OPNsense Forum

International Forums => German - Deutsch => Topic started by: hmarius1 on October 06, 2021, 04:08:56 pm

Title: externe IP in VM hinter Firewall
Post by: hmarius1 on October 06, 2021, 04:08:56 pm
Hallo zusammen,

ich benötige in einer VM eine externe IP aus meinem WAN Subnetz. Die Firewall ist als HA Cluster eingerichtet.
Ohne HA Cluster hätte ich jetzt eine Bridge mit der Schnittstelle WAN und der Schnittstelle für die VM angelegt. Ich gehe davon aus das das beim Cluster nicht geht weil die Bridge wäre ja nicht HA. Vielleicht mach ich da aber auch einen Denkfehler.  Die Software in der VM braucht die externe IP unbedingt auf dem interface der VM. Bräuchte die Software nicht direkt die externe IP auf dem Interface der VM hätte ich das per Portweiterleitung gelöst da wir nur Port 443 brauchen.

Hat jemand eine Idee wie ich das umsetze?

Vielen Dank für euere Antworten.
Title: Re: externe IP in VM hinter Firewall
Post by: hsiewert on October 07, 2021, 12:19:34 pm
Hallo hmarius1,

schau' Dir mal carp an. (Interfaces: Virtual IPs)
https://docs.opnsense.org/manual/how-tos/carp.html

Dann kannst Du immernoch entscheiden, ob Du Nattest oder Routest.

LG
Title: Re: externe IP in VM hinter Firewall
Post by: JeGr on October 08, 2021, 03:52:22 pm
Wofür braucht die VM die IP direkt auf dem Interface? Die meiste Software (>95%) interessiert die externe IP herzlich wenig, so dass hier die meiste Zeit über 1:1 NAT oder Port Forwards völlig ausreichen. Alles andere lässt sich oft durch sinnvolle DNS Rewrites oder ggf. auch IP Binding auf dem Localhost Interface lösen.

Ansonsten kommt es sehr darauf an, ob und wie externe IPs bei dir vorhanden sind und ob oder wie diese sich ggf. routen lassen würden. Aber je nach Konstellation bekommst du die externe IP nur über böse Umwege und Gebastel auf die VM, ob man das dann wirklich will ist die andere Frage :)

Cheers
Title: Re: externe IP in VM hinter Firewall
Post by: hmarius1 on October 11, 2021, 08:45:45 am
Vielen Dank für eure Antworten.

Ja das stimmt aber diese eine Software will unbedingt die IP Adresse über die die User von extern Benutzen direkt auf dem Server Interface haben ansonsten läuft Sie laut des Herstellers nicht. Ich werde mal prüfen ob IP Binding oder DNS Rewrites vielleicht weiterhelfen. Böse Umwege und Gebastel möchte ich nicht soll ein stabiles System bleiben.
Title: Re: externe IP in VM hinter Firewall
Post by: micneu on October 11, 2021, 04:13:14 pm
Vielen Dank für eure Antworten.

Ja das stimmt aber diese eine Software will unbedingt die IP Adresse über die die User von extern Benutzen direkt auf dem Server Interface haben ansonsten läuft Sie laut des Herstellers nicht. Ich werde mal prüfen ob IP Binding oder DNS Rewrites vielleicht weiterhelfen. Böse Umwege und Gebastel möchte ich nicht soll ein stabiles System bleiben.
das macht mich neugierig, welche software will unbedingt die wan-ip?


Gesendet von iPad mit Tapatalk Pro
Title: Re: externe IP in VM hinter Firewall
Post by: JeGr on October 13, 2021, 11:56:52 pm
Was ist denn das Zielsystem? Wir hatten sowas schon mal gebastelt auch wenns nicht schön ist. Aber wenn du bspw. nen Linux hast, kann man die echte externe IP auf Localhost konfigurieren und der Kiste sonst ne interne IP geben, die ausgehend entsprechend geNATtet wird. Für eingehenden Verkehr kann man dann eine /32er Host Route für die IP auf die interne IP der Linux Kiste angeben. Durch die Bindung der extIP auf lo0 kann dann die empfangenen Pakete auf der extIP angenommen werden.
Title: Re: externe IP in VM hinter Firewall
Post by: hmarius1 on October 21, 2021, 09:30:15 am
Das Zielsystem ist ein Debian. Ich habe das mal so eingestellt wie du das vorgeschlagen hast: Outbound NAT auf die gewünschte ext IP für den einzelnen Host. Route von der ext IP auf die int IP und im Debian dem Loopback interface zusätzlich die ext IP zugewiesen. Regeln für die ext IP im WAN Regelwerk was erlaubt sein soll habe ich auch angelegt.
Muss damit die Route funktioniert ja den Alias auf der WAN Schnittstelle für die externe IP löschen. Soweit läuft es dann auch. Mit tcpdump sehe ich das die Pakete angenommen werden und auch beantwortet werden. Jetzt ist es aber so das die Firewall plötzlich nach einiger Zeit keine Anfragen mehr von der ext IP annimmt wenn nur noch die Route existiert. Lege ich den Alias wieder an und lösche Ihn wieder funktioniert es kurzzeitig wieder ohne Probleme.
Ich weiß selber nicht warum und was ich da falsch mache. Würde mich freuen wenn mir da jemand helfen könnte.

Ihr habt mir bis jetzt aber schon sehr weitergeholfen. Vielen Dank dafür.
Title: Re: externe IP in VM hinter Firewall
Post by: micneu on October 21, 2021, 10:14:51 pm
ich frage nochmal: was läuft da für ein dienst der unbeding die externe ip haben will?
das macht mich neugierig
Title: Re: externe IP in VM hinter Firewall
Post by: hsiewert on October 22, 2021, 02:10:06 pm
ich mutmasse mal .... ne greenbone ?
Title: Re: externe IP in VM hinter Firewall
Post by: hmarius1 on October 22, 2021, 04:16:22 pm
Es handelt sich bei der Software um Koala Software.