OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on May 04, 2017, 12:04:14 pm
-
Hi,
ich stell mich glaube ich selten doof an
aber wie konfiguriere ich korrekt ein 1:1 Nat
brauche ich dafür eine Virtual IP? Der Versuch endete damit das die Firewall selber aufeinmal angesprochen wurde (das Portal) statt der Server der erreicht werden sollte
weiterhin wie kann ich sehen ob ein NAT eingetragen und verwendet wird?
ich habe ein Forwarding auf einer WAN Schnittstelle von Port 80 auf einen server hinter der Firewall auf Port 80 eingerichtet
brauche ich wenn auf der WAN Schnittstelle nicht die IP der Firewall verwende sondern irgendeine dort auch eine Virtuelle IP?
Danke
-
Die Frage per se hat so viele Ober- und Untertöne, dass ich lieber nachfrage. Was soll denn bitte genau erreicht werden? 1:1 NAT ist jetzt auch nichts anderes vom Prinzip her als ein Port Forwarding aller Ports einerseits und ein Outbound NAT andererseits miteinander kombiniert. Aber in der Beschreibung schwingen da viel anderen Sachen und Halbwissen mit, weswegen es sinnvoll wäre klar zu definieren, was denn von wo nach wo wie funktionieren soll.
Gruß
-
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
WAN 2 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
Sowohl für WAN 1 und WAN 2 waren Virtual IP
Resultat - alle Anfragen gehen an die OPnsense nicht an die Ziel IP
Port Forwarding wurde versucht in Form von
WAN 1 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21
WAN 2 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21
Resultat das kam an, FTP kam aber nicht zu stande es kam die Fehlermeldung 425 vom Zielserver (Netzwerk 1)
Firewall: bei WAN 1 und WAN 2 als auch Netzwerk 1 waren erlaubt "Any!"
Es kam so fragend daher weil ich eigentlich keine Probleme mit Natten hatte bis zu dem Zeitpunkt.
Das 1:1 NAT lief vorher auf einer WAN schnitstelle (WAN 3) als ich es dann umgezogen habe also nur
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
ging es schon nicht mehr.
Wenn man alles probiert und mit Wireshark dann ganz andere ergebenisse bekommt als man erwartet wird man irgendwann nervös bzw. unsicher.
-
Hallo
ich würde ein Port Forwarding machen damit müsste es eigentlich Funktionieren :)
Gruß Michel
-
Hallo
Kann ich in dem Fall leider nicht
Im übrigen ergab ein Port forward das auf der wan Seite die private LAN iP auftauchte
Zur config ich nutze Hybrid nat aber ohne manuelle Regel auf diesem wan Interface
-
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
WAN 2 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
Sowohl für WAN 1 und WAN 2 waren Virtual IP
Resultat - alle Anfragen gehen an die OPnsense nicht an die Ziel IP
Port Forwarding wurde versucht in Form von
WAN 1 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21
WAN 2 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21
Resultat das kam an, FTP kam aber nicht zu stande es kam die Fehlermeldung 425 vom Zielserver (Netzwerk 1)
Firewall: bei WAN 1 und WAN 2 als auch Netzwerk 1 waren erlaubt "Any!"
Es kam so fragend daher weil ich eigentlich keine Probleme mit Natten hatte bis zu dem Zeitpunkt.
Das 1:1 NAT lief vorher auf einer WAN schnitstelle (WAN 3) als ich es dann umgezogen habe also nur
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
ging es schon nicht mehr.
Wenn man alles probiert und mit Wireshark dann ganz andere ergebenisse bekommt als man erwartet wird man irgendwann nervös bzw. unsicher.
Sorry aber das macht gerade bei mir überhaupt keinen Sinn.
Was ist mit WAN1 und WAN2 gemeint?
Warum auf dem WAN private Adressen?
Du lieferst leider gerade überhaupt keine Details zur Infrastruktur, nur dass es nicht so funktioniert wie du willst ;) So kann ich zumindest aber überhaupt nicht herauslesen, was und warum es nicht funktioniert.
Gruß
-
WAN 1: Dienstleistung an andere dorthin soll ein Netz geroutet werden nicht alle
WAN 2: Externer Dienstleister der Voll-Zugriff auf einen Server braucht im LAN
dann gibts noch
WAN 3: Stand Internetleitung
WAN 4: PPOE Internetleitung
VLAN 1-5 ver. Betriebstechnische Anlagen (DDC/SPS), VIDEO, Zähler sowas
VLAN 6 Server
Reicht oder was vergessen?
-
Also hat der Server oder die Appliance 4 WAN und 1 LAN Interface mit 6 VLANs, ist das korrekt?
-
die Firewall hat dieses
(deciso gerät OPNsense A10 Quad Core Rack SSD )
sonst passt es ja
der server hat zwei Netzwerkkarten im LAN
-
Von dem Server weiß ich nichts bzw. ging aus dem Post bislang so nicht hervor.
