Outbound NAT, IP-Alias wird nicht genutzt

Started by konrad63897, January 08, 2024, 06:27:25 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 08, 2024, 06:27:25 PM
Guten Abend,

es geht um die Nutzung von IP Aliases bei OUTBOUND NAT Verbindungen. Unser Provider stellt uns drei IPv4 /29 Netze und ein IPv6/48 Netz zur Verfügung. Desweiteren ist noch ein Standard DSL Anschluss an der OPNsense angeschlosssen.

Die OPNsense hat aus dem ersten Netzwerk eine IP (1.1.1.6) bekommen und das Standard Gateway (erste nutzbare IP aus dem Netz, 1.1.1.1). Gerät funktioniert, Grundeinrichtung durchgeführt.

Code Select
                WAN                      WAN
                 :                        :
                 : Telekom                : Telekom
                 : DeutschlandLAN         : VDSL-50
                 : IPv4/IPv6 static       : IPv4/IPv6 dyn.
                 :                        :
            .----+----.              .----+----.
            | Router  |              | FB 7590 |
            '----+----'              '----+----'
                 |                        | 192.168.178.1/24
   1.1.1.0/29    |                        |
    1.1.1.1      |                        |
  2.2.2.120/29   |                        |
   2.2.2.121     |                        |
  3.3.3.232/29   |                        |
   3.3.3.233     |                        |
     IPv6/48     |                        |
                 |      .----------.      |
                 +------| OPNsense |------+
           1.1.1.6/29   '-----+----'    192.168.178.2/32
                              |   
            192.168.99.1/24   |
                              |
                              |
                          ----+-----
                          |   |    |

Beim Versuch im OUTBOUND SNAT die IPs aus den zusätzlichen Netzen (oder der Fritzbox Verbindung) zu verwenden ist jedoch fehlgeschlagen, jeglicher ausgehender Verkehr der eine IP aus den zwei zusätzlichen Netzen (2.2.2.[122-126] und 3.3.3.[234-238]) verwenden soll wird mit der IP der sense (1.1.1.6) durchgeführt.

Es spielt keine Rolle ob beim Anlegen der IP Aliase ein Gateway mit angegeben wird oder nicht.
FunFact: Eingehender Verkehr mit Port forward funktioniert auch mit den zusätzlichen Adressen (außer der "Fritz-Anschluss" natürlich).

Wie muss man denn das konfigurieren um auch die zusätztlichen Adressen im ausgehenden Verkehr nutzen zu können - idealerweise auch den FB-Anschluss) ?

Danke und noch ein gutes neues Jahr,
Stefan
January 13, 2024, 12:03:30 AM #1
Moin,

das Problem hatte ich auch.

Ich habe dann, statt die virtuellen IP in den NAT Regeln direkt zu verwenden,
erst einen Alias unter  Firewall. - Aliases für die virtuelle IP angelegt und
diesen Alias dann in den Regeln verwendet.
Das hat dann funktioniert.
Schönen Gruß
January 13, 2024, 09:49:33 PM #2
Super, danke für den Tipp,

kann das erst morgen versuchen, aber schon mal ne Richtung.

DANKE, Gruß,
Stefan
January 15, 2024, 10:48:39 AM #3
Nein, leider zeigt sich hier auch nicht das erwünschte Verhalten - das Ding geht stur mit seiner ersten WAN Adresse raus, unabhängig von irgendwelchen Einträgen im Outbound NAT. Kann doch nicht sein dass ich der einzige bin der eine derartige Anbindung umsetzen muß.
January 15, 2024, 10:52:19 AM #4
Ist deine spezielle NAT Regel denn vor der allgemeinen? Evtl. musst du NAT auf manuell unstellen, die Firewall geht die Regeln stur von oben nach unten durch.

Nur um sicher zu gehen: die ausgehende NAT Regel liegt auf dem WAN-Interface?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 16, 2024, 10:22:16 AM #5
Bei mir ist die Einstellung im Outbound NAT auf Hybrid,
also erst die manuellen Regeln, dann die automatischen.
In der manuellen Outbound Regel den neuen Alias unter Translation / Target eingestellt.

Funktioniert an zwei Standorten, einmal am öffentlichen /29 Netz (IPv4)am WAN Anschluß und hinter einer Fritzbox mit 178.0/24 am WAN Anschluß.

Gruß Kai
January 18, 2024, 12:13:48 PM #6
Danke für Eure Antworten, ich kann einen Teilerfolg berichten!

Outbound-NAT mode war auf "hybrid" und bleibt auch auf dieser Einstellung.
(Laut Beschreibung erst manuelle Regeln, dann automatische)
Die virtuellen IPs wurden komplett entfernt und neu angelegt - jede als Einzel-IP/32
und ohne Gateway.
Mir ist zwar schleirehaft wie das Routing dann gemacht wird da ja nirgends das Gateway angegeben ist - aber ok, solange es funktioniert.
Danach wurden die Regeln neu angelegt (ja, waren auch vorher auf dem WAN Interface) und dann wurden ausgehende Adressen auch "umgeschrieben".

Was noch nicht geht ist der ausgehende Verkehr über die Fritzbox zeitgleich zum "normalen" WAN.

Gruß,
Stefan
Print
Go Up Pages1
User actions