LAN-IPs zu statischer WAN (NAT ausgehend)



  • Guten Tag miteinander

    Ich bin ratlos und komme leider nicht an mein Ziel.

    Mein Provider hat mir das Netz 85.245.122.49/29 zur Verfügung gestellt.
    Diese IP-Adressen werden von einzelnen Servern direkt verwendet. Es findet keine Übersetzung von bspw. 85.245.122.50 auf 192.168.5.50 statt. Die Server haben direkt die jeweilige IP-Adresse hinterlegt mit Gateway 85.245.122.49

    Meine aktuelle Konfiguration der Schnittstellen:

    | eth0 | WAN | auto | DHCP IPv4 |
    | eth1 | LAN | static | 192.168.1.1/24 |
    | eth2 | OPT1 | static | 85.245.122.49/29 |

    Für die Server musste ich NAT 1:1 erstellen in Form folgender Form, da der Server sonst im Internet mit 85.245.122.49 erkannt wurde statt mit seiner eigenen IP.

    | Schnittstelle | Externe IP | Interne IP | Ziel IP |
    | WAN | 85.245.122.50 | 85.245.122.50 | * |
    | WAN | 85.245.122.51 | 85.245.122.51 | * |
    | WAN | 85.245.122.52 | 85.245.122.52 | * |

    Für die bestehenden Server funktioniert das alles soweit mit dem Netzwerk.

    Das Problem:
    Die Rechner des Netzwerks 192.168.1.1/24 sollen über eine bestimmte fixe IP-Adresse (bspw. 85.245.122.54) aus dem Kreis 85.245.122.49/29 im Internet erkannt werden.
    Ich krieg das leider irgendwie nicht zum laufen. Wie löse ich dieses Problem?

    Herzlichen Dank



  • Hallo.

    @CreativeDevelopers:

    Das Problem:
    Die Rechner des Netzwerks 192.168.1.1/24 sollen über eine bestimmte fixe IP-Adresse (bspw. 87.245.122.54) aus dem Kreis 85.245.122.49/29 im Internet erkannt werden.

    Was meinst du damit? Wenn die Rechner ins Internet gehen, sollen sie eine bestimmte IP haben? Sollen sie über diese auch von außen erreichbar sein?



  • hallo

    Ja, das würde ich dann aber gesondert mit eingehenden NAT-Regeln definieren. Also beispielsweise 85.245.122.54 Port 80 geht auf 192.168.1.9 Port 80.
    Wichtig ist mir einfach, dass alle Rechner des LAN-Systems eine fest zugewiesene WAN-IP für das Internet haben und so auch im Internet erkannt werden. Also nicht die DHCP-IP des Providers, die ja gar nicht in meinem IP-Range liegt.

    Meine WAN-IP-Adressen, die ich vom Provider erhalten habe:
    85.245.122.49
    85.245.122.50
    85.245.122.51
    85.245.122.52
    85.245.122.53
    85.245.122.54

    Wichtig ist, dass die Server im Netzwerk in ihren Netzwerkeinstellungen die statische WAN-IP Adresse konfiguriert haben.
    Also kein separates lokales Netz. Ist das in dem Fall nicht FULL NAT? (DNAT / SNAT) ?

    Beispiel

    | WAN-IP | Interne IP | System |
    | 85.245.122.49 | 85.245.122.49 | Router |
    | 85.245.122.50 | 85.245.122.50 | Server 1 |
    | 85.245.122.51 | 85.245.122.51 | Server 2 |
    | 85.245.122.52 | 85.245.122.52 | Server 3 |
    | 85.245.122.53 | 85.245.122.53 | Server 4 |
    | 85.245.122.54 | 192.168.1.1/24 | Alle Geräte des internen Netzwerks |

    Gruss



  • @CreativeDevelopers:

    Wichtig ist mir einfach, dass alle Rechner des LAN-Systems eine fest zugewiesene WAN-IP für das Internet haben und so auch im Internet erkannt werden. Also nicht die DHCP-IP des Providers, die ja gar nicht in meinem IP-Range liegt.

