Public IP Weiterleiten

[sonix]

Hallo Zusammen

Ich setze meine OPNSense bereits über ein Jahr ein und bin sehr zufrieden. Ich habe mir seit kurzem einen IP-Range /29 vom Provider organisiert und möchte nun meine OPNSense dementsprechend konfigurieren.
Kurze Erläuterung was ich gerne möchte:

Internet -> OPNSense -> FW1 mit PublicIP -> LAN1
Internet -> OPNSense -> FW2 mit PublicIP -> LAN2
usw...

Ich möchte also meine Public IP's mit allen Ports direkt an eine Firewall hinter der OPNSense weitergeben.
Das sollte doch eigentlich mit einem reinem Routing + Firewalleintrag funktionieren?
Ich habe diverse Foreneinträge gelesen die es mit one-2-one Nating weitergeben, doch das hat bei mir so auf Anhieb nicht geklappt.

Hat hier jemand bereits Erfahrung mit einer solchen Konfiguration oder auf was müsste ich mich achten?

Vielen Dank für Tipps und Ratschläge

Grüsse
sonix

[JeGr]

> Das sollte doch eigentlich mit einem reinem Routing + Firewalleintrag funktionieren?

Das klappt nur dann mit reinem Routing, wenn du das /29er vom Provider auf eine vorhandene IP bzw. ein vorhandenes Transfernetz geroutet bekommst. Beispiel:

DU hast jetzt bei der mit der Sense direkt mit dem Provider bei der Einwahl die IP a.b.c.d. Du organisierst dir x.y.z.248/29 dazu und der Provider routet dir das auf die IP a.b.c.d die du statisch bei der Einwahl oder am Anschluß bekommst.

DANN kannst du ohne Probleme hergehen und das /29 Netz auf dem "LAN" der Sense (also dem Netzsegment der Sense mit den anderen FWs dahinter) als IP Range auflegen, da es dir geroutet wird. Sprich du konfigurierst statt 10.1.2.0/24 in dem Segment einfach x.y.z.249 als deine Sense IP und kannst dann den anderen FWs einfach 250, 251, 252, 253 und 254 vergeben mit Upstream Gateway .249 (also deiner Sense). Alles gut.

Wird dir das Netz nicht geroutet und du hast selbst auf dem WAN eine IP davon, dann geht das nicht. Dann kannst du die weiteren IPs aber via Alias IP auf die Sense binden und mit 1:1 NAT dann diese IPs (bspw. 250, 251, etc.) einfach auf die private IP der FW1/2/... NATten. 1:1 NAT Eintrag anlegen dafür, Firewall Regel auf WAN erzeugen mit Ziel der PRIVATEN Adresse der FW1 (nicht der public IP die du NATtest, bei NAT werden die Pakete erst umgeschrieben, dann gefiltert!) und dann sollte das auch entsprechend funktionieren. Natürlich brauchts dann auch noch auf dem LAN eine Regel, die abgehend die FW1/2 etc. erlaubt.

Grüße

[sonix]

Hallo JeGr

Besten Dank für deine Ausführung.
Ja es ist ein geroutetes Netz das ich bekommen habe.

Eigentlich habe ich genau das getan. Den Firewalls dahinter, also im "LAN" Segment z.b. die .250 fix gesetzt und als Gateway meine Sense (z.b. .249) hinterlegt.
Das Problem was ich im Moment noch habe, ich komme ins Internet aber die ausgehende IP-Adresse ist nicht die korrekte. Das ist dann jeweils diese die ich vom Provider bei der Einwahl erhalten habe und nicht zu meinem /29 Netz gehört.
Das müsste ja eigentlich mit den Outbound NAT-Rules zu tun haben. Sobald ich aber die Outbound-Nat deaktiviere komme ich nicht mehr ins Internet. Somit wäre es von mir aus eine Firewall konfiguration.
Dort habe ich dann wiederum alles aus meinem "LAN" Segment zum WAN freigegeben.

Was mache ich den Falsch? Gerne kann ich auch Printscreens des Config hochladen, falls das hilft.

Grüsse
sonix

[JeGr]

> Das müsste ja eigentlich mit den Outbound NAT-Rules zu tun haben. Sobald ich aber die Outbound-Nat deaktiviere komme ich nicht mehr ins Internet.

Steht die NAT auf automatisch? Die muss natürlich weg. Wenn du auf dem "LAN" ja auch public IPs hast und nur routen willst, muss NAT weg, sonst NATtet er natürlich alles auf die WAN IP. Das NAT müssen die FW1/2/3... machen auf ihre jeweilige public IP. Mehr nicht. Ergo solltest du theoretisch bis auf localhost (127.0.0.1) Einträge alle NAT Einträge löschen können, es sei denn du hast im "LAN" wo du die public IPs hast noch Geräte mit privaten hängen, das wäre aber unsauber.

Wäre aber vielleicht sinnvoll deine Einstellungen vom WAN und LAN IF sowie Regeln auf LAN/WAN und Routing Tabelle mal zu sehen.

Gruß

[sonix]

Hallo JeGr

War deaktiviert.

Nun zu allem Schluss hat sich das Problem erledigt. Meine config der Sense war alles i.O.
Mein Provider hat mir zwar gesagt, er hätte mein Public IP Range routet, aber da war irgendwas Fauls. Auf jedenfall konnte mein Provider das nun beheben und tadaa alles klappte wie gewünscht!

Besten Dank für deine Unterstützung und Hilfestellung.

Grüsse
sonix

[JeGr]

> Besten Dank für deine Unterstützung und Hilfestellung.

Sehr gern, freut mich dass es nun doch wie gedacht funktioniert!