NAT deaktivieren, nur routen

Started by bastler1220, February 17, 2021, 06:48:23 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 17, 2021, 06:48:23 PM
Hi,

ich bin mit meinem Latein am Ende. Ich versuch zwischen 3 privaten Subnetzen zu routen. Bei der Konfiguration "WAN" Schnittstelle nach "LAN" Schnittstelle komme ich NAT nicht vorbei.

Ich bin nach einigem Lesen auf Transparent Briding gestoßen. Aber irgendwie scheint das nicht richtige für mich zu sein. Da es anscheinend nur um ein Subnetz geht.

Sehe ich das richtig? Wißt Ihr einen Weg für mich?

February 17, 2021, 06:59:11 PM #1
Also etwas mehr Mühe musst Du Dir leider schon geben uns Dein Problem zu schildern. Ein Netzwerkplan https://forum.opnsense.org/index.php?topic=7216.0
ist ein guter Anfang.
,,The S in IoT stands for Security!" :)
February 17, 2021, 08:17:02 PM #2
Code Select




                             ^
                             |
                             |
                             |
                             |
                             |"WAN" 192.168.50.0
                             |
                       +-----+------+
                       |                  |
                       | opnsense |   OPT1 192.168.40.0
                       |                 +------------------>
                       |                 |
                       |                 |
                       |                 |
                       +-----+------+
                             |
                             | "LAN" 192.168.30.0
                             |
                             |
                             |
                             v

Ist einwenig verschoben, aber das wesentliche kommt rüber.
February 17, 2021, 09:50:59 PM #3
Wo sind denn deine 3 privaten netze.
- 192.68.50.0/24 ist doch dein wan
- 192.168.40.0/24 ist lan
- 192.168.30.0/24 ist noch ein lan

Dein wan ist für mich internet kein lan (ist ja auf der wan Seite)
Und wo ist jetzt dein problem?

Poste mal Screenshots wo deine Probleme sind (konfiguration)


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
February 17, 2021, 10:28:44 PM #4
Einfach unter 'Firewall / NAT / Outbound' das Outbound-NAT deaktivieren. OPNsense läuft dann als normaler Router.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
February 18, 2021, 01:36:03 PM #5 Last Edit: February 18, 2021, 01:39:36 PM by bastler1220
Code Select
                              ^Internet
                           +--+--+
              Fritzbox     |     |
                           |     |
                           +--^--+
                              |
                              |
                              |
                              |
                              |192.168.50.0
                              |
                              |
                           +------+
             OPNsense      |      |     192.168.40.0
                           |      |----------->
                           +------+
                              |
                              |
                              |
                              |192.168.30.0
                              |
                              v

Sorry, hatte die FB vergessen.

Das Problem ist, aus dem 50er Netz möchte ich auf einen Samba share im 40er Netz zugreifen ohne eine Portweiterleitung einzurichten.

Mein Ziel ist den Zugriff einfach per Regel für mehere Hosts freizugeben. Also 50er Netz ins 40er Netz.

Wie würdet Ihr das Umsetzen?
February 18, 2021, 01:52:37 PM #6 Last Edit: February 18, 2021, 01:55:08 PM by Gauss23
Dazu braucht die Fritzbox eine statische IPv4 Route.
192.168.40.0/24 über die WAN IP der OPNsense 192.168.50.x (was die OPNsense dort eben hat).
Ich würde das Interface tatsächlich auch WAN nennen auf der OPNsense.

Dann kannst Du auf der OPNsense das Outbound NAT komplett ausschalten. Also manuell einstellen und keine Regel dort anlegen.

Nun legst Du auf dem WAN Interface eine FW-Regel an, die den Hosts aus 192.168.50.0/24 (Source) erlauben auf den Host 192.168.40.x/32 (destination) per SMB  (Port 445 TCP) zuzugreifen.
,,The S in IoT stands for Security!" :)
February 18, 2021, 02:16:34 PM #7
Danke für die ausführliche Erklärung, deiner Variante. So hatte ich mir das so ungefähr vorgestellt. Mir ist ein nur ein punkt unklar.

Warum 192.168.40.x/32  und nicht /24? Um den Zugriff auf den einen host zu begrenzen?
February 18, 2021, 02:32:15 PM #8
Naja, du schriebst, dass du nur auf EINEN Samba Server zugreifen wolltest. Daher die Beschränkung auf den einen Host. In der Gestaltung bist du frei :)
,,The S in IoT stands for Security!" :)
February 18, 2021, 06:55:49 PM #9
Alles klar.

Danke für Eure Hilfe und Gedanken dazu! :D
Print
Go Up Pages1
User actions