Einzelne Ziel-IP in lokalem Netz umbiegen

[Layer8]

Hallo zusammen,

wahrscheinlich eine einfache Sache, aber ich komm nicht drauf.

Netz 10.10.10.0/24 ist an der opnsense angebunden. GW-IP der OPNsense ist 10.10.10.1/24.

In dem Netz ist ein Host mit der IP 10.10.10.11. Der Host ist soweit aus anderen Netzen erreichbar.

Der Host soll aus anderen Netzen nun nicht mehr über die 10.10.10.11 sondern die 10.10.10.99 erreichbar sein, obwohl der Host weiterhin die 10.10.10.11 als IP behält. Die opnsense soll also Verbindungen die aus anderen Netzen kommen und als Ziel die 10.10.10.99 haben auf die 10.10.10.11 umbiegen.

Wie bekomme ich das bewerkstelligt?

Alias 10.10.10.99 anlegen und irgendwie alle Ports an 10.10.10.11 forwarden?

Mit 1:1 NAT? Hab leider noch keien Anleitung gefunden die für lokale Netze funktioniert. Meist gehts da um WAN und ich hab noch nicht so ganz rausgefunden, wie sich das auf lokale Netze ohne NAT adaptieren lässt.

Vielen Dank.

[JeGr]

Wenn es um einzelne Port oder Portbereiche geht, am Einfachsten mit Port Forwards. Muss dann je ein Forward pro anderes Netz rein, also wenn 3 andere VLANs auf 10.10.10.99 sollen, muss für jedes VLAN ein PFW definiert werden mit Ziel 10.10.10.99 redirection auf 10.10.10.11.

Verstehe nur den Sinn nicht ganz, da alles intern abläuft, warum nicht einfach (temporär?) dem Host selbst als zweite IP die .99 geben?

[Layer8]

Der Host mit der IP 10.10.10.11 lässt eine zweite IP nicht zu. Im Netz 10.10.10.11 befinden sich ein paar Hosts, die auf die .11 verbinden und es ist aktuell nicht ganz so einfach, das in diesen Hosts abzuändern.

Die .11 soll mittelfristig durch die .99 ersetzt werden und für die Übergangsphase sollen externe Anfragen schon auf die .99 verbinden.


Am liebsten wäre uns, wenn wir die gesamte IP übersetzen könnten und nicht nur einzelne Ports forwarden müssen. Geht das? Wie?

[lfirewall1243]

Der Host mit der IP 10.10.10.11 lässt eine zweite IP nicht zu. Im Netz 10.10.10.11 befinden sich ein paar Hosts, die auf die .11 verbinden und es ist aktuell nicht ganz so einfach, das in diesen Hosts abzuändern.

Die .11 soll mittelfristig durch die .99 ersetzt werden und für die Übergangsphase sollen externe Anfragen schon auf die .99 verbinden.


Am liebsten wäre uns, wenn wir die gesamte IP übersetzen könnten und nicht nur einzelne Ports forwarden müssen. Geht das? Wie?

Sollte mit 1:1 NAT gehen. Ist im Endeffekt eine Portweiterleitung für alle Ports

[Layer8]

Und wie? In meinem ersten Beitrag hab ich ja bereits geschrieben, dass ich es damit versucht habe, aber es nicht hinbekommen habe, weil die ganzen Tutorials und auch die  offizielle Doku sich in der Regel auf WAN mit NAT beziehen.

[JeGr]

> Sollte mit 1:1 NAT gehen. Ist im Endeffekt eine Portweiterleitung für alle Ports

Da wäre ich nicht sicher, da BiNAT in pf Syntax m.W. eigentlich keine Source Redirection kennt, das machen nur RDR Regeln die für Port Forwards genutzt werden. Die können an Hand von Source greifen und nur dann umschreiben. BiNAT macht das eigentlich nicht und kann auch nicht redirecten, sondern mappt abgehend dann die outbound IP um. Wir müssten ja aber das Ziel "intercepten"... *hmm*

Was man versuchen könnte:

* Port Forward
* Interface: eines, von dem aus die .99 genutzt werden soll (also nicht das LAN wo die .11 dran hängt)
* Protocol: any
* Source: aufklappen, das Netz auswählen also bspw. LAN2 net
* Destination: 10.10.10.99/32
* Redirect: 10.10.10.11

Das erzeugt eigentlich die folgende Regel (bsp, von mir mit em1 als HW Interface für LAN2)

-> rdr on em1 inet from (em1:network:1) to 10.10.10.99 -> 10.10.10.11

Also ein Redirect auf dem IF em1 (LAN2 bspw.) von em1:network (also dem ganzen Netz von LAN2) mit Ziel 10.10.10.99 was es ja nicht gibt, wird geschickt auf die 10.10.10.11. Da kein Proto angegeben, müsste es für alles gelten.

Dann muss natürlich eine Firewall Regel das noch erlauben, aber so müsste es gehen.