Subnetz auf WAN IP geroutet?



  • Hallo zusammen,

    wir haben von unserem neuen Provider Colt ein Subnetz mitgeteilt bekommen, welches auf unsere WAN IP geroutet wird:

    Customer Range: 213.ab.xy.72 - 213.ab.xy.79
    Network Address: 213.ab.xy.72
    Broadcast Address 213.ab.xy.79
    Subnet Mask: 255.255.255.248
    Gateway: 213.ab.xy.73

    Nach Aussage von Colt können wir diese IPs z.B. für öffentlich erreichbare Webserver verwenden.

    Ich möchte nun einem Router, der hinter der pfsense Appliance hängt, eine dieser IPs geben. Quasi um ein getrenntes Netz ohne doppeltes NAT mit dem Internet zu verbinden.

    Kann mir jemand sagen, wie ich ein solches Subnetz mit Pfsense einbinden und dann auf Geräten im Lan (bzw. den genannten Router) verwenden kann?

    Vielen Dank.

    Kann mir jemand


  • LAYER 8 Moderator

    wir haben von unserem neuen Provider Colt ein Subnetz mitgeteilt bekommen, welches auf unsere WAN IP geroutet wird:

    Darf ich anmerken, dass das so überhaupt nicht geroutet aussieht? Ansonsten hätte der Provider kein Gateway in dem Netz was er dir zur Verfügung stellt, sondern du hättest ein kleines /29er oder anderweitiges Netz in anderem Adressraum als Transfernetz und bekämst das neue /29 einfach dorthin geroutet. Somit solltest du bei der Beschreibung aufpassen, wird ein Netz sauber über ein Transfernetz zu dir geroutet ist das anders zu behandeln, als wenn der Provider selbst da seinen Fuß drin hat.

    Nach Aussage von Colt können wir diese IPs z.B. für öffentlich erreichbare Webserver verwenden.

    Das ist in der Tat großzügig ;)

    Ich möchte nun einem Router, der hinter der pfsense Appliance hängt, eine dieser IPs geben. Quasi um ein getrenntes Netz ohne doppeltes NAT mit dem Internet zu verbinden.

    Äm … wie? Nö. Nicht wirklich. Da Colt dir das Netz eben genau nicht routet, sondern nur auflegt, kannst du die IPs nur mit Geräten nutzen, die im gleichen WAN hängen, wie das Gateway von Colt. Die pfSense könnte die IPs lediglich als AliasIPs bei sich auflegen und du kannst dann via 1:1 NAT die IP an einen nachgestellten Router weiterreichen. Der ist dann aus dem Netz über die IP greifbar, hat diese aber NICHT bei sich aufliegen und kann darüber sprechen. NAT sparst du somit nicht. Genau deshalb ist es ein Unterschied zwischen geroutet bekommen oder aufgelegt bekommen.

    Kann mir jemand sagen, wie ich ein solches Subnetz mit Pfsense einbinden und dann auf Geräten im Lan (bzw. den genannten Router) verwenden kann?

    Aus dem Stehgreif: So leider gar nicht - zumindest wüsste ich nicht wie das ohne Verbiegen von Netzeinstellungen bewerkstelligbar wäre.

    Gruß



  • Besten Dank für deine Antwort.

    Eventuell habe ich eine wichtige Info vergessen.

    Wir haben in der Tat ein 30er "Netz", welches im Moment für an der Pfsense eingesetzt wird.

    Vom Provider haben wir die "WAN IP Details" bekommen:

    Network Address: 217.abc.xyz.252
    WAN (CPE Router Side): 217.abc.xyz.254
    WAN (Colt Backbone side): 217.abc.xyz.253
    Sub-net mask: 255.255.255.252

    Und dazu dann eben noch die bereits genannten "LAN IP Details", die bisher noch überhaupt nicht eingesetzt werden.

    Kann man damit mehr anfangen (und wenn ja was)?


