[Behoben] Problem NAT- Reflektion

[almo]

Hallo Zusammen,

ich hab an meinem OPNsense Cluster fünf VRF-VLANS hängen um Standorte an zu binden.
Eins davon ist neu. Bei den anderen VRF-Netzen kann ich Systeme die mit einer Portforwarding an der FW hängen ohne Probleme erreichen z.b Webserver.

In dem fünften VRF geht einfach gar nichts obwohl NAT- Reflektion für die Portweiterleitungen unter NAT aktiviert ist.

Jemand eine Idee?

[Patrick M. Hausen]

Ohne eine vollständige Auflistung aller beteiligten Netze/Adressen, aller Firewall-Regeln, etc. pp. wird das mit der Idee etwas schwierig. Meine Glaskugel ist gerade zur Inspektion 

[almo]

Ich weis zwar nicht wie IP Adressen bei NAT-Reflektion Problem weiterhelfen sollen aber hier der Aufbau vom Netz was nicht geht.

Code: [Select]

+--------------------------+                                                                                                           
 |                          |                                                                                                           
 | FW Cluster               |                                                                                                           
 | tagged VLAN              |                                                                       -                                   
 | 24  IP 10.100.32.249/29  |                                                                                                           
 |                          |                                                                                                          -
 +--------------------------+                                                                               -                           
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
  +----------+-------------+                                                                                                           
  |                        |                                                                           +                               
  |    Router Provider     |                                                                                                           
  |    10.100.32.254/29    |                                                                                                           
  |                        |                                                                                                           
  |                        |                                                                                                           
  +---------+--------------+                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
+---------------------------------------------------------------------+                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|            Standort IP Range 10.100.40.0/22 (DHCP)                  |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
+---------------------------------------------------------------------+                                                                 
In Route nach 10.100.40.0/22 ist über das Gateway 10.100.32.254 angelegt im System.

Wenn ich mich an dem Standort mit meinem Notebook oder Testrechner reinsetze bekomme ich eine DHCP IP, ich kann google.de und heise.de und co aufrufen. Was ich nicht erreiche sind die Websiten oder Webdienste die an unseren WAN mit Port Weiterleitung hängen drotz aktivierte NAT Reflektion im System.

[Patrick M. Hausen]

Von welcher IP nach welcher IP geht nicht? Was sind alle deine Firewall-Regeln?

Wie soll man das sonst debuggen? Irgendwas ist faul an deiner Config. Das müssen wir finden. Wie sollen wir das ohne die Config tun?

[almo]

Regel am Interface:

Quelle: 10.100.40.0/22
Protokoll: TCP
Ziel *
Port: 80 / 443

Und damit geht das ganze Internet dieser Welt ohne Probleme.
Und alles andere läuft über NAT-Reflektion.

NAT reflection: When a client on the internal network tries to access another client, but using the external IP instead of the internal one (which would the most logical), NAT reflection can rewrite this request so that it uses the internal IP, in order to avoid taking a detour and applying rules meant for actual outside traffic.

Wie im Anfang schon gesagt habe ich 4 weitere solche VRF aufbauten nur mit anderen privaten IP Adressen vom jeweiligen Provider der Anbindet. Und da gehts direkt. Und wenn ich NAT Reflekton aus mache gehts aus diesen Netzen auch nicht mehr. Nur im Netz 5 gehts drots aktivierte NAT Reflekton nicht. Und wenn ich mit auf der FW auf der shell mit tcpdump ans interface hänge und mein test pc als quelle nehme und alles auf port 443 mir anzeigen lasse sehe ich den Request vom Rechner wie er defentiv am Interface ankommt. Nur ich sehe keine Return. Oder bin zu doof für tcpdump. Aber mir kommts so vor als geht der Request in die FW und sunft dann ein.

Mein WAN Interface hängt direkt an einem RZ Router und wir direkt mit einem 129.X.X.X./24 scop bedient. Also auch keine fritz.box oder so dazwischen.