LAN-IPs zu statischer WAN (NAT ausgehend)
-
Guten Tag miteinander
Ich bin ratlos und komme leider nicht an mein Ziel.
Mein Provider hat mir das Netz 85.245.122.49/29 zur Verfügung gestellt.
Diese IP-Adressen werden von einzelnen Servern direkt verwendet. Es findet keine Übersetzung von bspw. 85.245.122.50 auf 192.168.5.50 statt. Die Server haben direkt die jeweilige IP-Adresse hinterlegt mit Gateway 85.245.122.49Meine aktuelle Konfiguration der Schnittstellen:
| eth0 | WAN | auto | DHCP IPv4 |
| eth1 | LAN | static | 192.168.1.1/24 |
| eth2 | OPT1 | static | 85.245.122.49/29 |Für die Server musste ich NAT 1:1 erstellen in Form folgender Form, da der Server sonst im Internet mit 85.245.122.49 erkannt wurde statt mit seiner eigenen IP.
| Schnittstelle | Externe IP | Interne IP | Ziel IP |
| WAN | 85.245.122.50 | 85.245.122.50 | * |
| WAN | 85.245.122.51 | 85.245.122.51 | * |
| WAN | 85.245.122.52 | 85.245.122.52 | * |Für die bestehenden Server funktioniert das alles soweit mit dem Netzwerk.
Das Problem:
Die Rechner des Netzwerks 192.168.1.1/24 sollen über eine bestimmte fixe IP-Adresse (bspw. 85.245.122.54) aus dem Kreis 85.245.122.49/29 im Internet erkannt werden.
Ich krieg das leider irgendwie nicht zum laufen. Wie löse ich dieses Problem?Herzlichen Dank
-
Hallo.
Das Problem:
Die Rechner des Netzwerks 192.168.1.1/24 sollen über eine bestimmte fixe IP-Adresse (bspw. 87.245.122.54) aus dem Kreis 85.245.122.49/29 im Internet erkannt werden.Was meinst du damit? Wenn die Rechner ins Internet gehen, sollen sie eine bestimmte IP haben? Sollen sie über diese auch von außen erreichbar sein?
-
hallo
Ja, das würde ich dann aber gesondert mit eingehenden NAT-Regeln definieren. Also beispielsweise 85.245.122.54 Port 80 geht auf 192.168.1.9 Port 80.
Wichtig ist mir einfach, dass alle Rechner des LAN-Systems eine fest zugewiesene WAN-IP für das Internet haben und so auch im Internet erkannt werden. Also nicht die DHCP-IP des Providers, die ja gar nicht in meinem IP-Range liegt.Meine WAN-IP-Adressen, die ich vom Provider erhalten habe:
85.245.122.49
85.245.122.50
85.245.122.51
85.245.122.52
85.245.122.53
85.245.122.54Wichtig ist, dass die Server im Netzwerk in ihren Netzwerkeinstellungen die statische WAN-IP Adresse konfiguriert haben.
Also kein separates lokales Netz. Ist das in dem Fall nicht FULL NAT? (DNAT / SNAT) ?Beispiel
| WAN-IP | Interne IP | System |
| 85.245.122.49 | 85.245.122.49 | Router |
| 85.245.122.50 | 85.245.122.50 | Server 1 |
| 85.245.122.51 | 85.245.122.51 | Server 2 |
| 85.245.122.52 | 85.245.122.52 | Server 3 |
| 85.245.122.53 | 85.245.122.53 | Server 4 |
| 85.245.122.54 | 192.168.1.1/24 | Alle Geräte des internen Netzwerks |Gruss
-
Wichtig ist mir einfach, dass alle Rechner des LAN-Systems eine fest zugewiesene WAN-IP für das Internet haben und so auch im Internet erkannt werden. Also nicht die DHCP-IP des Providers, die ja gar nicht in meinem IP-Range liegt.
Hast du nur so wenige interne Rechner? Oder verstehe ich was falsch? Oder du?
