Multi-WAN NAT Regeln



  • Hallo bin neu hier und versuche seit geraumer Zeit per Per NAT Ports frei zu geben,

    ausgangs situation:

    WAN (Cable Modem im Bridge Modus) DHCP

    WAN2 (Cable Modem im Bridge Modus) DHCP

    Loadbalanced.

    soweit so gut, aber wenn ich jetzt für WAN2 einen Port Freigeben will bspw. 80 für HTTP dann
    dann sehe ich wenn ich die WAN IP von WAN2 eingebe die pfSense Login page aber auch wenn ich die WAN IP von WAN eingebe bekomme ich die pfSense Login page,
    ausserdem wenn ich mit meinem Handy (über das Mobilfunk netz) auf die WAN 2 IP zugreifen will kommt zeitüberschreitung der verbindung.

    Jemand eine Idee? Oder habe ich das unverständlich ausgedrückt?

    Und vielen dank für die Antworten.

    MfG
    Timi


  • LAYER 8 Moderator

    Hallo Timi,

    hier sind gleich mehrere Sachen (teils gründlich) falsch:

    1. Wenn du von außen Ports 80 oder 443 auf interne Systeme weiterleiten willst, musst du die pfSense UI selbst auf einen anderen Port legen, ansonsten wird sie dir dazwischenpfuschen. Also erstmal unter System Advanced einen anderen WebUI Port nutzen (4443 bspw.) und den Punkt WebGUI redirect rausnehmen.

    2. Nächster Punkt: von INNEN (vom LAN) aus ein Port Forwarding zu prüfen funktioniert nicht. Deshalb siehst du von innen kommend die pfSense (richtig) und von außen nichts (siehe weiter unten). NAT/Port Forwards kann man nur dort testen, wo sie konfiguriert sind - vom WAN/WAN2 also Internet kommend. Von innen gelten sie nicht.

    3. Deine Portforwardings sind leider komplett falsch :) Als Quelle ist nicht WAN net einzutragen - das wäre dann dein per DHCP vergebenes Transfernetz zwischen deinen WAN Anschlüssen und NICHT das Internet, sondern einfach "any" -> du willst ja VOM Internet Pakete annehmen. Zudem sind bei Anfragen auf Port 80 SERVERseite die Clientports >1023 und nicht ebenfalls 80! Ergo heißt dein korrektes Portforwarding:

    • Source alles entfernen! - keine Source IP, kein Source Net, kein Source Port, alles ANY
    • Ziel: WAN bzw. WAN2 address
    • NAT-IP: so lassen, bzw. den internen Server eintragen.

    Warum: Du willst Pakete VON any (Internet) AN dein WAN/WAN2 Interface (also die jeweilige externe IP) ZU deinem LAN Server schicken.

    1. Regeln nicht selbst basteln, sondern die Regeln durch die NAT Regel erstellen lassen (letztes DropDown: Associate Filter Rule). Wichtig bei den Regeln auf WAN/WAN2 ist dann, dass diese als Gateway auch * drin haben, damit sie über das korrekte Gateway wieder raus gehen und NICHT über dein LB Gateway falsch geloadbalanced werden.

    Dann sollte es auch mit der Weiterleitung klappen, egal ob auf WAN oder WAN2 (natürlich vorausgesetzt, du hast bei den vorgeschalteten WAN Routern/Kabelmodems auch ggf. einen exposed Host eingetragen wenn die nicht eh einfach bridgen).

    Gruß



  • Erstmal vielen dank für die schnelle Antwort,

    zu Punkt2

    1. Nächster Punkt: von INNEN (vom LAN) aus ein Port Forwarding zu prüfen funktioniert nicht. Deshalb siehst du von innen kommend die pfSense (richtig) und von außen nichts (siehe weiter unten). NAT/Port Forwards kann man nur dort testen, wo sie konfiguriert sind - vom WAN/WAN2 also Internet kommend. Von innen gelten sie nicht.

    Meinst du damit dass ich vom LAN per WAN IP nicht auf den Server zugreifen kann sondern nur per direkter LAN-IP?

