Guten Abend,
es geht um die Nutzung von IP Aliases bei OUTBOUND NAT Verbindungen. Unser Provider stellt uns drei IPv4 /29 Netze und ein IPv6/48 Netz zur Verfügung. Desweiteren ist noch ein Standard DSL Anschluss an der OPNsense angeschlosssen.
Die OPNsense hat aus dem ersten Netzwerk eine IP (1.1.1.6) bekommen und das Standard Gateway (erste nutzbare IP aus dem Netz, 1.1.1.1). Gerät funktioniert, Grundeinrichtung durchgeführt.
WAN WAN
: :
: Telekom : Telekom
: DeutschlandLAN : VDSL-50
: IPv4/IPv6 static : IPv4/IPv6 dyn.
: :
.----+----. .----+----.
| Router | | FB 7590 |
'----+----' '----+----'
| | 192.168.178.1/24
1.1.1.0/29 | |
1.1.1.1 | |
2.2.2.120/29 | |
2.2.2.121 | |
3.3.3.232/29 | |
3.3.3.233 | |
IPv6/48 | |
| .----------. |
+------| OPNsense |------+
1.1.1.6/29 '-----+----' 192.168.178.2/32
|
192.168.99.1/24 |
|
|
----+-----
| | |
Beim Versuch im OUTBOUND SNAT die IPs aus den zusätzlichen Netzen (oder der Fritzbox Verbindung) zu verwenden ist jedoch fehlgeschlagen, jeglicher ausgehender Verkehr der eine IP aus den zwei zusätzlichen Netzen (2.2.2.[122-126] und 3.3.3.[234-238]) verwenden soll wird mit der IP der sense (1.1.1.6) durchgeführt.
Es spielt keine Rolle ob beim Anlegen der IP Aliase ein Gateway mit angegeben wird oder nicht.
FunFact: Eingehender Verkehr mit Port forward funktioniert auch mit den zusätzlichen Adressen (außer der "Fritz-Anschluss" natürlich).
Wie muss man denn das konfigurieren um auch die zusätztlichen Adressen im ausgehenden Verkehr nutzen zu können - idealerweise auch den FB-Anschluss) ?
Danke und noch ein gutes neues Jahr,
Stefan
Moin,
das Problem hatte ich auch.
Ich habe dann, statt die virtuellen IP in den NAT Regeln direkt zu verwenden,
erst einen Alias unter Firewall. - Aliases für die virtuelle IP angelegt und
diesen Alias dann in den Regeln verwendet.
Das hat dann funktioniert.
Schönen Gruß
Super, danke für den Tipp,
kann das erst morgen versuchen, aber schon mal ne Richtung.
DANKE, Gruß,
Stefan
Nein, leider zeigt sich hier auch nicht das erwünschte Verhalten - das Ding geht stur mit seiner ersten WAN Adresse raus, unabhängig von irgendwelchen Einträgen im Outbound NAT. Kann doch nicht sein dass ich der einzige bin der eine derartige Anbindung umsetzen muß.
Ist deine spezielle NAT Regel denn vor der allgemeinen? Evtl. musst du NAT auf manuell unstellen, die Firewall geht die Regeln stur von oben nach unten durch.
Nur um sicher zu gehen: die ausgehende NAT Regel liegt auf dem WAN-Interface?
Bei mir ist die Einstellung im Outbound NAT auf Hybrid,
also erst die manuellen Regeln, dann die automatischen.
In der manuellen Outbound Regel den neuen Alias unter Translation / Target eingestellt.
Funktioniert an zwei Standorten, einmal am öffentlichen /29 Netz (IPv4)am WAN Anschluß und hinter einer Fritzbox mit 178.0/24 am WAN Anschluß.
Gruß Kai
Danke für Eure Antworten, ich kann einen Teilerfolg berichten!
Outbound-NAT mode war auf "hybrid" und bleibt auch auf dieser Einstellung.
(Laut Beschreibung erst manuelle Regeln, dann automatische)
Die virtuellen IPs wurden komplett entfernt und neu angelegt - jede als Einzel-IP/32
und ohne Gateway.
Mir ist zwar schleirehaft wie das Routing dann gemacht wird da ja nirgends das Gateway angegeben ist - aber ok, solange es funktioniert.
Danach wurden die Regeln neu angelegt (ja, waren auch vorher auf dem WAN Interface) und dann wurden ausgehende Adressen auch "umgeschrieben".
Was noch nicht geht ist der ausgehende Verkehr über die Fritzbox zeitgleich zum "normalen" WAN.
Gruß,
Stefan