  • LAYER 8 Moderator

    Kann man m.E. nichts. Das Problem ist eher, dass das andere /29er Netz eben nicht geroutet wird, sondern - zumindest laut der Daten - aufgelegt wird mit einem eigenen Gateway. Allerdings könnte man an der Stelle dann mal bei Colt freundlich anfragen, ob es nicht wesentlich einfacher und sinnvoller wäre, das /29er einfach auf die 217….254 von unten zu routen. DANN wäre das alles gar kein Problem :)

    Grüße



  • @JeGr:

    Kann man m.E. nichts. Das Problem ist eher, dass das andere /29er Netz eben nicht geroutet wird, sondern - zumindest laut der Daten - aufgelegt wird mit einem eigenen Gateway. Allerdings könnte man an der Stelle dann mal bei Colt freundlich anfragen, ob es nicht wesentlich einfacher und sinnvoller wäre, das /29er einfach auf die 217….254 von unten zu routen. DANN wäre das alles gar kein Problem :)

    Grüße

    Ich muss den Thread hier nochmal aufwärmen, da ich da bisher einfach nicht weiterkomme.

    Was genau meinst du mit "von unten zu routen" und wie formuliere ich das gegenüber Colt?

    Für irgendwas muss dieses IP-Netz ja nun gut sein. Ich kann mir nicht vorstellen, dass Colt eine Konfiguration wählt, bei der man mit den zusätzlichen IPs quasi nichts anfangen kann.
    Laut Colt kann ich die IPs z.B. für von außen erreichbare Webserver in unserem LAN verwenden (nur sagt mir keiner wie).
    Was müsste ich denn dafür wie konfigurieren?


  • LAYER 8 Moderator

    Was genau meinst du mit "von unten zu routen" und wie formuliere ich das gegenüber Colt?

    von unten, weil der Post unten stand und der mit den 213er IPs oben ;)
    Die Frage an Colt wäre einfach ob sie bitte das 213…/29er von oben  auf die IP der pfSense des /30ers routen können (217...254).

    Für irgendwas muss dieses IP-Netz ja nun gut sein. Ich kann mir nicht vorstellen, dass Colt eine Konfiguration wählt, bei der man mit den zusätzlichen IPs quasi nichts anfangen kann.

    Colt macht sichs einfach um selbst nicht noch mehr Adressen zu verbrauchen und pflanzt ein Bein in "dein" Subnetz. Damit ist es nicht mehr geroutet und alle IPs hängen doof vor der pfSense rum weil DIE sie nicht mehr routen kann. Da du aber noch ein /30er von denen hast, brechen die sich ja keinen Zacken aus der Krone, wenn sie das /29er dir direkt auf die pfSense IP des /30ers routen. Das machen sie im Normalfall nicht freiwillig weil sie dann für jeden Kunden noch zusätzliche IPs rausrücken müssten und die sind bekanntermaßen Mangelware.

    Laut Colt kann ich die IPs z.B. für von außen erreichbare Webserver in unserem LAN verwenden (nur sagt mir keiner wie).

    Das ist einfach nur Marketing Blabla. Du hast public IPs. Punkt. Was du mit denen machst ist dein Ding, dass die was erzählen von "kann man für Webserver verwenden" ist da einfach nur ein Beispiel.

    Was müsste ich denn dafür wie konfigurieren?

    Da deine Server HINTER der pfSense stehen und daher von den IPs nix mitbekommen geht das eben nicht (so einfach). Der einzige Weg das SO hinzubekommen OHNE Routing (was gelinde gesagt Mist ist), wäre 1:1 NAT zu machen. Sprich du hängst deine Server hinter der pfSense in ein privates Netz (192, 172, 10) und mappst dann auf der pfSense die IPs 1:1 auf die privaten IPs dahinter. Das hat dann natürlich seine Licht und Schattenseiten, wie das bei NAT eben leider so ist. So ist bspw. ein Aufruf der externen IP Adresse auf dem Server dann immer ein PingPong vom Server zur pfSense und zurück (NAT Reflection aktiviert natürlich), was sonst einfach unnötig wäre. Auch da kommt man mit etwas Konfigurationsaufwand drumherum, aber wie gesagt müsste das eben erst gar nicht sein, wenn Colt gleich ordentlich routen würde.

