Secondary WAN IP?
-
Hallo Forum … :)
Derzeit wird PFSense hier als "zentrale Firewall" eingesetzt und läuft auf dem WAN-Interface in der folgenden Konfiguration:
ISP-Gateway: xxx.xxx.187.193
WAN-IP: xxx.xxx.187.194/28Virtuelle IP: xxx.xxx.187.195/32
Virtuelle IP: xxx.xxx.187.196/32
Virtuelle IP: xxx.xxx.187.197/32
Virtuelle IP: xxx.xxx.187.198/32
Virtuelle IP: xxx.xxx.187.199/32
Virtuelle IP: xxx.xxx.187.200/32
Virtuelle IP: xxx.xxx.187.201/32
Virtuelle IP: xxx.xxx.187.202/32
Virtuelle IP: xxx.xxx.187.203/32
Virtuelle IP: xxx.xxx.187.204/32
Virtuelle IP: xxx.xxx.187.205/32
Virtuelle IP: xxx.xxx.187.206/32Nun gehen uns langsam die öffentlichen Adressen aus (vor Jahren waren eben nur 16 geplant) und wir haben von unserem ISP einen zusätzlichen 32'er Block bekommen ... der sich nun aber leider in einem anderen Subnet befindet.
ISP-Gateway: xxx.xxx.185.193
WAN-IP: xxx.xxx.185.194/28Virtuelle IP: xxx.xxx.185.195
bis
Virtuelle IP: xxx.xxx.185.222Auf den Ciscos, die hier auch noch rumstehen, lässt sich schnell eine "secondary ip" konfigurieren. Bei der PFSense stehe ich nun etwas auf dem Schlauch.
Wer hat hier Lösungsvorschläge?
Zweite PFSense?
Netmask so weit verringern, dass das zusätzliche Subnet "passt"? (Gefährlich?)Neben dem LAN- und WAN-Interface wird hier bereits ein SRV- und DMZ-Interface verwendet ... und mehr als vier Netzwerkschnittstellen kriege ich im Moment nicht in die Hardware.
-
welche version?
-
Mit 1.2.2 und 1.2.3-RELEASE getestet, bei Beiden keine Möglichkeit, eine "secondary IP" einzustellen.
Ich schau' mir jetzt mal die 2.0 an … danke für den Hinweis, dass es eine neue Version geben könnte ... ;)
-
http://doc.pfsense.org/index.php/2.0_New_Features_and_Changes#Interfaces
mit 2.0 sind virtual IP's gekommen..
-
mit 2.0 sind virtual IP's gekommen..
Die gab's sogar schon vorher.
Ich hab' nun einfach mal probiert, was passiert, wenn ich eine virtuelle IP anlege, die nicht im eigentlichen Adressbereich des WAN-Interfaces liegt … und siehe da ... es funktioniert ... unter meiner 1.2.3-RELEASE.
WAN-IP: xxx.xxx.187.194
WAN-Netmask: 255.255.255.240
WAN-Network: xxx.xxx.187.192
WAN-Broadcast: xxx.xxx.187.207
WAN-Gateway: xxx.xxx.187.193Die virtuelle IP lautet: xxx.xxx.185.200 … und ist somit überhaupt nicht im Adressbereich der WAN-IP
Nach entsprechendem 1:1 NAT auf ein internes LAN-Gerät (192.168.yyy.yyy) und Einrichtung der entsprechenden Regel (any, any auf 192.168.yyy.yyy) konnte ich dann von "außen" per RDP auf die xxx.xxx.185.200 zugreifen und bekam den Desktop des LAN-Gerätes angezeigt.
Warum auch immer es funktioniert … es funktioniert ... :-)
-
Natürlich funktioniert das mein Freund :)
Dein Problem ist keines, denn das ist nur eine Frage des Routings. Eurem Provider muss nur die IP der pfSense - also eures Gateways bekannt sein - so dass er das neue Netz euch auf diese IP weiterrouten kann. Das ist lediglich Netzwerk-1*1 und keine Hexerei ;) Im Netz des Providers wird lediglich in den Border Gateways und Routern per BGP (sehr wahrscheinlich) das neue Netz annonciert und mit Gateway IP auf eure pfSense geroutet. Was ihr dann damit anstellt, ist eure Sache. Ihr könntet es auch wieder weiterrouten und direkt in eine neue DMZ stecken, etc. etc. aber dazu ist es nicht nötig, dass die pfSense selbst ein Teil des neuen IP Netzes ist.
Ich hoffe ich konnte in die "Magie" etwas Licht bringen ;)
Grüße
Grey