    Hast du nur so wenige interne Rechner? Oder verstehe ich was falsch? Oder du?

    Du schreibst, du hast ein /29er Netz, vermutlich plus eine DHCP IP. Das sind 5 nutzbare IPs. Reicht das für die internen Rechner?

    Zusätzlich hast du ja auch noch ein zweites internes Netz, in dem du direkt die öffentlichen IPs verwendest. Weiß zwar nicht, wie das genau funktionieren soll, aber das ist ja nicht das Problem, schreibst du. Doch benötigen diese Rechner auch öffentliche IPs (von den 5).
    Daher ist mir absolut nicht klar, was du da genau machen möchtest.

    Nach außen hin die IPs zu transferieren ist kein Problem. Das kannst du mit dem Outbound NAT machen. Firewall > NAT > Outbound.
    Dieses in den Hybrid-Modus setzen und eine Regel für WAN hinzufügen, Quelle ist das LAN Netz und Translation address 85.245.122.54.
    Doch scheint das auch nicht das zu sein, was du möchtest.



  • Also im LAN (192.168.1.1/24) sind es ca. 35 Geräte, die ins Internet gehen müssen. All diese Geräte sollen per ausgehendem NAT die selbe öffentliche WAN-IP haben 85.245.122.54.
    Die anderen 4/5 öffentlichen WAN-IP's habe ich dem Router und den Servern 1-4 zugewiesen, deren Netzwerk-IP auch der statischen WAN-IP entspricht.

    Nach außen hin die IPs zu transferieren ist kein Problem. Das kannst du mit dem Outbound NAT machen. Firewall > NAT > Outbound.
    Dieses in den Hybrid-Modus setzen und eine Regel für WAN hinzufügen, Quelle ist das LAN Netz und Translation address 85.245.122.54.
    Doch scheint das auch nicht das zu sein, was du möchtest.

    Ich habe nun auf Hybrid gestellt und nun kann ich dort nur folgendes auswählen für NAT ausgehend:

    • Schnittstellenadresse
    • Anderes Subnetz (unten eingeben)

    Wenn ich die Schnittstellenadresse wähle, erscheint ein Rechner aus 192.168.1.1/24 im Internet immernoch mit der IP 85.245.100.49.
    Diese IP ist per DHCP vom Provider vergeben und ist mein Gateway so wie ich das sehe, aber nicht meine eigene öffentliche WAN-IP 85.245.122.49 bis .54

    Mit der Einstellung Anderes Subnetz hab ichs auch versucht aber das geht auch nicht. Was mache ich falsch?

    ![NAT ausgehend.jpg](/public/imported_attachments/1/NAT ausgehend.jpg)
    ![NAT ausgehend.jpg_thumb](/public/imported_attachments/1/NAT ausgehend.jpg_thumb)



  • Anderes Subnetz sollte passen, aber die Maske musst du auf "/32" stellen. Du möchtest ja schließlich nur diese eine Adresse im WAN haben.


  • LAYER 8 Moderator

    @CreativeDevelopers:

    Guten Tag miteinander

    Ich bin ratlos und komme leider nicht an mein Ziel.

    Mein Provider hat mir das Netz 85.245.122.49/29 zur Verfügung gestellt.
    Diese IP-Adressen werden von einzelnen Servern direkt verwendet. Es findet keine Übersetzung von bspw. 85.245.122.50 auf 192.168.5.50 statt. Die Server haben direkt die jeweilige IP-Adresse hinterlegt mit Gateway 85.245.122.49

    Meine aktuelle Konfiguration der Schnittstellen:

    | eth0 | WAN | auto | DHCP IPv4 |
    | eth1 | LAN | static | 192.168.1.1/24 |
    | eth2 | OPT1 | static | 85.245.122.49/29 |

    Für die Server musste ich NAT 1:1 erstellen in Form folgender Form, da der Server sonst im Internet mit 85.245.122.49 erkannt wurde statt mit seiner eigenen IP.

    | Schnittstelle | Externe IP | Interne IP | Ziel IP |
    | WAN | 85.245.122.50 | 85.245.122.50 | * |
    | WAN | 85.245.122.51 | 85.245.122.51 | * |
    | WAN | 85.245.122.52 | 85.245.122.52 | * |

    Für die bestehenden Server funktioniert das alles soweit mit dem Netzwerk.