    Grüße



  • Hallo,

    lass dich nicht total verunsichern, jonny, ganz so abartig, wie der gute Jens das hier darstellt, ist deine Konstellation auch nicht. Mehrere Netze am WAN sind keine Seltenheit aus den bereits genannten Gründen, aber eben nicht die beste Variante.

    In deinem /29er Netz hast du 5 nutzbare IPs, jede dieser kannst du mit oder ohne NAT nutzen, eine gemischte Nutzung könnte aber etwas komplizierter sein.
    Mit NAT, so wie es Jens beschrieben hat mit 1:1 NAT oder du fügst jede einzelne IP als virtuelle zum WAN-Interface hinzu. Firewall > Virtual IPs. Hier add klicken, den Typ "IP alias" setzen, IP und Subnetzmaske eintragen u. ggf. einen Namen vergeben.
    Die IPs kannst du dann in einzelnen NAT-Regeln auf interne Hosts weiterleiten. Antworten dieser Hosts erhalten am WAN-Interface dann wieder die ursprüngliche externe IP als Quell-Adresse. Die Sache ist so also weitgehend transparent.

    Aber was du ursprünglich möchtest…
    @jonnyD:

    Ich möchte nun einem Router, der hinter der pfsense Appliance hängt, eine dieser IPs geben. Quasi um ein getrenntes Netz ohne doppeltes NAT mit dem Internet zu verbinden.

    wird so ohne zusätzliches NAT nicht gehen, so quasi eine der WAN-IPs einfach durchzureichen. Dazu müsstest du die pfSense brücken, geht aber nicht, wenn der Router am LAN-Interface mit anderen Geräten in einem privaten Netz hängt.

    Das kannst du so wie gewollt hinbekommen, indem du den Router parallel zur pfSense an das WAN hängst. Also am Internet-Anschluss einen kleinen Switch dran, auf diesen kannst du dann die pfSense und den Router hängen und beiden Geräten gibst du die gewünschte(n) IP(s).

    Grüße


  • LAYER 8 Moderator

    Ahoi virago,

    lass dich nicht total verunsichern, jonny, ganz so abartig, wie der gute Jens das hier darstellt, ist deine Konstellation auch nicht

    ich versuche hier niemanden zu verunsichern, sondern nur, dass er sich ggf. für ordentliches Routing einsetzt, was auch im Sinn des ISP sein sollte. Abartig hab ich nirgends erwähnt, nur sehr ungeschickt für das was er möchte.
    Und so verkehrt war ich wohl nicht, denn dir fällt auch keine andere Möglichkeit ein, oder? Denn den anderen Router dahinter parallel zu hängen, ist ja eine komplett andere Netztopologie und ggf. gar nicht gewünscht. Ergo gibt es für die ursprüngliche Aufgabenstellung außer nervigem NAT und seinen Nebeneffekten oder Routing kaum andere Möglichkeiten?

    Und NAT kann an dieser Stelle eben schon extrem nervig sein, auch und wegen einem zweiten Router hintendran. Wir sind leider selbst an manchen Stellen drauf angewiesen und es ist jedes Mal wieder eine Hölle… alleine schon wenn man etwas komplexere Projektstrukturen hat und sich Dienste dann über DNS oder öffentliche IPs aufrufen, das dann vielleicht noch über Loadbalancer läuft etc. dann hat man so seinen ganz eigenen Kreis der Routing-Hölle... und den mag ich anderen ersparen.

    Grüße Jens :)



  • Lieben Dank für eure Antworten.

