1:1 NAT und Portforward

Andreas · May 04, 2017, 12:04:14 PM

Hi,
ich stell mich glaube ich selten doof an
aber wie konfiguriere ich korrekt ein 1:1 Nat
brauche ich dafür eine Virtual IP? Der Versuch endete damit das die Firewall selber aufeinmal angesprochen wurde (das Portal) statt der Server der erreicht werden sollte

weiterhin wie kann ich sehen ob ein NAT eingetragen und verwendet wird?
ich habe ein Forwarding auf einer WAN Schnittstelle von Port 80 auf einen server hinter der Firewall auf Port 80 eingerichtet
brauche ich wenn auf der WAN Schnittstelle nicht die IP der Firewall verwende sondern irgendeine dort auch eine Virtuelle IP?

Danke

JeGr · May 12, 2017, 02:57:41 PM

Die Frage per se hat so viele Ober- und Untertöne, dass ich lieber nachfrage. Was soll denn bitte genau erreicht werden? 1:1 NAT ist jetzt auch nichts anderes vom Prinzip her als ein Port Forwarding aller Ports einerseits und ein Outbound NAT andererseits miteinander kombiniert. Aber in der Beschreibung schwingen da viel anderen Sachen und Halbwissen mit, weswegen es sinnvoll wäre klar zu definieren, was denn von wo nach wo wie funktionieren soll.

Gruß

Andreas · May 12, 2017, 05:47:16 PM

WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
WAN 2 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100

Sowohl für WAN 1 und WAN 2 waren Virtual IP

Resultat - alle Anfragen gehen an die OPnsense nicht an die Ziel IP

Port Forwarding wurde versucht in Form von
WAN 1 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21
WAN 2 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21

Resultat das kam an, FTP kam aber nicht zu stande es kam die Fehlermeldung 425 vom Zielserver (Netzwerk 1)

Firewall: bei WAN 1 und WAN 2 als auch Netzwerk 1 waren erlaubt "Any!"

Es kam so fragend daher weil ich eigentlich keine Probleme mit Natten hatte bis zu dem Zeitpunkt.
Das 1:1 NAT lief vorher auf einer WAN schnitstelle (WAN 3) als ich es dann umgezogen habe also nur
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
ging es schon nicht mehr.

Wenn man alles probiert und mit Wireshark dann ganz andere ergebenisse bekommt als man erwartet wird man irgendwann nervös bzw. unsicher.

x.zepto · May 16, 2017, 01:40:01 PM

Hallo

ich würde ein Port Forwarding machen damit müsste es eigentlich Funktionieren :)

Gruß Michel

Andreas · May 16, 2017, 09:34:23 PM

Hallo
Kann ich in dem Fall leider nicht

Im übrigen ergab ein Port forward das auf der wan Seite die private LAN iP auftauchte

Zur config ich nutze Hybrid nat aber ohne manuelle Regel auf diesem wan Interface

JeGr · May 17, 2017, 10:09:47 AM

Quote from: Andreas on May 12, 2017, 05:47:16 PM
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
WAN 2 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100

Sowohl für WAN 1 und WAN 2 waren Virtual IP

Resultat - alle Anfragen gehen an die OPnsense nicht an die Ziel IP

Port Forwarding wurde versucht in Form von
WAN 1 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21
WAN 2 IP Adresse 10.96.100.2 Port 21< 1:1NAT > Netwerk 1 192.168.100.100 Port 21

Resultat das kam an, FTP kam aber nicht zu stande es kam die Fehlermeldung 425 vom Zielserver (Netzwerk 1)

Firewall: bei WAN 1 und WAN 2 als auch Netzwerk 1 waren erlaubt "Any!"

Es kam so fragend daher weil ich eigentlich keine Probleme mit Natten hatte bis zu dem Zeitpunkt.
Das 1:1 NAT lief vorher auf einer WAN schnitstelle (WAN 3) als ich es dann umgezogen habe also nur
WAN 1 IP Adresse 10.96.100.2 < (1:1)> Netzwerk 1 192.168.100.100
ging es schon nicht mehr.

Wenn man alles probiert und mit Wireshark dann ganz andere ergebenisse bekommt als man erwartet wird man irgendwann nervös bzw. unsicher.

Sorry aber das macht gerade bei mir überhaupt keinen Sinn.
Was ist mit WAN1 und WAN2 gemeint?
Warum auf dem WAN private Adressen?

Du lieferst leider gerade überhaupt keine Details zur Infrastruktur, nur dass es nicht so funktioniert wie du willst ;) So kann ich zumindest aber überhaupt nicht herauslesen, was und warum es nicht funktioniert.

