LAN-IPs zu statischer WAN (NAT ausgehend)

CreativeDevelopers

Soeben gemacht. Funktioniert nicht.

CreativeDevelopers

Hier mal eine Aufstellung

      WAN / Internet
            :
            : 
            :
      .-----+-----.
      |    Modem  | 
      '-----+-----'
            |
        WAN | DHCP IPv4 - 85.245.100.1 Gateway
            |
      .-----+-----.  OPT1-Schnittstelle  .------------.      |----- Server 1 - IP: 85.245.122.50 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
      |  pfSense  +--------------------- +   Switch   +------|----- Server 2 - IP: 85.245.122.51 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
      '-----+-----'  85.245.122.49/29   '------------'       |----- Server 3 - IP: 85.245.122.52 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
            |                                                |----- Server 4 - IP: 85.245.122.54 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
        LAN | 192.168.1.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            | DHCP 192.168.1.100 - 192.168.1.200
    ...-----+------... (Clients)

Ziel:

WAN-Verbindung per DHCP IPv4
PFSense Router-IP: 85.245.122.49
Server 1 - 4: 85.245.122.50 / 51 / 52 / 53 öffentliche IP's direkt bei den Server-Netzwerkeinstellungen vorhanden
LAN 192.168.1.1/24 - öffentliche IP 85.245.122.54 oder IP von Router. Definitiv nicht die DHCP-IP des Providers da nicht selbe Class-C

viragomann

Ich sehe keinen Grund, weswegen das Outbound NAT nicht so funktionieren soll, wie gewünscht. Vor allem ist keine Regel aktiv, die die Quell-Adresse auf die vom DHCP zugewiesene übersetzen würde, darum dürfte diese in ausgehenden Paketen auch gar nicht mehr vorkommen.

Das Outbound NAT funktioniert soweit recht simpel, es müssen nur die Bedingungen des oberen Abschnitts erfüllt sein, dann wird die Quell-IP in die bei Translation eingegebene übersetzt. Es kümmert sich nicht darum, ob das bezüglich des Routings auch funktionieren kann.
Das eingestellte Protokoll kann ich nicht sehen, wird aber wohl any (default) sein.

Wie sehen deine NAT 1:1 Regeln aus? Dieses könnte hier auch noch Einfluss haben.

CreativeDevelopers

oh Mensch bin ich bescheuert ::)
Es hat funktioniert aber Squid hat wohl im Local Cache die Seiten mit der alten IP gecached und darum hab ich nach der Umstellung die IP nicht aktualisiert gesehen.

Die 1:1 Regeln habe ich entfernt, da die Server ja als DMZ direkt die IPs hinterlegt haben.

nodau

also, deine konfiguration sieht wirklich abenteuerlich aus.

folgendes:

bei einem 29 subnet ist die erste frei verfügbare ip die ip des modems, das du vom provider erhalten hast. und ist ip des gateways (49). dein wan interface pfsense braucht ebenfalls eine ip aus dem 29 subnet. Zum Beispiel 50. für alle restlichen verfügbaren ip adressen legst du ip aliases an.

unter outbound nat änderst du die nat adresse auf die ip, mit der du dich nach außen präsentierst. wenn deine server aus dem internet erreichbar sein sollen, legst du einfach entsprechende nat regeln an und gibst als ziel adresse den entsprechenden ip alias an. ganz einfach.

nodau

ich würde auch nie einem server ne öffentliche ip adresse geben, da du zum beispiel keine freien ip adressen mehr hast, wenn ein server hinzukommt.

CreativeDevelopers

@bahsig

Richtig. Gemäss Provider muss ich aber für den Router die IP-Adresse .49 verwenden, welche als Gateway fungiert. Dies habe ich so der pfSense zugewiesen.
Das mit den öffentlichen IP's direkt auf den Servern sehe ich gleich wie du. Da die Server aber aus dem RZ kommen und diese Konfiguration hatten, muss ich diese aktuell noch übernehmen.
Die Server werde ich aber sobald die Tests erfolgreich waren mit internen IP's in einem separaten Netz bestücken und dann die Firewallregel entsprechend Anpassen.

nodau

was meinst du mit router. die hardware vom provider oder pfsense?

