Statische IPs hinter pfsense
-
Guten Morgen zusammen,
ich bin jetzt kein IT-ler und bräuchte deshalb mal eure Hilfestellung.Wir haben hier mehrere Endgeräte die alle eine Statische, öffentliche IP Adresse haben, die Sie auch brauchen um sich in diversen Datenbanken zu authentifizieren.
Jetzt würde ich gerne die Pfsense vor die Geräte schalten, damit wir ein gewisses maß an Sicherheit hier haben.
Die pfsense läuft bereits nur ich bekomme es nicht hin, das jeder mit seiner IP im Netz unterwegs ist, sondern nur mit der Adresse, die ich am WAN angegeben habe /IP= xxx.xxx.xxx.xxx / Upstream Gateway = unser Gateway.
Wie konfiguriere ich das am besten, das jeder durch die Firewall muss, aber weiterhin seine öffentliche IP hat?Über ein paar Tipps würde ich mich freuen, mir fehlt da einfach die Erfahrung.
Schöne Grüße.
-
Hallo,
so wie ich das verstehe, möchtest du NAT machen, also intern ein privates Netz verwenden.
Dann musst du jede öffentliche IP dem WAN Interface als virtuelle hinzufügen. Firewall > Virtual IPs. Hier den Typ "IP Alias" wählen und die IP und das richtige Subnetzmaske und nach Belieben eine Beschreibung angeben.
Dann richtest du am besten für jedes Geräte, das ein öffentliche IP habe soll, ein 1:1 NAT ein. Einfach Interface = WAN, die externe IP und darunter Single host und die interne IP angeben und wieder eine Beschreibung nach Belieben.
Grüße
-
Wir haben hier mehrere Endgeräte die alle eine Statische, öffentliche IP Adresse haben, die Sie auch brauchen um sich in diversen Datenbanken zu authentifizieren.
Bei diesem Satz bin ich mir unschlüssig: HABEN die Geräte alle schon eine öffentliche Adresse aktiv und sollen diese behalten - und du willst nur den Filter dazwischenschalten - oder sollen die Geräte dann in ein internes Netz (privat) und sollen die Adressen dann durchgereicht bekommen? Wie ist denn momentan die Netzstruktur?
Evtl. wäre es dann auch sinnvoll, eine transparente Filterbridge zu bauen - das bräuchte dann aber sinnvoll 3 Interfaces.
Grüße
-
Hallo zusammen,
Danke schon mal für die Antworten und Sorry das ich erst jetzt zurück schreibe.@JeGr
Ja genau, "alle Geräte" haben hier eine öffentliche Adresse.
Ich könnte jetzt zweigleisig fahren, die Geräte die keine öffentliche brauchen, eine private (192….) vom DHCP Server geben und die öffentlichen seperat behandeln, so hätte ich aber zwei Netze, das will ich vermeiden.Am liebsten hätte ich alle Adressen einfach hinter der PfSense, es ist ein /25 Netz und jeder soll jetzt, mit seiner Adresse rauskommen, nur halt durch die PfSense geschützt.
@viragomann
Danke auch dir für deine Antwort. Ich werde das so mal versuchen.Schöne Grüße
:) -
Also bei einem /25er Netz wo die public IPs hinter der pfSense sind … - wenn das NICHT geroutet ist, dann gute Nacht, denn dann müsstest du jede einzelne IP erstmal auf der pfSense auflegen und dann 1:1 NATten.
Du schreibst aber die haben JETZT schon eine öffentliche IP, dann ist da mit NAT und Co aber eh nicht viel. Wie hattest du da vor die pfSense zwischenrein zu bauen? Und was wäre die Adresse dann der pfSense nach außen? Hätte die eine ganz andere und das /25er Netz ist da raufgeroutet? Dann wäre das sehr einfach machbar. Aber noch ist mir nicht klar, wie das Netz JETZT aufgebaut ist und was du wo zwischenrein bauen möchtest.
Gruß
-
Mahce mal 2 Zeichnungen, IST und SOLL, dann wird Dein Vorhaben samt Altlasten vielleicht besser ersichtlich.
-
Hallo zusammen und frohes neues Jahr :-)
Ich habe es mal aufgezeichnet, nicht gerade professionell aber ich hoffe dennoch verständlich.
