Skip to content

1.2 - SSH adgang fra OPNSense WAN til LAN

ℹ️ Information

Formålet med denne øvelse er at etablere kontrolleret ekstern adgang til jumphosten via firewall og NAT.

Efter øvelsen vil SSH-adgang til jumphosten være mulig udefra, men løsningen er endnu ikke sikker.

🛠️ Deløvelser

I denne øvelse anvendes port forwarding (NAT) til at videresende indkommende forbindelser fra internettet til et internt system på LAN-netværket.

OPNsense fungerer her både som firewall og som NAT-enhed. NAT-reglen oversætter forbindelsen fra WAN-siden til jumphostens interne IP-adresse.

1️⃣ Konfigurér port forwarding (SSH via WAN port 2222)

  1. Gå til Firewall → NAT → Port Forward
  2. Opret en ny regel med følgende værdier:
    • Interface: WAN
    • Protocol: TCP
    • Destination: WAN address
    • Destination port range: 2222
    • Redirect target IP: jumphostens faste IP-adresse
    • Redirect target port: 22
    • Description: SSH to jumphost
  3. Gem reglen og anvend ændringerne

Port 2222 anvendes på WAN-siden for at undgå at eksponere standardporten 22 direkte. Dette reducerer støj fra automatiserede angreb og gør det tydeligt, at der er tale om en bevidst konfigureret adgangsvej.

Bemærk:
OPNsense opretter automatisk en tilhørende firewall-regel på WAN-interfacet.

2️⃣ Tilpas WAN-interface til skole-/VPN-miljø

Som standard blokerer OPNsense trafik fra private IP-adresser på WAN-interfacet. Dette er en sikkerhedsforanstaltning, som giver mening på et offentligt internet.

I skole- og VPN-miljøer anvendes private adresser ofte også på WAN-siden. Derfor skal denne blokering deaktiveres, for at forbindelsen kan fungere.

Denne ændring reducerer ikke sikkerheden i dette scenarie, da adgangen stadig kontrolleres af firewall- og NAT-regler.

  1. Gå til Interfaces → WAN
  2. Fjern markeringen i “Block private networks”
  3. Gem og anvend ændringerne

3️⃣ Opsæt SSH-server på Ubuntu jumphost

I denne deløvelse installeres SSH-serveren udelukkende for at muliggøre test af den eksterne adgangsvej.

SSH-konfigurationen er på dette tidspunkt ikke hærdet og betragtes udelukkende som funktionel opsætning.

  1. Opdater pakkelister
  2. Installer OpenSSH-server
  3. Kontrollér at SSH-tjenesten kører
  4. Bekræft at der lyttes på port 22

Hint: sudo systemctl status ssh

4️⃣ Test SSH-adgang til jumphosten via OPNsense

  1. Forbind til OPNsense WAN-adresse på port 2222: ssh -p 2222 bruger@<OPNsense_WAN_IP>
  2. Bekræft at du kommer ind på jumphosten

Hvis forbindelsen lykkes, bekræfter det, at:

  • NAT-reglen fungerer
  • firewall-reglen tillader forbindelsen
  • SSH-tjenesten kører på jumphosten

Når denne øvelse er gennemført, er det muligt at oprette SSH-forbindelse til jumphosten udefra via OPNsense.

Adgangen er på dette tidspunkt baseret på password-login og betragtes ikke som sikker.

I næste øvelse (1.3) konfigureres SSH-adgang med offentlig nøgle, så password-login ikke længere er nødvendigt.

Last update: 2026-03-20 13:58:28