CreativeDevelopers

ich meine pfsense. Der Provider hat mir hier vor Ort eine ZyWall hingestellt, die alle paar Wochen einen Totalabsturz hatte.
Darum der Wechsel auf Ubiquity EdgeMax Pro-8 SPF. Aber dort ist IDN/IPS usw. nicht möglich. Deshalb nun pfSense.

Der Provider stellte mir ein Modem zur Verfügung. Keine Ahnung was da drauf eingestellt ist.
Mein Provider sagte, ich müsse auf meinem Router (pfSense) die IP 85.245.122.49 definieren

nodau

welche ip bekommt das wan interface vom modem und hast du ein standardgateway definiert?

CreativeDevelopers

Das WAN-Interface bekommt 85.245.100.49. Gemäss pfSense ist der Gateway und Monitor IP 85.245.100.1
Wo und vorallem wie definiere ich den Standardgateway in pfSense?

viragomann

Wenn du Netzwerk-Konfiguration via DHCP verwendest, wird das Gateway automatisch gesetzt. Das ist Teil des Standard und ein Muss; das Gateway muss schließlich Teil des Subnetzes sein, und das kommt auch vom DHCP Server.

Keine Ahnung, worauf bahsig mit dieser Frage hinaus will.

nodau

system routing gateways.

und du bist dir sicher, dass dein router die 100.1 und deine ips 122.49.. sind? mindestens der router/modem muss ja das 29 subnet kennen.

CreativeDevelopers

Ja bin ich 100% sicher.
das Netz 100 erhalte ich ja per DHCP vom Provider. Die mir schriftlich zugeteilten IP's sind im Netz 122.

Wenn ich auf meinem Router auf Gateway gehe, sehe ich dort

Diese Einstellung also so belassen da der Router den Gateway ja so per DHCP holt und einen neuen Eintrag hinzufügen mit der IP 85.245.122.49 ?
Es erscheint danach die Fehlermeldung:

Die Gateway-Adresse 85.245.122.49 liegt nicht im Subnetz einer ausgewählten Schnittstelle.

Muss ich vielleicht eine statische Route erstellen mit der IP 85.245.122.49 und als Gateway die 85.245.100.1 ?

viragomann

Die Netzwerk-Konfig der Schnittstellen ist schön in Status > Interfaces zu sehen.

@CreativeDevelopers:

Diese Einstellung also so belassen da der Router den Gateway ja so per DHCP holt und einen neuen Eintrag hinzufügen mit der IP 85.245.122.49 ?

Wozu?

@CreativeDevelopers:

Muss ich vielleicht eine statische Route erstellen mit der IP 85.245.122.49 und als Gateway die 85.245.100.1 ?

Was soll das bringen? 85.245.100.1 ist ohnehin dein Default-Gateway, also zeigt auch die Default-Route dahin.

Was ist denn nun eigentlich das Problem? Ich dachte es geht nur um die Adresse ausgehender Pakete des LAN-Netzes 192.168.1.0/24, doch diese Maßnahmen haben damit ja wohl nichts zu tun.
Gibt es nun doch ein Problem mit den Servern?

CreativeDevelopers

Nein, es funktioniert nun. Es wurde jedoch eben in Frage gestellt ob die Konfiguration des Providers richtig ist.
Ich solle also den Gateway 85.245.122.49 einrichten.

JeGr

mindestens der router/modem muss ja das 29 subnet kennen.

@bahsig das ist alles richtig. DHCP kommt aus dem .100er Subnetz und er hat als Kunde des Providers zusätzlich ein /29er auf seine IP geroutet bekommen. Was soll da falsch dran sein? Unnötig waren nur die 1:1 NATtings, da die DMZ bereits das /29er Netz aufliegen hat und da nichts geNATtet werden muss. :)

@Creative: Wenn du die 1:1 NATs raus hast und die Outbound NAT richtig konfiguriert sollte jetzt alles passen ;)

CreativeDevelopers

@JeGr
Vielen herzlichen Dank. Ja genau so habe ich es gemacht. 1:1 Regeln sind weg.
Danke euch allen für die tolle Unterstützung.

JeGr

Gern :)