Du schreibst, du hast ein /29er Netz, vermutlich plus eine DHCP IP. Das sind 5 nutzbare IPs. Reicht das für die internen Rechner?
Zusätzlich hast du ja auch noch ein zweites internes Netz, in dem du direkt die öffentlichen IPs verwendest. Weiß zwar nicht, wie das genau funktionieren soll, aber das ist ja nicht das Problem, schreibst du. Doch benötigen diese Rechner auch öffentliche IPs (von den 5).
Daher ist mir absolut nicht klar, was du da genau machen möchtest.Nach außen hin die IPs zu transferieren ist kein Problem. Das kannst du mit dem Outbound NAT machen. Firewall > NAT > Outbound.
Dieses in den Hybrid-Modus setzen und eine Regel für WAN hinzufügen, Quelle ist das LAN Netz und Translation address 85.245.122.54.
Doch scheint das auch nicht das zu sein, was du möchtest. -
Also im LAN (192.168.1.1/24) sind es ca. 35 Geräte, die ins Internet gehen müssen. All diese Geräte sollen per ausgehendem NAT die selbe öffentliche WAN-IP haben 85.245.122.54.
Die anderen 4/5 öffentlichen WAN-IP's habe ich dem Router und den Servern 1-4 zugewiesen, deren Netzwerk-IP auch der statischen WAN-IP entspricht.Nach außen hin die IPs zu transferieren ist kein Problem. Das kannst du mit dem Outbound NAT machen. Firewall > NAT > Outbound.
Dieses in den Hybrid-Modus setzen und eine Regel für WAN hinzufügen, Quelle ist das LAN Netz und Translation address 85.245.122.54.
Doch scheint das auch nicht das zu sein, was du möchtest.Ich habe nun auf Hybrid gestellt und nun kann ich dort nur folgendes auswählen für NAT ausgehend:
- Schnittstellenadresse
- Anderes Subnetz (unten eingeben)
Wenn ich die Schnittstellenadresse wähle, erscheint ein Rechner aus 192.168.1.1/24 im Internet immernoch mit der IP 85.245.100.49.
Diese IP ist per DHCP vom Provider vergeben und ist mein Gateway so wie ich das sehe, aber nicht meine eigene öffentliche WAN-IP 85.245.122.49 bis .54Mit der Einstellung Anderes Subnetz hab ichs auch versucht aber das geht auch nicht. Was mache ich falsch?
-
Anderes Subnetz sollte passen, aber die Maske musst du auf "/32" stellen. Du möchtest ja schließlich nur diese eine Adresse im WAN haben.
-
Guten Tag miteinander
Ich bin ratlos und komme leider nicht an mein Ziel.
Mein Provider hat mir das Netz 85.245.122.49/29 zur Verfügung gestellt.
Diese IP-Adressen werden von einzelnen Servern direkt verwendet. Es findet keine Übersetzung von bspw. 85.245.122.50 auf 192.168.5.50 statt. Die Server haben direkt die jeweilige IP-Adresse hinterlegt mit Gateway 85.245.122.49Meine aktuelle Konfiguration der Schnittstellen:
| eth0 | WAN | auto | DHCP IPv4 |
| eth1 | LAN | static | 192.168.1.1/24 |
| eth2 | OPT1 | static | 85.245.122.49/29 |Für die Server musste ich NAT 1:1 erstellen in Form folgender Form, da der Server sonst im Internet mit 85.245.122.49 erkannt wurde statt mit seiner eigenen IP.
| Schnittstelle | Externe IP | Interne IP | Ziel IP |
| WAN | 85.245.122.50 | 85.245.122.50 | * |
| WAN | 85.245.122.51 | 85.245.122.51 | * |
| WAN | 85.245.122.52 | 85.245.122.52 | * |Für die bestehenden Server funktioniert das alles soweit mit dem Netzwerk.
