Subnetz auf WAN IP geroutet?
-
Ahoi virago,
lass dich nicht total verunsichern, jonny, ganz so abartig, wie der gute Jens das hier darstellt, ist deine Konstellation auch nicht
ich versuche hier niemanden zu verunsichern, sondern nur, dass er sich ggf. für ordentliches Routing einsetzt, was auch im Sinn des ISP sein sollte. Abartig hab ich nirgends erwähnt, nur sehr ungeschickt für das was er möchte.
Und so verkehrt war ich wohl nicht, denn dir fällt auch keine andere Möglichkeit ein, oder? Denn den anderen Router dahinter parallel zu hängen, ist ja eine komplett andere Netztopologie und ggf. gar nicht gewünscht. Ergo gibt es für die ursprüngliche Aufgabenstellung außer nervigem NAT und seinen Nebeneffekten oder Routing kaum andere Möglichkeiten?Und NAT kann an dieser Stelle eben schon extrem nervig sein, auch und wegen einem zweiten Router hintendran. Wir sind leider selbst an manchen Stellen drauf angewiesen und es ist jedes Mal wieder eine Hölle… alleine schon wenn man etwas komplexere Projektstrukturen hat und sich Dienste dann über DNS oder öffentliche IPs aufrufen, das dann vielleicht noch über Loadbalancer läuft etc. dann hat man so seinen ganz eigenen Kreis der Routing-Hölle... und den mag ich anderen ersparen.
Grüße Jens :)
-
Lieben Dank für eure Antworten.
In deinem /29er Netz hast du 5 nutzbare IPs, jede dieser kannst du mit oder ohne NAT nutzen, eine gemischte Nutzung könnte aber etwas komplizierter sein.
Mit NAT, so wie es Jens beschrieben hat mit 1:1 NAT oder du fügst jede einzelne IP als virtuelle zum WAN-Interface hinzu. Firewall > Virtual IPs. Hier add klicken, den Typ "IP alias" setzen, IP und Subnetzmaske eintragen u. ggf. einen Namen vergeben.
Die IPs kannst du dann in einzelnen NAT-Regeln auf interne Hosts weiterleiten. Antworten dieser Hosts erhalten am WAN-Interface dann wieder die ursprüngliche externe IP als Quell-Adresse. Die Sache ist so also weitgehend transparent.Aber was du ursprünglich möchtest…
@jonnyD:Ich möchte nun einem Router, der hinter der pfsense Appliance hängt, eine dieser IPs geben. Quasi um ein getrenntes Netz ohne doppeltes NAT mit dem Internet zu verbinden.
wird so ohne zusätzliches NAT nicht gehen, so quasi eine der WAN-IPs einfach durchzureichen. Dazu müsstest du die pfSense brücken, geht aber nicht, wenn der Router am LAN-Interface mit anderen Geräten in einem privaten Netz hängt.
Das kannst du so wie gewollt hinbekommen, indem du den Router parallel zur pfSense an das WAN hängst. Also am Internet-Anschluss einen kleinen Switch dran, auf diesen kannst du dann die pfSense und den Router hängen und beiden Geräten gibst du die gewünschte(n) IP(s).
Grüße
Also freie Ports an der Pfsense selber hab ich genug. Gibt also keinen Grund den zweiten Router in unserem normalen LAN an einem Switch laufen zu lassen.
Ich habe mal versucht der Pfsense eine der Subnetz IPs statt der Haupt IP zu geben. Darüber kam ich dann aber nicht ins Netz.
Meinst du wirklich, wenn ich zwischen Pfsense und WAN einen kleinen Switch hänge, kann ich an diesem Switch Geräten frei IPs aus dem Subnetz zuteilen? Dann hätte das bei der Pfsense selber ja eigentlich auch gehen müssen.Wenn ich die IPs als Subnetz in der Pfsense anlege, hab ich dann nicht in jedem Fall doppeltes NAT? Oder kann ich diese Alias IPs auf ein Interface der Pfsense routen, so dass das Gerät an diesem Interface die IP direkt als öffentliche IP ohne NAT nutzen kann?
-
Oder kann ich diese Alias IPs auf ein Interface der Pfsense routen, so dass das Gerät an diesem Interface die IP direkt als öffentliche IP ohne NAT nutzen kann?
Nein, Adressen die du irgendwo auf der pfSense bindest - so wie es virago beschreibt via Alias IP - kannst du nur noch per 1:1 NAT nach hinten weitergeben, aber nicht mehr an ein anderes Gerät.
Du kannst die freien IPs aus dem Subnetz nur dann (außerhalb) der pfSense nutzen, wenn du die Geräte parallel zur pfSense ins gleiche Layer2 Segment bewegst. Also wie im Beispiel von virago du hängst einen Switch ans WAN deines Providers und hängst dann da den zweiten Router hin oder deine Server. Ist aber quark, deshalb klemmt man vor diese ja die pfSense weil man sie schützen möchte, also nutzt das nicht wirklich was.
