Mehrere externe IPs - generelles Vorgehen?

Started by DauerFest, February 07, 2020, 12:04:43 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 07, 2020, 12:04:43 PM Last Edit: February 07, 2020, 08:25:42 PM by DauerFest
Hallo,

ich muss 4 externe Telekom-IPs auf div. Server und Ports weiterleiten, da die bisherige Lösung:
  alle Subdomains auf eine IP -> LANCOM
  LANCOM -> Reverse-proxy (Linux-Maschine)
  Reverse Proxy -> div. Server
zu unflexibel und der LANCOM am Ende ist.

Ein generelles Vorgehen oder ein How-To für OPNsense-Anfänger (wie mich) und diesen Anwendungsfall habe ich trotz intensiver Suche nicht finden können.

Konkrete Anforderungen :

Extern:
  IP-Range        x.x.x.40/29
  Gateway         x.x.x.41
  Benötigte IPs  x.x.x.43-46

Intern:
  IP-Range        172.16.0.0/18

Nebenbedingungen:
  DMZ ist nicht möglich
  Die externe x.x.x.42 muss unbedingt ausgeklammert bleiben, da sie bis zum stabilen Betrieb der OPNsense-Firewall weiter über den LANCOM laufen muss. Über den LANCOM machen wir bisher noch IPsec-VPN (was nicht lustig war zu konfigurieren)
  Bei einer externen IP muss der Zugriff auf mehrere Server über verschiedenen Ports möglich sein

Wünsch:
  Wireguard (daher bin ich bei OPNsense hängengeblieben)

Kann mir jemand auf die Sprünge helfen?

Danke
February 08, 2020, 11:09:19 AM #1
Bin mir nicht ganz sicher ob ich es richtig verstanden hab.

Externe IPS weiterleiten.

https://docs.opnsense.org/manual/firewall_vip.html

Ich hab den Ansatz der virtuellen IPs genommen und dann per NAT (Port forward) an die richigen Stellen leiten.
Bin noch in der probier Phase und würde damit die alte FW ersetzen wollen. Aber auch dort hab ich es schon so gemacht.

Aliase anlegen und dann konfigurieren.

Hoffe das hilft weiter.
A
English: Never try, never know!
Deutsch: Unversucht ist Unerfahren!
February 09, 2020, 11:30:36 AM #2
Danke, so oder ähnlich hatte ich das auch aus div. Quellen extrahiert.
Ich habe damit einige leider Probleme:
- Funktioniert so bei mir bisher nicht  ::)
- Irgendwo hatte ich den Ansatz (Anlegen in der Reihenfolge):

  • NAT 1:1
  • vituelle IPs
  • Port Forwarding
gelesen.
- Was ich denn richtig, wie wird sonst der Verkehr mehrerer WAN-IPs über einen physikalische WAN-Schnittstelle weitergeleitet? Die eigentliche WAN-Schnittstelle muss dann doch im promiscuous mode laufen, sonst kann sie den Verkehr mehrerer IPS nicht mitbekommen. Welche IP muss ich ihr denn dann geben oder ist das egal sofern sie nur aus dem Bereich x.x.x.40/29 ist?
- Ich ziehe mich immer gerne an konkreten Beispielen aus dem Sumpf: Bei meinen Versuchen hatte die WAN-Schnittstelle x.x.x.43/29 Muss ich dann für die weitere Verwendung dieser WAN-IP auch eine virtuelle IP mit der x.x.x.43/29 anlegen?
- Die virtuelle IP muss ich in dann beim Anlegen eines Port Forwarding wahrscheinlich als Destination angeben?

Danke

Axel
February 09, 2020, 06:58:39 PM #3
Ciao Axel,

ich kann es leider nur in der Theorie sagen. Hab im Büro die Firewall noch nicht soweit aktiv.
Zuhause läuft mal alles soweit mit der OPNSense.

Also
Virtuelle IP anlegen (Firewall - Virtual IP)
NAT anlegen (siehe screenshot)
Firewall Rule setzen (VIP zu Internen Server)

Achja, spiele vielleicht noch etwas mit der Richtung (In/Out) herum. Das hatte mir einen Streich gespielt bei meiner Haus und Hof Firewall.

Daumendrück
armin
English: Never try, never know!
Deutsch: Unversucht ist Unerfahren!
Print
Go Up Pages1
User actions