Das Problem:
Die Rechner des Netzwerks 192.168.1.1/24 sollen über eine bestimmte fixe IP-Adresse (bspw. 85.245.122.54) aus dem Kreis 85.245.122.49/29 im Internet erkannt werden.
Ich krieg das leider irgendwie nicht zum laufen. Wie löse ich dieses Problem?Herzlichen Dank
Hi,
irgendwie sehe ich da mehrere Sachen die verkehrt laufen bei dir.
- Wie ist denn deine Konfiguration auf dem WAN? Du bekommst von deinem Provider ein /29er Netz gestellt, dass du auf dem DMZ Interface genutzt hast? Korrekt? Aber was ist deine IP auf dem WAN auf die dir dein Provider das /29er Netz geroutet hat?
- Die Einstellungen mit 1:1 NAT sehen gruselig aus. Wenn dein DMZ korrekt konfiguriert ist, brauchst du doch überhaupt kein NAT. Ich verstehe nicht was du da gemacht hast… aber die Frage ist auch abhängig von der Antwort auf 1)
- Dein LAN hat abgehend die IP, die du im Outbound NAT konfiguriert hast. Automatisch wird immer auf die Interface IP gemappt, was auf WAN anliegt. Wenn du das nicht möchtest, muss eine andere IP als Alias IP erstellt werden, damit die Sense darauf reagiert und diese kannst du dann auch im Outbound NAT auswählen.
Allerdings macht es mich stutzig, dass du extern mit deinen 192er Clients die IP haben sollst, die du auf dem DMZ Interface vergeben hast. Irgendwie macht das nicht so ganz Sinn...
Dein Problem mit den 1:1 NATs, die in meinen Augen komplett unsinnig sind, war wahrscheinlich, dass du Outbound NAT auf automatisch hast. Auf Auto legt die Sense gerne für ALLE Interfaces (auch DMZ) abgehend auf WAN eine NAT Regel an. Das will man aber nicht, wenn man wie du bspw. die DMZ komplett mit public IPs ausstaffiert hat. Dann muss das auf manuell gestellt und entsprechend gelöscht und abgeändert werden.Gruß
-
Danke für die Antworten.
Also WAN zum Provider melde ich mich via DHCP an und gelange so in das Netz 85.245.100.49.
Mein Adress-Bereich ist aber 85.245.122.49 - 54 (/29-Netz).Da ich die Schnittstelle OPT1 mit der IP 85.245.122.49 besetzt habe, konnte ich die sich auf diesem Interface befindenden Server (via Switch) mit dem Internet verbinden.
Die Server aber waren alle im Internet mit der IP 85.245.122.49 sichtbar, darum habe ich 1:1 NAT für jede IP-Adresse eingestellt, sodass beispielsweise der Server mit seiner Netzwerk-IP 85.245.122.50 auch 1:1 als 85.245.122.50 im Internet erkannt wird und nicht über die IP-Adresse der OPT1-Schnittstelle. Ich gehe davon aus, dass die Server die IP-Adresse der Schnittstelle OPT1 übernommen haben, was ja der öffentlichen pfSense-RouterIP entspricht.Auch die Rechner an der Schnittstelle LAN konnten alle ins Internet, jedoch nur mit der IP-Adresse 85.245.100.49, die ja bekanntlich nicht in meinem IP-Bereich von 85.245.122.49 - 54 (/29-Netz) liegt.
Ich vermute ich habe diverse Einstellungsfehler gemacht, denn die Handhabung mit meinem Ubiquity EdgeMax-Router ist komplett anders. Dort habe ich einfach alles per NAT Loopback und Reflection an die Server-IP's weitergeleitet und musste nur ein NAT für das Netzwerk 192.168.1.0/24 erstellen.
Die Einstellungen von NAT Ausgehend (Outbound) hatte ich zuerst auf Automatisch. Sobald ich hier manuelle Einstellungen oder Hybdrid versuche, sind die Server nicht mehr erreichbar.
Ich stelle mir das so vor:
-
Router verbindet sich per DHCP beim Provider. Dort erhalte ich ja automatisch die WAN-IP 85.245.100.49, die ausserhalb meines IP-Bereichs liegt.
-
Das lokale Netzwerk auf der Schnittstelle LAN (192.168.1.0/24) soll über eine meiner IP-Adressen aus meinem /29-Netz im Netz surfen können, sodass ich dann auch eingehende NAT-Regeln einstellen kann (IP:Port extern auf IP:Port intern). Das bedeutet, die Schnittstelle LAN hat die IP 192.168.1.1 und der Router betreibt DHCP von .100 - .200. Alle Geräte erhalten automatisch Ihre IP-Adresse bspw. 192.168.1.100 usw. und können ins Internet. Gehe ich mit einem dieser Rechner auf www.wieistmeineip.ch sehe ich die WAN-IP die ich per DHCP vom Provider erhalten habe und keine von meinen öffentlichen IP-Adressen ist.
-
Die Schnittstelle OPT1 habe ich nun Mal so eingestellt gehabt, dass die IP dort 85.245.122.49 lautet ohne DHCP-Server. Die Server auf der Schnittstelle OPT1 haben alle in ihren Netzwerk-Einstellungen bereits die öffentliche IP-Adresse eingestellt. Beispiel IP 85.245.122.50 / Subnetmaske 255.255.255.248 / Gateway 85.245.122.49. Als solche sollen diese auch direkt vom Internet erreichbar sein. Ich habe die Server früher in einem Rechenzentrum betrieben und da habe ich ebenso die öffentlichen IP-Adressen direkt in den Netzwerkeinstellungen speichern müssen. In den Tuturial-Videos auf Youtube habe ich gesehen dass manche Administratoren die öffentlichen IP-Adressen als Virtuelle IP's eingetragen haben und dann jeden einzelnen Port eines Services an eine interne Netzwerk-IP (lokales Netz) weitergeleitet haben. Das würde ja für mich bedeuten, dass die Server alle eine interne IP-Adresse erhalten müssten beispielsweise 192.168.XXX.1/24 und jeder Port (teilweise 30 pro System für Mail, Web, FTP usw.) von mir einzeln freigegeben werden müsste. Da verstehe ich dann aber nicht warum in Rechenzentren das auch nicht so gemacht wird. Bei meinem derzeitigen Router von Ubiquity ist das auch nicht nötig und funktioniert tiptop.
Wenn ihr natürlich hier Verbesserungen hinsichtlich des Vorgehens habt, dann bin ich da sehr offen :)
Ich hoffe dass ich meine konfusen Einstellungen mit den Wünschen etwas entwirren konnte. :) -
-
Die /32-Einstellung habe ich übernommen und funktioniert nicht. Die Internet-IP mit der ich im Internet sichtbar bin mit einem der Rechner ist noch immer diese 85.245.100.49, die nicht in meinem IP-Bereich liegt
und per DHCP vom Provider bezogen wird. Das 1:1 NAT habe ich gelöscht.
Wo ist der Wurm drin dass das einfach nicht geht (siehe Bilder)?
 -
Versuch einen Neustart. Das Outbound NAT benötigt diesen manchmal.
-
Soeben gemacht. Funktioniert nicht.
