Vorher hatte ich dieses Setup:
LAN: 192.168.1.0/24 (GW/router: 192.168.1.1) -> router 192.168.1.111 -> LAN2: 192.168.88.0/24
Erster Router/GW pfSense-Box, zweiter Router Mikrotik (mit Firewall usw.).
Um beispielsweise auf den Host zuzugreifen 192.168.88.10:22, hatte ich eine Portweiterleitung auf dem Mikrotik, 192.168.1.111:30022 -> 192.168.88.10:22sodass ich Folgendes tun konnte:
ssh -p30022 192.168.1.111
Das hat gut funktioniert.
Neues Setup:
Der Zweck besteht darin, vom LAN aus direkt auf Hosts in LAN2 zuzugreifen, um die manuelle Weiterleitung einer großen Anzahl von Ports zu vermeiden.
Rezept:
Legen Sie eine statische Route auf der pfSense-Box fest:192.168.88.0/24 -> 192.168.1.111
Fügen Sie auf dem Mikrotik der Firewall Folgendes hinzu:
(wobei die Bridge aus den internen Schnittstellen dieses Routers besteht, d. h. 192.168.88.0/24)
Dies scheint gut zu funktionieren, d. h. es können httpVerbindungen und sshAnschlüsse auf Hosts wie 192.168.88.10aus dem LAN geöffnet werden.
Allerdings sshbleiben Verbindungen regelmäßig nach etwa 30-40 s hängen. Das ist kein normales Timeout (bei Portweiterleitungen funktioniert es normalerweise), also muss es mit dem Routing/der Firewall zusammenhängen.
Ich habe getestet mit:
❯ ssh 192.168.88.10 sh -c 'T=0; while [ 1 ]; do echo "Connected ${T} s"; T=$((${T} + 1)); sleep 1; done'
Connected s
Connected 1 s
Connected 2 s
...
Connected 33 s
(dann bleibt es hängen)
Von Hosts im .88.0Subnetz aus kann ich problemlos auf das Internet und Hosts im LAN zugreifen, da ich das Gateway für dieses Subnetz auf 192.168.1.1 eingestellt habe (die pfSense-Box, die gleichzeitig mein externer Router ist).
Irgendwelche Ideen?
EDIT: immer noch keine Lösung (nach 1 Monat) …