1:1 NAT und Portforward

[JeGr]

OK das ist schön dass du das so siehst, beantwortet aber meine Frage nicht ;)

Du schreibst oben im ersten Post was von 10.96.100.2. Wo kommt also das Netz 10.96.100.x her und wie kommt das auf das WAN Interface (und welches)? Denn es kann logisch und technisch nicht sein, dass du das gleiche Netz auf zwei WANs ankommen haben möchtest.

[Andreas]

Hi,
dann ist evt. das das problem das ich zweimal ein nat von 10.96.100.2 machen will -aber auch auf einer schnittstelle lief es ja leider nicht.

die 10.96.100.x/24 ist das von mir definierte Netz nach aussen. es ist nicht existent - also virtuell und soll für alle xterne "dienstleister" und anwender gleich sein - und ja auf ver. Schnitstellen bzw. transfers
dieses 10.96.100.2/24 wird genattet z.b auf 192.168.100.2
oder die 10.96.100.200 auf die 192.168.254.200 etc.

hoffe dsa bringt etwas licht ins dunkle

[JeGr]

Sorry nicht wirklich.

Du "definierst" einfach irgendein Subnetz, welches nirgends aufliegt oder geroutet wird. Auf mehreren Interfaces, was per se schonmal nicht funktionieren kann. Und das soll dann auto-magisch für Dienstleister und Anwender funktionieren.

Ich habe schon komplexer Setups mit Sensen in Betrieb aber was du hier versuchst verstehe ich leider nicht ein bisschen. Deshalb auch meine Nachfrage ob du das mit einer Skizze o.ä. verdeutlichen kannst. Visio, Gliffy, Ascii-Art, ganz egal. Aber es macht für mich einfach überhaupt keinen Sinn was du hier versuchst?

1:1 NAT macht Sinn, wenn du bspw. auf einem externen Interface ein IP-Netz geroutet bekommst mit public Adressen und diese 1:1 auf ein internes Netz gleicher Größe oder einfach auf einzelne definierte interne IPs mappen möchtest. Was du hier versuchst verstehe ich nicht, da auf den WAN Adressen ja bereits interne Netze definiert sind. Da nochmals eins draufzulegen und das dann auch noch irgendwie via 1:1 NAT in ein weiteres internes Netz reinzumanschen kann ich nicht nachvollziehen ;)

Gruß

[Andreas]

Hi,
anbei ein Bildchen

in der Diskussion ist jetzt ein wenig aufgekommen das man Services ggf. über das HA Proxy als Reverse Proxy lösen könnte...

wenn die sense dann mal auf das ihr nicht bekannte 10.96.100.0/24 Netz richtig reagieren würde...

[JeGr]

Also man mag mich gern korrigieren oder ich verstehe es vielleicht immer noch nicht.
Aber nein, das was du willst kann und wird nie funktionieren. Es kann nicht sein, dass die Sense auf mehreren Interfaces wie WAN1/3/4 GLEICHZEITIG auf die gleiche IP reagiert. Das ist routingtechnisch einfach komplett unmöglich. Nein. Schon gar keine privaten Adressen plötzlich auf einem Interface auf dem Public IPs aufliegen. Das ist für mich einfach nur chaotisch und ich sehe den Sinn nicht.

Ich weiß nicht was von WAN1 kommt, aber du hast bspw. auf WAN3 irgendwas privates mit 10.100/16 und auf WAN4 öffentliche Adressen /22. Wie sollen über diese Leitungen jemals Pakete mit einer IP aus 10.96.100 erzeugt werden. Das macht einfach keinen Sinn.

Gruß

[Andreas]

damit haben wir schonmal ein problem wohl gefunden

es liegt meiner Ansicht nach aber nur auf den DMZ/WAN 3+4 und damit nicht öffentlichen IPs die von mir gewollte Ansprech IP

WAN 1 und WAN 2 sind bezogen auf das Natten hier vollkommen egal - sind nur der vollständigkeithalber hier

WAN 4 / DMZ 2 ist kein öffentliches netz!

[JeGr]

Das mag schon sein, dennoch kann man nicht die gleichen IPs an unterschiedlichen Interfaces verwenden, das klappt einfach nicht :)

[Andreas]

ok,
akzeptiert
aber wie bekomm ich das hin das zumindest ein interface damit funktioniert?

[JeGr]

Wofür denn dann überhaupt noch ein zusätzliches privates Netz da draufkleben wollen? Und wie soll der Traffic dann überhaupt auf diese anderen IPs kommen? Das macht alles so wenig Sinn?

[Andreas]

mir gehts nur um die beiden "wan/dmz"

das sind dienste die ich anderen privaten netzen da zur verfügung stellen will/muss

[faunsen]

Hi Andreas,

JeGr hat es bereits mehrfach erklärt. Das was Du machen willst funktioniert einfach nicht. Nie und nimmer!!

Du kannst keine IP Adresse (10.96.100.2) aus einem Adressbereich (10.96.100.0/24) über ein Interface routen das zu einem anderen Bereich (10.100.0.0/16 bzw. 193.26.188.0/22) gehört.

Desweiteren ist es nicht möglich eine private Adresse über das Internet zu routen (indirekt per VPN aber schon).
D.h. 10.96.100.2 wird auf WAN4 niemals erreichbar sein und die 'privaten' Netze werden auch nie eine Antwort erhalten.

Wenn die Firewall aus unterschiedlichen Netzen erreichbar sein soll, dann nur über unterschiedliche IP Adressen.
Wenn sie über das Internet erreichbar sein soll, dann nur über eine öffentliche Adresse oder VPN.

Du solltest Dein Vorhaben nochmal neu konzipieren.


Viele Grüße
Frank

[JeGr]

Das mag alles sein, aber ich habe mich denke ich jetzt schon mehrfach wiederholt, dass das einfach nicht geht, was du da anzetteln möchtest. Du kannst nicht einfach extern auf WAN3/4 ein anderes und bei beiden noch dazu das gleiche Netz nutzen um irgendwelche NATs zu bauen. IP Routing funktioniert so einfach nicht.

Klar kann ich bei einem Uplink/WAN Transfernetz noch ein anderes Netz drauflegen, aber dann muss das Netz auch beim Uplink Router bekannt sein und der muss die Pakete dann entsprechend adressieren, damit die pfSense die schon auf der anderen IP empfängt. Aber das passiert bei dir gar nicht (zumindest hab ich das nirgends gesehen). Oder es ist mir einfach immer noch spanisch, was genau das eigentlich bringen soll.

Nichts desto trotz: Es funktioniert NIE, das gleiche Netz an zwei unterschiedlichen Interfaces aufzulegen. Der einzige Weg wie so etwas gehen könnte ist mit echten IPs und BGP und dann müsste dir der IP Space gehören und du mit deinem Provider Upstream BGP sprechen. Dann kannst du gern mehrere Routen annoncieren und mal über Interface 3 oder 4 routen lassen. Aber das dürfte eine ganze Nummer zu groß sein.

PS: Danke Frank, erst nach absenden gesehen und genau nochmals das, was ich bereits mehrfach versucht habe zusammengefasst :) Danke auch für die Bestätigung dass ichs nicht falsch oder zumindest du genauso verstanden hast ;)