Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT rotiert virtual IPs
« previous
next »
Print
Pages: [
1
]
2
Author
Topic: NAT rotiert virtual IPs (Read 10749 times)
schnauz
Newbie
Posts: 33
Karma: 7
NAT rotiert virtual IPs
«
on:
February 26, 2018, 11:34:33 am »
Hi zusammen
18.1.2 auf guter Hardware. Standard config /WAN/DMZ/LAN) mit Portforwarding und OpenVPN, gemäss Anleitung.
Ich habe ein 8er Subnetz Beispielnetz 123.123.123.210/29 . 1 IP auf WAN gelegt und 3 als Virtual IPs (IP Alias). LAN normales DHCP, alles Standard. Mit Auto Rules Out.
Wenn ich nun ausm LAN in der Welt herumsurfe, wechselt die Absender IP (WAN) ständig. OPNSense verwendet rotierend alle vier IPs, die als WAN und die als Virtual IPs zugewiesen sind und zwar je Session. Dh. ein zugriff auf einen IP basierte ACL- Ressource funktioniert nur dann, wenn grad die richtig IP genutzt wird. Ich habe keine Idee, wie ich nur immer die WAN IP nutzen kann (ausser ich lösche die IP Aliases). Für Hinweise wäre ich froh.
Aufbau:
WAN / Internet
:
: Provider
:
.-----+-----.
| Gateway | (Bridge)
'-----+-----'
|
WAN | 123.123.123.210/29 WAN, Virtual IPs (211 212 213)
|
.-----+------. private DMZ .------------.
| OPNsense +--------------------+ DMZ-Server |
'-----+------' 192.168.222.0/24 '------------'
|
LAN | 192.168.57.0/24
|
«
Last Edit: February 28, 2018, 08:07:16 am by schnauz
»
Logged
gmu
Newbie
Posts: 24
Karma: 0
Re: NAT rotiert virtual IPs
«
Reply #1 on:
February 26, 2018, 11:54:37 am »
Hallo,
vom Bauch raus würde ich sagen, dass sollte über
Firewall > Rules > Floating
einzustellen sein.
Einfach hinterlegen, welche Dienste (z.B. HTTP/HTTPS) über welche IP-Adresse rausgehen sollen.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT rotiert virtual IPs
«
Reply #2 on:
February 26, 2018, 12:38:35 pm »
Nein, Floating Regeln haben damit nichts zu tun. Das kann im Gegenteil eher fatal nach hinten losgehen, denn in Floating Regeln kann wesentlich mehr eingestellt werden als an Interface Regeln und sollte hier nur mit Vorsicht gebraucht werden wenn man weiß was man tut, um keine Löcher aufzumachen.
Was du suchst wird sich eher unter NAT / Outbound verstecken. Hier ist per default automatisch aktiv, das kannst du auf "manuell" umstellen und dort dann bei den ausgehenden Regeln auswählen, was er beim Umsetzen ins Netz für eine IP zu Grunde legt. Eigentlich sollte das meinem Verständnis nach gar nicht rotieren (Bug?) aber hier kannst du ggf. Wan Adresse oder auch eine der Aliase definieren und angeben, die verwendet werden soll.
Gruß
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
schnauz
Newbie
Posts: 33
Karma: 7
Re: NAT rotiert virtual IPs
«
Reply #3 on:
February 26, 2018, 07:51:51 pm »
Hallo
Ich konntes es nachvollziehen, in der Tat rotiert es mit den Auto Rules Outbound (siehe Bild wie default).
Mit hybrid rules mit einem manuellen Eintrag (Bild) funzt es, nun wird immer die richtige IP und eine WAN angezeigt. Gehe ich wieder zurück auf Auto, gleiches Verhalten wie beschrieben. Könnte ein Bug sein.
Gruss
-oliver
«
Last Edit: February 28, 2018, 08:07:08 am by schnauz
»
Logged
franco
Administrator
Hero Member
Posts: 17665
Karma: 1611
Re: NAT rotiert virtual IPs (BUG?)
«
Reply #4 on:
February 27, 2018, 08:28:31 pm »
Kein Bug. Ist seit 18.1 der Standard für den automatischen Modus.
Grüsse
Franco
Logged
schnauz
Newbie
Posts: 33
Karma: 7
Re: NAT rotiert virtual IPs
«
Reply #5 on:
February 28, 2018, 08:15:28 am »
Danke Franco. Ich erachte dies wichtig, explizit in der Doku anzugeben und darauf hinzuweisen.
