LAN-IPs zu statischer WAN (NAT ausgehend)
-
oh Mensch bin ich bescheuert ::)
Es hat funktioniert aber Squid hat wohl im Local Cache die Seiten mit der alten IP gecached und darum hab ich nach der Umstellung die IP nicht aktualisiert gesehen.Die 1:1 Regeln habe ich entfernt, da die Server ja als DMZ direkt die IPs hinterlegt haben.
-
also, deine konfiguration sieht wirklich abenteuerlich aus.
folgendes:
bei einem 29 subnet ist die erste frei verfügbare ip die ip des modems, das du vom provider erhalten hast. und ist ip des gateways (49). dein wan interface pfsense braucht ebenfalls eine ip aus dem 29 subnet. Zum Beispiel 50. für alle restlichen verfügbaren ip adressen legst du ip aliases an.
unter outbound nat änderst du die nat adresse auf die ip, mit der du dich nach außen präsentierst. wenn deine server aus dem internet erreichbar sein sollen, legst du einfach entsprechende nat regeln an und gibst als ziel adresse den entsprechenden ip alias an. ganz einfach.
-
ich würde auch nie einem server ne öffentliche ip adresse geben, da du zum beispiel keine freien ip adressen mehr hast, wenn ein server hinzukommt.
-
@bahsig
Richtig. Gemäss Provider muss ich aber für den Router die IP-Adresse .49 verwenden, welche als Gateway fungiert. Dies habe ich so der pfSense zugewiesen.
Das mit den öffentlichen IP's direkt auf den Servern sehe ich gleich wie du. Da die Server aber aus dem RZ kommen und diese Konfiguration hatten, muss ich diese aktuell noch übernehmen.
Die Server werde ich aber sobald die Tests erfolgreich waren mit internen IP's in einem separaten Netz bestücken und dann die Firewallregel entsprechend Anpassen. -
was meinst du mit router. die hardware vom provider oder pfsense?
-
ich meine pfsense. Der Provider hat mir hier vor Ort eine ZyWall hingestellt, die alle paar Wochen einen Totalabsturz hatte.
Darum der Wechsel auf Ubiquity EdgeMax Pro-8 SPF. Aber dort ist IDN/IPS usw. nicht möglich. Deshalb nun pfSense.Der Provider stellte mir ein Modem zur Verfügung. Keine Ahnung was da drauf eingestellt ist.
Mein Provider sagte, ich müsse auf meinem Router (pfSense) die IP 85.245.122.49 definieren -
welche ip bekommt das wan interface vom modem und hast du ein standardgateway definiert?
-
Das WAN-Interface bekommt 85.245.100.49. Gemäss pfSense ist der Gateway und Monitor IP 85.245.100.1
Wo und vorallem wie definiere ich den Standardgateway in pfSense? -
Wenn du Netzwerk-Konfiguration via DHCP verwendest, wird das Gateway automatisch gesetzt. Das ist Teil des Standard und ein Muss; das Gateway muss schließlich Teil des Subnetzes sein, und das kommt auch vom DHCP Server.
Keine Ahnung, worauf bahsig mit dieser Frage hinaus will.
-
system routing gateways.
und du bist dir sicher, dass dein router die 100.1 und deine ips 122.49.. sind? mindestens der router/modem muss ja das 29 subnet kennen.
-
Ja bin ich 100% sicher.
das Netz 100 erhalte ich ja per DHCP vom Provider. Die mir schriftlich zugeteilten IP's sind im Netz 122.Wenn ich auf meinem Router auf Gateway gehe, sehe ich dort
| Name | Schnittstelle | Gateway | Monitor IP | Beschreibung |
| WAN_DHCP | WAN | 85.245.100.1 | 85.245.100.1 | Interface WAN_DHCP Gateway |Diese Einstellung also so belassen da der Router den Gateway ja so per DHCP holt und einen neuen Eintrag hinzufügen mit der IP 85.245.122.49 ?
Es erscheint danach die Fehlermeldung:- Die Gateway-Adresse 85.245.122.49 liegt nicht im Subnetz einer ausgewählten Schnittstelle.
Muss ich vielleicht eine statische Route erstellen mit der IP 85.245.122.49 und als Gateway die 85.245.100.1 ?
-
Die Netzwerk-Konfig der Schnittstellen ist schön in Status > Interfaces zu sehen.
Diese Einstellung also so belassen da der Router den Gateway ja so per DHCP holt und einen neuen Eintrag hinzufügen mit der IP 85.245.122.49 ?
Wozu?
Muss ich vielleicht eine statische Route erstellen mit der IP 85.245.122.49 und als Gateway die 85.245.100.1 ?
Was soll das bringen? 85.245.100.1 ist ohnehin dein Default-Gateway, also zeigt auch die Default-Route dahin.
Was ist denn nun eigentlich das Problem? Ich dachte es geht nur um die Adresse ausgehender Pakete des LAN-Netzes 192.168.1.0/24, doch diese Maßnahmen haben damit ja wohl nichts zu tun.
Gibt es nun doch ein Problem mit den Servern? -
Nein, es funktioniert nun. Es wurde jedoch eben in Frage gestellt ob die Konfiguration des Providers richtig ist.
Ich solle also den Gateway 85.245.122.49 einrichten. -
mindestens der router/modem muss ja das 29 subnet kennen.
@bahsig das ist alles richtig. DHCP kommt aus dem .100er Subnetz und er hat als Kunde des Providers zusätzlich ein /29er auf seine IP geroutet bekommen. Was soll da falsch dran sein? Unnötig waren nur die 1:1 NATtings, da die DMZ bereits das /29er Netz aufliegen hat und da nichts geNATtet werden muss. :)
@Creative: Wenn du die 1:1 NATs raus hast und die Outbound NAT richtig konfiguriert sollte jetzt alles passen ;)
-
@JeGr
Vielen herzlichen Dank. Ja genau so habe ich es gemacht. 1:1 Regeln sind weg.
Danke euch allen für die tolle Unterstützung. -
Gern :)
