> TCP Port e da ora in poi userete quella porta per l'interfaccia OPNSENSE, e avete liberato 80 e 443 per i servizi nginx/apache ecc se vi servono.

Poi per il problema della NAT, su Firewall->Settings->Advanced, al momento io ho cosi

Spero possa essere d'aiuto se qualcuno avra' lo stesso problema.

Grazie

ErBlask

xarenwo Allego le foto delle configurazioni cosi se qualcuno avesse bisogno nel futuro puo' fare riferimento a questo.

E sempre un piacere vedere post "costruttivi" come questo.
@xarenwo 👍👍 +10

xarenwo Spero possa essere d'aiuto se qualcuno avra' lo stesso problema.

In primis Grazie a te e le persone volenterose che condividono le proprie esperienze 😉.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile