Internen Traffic über NAT zurück ins LAN leiten
-
@viragomann
Vielleicht erkläre ich es ja schlecht:ich habe 5 Port Weiterleitungen:
Port 8080 zu Server 1, Port 80
Port 8999 zu Server 2, Port 8999
Port 37777 zu Server 3, Port 37777
Port 21000 zu Server 4, Port 80
Port 8884 zu Server 3, Port 80Die 5 Programme haben je ein Ziel:
portal.company.com:8080
portal.company.com:8999
portal.company.com:37777
portal.company.com:21000
portal.company.com:8884Ich habe extern ja nur eine öffentliche IP.
Die Programme sollen nun aber auch im internen LAN funktionieren und die einstellungen kann ich nicht ändern.
Sodass eben oben die Port Weiterleitungen intern auch greifen müssen.
angenommen extern habe ich 1.2.3.4, und die pfSense hat intern 192.168.0.254Wie soll sonst der Traffic von 192.168.0.254:8080 zu der internen IP 192.168.0.20:80 kommen?
Hoffe es ist nun verständlicher.
Danke!
-
Okay, das lässt sich mit DNS Overrides nicht realisieren.
Dann mach einfach NAT-Reflection, wie in dem Link von @Rico erklärt.
NAT Reflection ist nichts anderes, als das dieselben NAT-Regeln vom WAN auch auf den internen Interface angewandt werden, ohne diese anzuzeigen.
Damit das innerhalb desselben Subnetzes funktioniert, muss die pfSense quasi als Proxy arbeiten und die Quell-IP in Paketen auf ihre eigene umsetzen. Ergo du siehst die pfSense als Quelle, wenn du die Server-Logs prüfst.
Möglicherweise funktioniert das nur mit "NAT + Proxy".Und wie bereits erwähnt, musst du das DNS Override entfernen, denn NAT-Reflection verwendet die WAN-IP in ihren Regeln.
-
@viragomann
ok, aber welche IP soll ich den Clients über den DNS zuweisen?
die interne oder externe der pfSense?portal.company.com:8080
soll zu
192.168.0.254:8080
oder
1.2.3.4:8080
werden?Oder ist das der pfSense egal?
-
Die WAN IP.
Aber dafür benötigst du ja kein Override! Das ist ja eh im externen / public DNS.
Daher habe ich geschrieben "entferne den DNS Override". -
ok, danke, funktioniert!
Nun habe ich noch einen Punkt offen.
Es gibt 2 Server die nicht über den pfSense Proxy laufen sollen. Das sind vor allem Datei Transfers, usw.Bei diesen sind die externen Ports gleich den internen:
odoo.company.com (port 80 und 443) soll nach 192.168.0.202 (80 oder 443, je nach Source)
cloud.company.com (port 80 und 443) soll nach 192.168.0.201 (80 oder 443, je nach Source)
Hier soll bei der WAN unterschieden werden, welchen FQDN gewählt wurde. Da ja beide den selben Port nutzen.
Jedoch intern kann ich den Host Overrides verwenden, richtig?
odoo.company.com => 192.168.0.202
cloud.company.com => 192.168.0.201dann verbinden diese intern gleich direkt.
Aber wie das vom WAN erkennen?
-
@unique24 said in Internen Traffic über NAT zurück ins LAN leiten:
Jedoch intern kann ich den Host Overrides verwenden, richtig?
odoo.company.com => 192.168.0.202
cloud.company.com => 192.168.0.201Ja.
@unique24 said in Internen Traffic über NAT zurück ins LAN leiten:
Hier soll bei der WAN unterschieden werden, welchen FQDN gewählt wurde. Da ja beide den selben Port nutzen.
Das geht nur mit einem Reverse Proxy.
HAProxy wäre das geeignete Paket für die pfSense. Die Einrichtung ist aber nicht ganz trivial.Ich habe eine solche Anfordung in meinem Heimnetz mittels eines Proxymoduls auf einem der Webserver (Apache) gelöst. D.h. dieser Webserver bekommt auf der pfSense alles weitergeleitet und leitet die andere Domain von sich aus auf den zweiten Server weiter.
-
Danke,
ich werd mal versuchen dieser Anleitung zu folgen:
https://sysadms.de/2018/10/pfsense-haproxy-als-reverse-proxy/ -
@viragomann said in Internen Traffic über NAT zurück ins LAN leiten:
HAProxy wäre das geeignete Paket für die pfSense. Die Einrichtung ist aber nicht ganz trivial.
Geht, genau für den beschriebenen Fall gibts ein Template in HAproxy das man einfach erstellen lassen und abändern kann.
@unique24 said in Internen Traffic über NAT zurück ins LAN leiten:
Danke,
ich werd mal versuchen dieser Anleitung zu folgen:
https://sysadms.de/2018/10/pfsense-haproxy-als-reverse-proxy/WARUM sucht ihr euch eignetlich immer alte Tutorials aus dem Internet raus? Ich verstehs nicht. Nur weil bei Google auf Platz 1 oder so? Warum nicht einfach erstmal die eigene Doku nutzen oder die Netgate/pfSense Ressourcen nutzen?
https://www.netgate.com/resources/videos/server-load-balancing-on-pfsense-24.html
Bitteschön :)
-
Kann ha proxy eigentlich auch funktionieren, wenn SNI verschlüsselt ist und kein offloading genutzt wird?
-
@Bob-Dig said in Internen Traffic über NAT zurück ins LAN leiten:
Kann ha proxy eigentlich auch funktionieren, wenn SNI verschlüsselt ist und kein offloading genutzt wird?
Hmmmm gute Frage
-
@Bob-Dig said in Internen Traffic über NAT zurück ins LAN leiten:
Kann ha proxy eigentlich auch funktionieren, wenn SNI verschlüsselt ist und kein offloading genutzt wird?
Wenn SNI WIE verschlüsselt ist? Momentan gibt es AFAIK nur eine Variante SNI zu verschlüsseln und das ist ESNI. Wenn die Komponenten ordentlich ESNI sprechen, alle Komponenten APIs aufgerüstet sind und SplitMode ESNI läuft, sollten auch LBs gehen.
