OPNsense Port Forwarding

Citera flera Citera

2025-02-24 10:46

boibo

Medlem ★

Plats: Västerbotten
Registrerad: Jun 2005

●

Har du öppnat i brandväggen för dessa portar?

ibland så separeras NAT regler och Brandväggsregler, inte jobbat med opensense specifikt.

Är du säker på att din WAN ip i brandväggen är densamma som på internet (cgnat)?
detta kan annars ställa till det.

Citera flera Citera

2025-02-24 13:32

Prelatur

Medlem ★

Plats: Göteborg
Registrerad: Mar 2011

●

Att exponera Home Assistant direkt mot internet är nog inte en bra idé.
Bättre med en VPN eller åtminstone en reverse proxy med t.ex. NGINX och SSL certifacte.
Lättast är det givetvis med Nabu Casa men då det kostar det.

Visa signatur

Citera flera Citera (2)

2025-02-24 14:08

https://www.nabucasa.com/

mtpocket

Medlem

Plats: Sollefteå
Registrerad: Jul 2001

●

Vet inte hur sugen du är på betala en månadskostnad. Men homeassistat har en tjänst som gör att du kan komma åt HA utifrån exempelvis via appen på telefon. Man stödjer projektet även med pengar.

Visa signatur

For every complex problem, there is a solution that is simple, neat, and wrong.

Citera flera Citera

2025-02-24 14:10

Det Otroliga Åbäket

Medlem ★

Registrerad: Jun 2019

●

Skrivet av Prelatur:

Att exponera Home Assistant direkt mot internet är nog inte en bra idé.
Bättre med en VPN eller åtminstone en reverse proxy med t.ex. NGINX och SSL certifacte.
Lättast är det givetvis med Nabu Casa men då det kostar det.

En reverse proxy i sig gör dock ingenting för att förbättra säkerheten: publicera inte tjänster mot Internet om de inte är byggda för det.

Citera flera Citera (1)

2025-02-24 16:27

No_Jah

Medlem ★

Plats: Jorden
Registrerad: Nov 2001

●

Som alla påpekar så är det ingen vidare ide att exponera Home Assistant mot internet så att vem som helst kommer åt den.
Men om du ändå vill göra det så ska du i NAT-reglerna sätta * som Source Adress, WAN Adress, eller vilket interface du nu väljer att komma in genom, som Destination Adress, och som du redan gjort Home Assitsant- serverns interna IP-adress som NAT IP

Men tänk också på att för att få port 80 och 443 att fungera så måste du ändra portarna som OPNSense själv använder.

Senast redigerat 2025-02-24 16:42

Citera flera Citera

2025-02-24 17:15

Det Otroliga Åbäket

Medlem ★

Registrerad: Jun 2019

●

Skrivet av No_Jah:

Men tänk också på att för att få port 80 och 443 att fungera så måste du ändra portarna som OPNSense själv använder.

Bara om du låter OPNsense lyssna med admingränssnittet mot Internet, vilket också generellt sett inte är så bra.

Citera flera Citera (1)

2025-02-24 23:18

Hasseman84

Medlem

Plats: Göteborg
Registrerad: Dec 2005

●

Skrivet av boibo:

Har du öppnat i brandväggen för dessa portar?

ibland så separeras NAT regler och Brandväggsregler, inte jobbat med opensense specifikt.

Är du säker på att din WAN ip i brandväggen är densamma som på internet (cgnat)?
detta kan annars ställa till det.

https://www.nabucasa.com/

Tror inte det. Hur gör jag? Jag har gått igenom guide efter guide efter guide och dom säger olika och så funkar det endå inte.
Jag är INTE uppkopplad mot en CG-NAT.

Skrivet av mtpocket:

Vet inte hur sugen du är på betala en månadskostnad. Men homeassistat har en tjänst som gör att du kan komma åt HA utifrån exempelvis via appen på telefon. Man stödjer projektet även med pengar.