Ist = momentaner zustand
soll 1 = wäre eine denkbar schlechte Lösung für mich, da ich gerne alle Geräte in der AD hätte, aber 2 Netze betreiben müsste. 1. Lokales 192.168.1.1 /24 und ein 2. mit den Geräten, die sich an bestimmten Servern mit ihrer IP authentifizieren müssten.
soll 3 = Wohl noch die "einfachste" Möglichkeit. Das momentane Netzt vom DHCP (Windows Server) verteilen lassen. Dennoch müsste ein Großteil der Endgeräte sich mit ihrer IP authentifizieren müssen.Schöne Grüße
:-)
 -
Zur Dokumentation gibt es die TEST-NET1 .. 3, die könntest Du hier anstatt Deiner public IPs zur besseren Übersicht verwenden. Die gehören zu den "bogon" Netzen und werden öffentlich nicht geroutet.
https://en.wikipedia.org/wiki/Reserved_IP_addresses
192.0.2.0/24 Assigned as "TEST-NET-1" for use in documentation and examples.
198.51.100.0/24 Assigned as "TEST-NET-2" for …
203.0.113.0/24 Assigned as "TEST-NET-3" ...
wobei ich Test-Net1 wegen der leichteren Verwexlungsgefahr meist nicht verwende.Du hast also pub-IPs, sagen wir 198.51.100.128/25
Reichen die 127 Adressen denn in Summe aus, um alle Geräte zu versorgen oder hast Du mehr Hosts?
Was ist denn das für ein Gerät am Gateway und könnte man dafür evtl. gleich die pfSense verwenden? Müssen sich die Hosts intern oder extern mit ihrer IP autentifizieren, sprich wo steht die Datenbank? Ist es notwendig, dass auch ein Drucker eine public IP bekommt? -
Hallo jahonix,
Danke für die schnelle Antwort.Zu deinen Fragen:
Die 127 Adressen reichen aus. Die Range ist auf 4 Standorte verteilt, Drucker brauchen keine öffentliche IP.
Wir haben einen Adressbereich von vielen. Hier hat quaie jeder Bereich / Abteilung ein Range.
Das Gateway/Gerät kann ich nicht ändern bzw habe ich keine Information drüber. Wir haben den Adressbereich zugewiesen bekommen und das wars.
Die Hosts müssen sich extern, auf Datenbanken mit Ihrer IP authentifizieren können.
Das Problem für mich ist, es sind nicht alle Hosts, die das müssen (etwa die hälfte).
Zukünftig soll das ganze in eine Domäne gehoben werden, den Server habe ich bereits konfiguriert und alles funktioniert auch, ich habe lediglich das Problem mit den Hosts, die sich authentifizieren müssen.Schöne Grüße
:-) -
Hallo flowers,
wir müssen noch eine Sache klären. Und zwar "wie" kommen die Netze zu dir.
In deiner Zeichnung hat du ein "Gateway" aufgemalt. Dieses hat die IP .129.Folgende Fragen ergeben sich:
1. Hast du darüber Kontrolle?
2. Hat das Gateway eine WAN UND eine LAN IP?Hintergrund: Die Frage ist ob ein "öffentliches" Netz zu dir geroutet wird oder kommt es aus einem Switchport raus.
Wenn du ein Geroutetes Netz hast kannst du die IP Adresse wohn das Netz geroutet wird dem pfSense WAN Interface geben und die "öffentlichen" IPs dann als Netzwerk auf dem WAN Interface definieren. Dann kannst du unter NAT ein 1:1 NAT für LAN (IP) <-> WAN (öffentliche IP) einrichten und die Rechner werden wenn Sie dann aus deinem Netz raus gehen sich mit der öffentlichen IP bewegen.
Solltest du kein Geroutetes Netzwerk haben wird es extrem aufwendig. Du musst JEDE deiner Öffentlichen IPs als ein IP Alias auf dem WAN Interface anlegen und kannst dann wieder das 1:1 NAT erstellen.
Wenn es dir nur um das "Filtern" geht kannst du auch über ein Bridge Setup nachdenken. Das ist als würdest du die pfSense in dein Uplinkkabel stecken und einfach nur kontrollieren was über dieses Kabel geht. Nicht wirklich so schön.
Gruß blex