    Das Problem:
    Die Rechner des Netzwerks 192.168.1.1/24 sollen über eine bestimmte fixe IP-Adresse (bspw. 85.245.122.54) aus dem Kreis 85.245.122.49/29 im Internet erkannt werden.
    Ich krieg das leider irgendwie nicht zum laufen. Wie löse ich dieses Problem?

    Herzlichen Dank

    Hi,

    irgendwie sehe ich da mehrere Sachen die verkehrt laufen bei dir.

    1. Wie ist denn deine Konfiguration auf dem WAN? Du bekommst von deinem Provider ein /29er Netz gestellt, dass du auf dem DMZ Interface genutzt hast? Korrekt? Aber was ist deine IP auf dem WAN auf die dir dein Provider das /29er Netz geroutet hat?
    2. Die Einstellungen mit 1:1 NAT sehen gruselig aus. Wenn dein DMZ korrekt konfiguriert ist, brauchst du doch überhaupt kein NAT. Ich verstehe nicht was du da gemacht hast… aber die Frage ist auch abhängig von der Antwort auf 1)
    3. Dein LAN hat abgehend die IP, die du im Outbound NAT konfiguriert hast. Automatisch wird immer auf die Interface IP gemappt, was auf WAN anliegt. Wenn du das nicht möchtest, muss eine andere IP als Alias IP erstellt werden, damit die Sense darauf reagiert und diese kannst du dann auch im Outbound NAT auswählen.

    Allerdings macht es mich stutzig, dass du extern mit deinen 192er Clients die IP haben sollst, die du auf dem DMZ Interface vergeben hast. Irgendwie macht das nicht so ganz Sinn...
    Dein Problem mit den 1:1 NATs, die in meinen Augen komplett unsinnig sind, war wahrscheinlich, dass du Outbound NAT auf automatisch hast. Auf Auto legt die Sense gerne für ALLE Interfaces (auch DMZ) abgehend auf WAN eine NAT Regel an. Das will man aber nicht, wenn man wie du bspw. die DMZ komplett mit public IPs ausstaffiert hat. Dann muss das auf manuell gestellt und entsprechend gelöscht und abgeändert werden.

    Gruß



  • Danke für die Antworten.

    Also WAN zum Provider melde ich mich via DHCP an und gelange so in das Netz 85.245.100.49.
    Mein Adress-Bereich ist aber 85.245.122.49 - 54 (/29-Netz).

    Da ich die Schnittstelle OPT1 mit der IP 85.245.122.49 besetzt habe, konnte ich die sich auf diesem Interface befindenden Server (via Switch) mit dem Internet verbinden.
    Die Server aber waren alle im Internet mit der IP 85.245.122.49 sichtbar, darum habe ich 1:1 NAT für jede IP-Adresse eingestellt, sodass beispielsweise der Server mit seiner Netzwerk-IP 85.245.122.50 auch 1:1 als 85.245.122.50 im Internet erkannt wird und nicht über die IP-Adresse der OPT1-Schnittstelle. Ich gehe davon aus, dass die Server die IP-Adresse der Schnittstelle OPT1 übernommen haben, was ja der öffentlichen pfSense-RouterIP entspricht.

    Auch die Rechner an der Schnittstelle LAN konnten alle ins Internet, jedoch nur mit der IP-Adresse 85.245.100.49, die ja bekanntlich nicht in meinem IP-Bereich von 85.245.122.49 - 54 (/29-Netz) liegt.

    Ich vermute ich habe diverse Einstellungsfehler gemacht, denn die Handhabung mit meinem Ubiquity EdgeMax-Router ist komplett anders. Dort habe ich einfach alles per NAT Loopback und Reflection an die Server-IP's weitergeleitet und musste nur ein NAT für das Netzwerk 192.168.1.0/24 erstellen.

