Doppeltes NAT vermeiden

Started by meschmesch, October 11, 2020, 07:02:04 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
October 11, 2020, 07:02:04 PM
Hallo,

beim mir läuft WAN - Fritzbox - OPNsense - LAN. Das Netz der Fritzbox ist 192.168.1.0 und OPNsense erhält die 192.168.1.1. Das LAN läuft auf 192.168.2.0.

So wie ich verstanden habe, macht nun sowohl die Fritzbox als auch OPNsense NAT. Warum ist das ineffektiv - Probleme bemerke ich keine?

Wie kann so ein doppeltes NAT vermieden werden?

Danke und sorry für die doofen Fragen  :-[

LG
October 11, 2020, 07:03:59 PM #1
nutz doch einfach die forum suche, wurde schon öfter thematisiert.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
October 11, 2020, 10:31:32 PM #2
Hab ich, aber nicht wirklich verstanden gebe ich ehrlich zu. Bridge mode an der Fritzbox habe ich nicht. Bleibt als Einstellung an der Fritzbox nur noch exposed host für opnsense. Ok. War das dann schon alles?

Ist opnsense dann weiterhin exakt so konfiguriert wie ohne exposed host?

Benötigt es irgendwelche static routes auf der Fritzbox?

Sorry.
October 12, 2020, 09:16:18 AM #3
Welche Fritzbox hast du?
Meine gingen bisher immer in den Bridge Modus
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
October 12, 2020, 10:52:02 AM #4
6591 Vodafone Kabel branding. Unabhängig davon benötige ich die DECT Funktion und damit Telefonfunktionalität.

October 12, 2020, 01:04:13 PM #5
Ich bau das dann immer so, dass die Fritzbox die Internetverbindung bereit stellt und ich dann per statischer Routen auf der FritzBox die internen Netze auf die WAN IP der OPNsense weiterleite. An der OPNsense wird dann SNAT deaktiviert. Doppeltes NAT ist weg und Du kannst fein justieren was aus dem FritzBox Netz in Dein Netz hinter der OPNsense darf.

Entweder ist die OPNsense dann bei der FritzBox als Exposed Host deklariert oder Du leitest nur die Ports weiter, die wirklich gebraucht werden (mache ich eher so).
,,The S in IoT stands for Security!" :)
October 12, 2020, 06:14:37 PM #6
Das ist doch mal ne brauchbare Aussage, danke. Das heißt, ich trage in der Fritzbox für jedes Subnetz hinter der OPNsense eine direkte Route ein? Also OPNsense hat WAN Adresse 192.168.1.2 mit Subnetz ...2.0 und ...3.0
Static Route 1: 192.168.2.0, Netzmaske 255.255.255.0 und Gateway? Ist das die WAN Adresse?
Static Route 2: 192.168.3.0, und der Rest identisch mit Static Route 1?

October 12, 2020, 06:15:53 PM #7
Genau, Gateway ist dann die WAN IP von der OPNsense, in Deinem Beispiel die 192.168.1.2
,,The S in IoT stands for Security!" :)
October 12, 2020, 06:41:04 PM #8
ok. Und die Port-Weiterleitung in der Fritzbox läuft dann auf die Ziel IP (also z.B. .2.100) oder auf die WAN Adresse? Ich nehme an die Ziel IP. Und wenn dem so ist, dann benötige ich in der OPNsense auch kein Forwarding mehr (bisher WAN-IP 1.2 auf die interne IP .2.100), richtig?

Du hast geschrieben, dass ich SNAT deaktiviere. Ist das Setzen von "Disable outbound NAT rule generation"?
October 12, 2020, 06:45:31 PM #9
Genau, outbound NAT abschalten.

Wenn Du Port Forwarding auf Geräte hinter der OPNsense betreiben willst, dann geht das wie von Dir beschrieben. Es gab mal einen Bug in einer FritzBox Firmware, wo man die Forwards nicht auf Geräte außerhalb des FritzBox Netzes einstellen konnte. Ist aber in aktuellen Firmwares behoben. Forwarding brauchst Du an der OPNsense dann nicht mehr. Nur noch eine Firewall Regel, die das erlaubt.
,,The S in IoT stands for Security!" :)
October 12, 2020, 06:50:41 PM #10
ok probiere ich aus. Danke für die mega konstruktive Hilfe!!!!
October 13, 2020, 11:04:23 AM #11
Hallo zusammen,

interessantes Thema....
Meine Frage ist, wo das Problem ist, hier doppeltes NAT zu machen? Ich habe seit fast 2 Jahren die gleiche Konfig wie Meschmesch und bisher keine jeglichen Probleme feststellen können. Auch nicht in der Performance.

Der einzige Unterschied ist, dass  die Mac-Adresse von der Sense auf der Fritzbox reserviert ist, damit sie immer die gleiche IP bekommt. Der Vorteil dieser Konfig ist, dass man ein "Hintertürchen" hat, falls die Sense (aus welchen Gründen auch immer) kein Internet mehr aufbaut.
So kannst man schnell via Fritzbox ins WAN, hast doppelte FW- Funktionalität und erleichtert das Troubleshooting.


October 13, 2020, 11:08:16 AM #12
Ich sehe es anders, es macht alles komplexer, du hast deine wan ip nicht direkt auf der Sense
Ich habe von Anfang an mein Setup mit einem Modem betrieben


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
October 13, 2020, 11:17:34 AM #13
Nun, im Endeffekt muss jeder für sich entscheiden, was für seine Umgebung die beste Lösung ist. Aber es ist positiv, auch mal mehrere Varianten hier zu erfahren.
October 13, 2020, 11:21:10 AM #14
Quote from: micneu on October 13, 2020, 11:08:16 AM
Ich sehe es anders, es macht alles komplexer, du hast deine wan ip nicht direkt auf der Sense
Ich habe von Anfang an mein Setup mit einem Modem betrieben


Gesendet von iPhone mit Tapatalk Pro

Wenn man nur eine aktuelle FritzBox rumstehen hat, fällt das aber aus, da sie sich nicht mehr als reines Modem betreiben lassen wollen. Da muss man dann erstmal Geld in ein reines Modem investieren.

An einem Firmenstandort bin ich da ganz bei dir, da ist die WAN Strecke direkt an der OPNsense.

Zu Hause zum Rantasten finde ich das Setup so ganz gut, da man viel testen kann ohne die gesamte Internetverbindung für alle Familienmitglieder zu stören.

Gerade wenn die Fritzbox auch Telefonie macht und man Magenta TV/IPTV nutzt, kann einem da einiges auf die Füße fallen.
,,The S in IoT stands for Security!" :)
Print
Go Up Pages1 2
User actions