Verständnisfrage zu Portforwarding für eine zweite WAN IP

[awado]

Hi. Mein Hosting-Setup ist bisher recht klassisch: OPNsense mit einer WAN- und einer LAN-Schnittstelle, dahinter diverse VMs mit Portweiterleitungen dorthin. Läuft perfekt. Auf die WAN-Schnittstelle kommt nun eine zweite IPv4 (um vorübergehend einen zweiten Webserver darüber erreichbar zu machen).

Die Doku ist nicht sehr hilfreich. Sie spricht da nur von Load Balancing etc. Das brauche ich nicht. Ich habe aus den anderen Posts hier rausgelesen, dass man die neue IP als virtuelle IP der vorhandenen WAN-Schnittstelle zuweist. Danach muss eine Outbound-Regel (Source = LAN IP des Webservers, Translation Target = neue WAN IP) und entsprechend eine Portweiterleitung anlegen. Aber es mag nicht klappen.

Wo sage ich der OPNsense, dass Port 80 von der neuen WAN IP (und nicht von der Bisherigen!) auf den Webserver geht? Müssen die alten Portweiterleitungen angepasst werden, um weiterhin korrekt die alte WAN IP wie bisher zu bedienen?

Danke schon mal.

[Patrick M. Hausen]

Wie sehen die alten Portweiterleitungen denn aus? Wenn du als Ziel "any" oder "WAN IP" hast, dann musst du die anpassen, ja. Denn "WAN IP" matcht auf alle IP-Adressen am WAN-Anschluss, nicht nur die primäre. Du musst also einen manuellen Alias für deine alte WAN-Adresse anlegen und einen für deine neue. Und dann in den NAT > Port forwarding Regeln eben diese Aliase als Ziel verwenden.

[awado]

Danke für die Erklärung. Es sieht jetzt so aus, wie in den Screenshots, aber klappt noch nicht in Bezug auf die 2. WAN IP. Ich hätte gedacht, dass diese als "Source" eingetragen werden muss, da sie ja Quelle der Anfrage ist. Oder liege ich da falsch? Wird das Alias als Host oder als Network angelegt?

[viragomann]

Ich habe aus den anderen Posts hier rausgelesen, dass man die neue IP als virtuelle IP der vorhandenen WAN-Schnittstelle zuweist. Danach muss eine Outbound-Regel (Source = LAN IP des Webservers, Translation Target = neue WAN IP) und entsprechend eine Portweiterleitung anlegen.

Erster Teil ist korrekt und nötig, sofern die zweite IP nicht vom ISP auf die erste geroutet wird. Das macht man hier: Interfaces: Virtual IPs: Settings
Typ: IP Alias

Der zweite Teil ist aber nur für ausgehende Verbindungen nötig, falls du in diesen die andere WAN IP als Quelle sehen möchtest.

Es sieht jetzt so aus, wie in den Screenshots, aber klappt noch nicht in Bezug auf die 2. WAN IP.

Die Weiterleitung sollte so eigentlich funktionieren. Fehlt doch die virtuell IP?

BTW: Aliases für einzelne IP Adressen sind Geschmacksache. Du kannst ebenso gut direkt die IP-Adresse in die Regel schreiben.

Denn "WAN IP" matcht auf alle IP-Adressen am WAN-Anschluss, nicht nur die primäre.

Das ist mir auch neu. Auf pfSense war es jedenfalls nicht so.

[awado]

Es mag nicht klappen. Die virtuelle IP ist richtig gesetzt. Ich habe den Eindruck, dass der Traffic der zweiten WAN IP gar nicht ankommt. Allerdings gibt es beim Provider (Hetzner, dedicated) nichts, was dafür spricht. Die Firewall vom Hetzner lässt alles rein/raus unter beiden WAN IPs. In OPNsense habe ich nun Ping auf WAN erlaubt. Die erste WAN IP reagiert, die Neue nicht.

[Patrick M. Hausen]

Dass das bei einem Hoster ist, hattest du nicht geschrieben. 🙄 Natürlich kann das am Uplink liegen, dass die zweite IP-Adresse noch nicht richtig geroutet wird.

[viragomann]

Die virtuelle IP ist richtig gesetzt. Ich habe den Eindruck, dass der Traffic der zweiten WAN IP gar nicht ankommt.

Dann solltest du das erstmal überprüfen.

