Problem mit Gateways



  • Hallo zusammen,

    ich habe seit letzter Woche, nach einer Änderung bei meinem Hoster (hetzner) ein Problem, welches ich bisher nicht lösen konnte. Da ich leider kein pfSense Profi bin, kann mir vielleicht hier im Forum jemand helfen…

    Ich betreibe pfSense in einer virtuellen Maschine auf einem VMware ESXI 6 Host. Die virtuelle Maschine hat mehrere Netzwerkkarten mit den öffentlichen IP Adressen von meinem Hoster.
    Die IP Adressen route ich über NAT Regeln und HAProxy an virtuelle Maschinen in lokalen (virtuellen) Netzen. Alle öffentlichen IP Adressen haben den selben Gateway und deshalb habe ich in pfSense ein Default Gateway welches von allen IP Adressen verwendet wird.
    Für verschiedene Kunden vergebe ich jeweils eine öffentliche IP Adresse und habe diese bisher an EINEN weiteren virtuellen Server zur Verarbeitung der Anfragen weitergeleitet.
    Das hat bisher auch wunderbar funktioniert.
    Allerdings wurde letzte Woche beim Hoster eine Überprüfung des ausgehenden Traffics auf korrekte IP<->MAC Kombination eingeführt. Seitdem funktioniert das leider nur noch über die IP-Adresse, auf welcher das Default Gateway eingerichtet ist.

    Soweit ich das verstehe kommt der Traffic bei den weiteren IP Adressen mit der richtigen IP/MAC Kombination an, wird allerdings über das Default Gateway dann mit der "falschen" IP/MAC Kombination zurückgesendet !?

    Somit suche ich nach einer Möglichkeit die Anfrage über die IP und MAC Adresse zurückzusenden, auf welcher der Traffic eingegangen ist...

    Leider bin ich bisher nicht fündig geworden und vermute, dass das evtl. gar nicht möglich ist. Deshalb wäre ich um jeden Vorschlag dankbar, da ich ansonsten meine ganze Infrastruktur überdenken muss...


  • Moderator

    Ich weiß nicht ob es nach der Änderung immer noch so ist, aber zu unserer Zeit hat das hier am Sinnvollsten mit ESX + Hetzner geklappt:

    1. zusätzliche Netzwerkkarte + IP ordern, weil eigene MAC und die Ursprungskarte ja von Hetzner für das Mgmt von ESXi konfiguriert ist
    2. zusätzliches Subnetz /29 o.ä. ordern und auf die IP der zusätzlichen Karte routen lassen
    3. pfSense als Routing VM im ESXi anlegen mit WAN auf zusätzliche Netzwerkkarte, zusätzliche IP als WAN IP für die VM
    4. interne Switche für VLANs anlegen (nach Bedarf) und intern die VMs via vSwitch dann an das/die (V)LANs der pfSense ankoppeln.

    Dadurch dass die eigenlichen Adressen aus dem /29 dann geroutet sind, kannst du damit dann auf der Sense machen was du willst, ggf. auch einfach direkt 1:1 NAT auf einen Host oder eben in HAProxy verbraten. Da die pfSense als zusätzlicher Hop und Gateway für die internen Netze fungiert und extern mit ihrer IP+MAX der zusätzlichen NIC agiert, gabs/gibts da mit der Hetzner MAC Geschichte kein Problem.

    Müsste man aber vorher vllt vom Support nochmal bestätigen.