Nichts desto trotz: Wenn auf irgendeinem WAN eine 1:1 NAT eingerichtet werden soll, sollte es da auch noch weitere Adressen geben als nur die WAN IP der Sense. Wenn diese geroutet wird, muss keine Virtual IP angelegt werden. Wenn die IP auf dem Gerät konfiguriert werden muss (da nur über Gateway erreichbar), dann ist diese entsprechend als VIP anzulegen (Alias oder CARP je nach Einsatzbereich des Geräts). Dann 1:1 NAT mit der externen IP und der internen IP des Servers und eine Firewall Regel, die den Zugriff erlaubt. Regel muss dann als Destionation NICHT die externe IP sondern die Server IP (intern) haben, da NAT VOR den Regeln ausgeführt wird.
Grüße
-
Es gibt auf der WAN Seite ein anders geroutetes netz
also bsp
WAN 1 193.26.38.0/22 <OPNSENSE> LAN 3 192.168.100.0/24
Angesprochen werden sollte über 10.96.100.5 die 192.168.100.5
Ich versteh das jetzt so in Summe das ich die VIP 10.96.100.5 anlegen müsste - was ich getan hatte ohne das es funktionierte
wegen den rules war auch so beachtet worden das die interne IP als 192.168.100.5 freigegeben war.
wenn dsa jetzt so richtig gewesen wäre ist es noch fragwürdiger warum es nicht lief?!
-
Ich lese immer 10.96.100.5 - du hast leider zur Konfiguration der WAN Interfaces so gar nichts geschrieben. Daher kann ich dazu immer noch nichts sagen, da ich immer noch nicht weiß, welche IPs oder ggf. Netze deine WANs haben und wie dann das 1:1 NAT konfiguriert sein muss. Auch ob vor den WANs noch irgendwelche Router, Medienkonverter oder sonstwas stehen wäre relevant. Eine Skizze o.ä. könnte hier wirklich helfen.
Ein Screenshot der 1:1 Regel könnte ggf. auch weiterhelfen.
Grüße
-
in wie fern konfig?
WAN 1 10.100.42.96 / 24 WAN GW: 10.100.42.1
WAN 2 10.100.43.96 / 24 WAN GW: 10.100.43.1
Screen kann ich dir nicht machen. dann ist die kiste quasi unbedienbar bzw extrem lahm
was fehlt noch?
-
OK wenn das die WANs sind - wo kommen dann die extern erreichbaren public IPs her, die du da drauf mappen möchtest? :)
-
WAN ist für mich alles außerhalb meines Lan
Dmz setze ich aktuell nicht ein
Also sind die hier benötigten nat Lösungen von meinem LAN auf ein fremdes LAN gedacht
-
OK das ist schön dass du das so siehst, beantwortet aber meine Frage nicht ;)
Du schreibst oben im ersten Post was von 10.96.100.2. Wo kommt also das Netz 10.96.100.x her und wie kommt das auf das WAN Interface (und welches)? Denn es kann logisch und technisch nicht sein, dass du das gleiche Netz auf zwei WANs ankommen haben möchtest.
-
Hi,
dann ist evt. das das problem das ich zweimal ein nat von 10.96.100.2 machen will -aber auch auf einer schnittstelle lief es ja leider nicht.
die 10.96.100.x/24 ist das von mir definierte Netz nach aussen. es ist nicht existent - also virtuell und soll für alle xterne "dienstleister" und anwender gleich sein - und ja auf ver. Schnitstellen bzw. transfers
dieses 10.96.100.2/24 wird genattet z.b auf 192.168.100.2
oder die 10.96.100.200 auf die 192.168.254.200 etc.
hoffe dsa bringt etwas licht ins dunkle
-
Sorry nicht wirklich.
Du "definierst" einfach irgendein Subnetz, welches nirgends aufliegt oder geroutet wird. Auf mehreren Interfaces, was per se schonmal nicht funktionieren kann. Und das soll dann auto-magisch für Dienstleister und Anwender funktionieren.
Ich habe schon komplexer Setups mit Sensen in Betrieb aber was du hier versuchst verstehe ich leider nicht ein bisschen. Deshalb auch meine Nachfrage ob du das mit einer Skizze o.ä. verdeutlichen kannst. Visio, Gliffy, Ascii-Art, ganz egal. Aber es macht für mich einfach überhaupt keinen Sinn was du hier versuchst?
1:1 NAT macht Sinn, wenn du bspw. auf einem externen Interface ein IP-Netz geroutet bekommst mit public Adressen und diese 1:1 auf ein internes Netz gleicher Größe oder einfach auf einzelne definierte interne IPs mappen möchtest. Was du hier versuchst verstehe ich nicht, da auf den WAN Adressen ja bereits interne Netze definiert sind. Da nochmals eins draufzulegen und das dann auch noch irgendwie via 1:1 NAT in ein weiteres internes Netz reinzumanschen kann ich nicht nachvollziehen ;)
Gruß
-
Hi,
anbei ein Bildchen
in der Diskussion ist jetzt ein wenig aufgekommen das man Services ggf. über das HA Proxy als Reverse Proxy lösen könnte...
wenn die sense dann mal auf das ihr nicht bekannte 10.96.100.0/24 Netz richtig reagieren würde...