Interfaces > Diagnostic > Packet Capture ist hier das Onboard-Mittel der Wahl.
Einfach das WAN Interface auswählen, die WAN2 IP oder besser die Client IP bei Host eintragen, das Capture starten und einen Zugriff von außen versuchen.
Im Ergebnis sollten die Pakete dann zu sehen sein.
Besser dir Client IP, weil WAN2 auch auf WAN1 genattet sein könnte, wenn du das bei Hetzner selbst beauftragt hast.

[meyergru]

Du weisst aber schon, dass bei Hetzner für IPv4 eine strikte Bindung MAC <-> IP notwendig ist, oder?

Im Robot kann bzw. muss man deshalb auch separate MACs für weitere IPs setzen. Wenn der Virtualisierungshost z.B. Proxmox ist, definiert man typischerweise eine Bridge, dann muss man aber genau sortieren, wer ggf. welche MAC verwendet. Hetzner selbst beschreibt typischerweise ein Setup, bei dem der PVE seine MAC und die erste IP behält und die zweite MAC wird dann in der OpnSense gesetzt.

Siehe: https://docs.hetzner.com/de/robot/dedicated-server/ip/additional-ip-adresses/#nutzung-mit-virtualisierung-per-bridged-methode

Das ist hier beschrieben: https://forum.opnsense.org/index.php?msg=220167, in dem Thread geht es anfangs nur um Proxmox / OpnSense allgemein, denn auch dort gibt es Fallen.

Es gibt auch die Möglichkeit, OpnSense unter Proxmox mit nur einer IP zu betreiben, siehe hier: https://forum.opnsense.org/index.php?msg=248117

Und ja, manchmal klappt das mit dem Einrichten zusätzlicher IPs nicht.

[awado]

Ja, sorry –  das hatte ich vergessen zu erwähnen. Proxmox im Bridged Setup beim Hetzner. Es ist bei weitem nicht meine erste Installation dieser Art, nur eben nicht mit einer zweiten IP. Der Hetzner-Support hat mir bestätigt, dass die IPs korrekt geroutet werden auf seiner Seite. Die Pings kämen also bei meinem Dedicated an, aber eben nicht durch die OPNsense. Mein Setup entspricht dem, was meyergru im ersten erwähnten Thread beschreibt.

Wenn ich im Hetzner Robot für die zweite IP eine MAC erstelle, müsste ich doch in der OPNSense VM eine zweite WAN-Schnittstelle haben, um dort die MAC eintragen zu können? Da stehe ich grade auf dem Schlauch, wie man beide MAC-Adressen hinterlegt, wenn die OPNsense nur eine WAN-Schnittstelle hat. Der Traffic beider IPs geht doch über's Gateway?

[Patrick M. Hausen]

So weit richtig. Hast du die Alias-IP-Adresse mit Netzmaske /32 angelegt oder mit einer kürzeren?

[meyergru]

Ich habe bislang bei zwei (oder: mehr als einer) IPs immer die eine in OpnSense angelegt, die anderen waren direkt vergeben. Rein theoretisch müsstest Du im Bridged Setup mehr als ein Interface an die Bridge binden können - dann kannst Du auch mehrere WANs mit unterschiedlichen MACs anlegen (bei VIPs geht das m.W. nicht).

[JeGr]

Wenn ich im Hetzner Robot für die zweite IP eine MAC erstelle, müsste ich doch in der OPNSense VM eine zweite WAN-Schnittstelle haben, um dort die MAC eintragen zu können? Da stehe ich grade auf dem Schlauch, wie man beide MAC-Adressen hinterlegt, wenn die OPNsense nur eine WAN-Schnittstelle hat. Der Traffic beider IPs geht doch über's Gateway?

Was ist denn genau das Ziel? Proxmox hat erste Wan IP, du bestellst ne zweite und die soll direkt auf der OPNsense VM landen? Dann ist es genau wie @meyergru und Patrick sagen. Da muss dann ne separate MAC für die zweite IP definiert werden, die zweite MAC stellt man in Proxmox an der OPNsense VM ein und zack sollte die VM (testweise) per DHCP die IP bekommen ohne Probleme. Würde die aber natürlich dann statisch konfigurieren. Bei nem Dedi steht man normalerweise mit der zweiten IP im gleichen /24er wie der Dedi vorher auch und hat daher das gleiche GW. Ist zumindest bei meinem so, da funktioniert das bestens.

Verstehe da gerade die Logik nicht in der Sense beide IPs zu haben? Vielleicht magst du das kurz erklären, was das wird?

Cheers :)