    Die Einstellungen von NAT Ausgehend (Outbound) hatte ich zuerst auf Automatisch. Sobald ich hier manuelle Einstellungen oder Hybdrid versuche, sind die Server nicht mehr erreichbar.

    Ich stelle mir das so vor:

    • Router verbindet sich per DHCP beim Provider. Dort erhalte ich ja automatisch die WAN-IP 85.245.100.49, die ausserhalb meines IP-Bereichs liegt.

    • Das lokale Netzwerk auf der Schnittstelle LAN (192.168.1.0/24) soll über eine meiner IP-Adressen aus meinem /29-Netz im Netz surfen können, sodass ich dann auch eingehende NAT-Regeln einstellen kann (IP:Port extern auf IP:Port intern). Das bedeutet, die Schnittstelle LAN hat die IP 192.168.1.1 und der Router betreibt DHCP von .100 - .200. Alle Geräte erhalten automatisch Ihre IP-Adresse bspw. 192.168.1.100 usw. und können ins Internet. Gehe ich mit einem dieser Rechner auf www.wieistmeineip.ch sehe ich die WAN-IP die ich per DHCP vom Provider erhalten habe und keine von meinen öffentlichen IP-Adressen ist.

    • Die Schnittstelle OPT1 habe ich nun Mal so eingestellt gehabt, dass die IP dort 85.245.122.49 lautet ohne DHCP-Server. Die Server auf der Schnittstelle OPT1 haben alle in ihren Netzwerk-Einstellungen bereits die öffentliche IP-Adresse eingestellt. Beispiel IP 85.245.122.50 / Subnetmaske 255.255.255.248 / Gateway 85.245.122.49. Als solche sollen diese auch direkt vom Internet erreichbar sein. Ich habe die Server früher in einem Rechenzentrum betrieben und da habe ich ebenso die öffentlichen IP-Adressen direkt in den Netzwerkeinstellungen speichern müssen. In den Tuturial-Videos auf Youtube habe ich gesehen dass manche Administratoren die öffentlichen IP-Adressen als Virtuelle IP's eingetragen haben und dann jeden einzelnen Port eines Services an eine interne Netzwerk-IP (lokales Netz) weitergeleitet haben. Das würde ja für mich bedeuten, dass die Server alle eine interne IP-Adresse erhalten müssten beispielsweise 192.168.XXX.1/24 und jeder Port (teilweise 30 pro System für Mail, Web, FTP usw.) von mir einzeln freigegeben werden müsste. Da verstehe ich dann aber nicht warum in Rechenzentren das auch nicht so gemacht wird. Bei meinem derzeitigen Router von Ubiquity ist das auch nicht nötig und funktioniert tiptop.

    Wenn ihr natürlich hier Verbesserungen hinsichtlich des Vorgehens habt, dann bin ich da sehr offen :)
    Ich hoffe dass ich meine konfusen Einstellungen mit den Wünschen etwas entwirren konnte. :)



  • Die /32-Einstellung habe ich übernommen und funktioniert nicht. Die Internet-IP mit der ich im Internet sichtbar bin mit einem der Rechner ist noch immer diese 85.245.100.49, die nicht in meinem IP-Bereich liegt
    und per DHCP vom Provider bezogen wird. Das 1:1 NAT habe ich gelöscht.
    Wo ist der Wurm drin dass das einfach nicht geht (siehe Bilder)?







    ![NAT 1zu1.jpg](/public/imported_attachments/1/NAT 1zu1.jpg)
    ![NAT 1zu1.jpg_thumb](/public/imported_attachments/1/NAT 1zu1.jpg_thumb)
    ![NAT Ausgehend.jpg](/public/imported_attachments/1/NAT Ausgehend.jpg)
    ![NAT Ausgehend.jpg_thumb](/public/imported_attachments/1/NAT Ausgehend.jpg_thumb)



  • Versuch einen Neustart. Das Outbound NAT benötigt diesen manchmal.



  • Soeben gemacht. Funktioniert nicht.