    Desweiteren habe ich mich versucht bestmöglich an Deine Anweisungen zu halten dennoch komme ich nicht von aussen (Mobilfunknetz) auf den Server.

    Grüsse
    Timi


  • LAYER 8 Moderator

    Meinst du damit dass ich vom LAN per WAN IP nicht auf den Server zugreifen kann sondern nur per direkter LAN-IP?

    Ja. Können schon, aber das Forwarding greift ohne NAT Reflection nicht. Kann man machen, persönlich finde ich aber internen DNS sinnvoller, da die Verbindung dann nicht via Umweg über die pfSense aufgebaut wird.

    Desweiteren habe ich mich versucht bestmöglich an Deine Anweisungen zu halten dennoch komme ich nicht von aussen (Mobilfunknetz) auf den Server.

    Ja, in deinem Forwarding steht auch IMMER noch QUELLport 80 drin. Quellen sind wie oben beschrieben LEER zu lassen. :)



  • Hi nochmals danke für Deine hilfe,

    habe jetzt den quellport auf any gestellt aber leider immernoch keine Verbindung von aussen.

    Was würde mich das denn kosten wenn du Du dir das mal ansehen würdest?

    Grüsse
    Timi


  • LAYER 8 Moderator

    Kannst du nochmal (darf ruhig etwas kleiner sein) NAT, Rules WAN/WAN2 und Gateways posten?

    Support wenn gewünscht weil vllt. zeitkritisch o.ä. bitte als PM, das trage ich ungern im Forum aus - muss denke ich auch nicht sein :)



  • hoffe das reicht, ansonnsten einfach melden ich mache gerne noch weitere screenshots.


  • LAYER 8 Moderator

    Bezüglich erstem Screen: Forwardings

    -> Kann die pfSense via Diagnose Port Tests den 192.168.1.100 auf Port 80 erreichen (Port Test)

    Wegen der anderen Screens:

    -> Hat die pfSense tatsächlich an beiden WANs1/2 die public IPs oder sind hier private Adressen? Könnte deine Adresse mit Mobilfunk ggf. nicht sauber routbar sein bzw. auf der Bogon Liste stehen? Ggf. die beiden Sachen bei den WANs abschalten (Block RFC und Bogons).

    Ansonsten beim Zugriff direkt gleich die System Logs / Firewall offen haben und danach schauen ob/was geblockt wird und ob du Zugriffe auf Port 80 siehst (nicht vergessen den Logging Haken in die Regel reinzumachen).

    Gruß



  • Die IP und auch der Port von 192.168.1.100:80 sind im netzwerk sowohl über den Port test von pfsense erreichbar als auch von jedem anderen client im LAN.
    Auch mit ausgeschaltetter Bogon Regel ist der Server von aussen nicht erreichbar, auch das Log zeigt keinerlei versuche auf den Internen Server zu zugreifen.

    Mein Setup wie oben beschrieben nochmal 2x Kabelmodems mit jeweils 200d/12u zusammen habe ich eine geschwindigkeit von ca. 400d/24u getestet mit speedtest.net, beide modems sind im Bridged-Modus.

    Das Loadbalancing dürfte dabei aber doch keine probleme machen oder?


  • LAYER 8 Moderator

    Das Loadbalancing dürfte dabei aber doch keine probleme machen oder?

    nicht eingehend, allerdings bin ich am Grübeln, ob dein Request überhaupt ankommt. Wenn du das Logging an hast und überhaupt kein Request im Log siehst, sieht das eher so aus, als würdest du überhaupt nicht ankommen.

    Andere Frage die wir ebenfalls schon hatten: Haben beide Kabelmodems überhaupt wirklich noch eine echte v4 Adresse oder bekommt man die Adresse nur durch Adressvermittlung hinter einem CGN und hat eigentlich nur IPv6?

    Das wäre jetzt das Letzte was mir dazu noch einfällt ohne selbst Hands-On ein Auge drauf zu werfen und das testen zu können.

    Gruß



  • Die Modems laufen beide mit Dualstack also ich kann IPv6 komplett deaktivieren.