-
Also man mag mich gern korrigieren oder ich verstehe es vielleicht immer noch nicht.
Aber nein, das was du willst kann und wird nie funktionieren. Es kann nicht sein, dass die Sense auf mehreren Interfaces wie WAN1/3/4 GLEICHZEITIG auf die gleiche IP reagiert. Das ist routingtechnisch einfach komplett unmöglich. Nein. Schon gar keine privaten Adressen plötzlich auf einem Interface auf dem Public IPs aufliegen. Das ist für mich einfach nur chaotisch und ich sehe den Sinn nicht.
Ich weiß nicht was von WAN1 kommt, aber du hast bspw. auf WAN3 irgendwas privates mit 10.100/16 und auf WAN4 öffentliche Adressen /22. Wie sollen über diese Leitungen jemals Pakete mit einer IP aus 10.96.100 erzeugt werden. Das macht einfach keinen Sinn.
Gruß
-
damit haben wir schonmal ein problem wohl gefunden
es liegt meiner Ansicht nach aber nur auf den DMZ/WAN 3+4 und damit nicht öffentlichen IPs die von mir gewollte Ansprech IP
WAN 1 und WAN 2 sind bezogen auf das Natten hier vollkommen egal - sind nur der vollständigkeithalber hier
WAN 4 / DMZ 2 ist kein öffentliches netz!
-
Das mag schon sein, dennoch kann man nicht die gleichen IPs an unterschiedlichen Interfaces verwenden, das klappt einfach nicht :)
-
ok,
akzeptiert
aber wie bekomm ich das hin das zumindest ein interface damit funktioniert?
-
Wofür denn dann überhaupt noch ein zusätzliches privates Netz da draufkleben wollen? Und wie soll der Traffic dann überhaupt auf diese anderen IPs kommen? Das macht alles so wenig Sinn?
-
mir gehts nur um die beiden "wan/dmz"
das sind dienste die ich anderen privaten netzen da zur verfügung stellen will/muss
-
Hi Andreas,
JeGr hat es bereits mehrfach erklärt. Das was Du machen willst funktioniert einfach nicht. Nie und nimmer!!
Du kannst keine IP Adresse (10.96.100.2) aus einem Adressbereich (10.96.100.0/24) über ein Interface routen das zu einem anderen Bereich (10.100.0.0/16 bzw. 193.26.188.0/22) gehört.
Desweiteren ist es nicht möglich eine private (https://de.wikipedia.org/wiki/Private_IP-Adresse) Adresse über das Internet zu routen (indirekt per VPN aber schon).
D.h. 10.96.100.2 wird auf WAN4 niemals erreichbar sein und die 'privaten' Netze werden auch nie eine Antwort erhalten.
Wenn die Firewall aus unterschiedlichen Netzen erreichbar sein soll, dann nur über unterschiedliche IP Adressen.
Wenn sie über das Internet erreichbar sein soll, dann nur über eine öffentliche Adresse oder VPN.
Du solltest Dein Vorhaben nochmal neu konzipieren.
Viele Grüße
Frank
-
Das mag alles sein, aber ich habe mich denke ich jetzt schon mehrfach wiederholt, dass das einfach nicht geht, was du da anzetteln möchtest. Du kannst nicht einfach extern auf WAN3/4 ein anderes und bei beiden noch dazu das gleiche Netz nutzen um irgendwelche NATs zu bauen. IP Routing funktioniert so einfach nicht.
Klar kann ich bei einem Uplink/WAN Transfernetz noch ein anderes Netz drauflegen, aber dann muss das Netz auch beim Uplink Router bekannt sein und der muss die Pakete dann entsprechend adressieren, damit die pfSense die schon auf der anderen IP empfängt. Aber das passiert bei dir gar nicht (zumindest hab ich das nirgends gesehen). Oder es ist mir einfach immer noch spanisch, was genau das eigentlich bringen soll.
Nichts desto trotz: Es funktioniert NIE, das gleiche Netz an zwei unterschiedlichen Interfaces aufzulegen. Der einzige Weg wie so etwas gehen könnte ist mit echten IPs und BGP und dann müsste dir der IP Space gehören und du mit deinem Provider Upstream BGP sprechen. Dann kannst du gern mehrere Routen annoncieren und mal über Interface 3 oder 4 routen lassen. Aber das dürfte eine ganze Nummer zu groß sein.
PS: Danke Frank, erst nach absenden gesehen und genau nochmals das, was ich bereits mehrfach versucht habe zusammengefasst :) Danke auch für die Bestätigung dass ichs nicht falsch oder zumindest du genauso verstanden hast ;)