Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
1:1 NAT und Portforward
« previous
next »
Print
Pages:
1
[
2
]
Author
Topic: 1:1 NAT und Portforward (Read 18129 times)
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: 1:1 NAT und Portforward
«
Reply #15 on:
May 19, 2017, 12:53:37 pm »
OK das ist schön dass du das so siehst, beantwortet aber meine Frage nicht
Du schreibst oben im ersten Post was von 10.96.100.2. Wo kommt also das Netz 10.96.100.x her und wie kommt das auf das WAN Interface (und welches)? Denn es kann logisch und technisch nicht sein, dass du das gleiche Netz auf zwei WANs ankommen haben möchtest.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Andreas
Sr. Member
Posts: 272
Karma: 9
Re: 1:1 NAT und Portforward
«
Reply #16 on:
May 19, 2017, 04:39:48 pm »
Hi,
dann ist evt. das das problem das ich zweimal ein nat von 10.96.100.2 machen will -aber auch auf einer schnittstelle lief es ja leider nicht.
die 10.96.100.x/24 ist das von mir definierte Netz nach aussen. es ist nicht existent - also virtuell und soll für alle xterne "dienstleister" und anwender gleich sein - und ja auf ver. Schnitstellen bzw. transfers
dieses 10.96.100.2/24 wird genattet z.b auf 192.168.100.2
oder die 10.96.100.200 auf die 192.168.254.200 etc.
hoffe dsa bringt etwas licht ins dunkle
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: 1:1 NAT und Portforward
«
Reply #17 on:
May 22, 2017, 10:57:45 am »
Sorry nicht wirklich.
Du "definierst" einfach irgendein Subnetz, welches nirgends aufliegt oder geroutet wird. Auf mehreren Interfaces, was per se schonmal nicht funktionieren kann. Und das soll dann auto-magisch für Dienstleister und Anwender funktionieren.
Ich habe schon komplexer Setups mit Sensen in Betrieb aber was du hier versuchst verstehe ich leider nicht ein bisschen. Deshalb auch meine Nachfrage ob du das mit einer Skizze o.ä. verdeutlichen kannst. Visio, Gliffy, Ascii-Art, ganz egal. Aber es macht für mich einfach überhaupt keinen Sinn was du hier versuchst?
1:1 NAT macht Sinn, wenn du bspw. auf einem externen Interface ein IP-Netz geroutet bekommst mit public Adressen und diese 1:1 auf ein internes Netz gleicher Größe oder einfach auf einzelne definierte interne IPs mappen möchtest. Was du hier versuchst verstehe ich nicht, da auf den WAN Adressen ja bereits interne Netze definiert sind. Da nochmals eins draufzulegen und das dann auch noch irgendwie via 1:1 NAT in ein weiteres internes Netz reinzumanschen kann ich nicht nachvollziehen
Gruß
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Andreas
Sr. Member
Posts: 272
Karma: 9
Re: 1:1 NAT und Portforward
«
Reply #18 on:
May 23, 2017, 04:16:10 pm »
Hi,
anbei ein Bildchen
in der Diskussion ist jetzt ein wenig aufgekommen das man Services ggf. über das HA Proxy als Reverse Proxy lösen könnte...
wenn die sense dann mal auf das ihr nicht bekannte 10.96.100.0/24 Netz richtig reagieren würde...
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: 1:1 NAT und Portforward
«
Reply #19 on:
May 23, 2017, 04:33:58 pm »
Also man mag mich gern korrigieren oder ich verstehe es vielleicht immer noch nicht.
Aber nein, das was du willst kann und wird nie funktionieren. Es kann nicht sein, dass die Sense auf mehreren Interfaces wie WAN1/3/4 GLEICHZEITIG auf die gleiche IP reagiert. Das ist routingtechnisch einfach komplett unmöglich. Nein. Schon gar keine privaten Adressen plötzlich auf einem Interface auf dem Public IPs aufliegen. Das ist für mich einfach nur chaotisch und ich sehe den Sinn nicht.
Ich weiß nicht was von WAN1 kommt, aber du hast bspw. auf WAN3 irgendwas privates mit 10.100/16 und auf WAN4 öffentliche Adressen /22. Wie sollen über diese Leitungen jemals Pakete mit einer IP aus 10.96.100 erzeugt werden. Das macht einfach keinen Sinn.
