OPNsense Forum
International Forums => German - Deutsch => Topic started by: choffmeister on March 22, 2018, 02:24:24 pm
-
Hallo liebe Forums Mitglieder,
ich setze nun opnsense seit einer geraumen Zeit ein und beiße mir gerade die Zähne an einer harten Nuss aus und brauche eure Hilfe.
Folgende Situation :
Ich habe eine opnsense Firewall installiert und dieser mehrere Public IPs zugewiesen.
Nun ist es so das 2 Server zwingend eine PUBLIC IP haben müssen sonst funktioniert die Software nicht richtig.
Nehmen wir einmal also folgendes an :
Meine Public IPs sind 62.30.4.224/28
nun muss also ein oder 2 Server welche hinter der Firewall sind genau 2 IPs aus diesem Kreis haben.
also 62.30.4.231 und 62.30.4.241
Wie kann ich das umsetzen ?
-
Sofern du die .231 ändern kannst wäre es denkbar indem du das Netz in 2x /29 aufsplittest, sofern das dein Provider erlaubt, denn er müsste den hinteren Teil der /29 auf die IP der Sense im vorderen /29er routen. Oder er müsste dir das komplette /28 Subnetz routen. Wenn das gegeben ist und das komplette Netz geroutet (via Transfernetz, NICHT mit einem Gateway im gleichen Netz!) oder aufgesplittet wurde, dann kannst du eine DMZ erstellen mit den restlichen öffentlichen Adressen.
Ansonsten klappt das ohne weiteres nicht (schön), da die IPs vorne auf dem WAN der sense stehen, nicht auf einem Netz dahinter. Hängt aber davon ab wie (un)flexibel die Software und das OS sind.
-
Hallo,
Möcht nicht sagen dass das hier https://docs.opnsense.org/manual/how-tos/transparent_bridge.html der Workaround ist aber es wäre eine Lösung, je nachdem was du für Ressourcen zur Verfügung hast würde sich eine mehrstufige FW anbieten mit transparenter bridge.
mfg Martin
-
Im schlimmsten Fall gehts mit nem 1:1 NAT von der Public IP auf eine RFC1918. Dann schaut es nach außen so aus, als hätte er ne öffentliche IP.
-
@fabian: wenn die Server zwingend eine public IP haben müssen (gibts manchmal), dann wird das nicht hinhauen mit ner 1:1 NAT. War aber auch mein erster Gedanke, warum das nicht so lösen. :)
-
@JeGr: Ne Idee: Einfach nem Interface (idealerweise lo) IP/32 zuweisen. Dann hat der rechner zwar die IP, aber kein Netzwerk dazu - muss also über ein anderes Netz raus gehen. Wenn die Anwendung auf 0.0.0.0 hört, wird sie auch die Daten auf der internen Schnittstelle annehmen und als public IP diejenige, die auf der OPNsense (und lokal) anliegt.
Sollte das auch nicht gehen, kann man immer noch intern wieder auf die public IP zurück übersetzen - was meiner Meinung nach eher ein grauslicher Hack ist und vermieden werden sollte.
-
Vielleicht könnte man das Problem auch damit lösen, indem man einfach den einen Server mit dem WAN auf eine Bridge hängt und damit der Server direkt im Internet angeschlossen ist. Ist natürlich auch problematisch aber ggf. so gewollt.
-
> @JeGr: Ne Idee: Einfach nem Interface (idealerweise lo) IP/32 zuweisen. Dann hat der rechner zwar die IP, aber kein Netzwerk dazu - muss also über ein anderes Netz raus gehen. Wenn die Anwendung auf 0.0.0.0 hört, wird sie auch die Daten auf der internen Schnittstelle annehmen und als public IP diejenige, die auf der OPNsense (und lokal) anliegt.
Haben wir in den Anfangstagen von HA/Loadbalancing unter Linux gemacht. Noch häßlich mit ARP unterdrücken per Kernel Flag und Co. Wuah...