Gruß

Andreas · May 17, 2017, 02:24:23 PM

WAN 1: Dienstleistung an andere dorthin soll ein Netz geroutet werden nicht alle
WAN 2: Externer Dienstleister der Voll-Zugriff auf einen Server braucht im LAN

dann gibts noch
WAN 3: Stand Internetleitung
WAN 4: PPOE Internetleitung

VLAN 1-5 ver. Betriebstechnische Anlagen (DDC/SPS), VIDEO, Zähler sowas
VLAN 6 Server

Reicht oder was vergessen?

JeGr · May 17, 2017, 03:30:02 PM

Also hat der Server oder die Appliance 4 WAN und 1 LAN Interface mit 6 VLANs, ist das korrekt?

Andreas · May 17, 2017, 03:32:14 PM

die Firewall hat dieses
(deciso gerät OPNsense A10 Quad Core Rack SSD )

sonst passt es ja

der server hat zwei Netzwerkkarten im LAN

JeGr · May 17, 2017, 03:50:46 PM

Von dem Server weiß ich nichts bzw. ging aus dem Post bislang so nicht hervor.

Nichts desto trotz: Wenn auf irgendeinem WAN eine 1:1 NAT eingerichtet werden soll, sollte es da auch noch weitere Adressen geben als nur die WAN IP der Sense. Wenn diese geroutet wird, muss keine Virtual IP angelegt werden. Wenn die IP auf dem Gerät konfiguriert werden muss (da nur über Gateway erreichbar), dann ist diese entsprechend als VIP anzulegen (Alias oder CARP je nach Einsatzbereich des Geräts). Dann 1:1 NAT mit der externen IP und der internen IP des Servers und eine Firewall Regel, die den Zugriff erlaubt. Regel muss dann als Destionation NICHT die externe IP sondern die Server IP (intern) haben, da NAT VOR den Regeln ausgeführt wird.

Grüße

Andreas · May 17, 2017, 04:23:39 PM

Es gibt auf der WAN Seite ein anders geroutetes netz
also bsp

WAN 1 193.26.38.0/22 <OPNSENSE> LAN 3 192.168.100.0/24

Angesprochen werden sollte über 10.96.100.5 die 192.168.100.5

Ich versteh das jetzt so in Summe das ich die VIP 10.96.100.5 anlegen müsste - was ich getan hatte ohne das es funktionierte

wegen den rules war auch so beachtet worden das die interne IP als 192.168.100.5 freigegeben war.

wenn dsa jetzt so richtig gewesen wäre ist es noch fragwürdiger warum es nicht lief?!

JeGr · May 17, 2017, 05:29:01 PM

Ich lese immer 10.96.100.5 - du hast leider zur Konfiguration der WAN Interfaces so gar nichts geschrieben. Daher kann ich dazu immer noch nichts sagen, da ich immer noch nicht weiß, welche IPs oder ggf. Netze deine WANs haben und wie dann das 1:1 NAT konfiguriert sein muss. Auch ob vor den WANs noch irgendwelche Router, Medienkonverter oder sonstwas stehen wäre relevant. Eine Skizze o.ä. könnte hier wirklich helfen.

Ein Screenshot der 1:1 Regel könnte ggf. auch weiterhelfen.

Grüße

Andreas · May 17, 2017, 06:32:37 PM

in wie fern konfig?

WAN 1 10.100.42.96 / 24 WAN GW: 10.100.42.1
WAN 2 10.100.43.96 / 24 WAN GW: 10.100.43.1

Screen kann ich dir nicht machen. dann ist die kiste quasi unbedienbar bzw extrem lahm

was fehlt noch?

JeGr · May 18, 2017, 03:40:44 PM

OK wenn das die WANs sind - wo kommen dann die extern erreichbaren public IPs her, die du da drauf mappen möchtest? :)

Andreas · May 18, 2017, 08:53:47 PM

WAN ist für mich alles außerhalb meines Lan
Dmz setze ich aktuell nicht ein

Also sind die hier benötigten nat Lösungen von meinem LAN auf ein fremdes LAN gedacht

1:1 NAT und Portforward

Andreas

May 04, 2017, 12:04:14 PM

JeGr

May 12, 2017, 02:57:41 PM #1

Andreas

May 12, 2017, 05:47:16 PM #2

x.zepto

May 16, 2017, 01:40:01 PM #3

Andreas

May 16, 2017, 09:34:23 PM #4

JeGr

May 17, 2017, 10:09:47 AM #5

Andreas

May 17, 2017, 02:24:23 PM #6

JeGr

May 17, 2017, 03:30:02 PM #7

Andreas

May 17, 2017, 03:32:14 PM #8

JeGr

May 17, 2017, 03:50:46 PM #9

Andreas

May 17, 2017, 04:23:39 PM #10

JeGr

May 17, 2017, 05:29:01 PM #11

Andreas

May 17, 2017, 06:32:37 PM #12

JeGr

May 18, 2017, 03:40:44 PM #13

Andreas

May 18, 2017, 08:53:47 PM #14