    @viragomann:

    In deinem /29er Netz hast du 5 nutzbare IPs, jede dieser kannst du mit oder ohne NAT nutzen, eine gemischte Nutzung könnte aber etwas komplizierter sein.
    Mit NAT, so wie es Jens beschrieben hat mit 1:1 NAT oder du fügst jede einzelne IP als virtuelle zum WAN-Interface hinzu. Firewall > Virtual IPs. Hier add klicken, den Typ "IP alias" setzen, IP und Subnetzmaske eintragen u. ggf. einen Namen vergeben.
    Die IPs kannst du dann in einzelnen NAT-Regeln auf interne Hosts weiterleiten. Antworten dieser Hosts erhalten am WAN-Interface dann wieder die ursprüngliche externe IP als Quell-Adresse. Die Sache ist so also weitgehend transparent.

    Aber was du ursprünglich möchtest…
    @jonnyD:

    Ich möchte nun einem Router, der hinter der pfsense Appliance hängt, eine dieser IPs geben. Quasi um ein getrenntes Netz ohne doppeltes NAT mit dem Internet zu verbinden.

    wird so ohne zusätzliches NAT nicht gehen, so quasi eine der WAN-IPs einfach durchzureichen. Dazu müsstest du die pfSense brücken, geht aber nicht, wenn der Router am LAN-Interface mit anderen Geräten in einem privaten Netz hängt.

    Das kannst du so wie gewollt hinbekommen, indem du den Router parallel zur pfSense an das WAN hängst. Also am Internet-Anschluss einen kleinen Switch dran, auf diesen kannst du dann die pfSense und den Router hängen und beiden Geräten gibst du die gewünschte(n) IP(s).

    Grüße

    Also freie Ports an der Pfsense selber hab ich genug. Gibt also keinen Grund den zweiten Router in unserem normalen LAN an einem Switch laufen zu lassen.

    Ich habe mal versucht der Pfsense eine der Subnetz IPs statt der Haupt IP zu geben. Darüber kam ich dann aber nicht ins Netz.
    Meinst du wirklich, wenn ich zwischen Pfsense und WAN einen kleinen Switch hänge, kann ich an diesem Switch Geräten frei IPs aus dem Subnetz zuteilen? Dann hätte das bei der Pfsense selber ja eigentlich auch gehen müssen.

    Wenn ich die IPs als Subnetz in der Pfsense anlege, hab ich dann nicht in jedem Fall doppeltes NAT? Oder kann ich diese Alias IPs auf ein Interface der Pfsense routen, so dass das Gerät an diesem Interface die IP direkt als öffentliche IP ohne NAT nutzen kann?


  • LAYER 8 Moderator

    Oder kann ich diese Alias IPs auf ein Interface der Pfsense routen, so dass das Gerät an diesem Interface die IP direkt als öffentliche IP ohne NAT nutzen kann?

    Nein, Adressen die du irgendwo auf der pfSense bindest - so wie es virago beschreibt via Alias IP - kannst du nur noch per 1:1 NAT nach hinten weitergeben, aber nicht mehr an ein anderes Gerät.

    Du kannst die freien IPs aus dem Subnetz nur dann (außerhalb) der pfSense nutzen, wenn du die Geräte parallel zur pfSense ins gleiche Layer2 Segment bewegst. Also wie im Beispiel von virago du hängst einen Switch ans WAN deines Providers und hängst dann da den zweiten Router hin oder deine Server. Ist aber quark, deshalb klemmt man vor diese ja die pfSense weil man sie schützen möchte, also nutzt das nicht wirklich was.

    Deshalb hatte ich beschrieben, warum ich das /29er Netz versuchen würde geroutet zu bekommen, damit es eben nicht via Gateway erreichbar ist, sondern dir intern zur Weiterverteilung zur Verfügung steht.

    Ich habe mal versucht der Pfsense eine der Subnetz IPs statt der Haupt IP zu geben. Darüber kam ich dann aber nicht ins Netz.

    Was heißt "darüber kam ich nicht ins Netz" und wie hast du die der pfSense gegeben? Wenn du eine der /29er IPs da einfach draufknotest (Alias IP o.ä.), dann musst du ja irgendwie damit arbeiten. Entweder auf der pfSense selbst oder mit 1:1 NAT. Nach hinten durchreichen geht ja nicht, denn du kannst ja keine Route anlegen <ip>/32 route nach x.y oder auf Server z, weil du die IP ja gerade per Alias IP auf die pfSense gebunden hast. Das würde sich in der Routing Table beißen, da local immer vor Netz geht.