  • Hier mal eine Aufstellung

          WAN / Internet
                :
                : 
                :
          .-----+-----.
          |    Modem  | 
          '-----+-----'
                |
            WAN | DHCP IPv4 - 85.245.100.1 Gateway
                |
          .-----+-----.  OPT1-Schnittstelle  .------------.      |----- Server 1 - IP: 85.245.122.50 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
          |  pfSense  +--------------------- +   Switch   +------|----- Server 2 - IP: 85.245.122.51 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
          '-----+-----'  85.245.122.49/29   '------------'       |----- Server 3 - IP: 85.245.122.52 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
                |                                                |----- Server 4 - IP: 85.245.122.54 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49
            LAN | 192.168.1.1/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                | DHCP 192.168.1.100 - 192.168.1.200
        ...-----+------... (Clients)
    

    Ziel:

    • WAN-Verbindung per DHCP IPv4
    • PFSense Router-IP: 85.245.122.49
    • Server 1 - 4: 85.245.122.50 / 51 / 52 / 53 öffentliche IP's direkt bei den Server-Netzwerkeinstellungen vorhanden
    • LAN 192.168.1.1/24 - öffentliche IP 85.245.122.54 oder IP von Router. Definitiv nicht die DHCP-IP des Providers da nicht selbe Class-C


  • Ich sehe keinen Grund, weswegen das Outbound NAT nicht so funktionieren soll, wie gewünscht. Vor allem ist keine Regel aktiv, die die Quell-Adresse auf die vom DHCP zugewiesene übersetzen würde, darum dürfte diese in ausgehenden Paketen auch gar nicht mehr vorkommen.

    Das Outbound NAT funktioniert soweit recht simpel, es müssen nur die Bedingungen des oberen Abschnitts erfüllt sein, dann wird die Quell-IP in die bei Translation eingegebene übersetzt. Es kümmert sich nicht darum, ob das bezüglich des Routings auch funktionieren kann.
    Das eingestellte Protokoll kann ich nicht sehen, wird aber wohl any (default) sein.

    Wie sehen deine NAT 1:1 Regeln aus? Dieses könnte hier auch noch Einfluss haben.



  • oh Mensch bin ich bescheuert  ::)
    Es hat funktioniert aber Squid hat wohl im Local Cache die Seiten mit der alten IP gecached und darum hab ich nach der Umstellung die IP nicht aktualisiert gesehen.

    Die 1:1 Regeln habe ich entfernt, da die Server ja als DMZ direkt die IPs hinterlegt haben.



  • also, deine konfiguration sieht wirklich abenteuerlich aus.

    folgendes:

    bei einem 29 subnet ist die erste frei verfügbare ip die ip des modems, das du vom provider erhalten hast. und ist ip des gateways (49). dein wan interface pfsense braucht ebenfalls eine ip aus dem 29 subnet. Zum Beispiel 50. für alle restlichen verfügbaren ip adressen legst du ip aliases an.

    unter outbound nat änderst du die nat adresse auf die ip, mit der du dich nach außen präsentierst. wenn deine server aus dem internet erreichbar sein sollen, legst du einfach entsprechende nat regeln an und gibst als ziel adresse den entsprechenden ip alias an. ganz einfach.



  • ich würde auch nie einem server ne öffentliche ip adresse geben, da du zum beispiel keine freien ip adressen mehr hast, wenn ein server hinzukommt.



  • @bahsig

    Richtig. Gemäss Provider muss ich aber für den Router die IP-Adresse .49 verwenden, welche als Gateway fungiert. Dies habe ich so der pfSense zugewiesen.
    Das mit den öffentlichen IP's direkt auf den Servern sehe ich gleich wie du. Da die Server aber aus dem RZ kommen und diese Konfiguration hatten, muss ich diese aktuell noch übernehmen.
    Die Server werde ich aber sobald die Tests erfolgreich waren mit internen IP's in einem separaten Netz bestücken und dann die Firewallregel entsprechend Anpassen.



  • was meinst du mit router. die hardware vom provider oder pfsense?



  • ich meine pfsense. Der Provider hat mir hier vor Ort eine ZyWall hingestellt, die alle paar Wochen einen Totalabsturz hatte.
    Darum der Wechsel auf Ubiquity EdgeMax Pro-8 SPF. Aber dort ist IDN/IPS usw. nicht möglich. Deshalb nun pfSense.