Denn wer wie ich davon ausgeht (von 17.7 her kommend und auf 18.1 upgegradet), dass mit einem Subnetz auf WAN Seite die outgoing Adresse der Sessions eineindeutig der gesetzten einzelnen WAN-Adresse entspricht, kommt nie auf die Idee, dass alle virtual IPs des WAN Subnetzes session rotierend verwendet werden. Ich habe auf zig Servern einen Fehler gesucht, weil Ip-basierte Zugriffslisten nicht funzten, bis ich das in einem Logfile entdeckte, dass der Kern woanders hinkommt.
Gruss -oliver
Logged
franco
Administrator
Hero Member
Posts: 17665
Karma: 1611
Re: NAT rotiert virtual IPs
«
Reply #6 on:
February 28, 2018, 08:25:45 am »
Hi Oliver,
Ist in den Release Notes. Leider post-mortem, wird aber beim GUI Update von 17.7 auf 18.1 angezeigt:
https://github.com/opnsense/changelog/commit/79852185ad
Die Sticky-Option machen wir für die nächsten Images zum Standard.
https://github.com/opnsense/core/commit/912dd0d
Grüsse
Franco
Logged
schnauz
Newbie
Posts: 33
Karma: 7
Re: NAT rotiert virtual IPs
«
Reply #7 on:
February 28, 2018, 10:46:37 pm »
Ich habe das glatt überlesen. Alles klar. Sticky-Option per default macht Sinn (wenn auch nicht jeder ein v4 Subnetz auf WAN Seite hat).
Danke für OPNSense.
-oliver
«
Last Edit: February 28, 2018, 10:50:50 pm by schnauz
»
Logged
franco
Administrator
Hero Member
Posts: 17665
Karma: 1611
Re: NAT rotiert virtual IPs
«
Reply #8 on:
March 01, 2018, 10:29:33 am »
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT rotiert virtual IPs
«
Reply #9 on:
March 06, 2018, 09:42:21 am »
@franco: was war denn die Überlegung dahinter, das im Automatischen Modus default zu machen (also round-robin IPs)? IMHO hat das doch im Normalfall nur Nachteile für den Anwender, denn wenn er eh schon multiple IPs auf dem WAN hat, kann man davon ausgehen, dass es kein 08/15 Standard Anschluß ist, sondern zumindest Business etc. mit kleinem Subnetz. Und dann abgehend RR die IPs in der Outbound NAT zu rotieren ist doch eher kontraproduktiv was session handling etc. angeht?
Kein Blame dafür jetzt, aber mich interessiert, warum das überhaupt aufgenommen wurde
Gruß Jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
almo
Full Member
Posts: 114
Karma: 3
Re: NAT rotiert virtual IPs
«
Reply #10 on:
March 06, 2018, 09:49:15 am »
Das ist bei mir auch so, und ich hätte es auch gerne über die eigentliche WAN-Adresse als über die Virtuellen IPs.
Ich trau mich aber jetzt nicht ohne Beispiel die NAT-Konfiguration um zuwerfen. Da ich im Notfall dann zur Firewall fahren muss.
«
Last Edit: March 06, 2018, 10:04:49 am by almo
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT rotiert virtual IPs
«
Reply #11 on:
March 06, 2018, 12:26:40 pm »
@almo: dein Beispiel siehst du oben bei schnauz' Post:
https://forum.opnsense.org/index.php?topic=7438.msg33668#msg33668
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
almo
Full Member
Posts: 114
Karma: 3
Re: NAT rotiert virtual IPs
«
Reply #12 on:
March 06, 2018, 12:40:12 pm »
Also mit LAN, DMZ, OpenVPN dann wohl so
Siehe Bild:
«
Last Edit: March 06, 2018, 12:43:33 pm by almo
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT rotiert virtual IPs
«
Reply #13 on:
March 06, 2018, 02:48:26 pm »
Bis auf die Tatsache, dass die 127er Regeln für Localhost etc. fehlt - ja, dann sieht es gut aus.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
almo
Full Member
Posts: 114
Karma: 3
Re: NAT rotiert virtual IPs
«
Reply #14 on:
March 06, 2018, 03:21:50 pm »
Finaly
Bei einem IP-Check ist es jetzt auch die WAN-Adresse.
«
Last Edit: March 06, 2018, 03:23:33 pm by almo
»
Logged
Print
Pages: [
1
]
2
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT rotiert virtual IPs