    Grüße</ip>



  • @JeGr:

    Was heißt "darüber kam ich nicht ins Netz" und wie hast du die der pfSense gegeben? Wenn du eine der /29er IPs da einfach draufknotest (Alias IP o.ä.), dann musst du ja irgendwie damit arbeiten. Entweder auf der pfSense selbst oder mit 1:1 NAT. Nach hinten durchreichen geht ja nicht, denn du kannst ja keine Route anlegen <ip>/32 route nach x.y oder auf Server z, weil du die IP ja gerade per Alias IP auf die pfSense gebunden hast. Das würde sich in der Routing Table beißen, da local immer vor Netz geht.</ip>

    Ne ich hab einfach mal statt der separaten Daten für die Haupt IP eine aus dem Subnetz genommen und das Gateway gesetzt.
    Also im Prinzip das gleiche wie wenn ich einen Switch ans WAN hänge und da dann die Pfsense und den zweiten Router dran klemme.

    Ich hab nochmal mit Colt gesprochen und die behaupten das Netz würde geroutet. Kann das sein?


  • LAYER 8 Moderator

    @jonnyD: Dann frag sie doch wohin es geroutet wird :) Und wenn er dir dann die Gateway Adresse aus dem Netz sagt (Spaßvogel macht das manchmal), frag ihn nett  ob er das ändern kann, denn das ist nicht die richtige ;)



  • Sooo,… nach einem längeren Telefonat mit Colt bin ich jetzt eventuell ein Stückchen weiter.

    Der Colt Techniker meinte, dass ich einem LAN Port meiner Pfsense Appliance die Gateway Adresse 213.ab.xy.73 geben soll und dann an diesem LAN Port einen Switch hängen kann, an dem alle öffentlich erreichbaren Server betrieben werden (mit den Adressen 213.ab.xy.74 - 213.ab.xy.78).

    Das probiere ich morgen aus.

    Nur... geht Pfsense nicht erstmal davon aus, bei dieser Config NAT machen zu müssen? Muss ich das nicht abschalten?

    Danke.



  • NAT solltest Du dann für das Netz/Interface abschalten. Und ich würde dafür ein DMZ (OPTx) nehmen, nicht unbedingt das LAN Interface.



  • @athurdent:

    NAT solltest Du dann für das Netz/Interface abschalten. Und ich würde dafür ein DMZ (OPTx) nehmen, nicht unbedingt das LAN Interface.

    Danke. Ja ist bereits ein OPTx Interface. Am LAN Port hängt unser normaler Switch mit den Workstations-

    Wie schalte ich NAT für das Interface ab? Reicht es, wenn ich in Firewall/NAT/Outbound auf manuell stelle und die Regeln für das betroffene Interface lösche?

    Danke.



  • @jonnyD:

    Wie schalte ich NAT für das Interface ab? Reicht es, wenn ich in Firewall/NAT/Outbound auf manuell stelle und die Regeln für das betroffene Interface lösche?

    Ja, wenn ich das richtig in Erinnerung habe, erstellt die pfSense die vorhandenen Auto NAT Rules dann als manuelle Regeln und Du kannst die Überflüssigen einfach entfernen.

    Bei DMZ immer aufpassen mit den Firewall Regeln, ACL mit Destination Any gehen dann auch in angeschlossene DMZ bzw LAN Netze. Also z.B. am Besten entsprechende Block Rules ganz oben einfügen, damit die DMZ nicht ins LAN darf. Geht auch mit Negate Rules, die sind aber u.U. etwas unübersichtlich.



  • Danke nochmal an alle Helfer.

    Es läuft jetzt.

    Colt routet tatsächlich das Netz richtig zu uns. Ich kann einfach einem Port der Appliance die Gateway IP geben, NAT abschalten und dann an diesem Port einen Switch mit allen öffentlich erreichbaren Servern betreiben.


Log in to reply