Gruß
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Andreas
Sr. Member
Posts: 272
Karma: 9
Re: 1:1 NAT und Portforward
«
Reply #20 on:
May 23, 2017, 06:44:25 pm »
damit haben wir schonmal ein problem wohl gefunden
es liegt meiner Ansicht nach aber nur auf den DMZ/WAN 3+4 und damit nicht öffentlichen IPs die von mir gewollte Ansprech IP
WAN 1 und WAN 2 sind bezogen auf das Natten hier vollkommen egal - sind nur der vollständigkeithalber hier
WAN 4 / DMZ 2 ist kein öffentliches netz!
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: 1:1 NAT und Portforward
«
Reply #21 on:
May 24, 2017, 01:45:22 pm »
Das mag schon sein, dennoch kann man nicht die gleichen IPs an unterschiedlichen Interfaces verwenden, das klappt einfach nicht
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Andreas
Sr. Member
Posts: 272
Karma: 9
Re: 1:1 NAT und Portforward
«
Reply #22 on:
May 24, 2017, 03:31:57 pm »
ok,
akzeptiert
aber wie bekomm ich das hin das zumindest ein interface damit funktioniert?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: 1:1 NAT und Portforward
«
Reply #23 on:
May 24, 2017, 04:16:06 pm »
Wofür denn dann überhaupt noch ein zusätzliches privates Netz da draufkleben wollen? Und wie soll der Traffic dann überhaupt auf diese anderen IPs kommen? Das macht alles so wenig Sinn?
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Andreas
Sr. Member
Posts: 272
Karma: 9
Re: 1:1 NAT und Portforward
«
Reply #24 on:
May 24, 2017, 05:21:37 pm »
mir gehts nur um die beiden "wan/dmz"
das sind dienste die ich anderen privaten netzen da zur verfügung stellen will/muss
Logged
faunsen
Full Member
Posts: 102
Karma: 17
Re: 1:1 NAT und Portforward
«
Reply #25 on:
May 30, 2017, 11:58:51 am »
Hi Andreas,
JeGr hat es bereits mehrfach erklärt. Das was Du machen willst funktioniert einfach nicht. Nie und nimmer!!
Du kannst keine IP Adresse (10.96.100.2) aus einem Adressbereich (10.96.100.0/24) über ein Interface routen das zu einem anderen Bereich (10.100.0.0/16 bzw. 193.26.188.0/22) gehört.
Desweiteren ist es nicht möglich eine
private
Adresse über das Internet zu routen (indirekt per VPN aber schon).
D.h. 10.96.100.2 wird auf WAN4 niemals erreichbar sein und die 'privaten' Netze werden auch nie eine Antwort erhalten.
Wenn die Firewall aus unterschiedlichen Netzen erreichbar sein soll, dann nur über unterschiedliche IP Adressen.
Wenn sie über das Internet erreichbar sein soll, dann nur über eine öffentliche Adresse oder VPN.
Du solltest Dein Vorhaben nochmal neu konzipieren.
Viele Grüße
Frank
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: 1:1 NAT und Portforward
«
Reply #26 on:
May 30, 2017, 12:03:24 pm »
Das mag alles sein, aber ich habe mich denke ich jetzt schon mehrfach wiederholt, dass das einfach nicht geht, was du da anzetteln möchtest. Du kannst nicht einfach extern auf WAN3/4 ein anderes und bei beiden noch dazu das gleiche Netz nutzen um irgendwelche NATs zu bauen. IP Routing funktioniert so einfach nicht.
Klar kann ich bei einem Uplink/WAN Transfernetz noch ein anderes Netz drauflegen, aber dann muss das Netz auch beim Uplink Router bekannt sein und der muss die Pakete dann entsprechend adressieren, damit die pfSense die schon auf der anderen IP empfängt. Aber das passiert bei dir gar nicht (zumindest hab ich das nirgends gesehen). Oder es ist mir einfach immer noch spanisch, was genau das eigentlich bringen soll.
Nichts desto trotz: Es funktioniert NIE, das gleiche Netz an zwei unterschiedlichen Interfaces aufzulegen. Der einzige Weg wie so etwas gehen könnte ist mit echten IPs und BGP und dann müsste dir der IP Space gehören und du mit deinem Provider Upstream BGP sprechen. Dann kannst du gern mehrere Routen annoncieren und mal über Interface 3 oder 4 routen lassen. Aber das dürfte eine ganze Nummer zu groß sein.
PS: Danke Frank, erst nach absenden gesehen und genau nochmals das, was ich bereits mehrfach versucht habe zusammengefasst
Danke auch für die Bestätigung dass ichs nicht falsch oder zumindest du genauso verstanden hast
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages:
1
[
2
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
1:1 NAT und Portforward