Om jag hade haft en bättre ekonomi så hade jag absolut stöttat projektet. Men jag har inte råd med en sub

Skrivet av No_Jah:

Som alla påpekar så är det ingen vidare ide att exponera Home Assistant mot internet så att vem som helst kommer åt den.
Men om du ändå vill göra det så ska du i NAT-reglerna sätta * som Source Adress, WAN Adress, eller vilket interface du nu väljer att komma in genom, som Destination Adress, och som du redan gjort Home Assitsant- serverns interna IP-adress som NAT IP

Men tänk också på att för att få port 80 och 443 att fungera så måste du ändra portarna som OPNSense själv använder.

<Uppladdad bildlänk>

Jag är medveten om riskerna.
Sen förstår jag dig inte riktigt.
Sen skall OPNsense gui INTE vara tillgängligt utifrån.

Skrivet av Det Otroliga Åbäket:

Bara om du låter OPNsense lyssna med admingränssnittet mot Internet, vilket också generellt sett inte är så bra.

Admingränssnittet kommer/skall inte vara tillgängligt utifrån.

Första frågan är, Är portforwarden rätt konfigurerad? Om inte vad är fel och vad skall jag göra för att det skall bli rätt (Se bilder nedan)?

När jag/vi har fått konfigurationen klar kan vi gå vidare till brandväggen.

Tack på förhand.

Visa signatur

Citera flera Citera

2025-02-25 08:25

No_Jah

Medlem ★

Plats: Jorden
Registrerad: Nov 2001

●

Så som du har satt upp dina regler på bilden nedan där du har satt Source Adress till WAN addres. Detta innebär att det bara är trafik som kommer från din WAN-adress som släpps igenom.
Där ska du istället sätta * om du vill att trafik från Internet ska släppas in.

Sen har du satt Source Address till serverns interna address. Denna adress är ju öht. inte nåbar utifrån.
Där ska du istället sätta WAN Address.
Däremot är NAT IP korrekt om nu serverns interna IP är 192.168.1.9.

Så det korrekta skulle istället se ut som nedan, se rättningar i rött.

Men som sagt, en förutsättning för att det öht. ska fungera är att du har publik IP-adress från din ISP.

Citera flera Citera (1)

2025-02-25 09:25

Det Otroliga Åbäket

Medlem ★

Registrerad: Jun 2019

●

Skrivet av Hasseman84:

Tror inte det. Hur gör jag? Jag har gått igenom guide efter guide efter guide och dom säger olika och så funkar det endå inte.
Jag är INTE uppkopplad mot en CG-NAT.

Om jag hade haft en bättre ekonomi så hade jag absolut stöttat projektet. Men jag har inte råd med en sub

Jag är medveten om riskerna.
Sen förstår jag dig inte riktigt.
Sen skall OPNsense gui INTE vara tillgängligt utifrån.

Admingränssnittet kommer/skall inte vara tillgängligt utifrån.

Första frågan är, Är portforwarden rätt konfigurerad? Om inte vad är fel och vad skall jag göra för att det skall bli rätt (Se bilder nedan)?
<Uppladdad bildlänk>
<Uppladdad bildlänk>
<Uppladdad bildlänk>

När jag/vi har fått konfigurationen klar kan vi gå vidare till brandväggen.

Tack på förhand.

https://docs.opnsense.org/manual/nat.html

Jag tycker din source address ser skum ut. Trafik till din webbtjänst kommer troligen från Internet, inte från din WAN-adress. Byt till Any där, skulle jag säga.
Sen tror jag du förenklar ditt liv om du byter Filter association till ”Add associated filter rule”, så brandväggsregler uppdateras automatiskt baserat på NAT-regeln. Det är användbart om några år, när du ska ersätta den gamla servern med en ny och behöver ge den en ny IP-adress; så slipper du undra varför NAT inte fungerar när det i själva verket är brandväggen som stoppar önskad trafik.