    Der Provider stellte mir ein Modem zur Verfügung. Keine Ahnung was da drauf eingestellt ist.
    Mein Provider sagte, ich müsse auf meinem Router (pfSense) die IP 85.245.122.49 definieren



  • welche ip bekommt das wan interface vom modem und hast du ein standardgateway definiert?



  • Das WAN-Interface bekommt 85.245.100.49. Gemäss pfSense ist der Gateway und Monitor IP 85.245.100.1
    Wo und vorallem wie definiere ich den Standardgateway in pfSense?



  • Wenn du Netzwerk-Konfiguration via DHCP verwendest, wird das Gateway automatisch gesetzt. Das ist Teil des Standard und ein Muss; das Gateway muss schließlich Teil des Subnetzes sein, und das kommt auch vom DHCP Server.

    Keine Ahnung, worauf bahsig mit dieser Frage hinaus will.



  • system routing gateways.

    und du bist dir sicher, dass dein router die 100.1 und deine ips 122.49.. sind? mindestens der router/modem muss ja das 29 subnet kennen.



  • Ja bin ich 100% sicher.
    das Netz 100  erhalte ich ja per DHCP vom Provider. Die mir schriftlich zugeteilten IP's sind im Netz 122.

    Wenn ich auf meinem Router auf Gateway gehe, sehe ich dort

    | Name | Schnittstelle | Gateway | Monitor IP | Beschreibung |
    | WAN_DHCP | WAN | 85.245.100.1 | 85.245.100.1 | Interface WAN_DHCP Gateway |

    Diese Einstellung also so belassen da der Router den Gateway ja so per DHCP holt und einen neuen Eintrag hinzufügen mit der IP 85.245.122.49 ?
    Es erscheint danach die Fehlermeldung:

    • Die Gateway-Adresse 85.245.122.49 liegt nicht im Subnetz einer ausgewählten Schnittstelle.

    Muss ich vielleicht eine statische Route erstellen mit der IP 85.245.122.49 und als Gateway die 85.245.100.1 ?



  • Die Netzwerk-Konfig der Schnittstellen ist schön in Status > Interfaces zu sehen.

    @CreativeDevelopers:

    Diese Einstellung also so belassen da der Router den Gateway ja so per DHCP holt und einen neuen Eintrag hinzufügen mit der IP 85.245.122.49 ?

    Wozu?

    @CreativeDevelopers:

    Muss ich vielleicht eine statische Route erstellen mit der IP 85.245.122.49 und als Gateway die 85.245.100.1 ?

    Was soll das bringen? 85.245.100.1 ist ohnehin dein Default-Gateway, also zeigt auch die Default-Route dahin.

    Was ist denn nun eigentlich das Problem? Ich dachte es geht nur um die Adresse ausgehender Pakete des LAN-Netzes 192.168.1.0/24, doch diese Maßnahmen haben damit ja wohl nichts zu tun.
    Gibt es nun doch ein Problem mit den Servern?



  • Nein, es funktioniert nun. Es wurde jedoch eben in Frage gestellt ob die Konfiguration des Providers richtig ist.
    Ich solle also den Gateway 85.245.122.49 einrichten.


  • LAYER 8 Moderator

    mindestens der router/modem muss ja das 29 subnet kennen.

    @bahsig das ist alles richtig. DHCP kommt aus dem .100er Subnetz und er hat als Kunde des Providers zusätzlich ein /29er auf seine IP geroutet bekommen. Was soll da falsch dran sein? Unnötig waren nur die 1:1 NATtings, da die DMZ bereits das /29er Netz aufliegen hat und da nichts geNATtet werden muss. :)

    @Creative: Wenn du die 1:1 NATs raus hast und die Outbound NAT richtig konfiguriert sollte jetzt alles passen ;)



  • @JeGr
    Vielen herzlichen Dank. Ja genau so habe ich es gemacht. 1:1 Regeln sind weg.
    Danke euch allen für die tolle Unterstützung.


  • LAYER 8 Moderator

    Gern :)


Log in to reply