  • Hi,

    habe jetzt einen komplett neuen Rechner aufgesetzt mit pfsense und immer noch die selbe Problematik,
    wenn ich allerdings normale router anschließe an die einzelnen Modems funktioniert es einwandfrei, ich habe es zwischenzeitlich sogar mit opnsense getestet damit ging nicht mal das Multi-WAN trotz
    offizieller Anleitung.

    Jetzt bin ich drauf und drann wieder Geld in die Hand zu nehmen für dieses Kästchen https://www.alternate.de/html/product/1086774?gclid=Cj0KCQjwqYfWBRDPARIsABjQRYyV9G-xjON69uPxlzA5mc-hXY9imR-NmiBxPZ9qNtmmcJzvL0muEUEaAloFEALw_wcB wobei ich mir nicht sicher bin ob dieses gerät genau das macht was ich will und ich eigentlich bei der pfsense bleiben will.

    Kann mir denn keiner helfen?
    Eigentlich kann das doch gar nicht so schwehr sein oder?  :-\


  • Banned

    @Timihendrix:

    Jetzt bin ich drauf und drann wieder Geld in die Hand zu nehmen für dieses Kästchen https://www.alternate.de/html/product/1086774?gclid=Cj0KCQjwqYfWBRDPARIsABjQRYyV9G-xjON69uPxlzA5mc-hXY9imR-NmiBxPZ9qNtmmcJzvL0muEUEaAloFEALw_wcB wobei ich mir nicht sicher bin ob dieses gerät genau das macht was ich will und ich eigentlich bei der pfsense bleiben will.

    16MB Flash, 128MB RAM und vermutlich ARM oder sogar noch MIPS basiert. pfSense wird da drauf nicht laufen.



  • Ich will da nicht pfsense drauf installieren ich will das Gerät so verwenden wie es ist um Multi-WAN und Port forwarding zu nutzen weil das mit pfsense nicht geht.


  • Banned

    @Timihendrix:

    Ich will da nicht pfsense drauf installieren ich will das Gerät so verwenden wie es ist um Multi-WAN und Port forwarding zu nutzen weil das mit pfsense nicht geht.

    Dann viel Spaß damit.



  • Ich glaube du hast mich völlig falsch verstanden,
    ich würde gerne weiter meine pfsense Maschine benutzen was aber nicht geht weil scheinbar alle meine NAT einstellungen vollkommen Ignoriert werden (warum auch immer, keiner kann mir scheinbar helfen), deswegen war meine Frage ob das oben genannte Kästchen das besser kann als pfsense.


  • LAYER 8 Moderator

    Ich bezweifle das stark. Und nein, eigentlich kann das nicht schwer sein, denn bei vielen anderen funktioniert es auch.

    Da ich aber leider nichts zu Diagnose gelesen habe, kann ich auch schlecht in meine Glaskugel schauen, was das Problem ist. Fakt ist:

    • wenn beide Modems / WANs an der pfSense unterschiedliche Gateways bekommen (PRÜFEN!) sollte es kein Problem geben, dass beide direkt angeschlossen sind
    • wenn beide WANs abgehend funktionieren (kann man ja testen), sollten sie auch eingehend testen, ansonsten blockt der Provider was
    • da du schreibst mit Routern vornedran läufts: warum dann nicht die Einwahl von den Routern machen lassen und alles zur Sense forwarden?

    Ansonsten muss man sich eben hinsetzen, TCPDUMP auf dem WAN1/2 anwerfen und von außen testen, ob überhaupt was auf dem Interface ankommt. :)



  • Vielen dank für die Antwort,

    ich habe entnervt aufgegeben und nutze im Moment nur noch einen normalen Router,
    habe mich viel informiert und glaube eine gute alternative für mich gefunden zu haben:

    https://www.ubnt.com/edgemax/edgerouter-x/

    Der ist günstig & kann Multi-WAN mit Gigabit, zu dem auch Port Freigabe nach Interface, laut vielen Berichten im Internet müsste der Kleine das schaffen.

    Wenn nicht wird er eben wieder zurück geschickt.

    Trotzen vielen dank an euch.


Log in to reply