Citera flera Citera

2025-02-25 11:16

Hasseman84

Medlem

Plats: Göteborg
Registrerad: Dec 2005

●

Skrivet av No_Jah:

Så som du har satt upp dina regler på bilden nedan där du har satt Source Adress till WAN addres. Detta innebär att det bara är trafik som kommer från din WAN-adress som släpps igenom.
Där ska du istället sätta * om du vill att trafik från Internet ska släppas in.

Sen har du satt Source Address till serverns interna address. Denna adress är ju öht. inte nåbar utifrån.
Där ska du istället sätta WAN Address.
Däremot är NAT IP korrekt om nu serverns interna IP är 192.168.1.9.

<Uppladdad bildlänk>

Så det korrekta skulle istället se ut som nedan, se rättningar i rött.

<Uppladdad bildlänk>

Men som sagt, en förutsättning för att det öht. ska fungera är att du har publik IP-adress från din ISP.

Jag kommer fortfarande inte åt det. Men det är kanske brandväggen som stoppar det?
Men ser det rätt ut i port forward iaf?

Visa signatur

Citera flera Citera

2025-02-25 11:25

No_Jah

Medlem ★

Plats: Jorden
Registrerad: Nov 2001

●

Skrivet av Hasseman84:

<Uppladdad bildlänk>
Jag kommer fortfarande inte åt det. Men det är kanske brandväggen som stoppar det?
Men ser det rätt ut i port forward iaf?

Ok, och när du säger att du inte kommer åt den, sitter du då själv i ditt lokala nätverk på insidan av OPNsense?
Isåfall måste du också se till att få igång NAT reflaction.

Testa isåfall att ansluta med tex. mobiltelefon när du är uppkopplad vi mobilnätet och med WIFI avstängt.

Edit.
Man kan även testa om en port är öppen och något lyssnar tex. här.
https://www.yougetsignal.com/tools/open-ports/

Senast redigerat 2025-02-25 11:32

Citera flera Citera (1)

2025-02-27 22:28

Hasseman84

Medlem

Plats: Göteborg
Registrerad: Dec 2005

●

Skrivet av No_Jah:

Ok, och när du säger att du inte kommer åt den, sitter du då själv i ditt lokala nätverk på insidan av OPNsense?
Isåfall måste du också se till att få igång NAT reflaction.

Testa isåfall att ansluta med tex. mobiltelefon när du är uppkopplad vi mobilnätet och med WIFI avstängt.

Edit.
Man kan även testa om en port är öppen och något lyssnar tex. här.
https://www.yougetsignal.com/tools/open-ports/

Jag provade både inom nätverket och utanför.
Men jag har gett upp för stunden. Jag har just nu en testperiod av nabu casa istället.

Visa signatur

Citera flera Citera

2025-03-28 16:15

Hasseman84

Medlem

Plats: Göteborg
Registrerad: Dec 2005

●

Skrivet av No_Jah:

Ok, och när du säger att du inte kommer åt den, sitter du då själv i ditt lokala nätverk på insidan av OPNsense?
Isåfall måste du också se till att få igång NAT reflaction.

Testa isåfall att ansluta med tex. mobiltelefon när du är uppkopplad vi mobilnätet och med WIFI avstängt.

Edit.
Man kan även testa om en port är öppen och något lyssnar tex. här.
https://www.yougetsignal.com/tools/open-ports/

Hej igen alla.
Nu har jag pillat lite mer och har väl kommit en liten bit på vägen.
Jag kollar i loggarna och nu står det så här:
LAN 2025-03-28T16:11:41 198.199.98.246:33525 192.168.1.9:8123 tcp let out anything from firewall host itself

Men det står fortfarande att porten är stängd från www.yougetsignal.com.

Jag har även bestämt mig för att ha en BF3 server. Så ni kommer se lite mer tjänster nu.

Visa signatur