NAT rotiert virtual IPs

[schnauz]

Hi zusammen

18.1.2 auf guter Hardware. Standard config /WAN/DMZ/LAN) mit Portforwarding und OpenVPN, gemäss Anleitung.

Ich habe ein 8er Subnetz Beispielnetz 123.123.123.210/29 . 1 IP auf WAN gelegt und 3 als Virtual IPs (IP Alias). LAN normales DHCP, alles Standard. Mit Auto Rules Out.

Wenn ich nun ausm LAN in der Welt herumsurfe, wechselt die Absender IP (WAN) ständig. OPNSense verwendet rotierend alle vier IPs, die als WAN und die als Virtual IPs zugewiesen sind und zwar je Session. Dh. ein zugriff auf einen IP basierte ACL- Ressource funktioniert nur dann, wenn grad die richtig IP genutzt wird. Ich habe keine Idee, wie ich nur immer die WAN IP nutzen kann (ausser ich lösche die IP Aliases). Für Hinweise wäre ich  froh.


Aufbau:

WAN / Internet
            :
            : Provider
            :
      .-----+-----.
      |  Gateway  |  (Bridge)
      '-----+-----'
            |
        WAN | 123.123.123.210/29 WAN, Virtual IPs (211 212 213)
            |
      .-----+------.   private DMZ      .------------.
      |  OPNsense  +--------------------+ DMZ-Server |
      '-----+------'   192.168.222.0/24 '------------'
            |
        LAN | 192.168.57.0/24
            |
     

[gmu]

Hallo,

vom Bauch raus würde ich sagen, dass sollte über Firewall > Rules > Floating einzustellen sein.

Einfach hinterlegen, welche Dienste (z.B. HTTP/HTTPS) über welche IP-Adresse rausgehen sollen.

[JeGr]

Nein, Floating Regeln haben damit nichts zu tun. Das kann im Gegenteil eher fatal nach hinten losgehen, denn in Floating Regeln kann wesentlich mehr eingestellt werden als an Interface Regeln und sollte hier nur mit Vorsicht gebraucht werden wenn man weiß was man tut, um keine Löcher aufzumachen.

Was du suchst wird sich eher unter NAT / Outbound verstecken. Hier ist per default automatisch aktiv, das kannst du auf "manuell" umstellen und dort dann bei den ausgehenden Regeln auswählen, was er beim Umsetzen ins Netz für eine IP zu Grunde legt. Eigentlich sollte das meinem Verständnis nach gar nicht rotieren (Bug?) aber hier kannst du ggf. Wan Adresse oder auch eine der Aliase definieren und angeben, die verwendet werden soll.

Gruß

[schnauz]

Hallo

Ich konntes es nachvollziehen, in der Tat rotiert es mit den Auto Rules Outbound (siehe Bild wie default).
Mit hybrid rules mit einem manuellen Eintrag (Bild) funzt es, nun wird immer die richtige IP und eine WAN angezeigt. Gehe ich wieder zurück auf Auto, gleiches Verhalten wie beschrieben. Könnte ein Bug sein.

Gruss
-oliver

[franco]

Kein Bug. Ist seit 18.1 der Standard für den automatischen Modus.


Grüsse
Franco

[schnauz]

Danke Franco. Ich erachte dies wichtig, explizit in der Doku anzugeben und darauf hinzuweisen.

Denn wer wie ich davon ausgeht (von 17.7 her kommend und auf 18.1 upgegradet), dass mit einem Subnetz auf WAN Seite die outgoing Adresse der Sessions eineindeutig der gesetzten einzelnen WAN-Adresse entspricht, kommt nie auf die Idee, dass alle virtual IPs des WAN Subnetzes session rotierend verwendet werden. Ich habe auf zig Servern einen Fehler gesucht, weil Ip-basierte Zugriffslisten nicht funzten, bis ich das in einem Logfile entdeckte, dass der Kern woanders hinkommt.

Gruss -oliver

[franco]

Hi Oliver,

Ist in den Release Notes. Leider post-mortem, wird aber beim GUI Update von 17.7 auf 18.1 angezeigt:

https://github.com/opnsense/changelog/commit/79852185ad

Die Sticky-Option machen wir für die nächsten Images zum Standard.

https://github.com/opnsense/core/commit/912dd0d


Grüsse
Franco

[schnauz]

Ich habe das glatt überlesen. Alles klar. Sticky-Option per default macht Sinn (wenn auch nicht jeder ein v4 Subnetz auf WAN Seite hat).

Danke für OPNSense.

-oliver

[franco]

:)

[JeGr]

@franco: was war denn die Überlegung dahinter, das im Automatischen Modus default zu machen (also round-robin IPs)? IMHO hat das doch im Normalfall nur Nachteile für den Anwender, denn wenn er eh schon multiple IPs auf dem WAN hat, kann man davon ausgehen, dass es kein 08/15 Standard Anschluß ist, sondern zumindest Business etc. mit kleinem Subnetz. Und dann abgehend RR die IPs in der Outbound NAT zu rotieren ist doch eher kontraproduktiv was session handling etc. angeht?

Kein Blame dafür jetzt, aber mich interessiert, warum das überhaupt aufgenommen wurde :)

Gruß Jens

[almo]

Das ist bei mir auch so, und ich hätte es auch gerne über die eigentliche WAN-Adresse als über die Virtuellen IPs.
Ich trau mich aber jetzt nicht ohne Beispiel die NAT-Konfiguration um zuwerfen. Da ich im Notfall dann zur Firewall fahren muss.

[JeGr]

@almo: dein Beispiel siehst du oben bei schnauz' Post: https://forum.opnsense.org/index.php?topic=7438.msg33668#msg33668

[almo]

Also mit LAN, DMZ, OpenVPN dann wohl so

Siehe Bild:

[JeGr]

Bis auf die Tatsache, dass die 127er Regeln für Localhost etc. fehlt - ja, dann sieht es gut aus. :)

[almo]

Finaly  :)

Bei einem IP-Check ist es jetzt auch die WAN-Adresse.