WAN mehrere öffentliche Ips

[Felix]

Hallo,

wir steigen derzeit um auf OPNSENSE. Bei unserem folgenden Szenario habe ich noch Fragen :


wan Port 1 ( 4 IPs)   wan Port2 (1 IP)


LAN    DMZ1   DMZ2  WLAN


LAN   soll über öffentliche IP 1 ins Netz gehen      (x.x.x.178)

DMZ1 soll über öffentliche IP 2 ins Netz gehen    (x.x.x.179)

DMZ2 soll über öffentliche IP 3 ins Netz gehen    (x.x.x.180)

WLAN soll über öffentliche IP 4 ins Netz gehen   (x.x.x.181)


Aus den ganzen Tipps konnte ich herausfiltern ,das ich das über virtuelle ips und dann NAt 1:1 lösen kann?

ist das richtig bzw. hat jemand Ansätze für mich?

Gruß

[asepsis]

korrekt, du fügst deine wan ips als virtual ips hinzu.
Anschließend richtest du das 1:1 Nat ein: interface:wan external ip: x.x.x.179 internal ip: DMZ1 Destination IP: *

dann bräuchstest du noch für jede dmz die eine eigene ip haben soll eine floating rule.. hierfür unter Rules->Floating: eine Regel einrichten: Proto:IPv4 Source:* Port:* Destination:DMZip Port:* Gateway:*

lg

[JeGr]

> Aus den ganzen Tipps konnte ich herausfiltern ,das ich das über virtuelle ips und dann NAt 1:1 lösen kann?

Nein. Was du beschreibst, sind komplette Interfaces und alles dahinterstehende Equipment. Wenn sich die Aussage DMZ1 und DMZ2 bspw. auf gezielt 2 Server bezieht (die warum auch immer an je einem Interface hängen), dann ist es teils richtig. Ansonsten hat 1:1 NAT hiermit nichts zu tun und was du möchtest sind einfach manuelle Outbound NAT Regeln, die eben auf die jeweils anderen IP Adressen verteilt werden (die - das ist korrekt - als Virtual IPs angelegt sein müssen).

Grüße

[Felix]

Genau es sind 2 unterschiedliche Interfaces, die getrennt sein sollen (DMZ) vom restlichen system, aber nach außen über eine feste virtuelle IP (wan ) erreichbar sein sollen, bzw selber damit herausgehen sollen.

[JeGr]

Die Antwort macht leider jetzt nicht ganz so viel Sinn. Die DMZ Interfaces sollen von extern erreichbar sein? Hoffentlich nicht. Und über die WAN IP? Irgendwie reichlich konfus.

Wie wäre es kurz zu schildern, was wo wie warum steht und was erreicht werden soll, anstatt dass du Ideen einwirfst wie es vielleicht funktioniert und fragst ob das richtig ist? ;)

[Felix]

So können wir gerne es machen.


als opnsense ist die firewall , an die per wan schnittstelle das Internet kommt. Wir haben ein kleines subnetz ,sodass mehrere Ips vorhanden sind. In der DMZ befindet sich ein Webserver, der über Port 443 zb erreichbar sein soll.


                          wan x.x.x.1
                              |                10.10.10.1
                          opnsense------op1-----------webserver. 10.10.10.2
                         

       der Webserver soll von außen über die wan ip x.x.x.2 erreichbar sein und nicht über wan ip x.x.x.1 gehen         (virtual ip).


Ich hoffe das ich es dir jetzt besser erklären konnte.
                               
         

[JeGr]

Hat der Webserver in der DMZ selbst eine private Adresse (sieht mit der 10.10.10.x danach aus)?

Wenn ja -> einfacher Fall und 1:1 NAT für den Webserver anlegen mit der x.x.x.2 auf die 10.10.10.2. Dann noch die Firewall Regeln dazu was erlaubt sein soll und du bist fertig. :)

[Felix]

Hallo JeGr


Vielen Dank für deine Hilfe und natürlich die Denkanstöße. Es hat jetzt dank dir geklappt und ich konnte es so umsetzten wie ich es wollte.

Ich habe noch eine Verständnisfrage zur Firewall an sich:

es steht das bis auf die Ausnahmen alles standard mässig geblockt wird. Stimmt das oder sollte ich noch eine deny Rule dazu erstellen?

[JeGr]

> Stimmt das

Ja, alles was nicht explizit als Regel definiert ist wird geblockt.

[Felix]

dann nochmals Danke und super das du für viele hier(mich eingeschlossen)  im Forum so Hilfsbereit bist!