Deshalb hatte ich beschrieben, warum ich das /29er Netz versuchen würde geroutet zu bekommen, damit es eben nicht via Gateway erreichbar ist, sondern dir intern zur Weiterverteilung zur Verfügung steht.
Ich habe mal versucht der Pfsense eine der Subnetz IPs statt der Haupt IP zu geben. Darüber kam ich dann aber nicht ins Netz.
Was heißt "darüber kam ich nicht ins Netz" und wie hast du die der pfSense gegeben? Wenn du eine der /29er IPs da einfach draufknotest (Alias IP o.ä.), dann musst du ja irgendwie damit arbeiten. Entweder auf der pfSense selbst oder mit 1:1 NAT. Nach hinten durchreichen geht ja nicht, denn du kannst ja keine Route anlegen <ip>/32 route nach x.y oder auf Server z, weil du die IP ja gerade per Alias IP auf die pfSense gebunden hast. Das würde sich in der Routing Table beißen, da local immer vor Netz geht.
Grüße</ip>
-
Was heißt "darüber kam ich nicht ins Netz" und wie hast du die der pfSense gegeben? Wenn du eine der /29er IPs da einfach draufknotest (Alias IP o.ä.), dann musst du ja irgendwie damit arbeiten. Entweder auf der pfSense selbst oder mit 1:1 NAT. Nach hinten durchreichen geht ja nicht, denn du kannst ja keine Route anlegen <ip>/32 route nach x.y oder auf Server z, weil du die IP ja gerade per Alias IP auf die pfSense gebunden hast. Das würde sich in der Routing Table beißen, da local immer vor Netz geht.</ip>
Ne ich hab einfach mal statt der separaten Daten für die Haupt IP eine aus dem Subnetz genommen und das Gateway gesetzt.
Also im Prinzip das gleiche wie wenn ich einen Switch ans WAN hänge und da dann die Pfsense und den zweiten Router dran klemme.Ich hab nochmal mit Colt gesprochen und die behaupten das Netz würde geroutet. Kann das sein?
-
@jonnyD: Dann frag sie doch wohin es geroutet wird :) Und wenn er dir dann die Gateway Adresse aus dem Netz sagt (Spaßvogel macht das manchmal), frag ihn nett ob er das ändern kann, denn das ist nicht die richtige ;)
-
Sooo,… nach einem längeren Telefonat mit Colt bin ich jetzt eventuell ein Stückchen weiter.
Der Colt Techniker meinte, dass ich einem LAN Port meiner Pfsense Appliance die Gateway Adresse 213.ab.xy.73 geben soll und dann an diesem LAN Port einen Switch hängen kann, an dem alle öffentlich erreichbaren Server betrieben werden (mit den Adressen 213.ab.xy.74 - 213.ab.xy.78).
Das probiere ich morgen aus.
Nur... geht Pfsense nicht erstmal davon aus, bei dieser Config NAT machen zu müssen? Muss ich das nicht abschalten?
Danke.
-
NAT solltest Du dann für das Netz/Interface abschalten. Und ich würde dafür ein DMZ (OPTx) nehmen, nicht unbedingt das LAN Interface.
-
NAT solltest Du dann für das Netz/Interface abschalten. Und ich würde dafür ein DMZ (OPTx) nehmen, nicht unbedingt das LAN Interface.
Danke. Ja ist bereits ein OPTx Interface. Am LAN Port hängt unser normaler Switch mit den Workstations-
Wie schalte ich NAT für das Interface ab? Reicht es, wenn ich in Firewall/NAT/Outbound auf manuell stelle und die Regeln für das betroffene Interface lösche?
Danke.
-
Wie schalte ich NAT für das Interface ab? Reicht es, wenn ich in Firewall/NAT/Outbound auf manuell stelle und die Regeln für das betroffene Interface lösche?
Ja, wenn ich das richtig in Erinnerung habe, erstellt die pfSense die vorhandenen Auto NAT Rules dann als manuelle Regeln und Du kannst die Überflüssigen einfach entfernen.
Bei DMZ immer aufpassen mit den Firewall Regeln, ACL mit Destination Any gehen dann auch in angeschlossene DMZ bzw LAN Netze. Also z.B. am Besten entsprechende Block Rules ganz oben einfügen, damit die DMZ nicht ins LAN darf. Geht auch mit Negate Rules, die sind aber u.U. etwas unübersichtlich.
-
Danke nochmal an alle Helfer.
Es läuft jetzt.
Colt routet tatsächlich das Netz richtig zu uns. Ich kann einfach einem Port der Appliance die Gateway IP geben, NAT abschalten und dann an diesem Port einen Switch mit allen öffentlich erreichbaren Servern betreiben.