-
Hier mal eine Aufstellung
WAN / Internet : : : .-----+-----. | Modem | '-----+-----' | WAN | DHCP IPv4 - 85.245.100.1 Gateway | .-----+-----. OPT1-Schnittstelle .------------. |----- Server 1 - IP: 85.245.122.50 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49 | pfSense +--------------------- + Switch +------|----- Server 2 - IP: 85.245.122.51 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49 '-----+-----' 85.245.122.49/29 '------------' |----- Server 3 - IP: 85.245.122.52 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49 | |----- Server 4 - IP: 85.245.122.54 / Netmask: 255.255.255.248 / Gateway: 85.245.122.49 LAN | 192.168.1.1/24 | .-----+------. | LAN-Switch | '-----+------' | DHCP 192.168.1.100 - 192.168.1.200 ...-----+------... (Clients)Ziel:
- WAN-Verbindung per DHCP IPv4
- PFSense Router-IP: 85.245.122.49
- Server 1 - 4: 85.245.122.50 / 51 / 52 / 53 öffentliche IP's direkt bei den Server-Netzwerkeinstellungen vorhanden
- LAN 192.168.1.1/24 - öffentliche IP 85.245.122.54 oder IP von Router. Definitiv nicht die DHCP-IP des Providers da nicht selbe Class-C
-
Ich sehe keinen Grund, weswegen das Outbound NAT nicht so funktionieren soll, wie gewünscht. Vor allem ist keine Regel aktiv, die die Quell-Adresse auf die vom DHCP zugewiesene übersetzen würde, darum dürfte diese in ausgehenden Paketen auch gar nicht mehr vorkommen.
Das Outbound NAT funktioniert soweit recht simpel, es müssen nur die Bedingungen des oberen Abschnitts erfüllt sein, dann wird die Quell-IP in die bei Translation eingegebene übersetzt. Es kümmert sich nicht darum, ob das bezüglich des Routings auch funktionieren kann.
Das eingestellte Protokoll kann ich nicht sehen, wird aber wohl any (default) sein.Wie sehen deine NAT 1:1 Regeln aus? Dieses könnte hier auch noch Einfluss haben.
-
oh Mensch bin ich bescheuert ::)
Es hat funktioniert aber Squid hat wohl im Local Cache die Seiten mit der alten IP gecached und darum hab ich nach der Umstellung die IP nicht aktualisiert gesehen.Die 1:1 Regeln habe ich entfernt, da die Server ja als DMZ direkt die IPs hinterlegt haben.
-
also, deine konfiguration sieht wirklich abenteuerlich aus.
folgendes:
bei einem 29 subnet ist die erste frei verfügbare ip die ip des modems, das du vom provider erhalten hast. und ist ip des gateways (49). dein wan interface pfsense braucht ebenfalls eine ip aus dem 29 subnet. Zum Beispiel 50. für alle restlichen verfügbaren ip adressen legst du ip aliases an.
unter outbound nat änderst du die nat adresse auf die ip, mit der du dich nach außen präsentierst. wenn deine server aus dem internet erreichbar sein sollen, legst du einfach entsprechende nat regeln an und gibst als ziel adresse den entsprechenden ip alias an. ganz einfach.
-
ich würde auch nie einem server ne öffentliche ip adresse geben, da du zum beispiel keine freien ip adressen mehr hast, wenn ein server hinzukommt.
-
@bahsig
Richtig. Gemäss Provider muss ich aber für den Router die IP-Adresse .49 verwenden, welche als Gateway fungiert. Dies habe ich so der pfSense zugewiesen.
Das mit den öffentlichen IP's direkt auf den Servern sehe ich gleich wie du. Da die Server aber aus dem RZ kommen und diese Konfiguration hatten, muss ich diese aktuell noch übernehmen.
Die Server werde ich aber sobald die Tests erfolgreich waren mit internen IP's in einem separaten Netz bestücken und dann die Firewallregel entsprechend Anpassen. -
was meinst du mit router. die hardware vom provider oder pfsense?
-
ich meine pfsense. Der Provider hat mir hier vor Ort eine ZyWall hingestellt, die alle paar Wochen einen Totalabsturz hatte.
Darum der Wechsel auf Ubiquity EdgeMax Pro-8 SPF. Aber dort ist IDN/IPS usw. nicht möglich. Deshalb nun pfSense.Der Provider stellte mir ein Modem zur Verfügung. Keine Ahnung was da drauf eingestellt ist.
Mein Provider sagte, ich müsse auf meinem Router (pfSense) die IP 85.245.122.49 definieren -
welche ip bekommt das wan interface vom modem und hast du ein standardgateway definiert?
