PFSense hinter FritzBox (NAT)



  • Hallo,

    ich habe einen Virtualisierungs-Server (Proxmox) aufgesetzt, auf dem auch eine PFSense läuft.
    Nun versuche ich auf die Proxmox-GUI zuzugreifen.

    In der FritzBox habe ich eine statische Route eingetragen, sodass ich aus dem FritzBox Netz (192.168.178.0/24) in das Netz 10.100.1.0/24 über das Gateway PFSense virtualisiert auf Proxmox (192.168.178.29) komme.

    ETH0 und ETH1 sind per Powerlan mit anderen Zugansdaten von der FritzBox getrennt.
    ETH2 ist per Powerlan an die Fritzbox gebunden.

    Mein Setup sieht wie folgt aus:

         ISP / UnityMedia
                :
                :
                : WAN IP
          .-----+-----.
          |  FritzBox |
          '-----+-----'
                | 192.168.178.1/24
                |
          .-----+-----.
          |  Server   |
          '-----+-----'
                | eth0                                         eth1                                   eth2
                |-----------------------------------------------|-----------------------------------------|
                |                                               |                                         |
                |                                               |                                         |
                |                                               |                                         |
                | vmbr0 10.100.1.2/24                           |                                         |
          .-----+-----------------------------------------------|---------------------------------------- |.
          |  Server / Proxmox                                                                             |
          '-----+-----------------------------------------------------------------------------------------|'
                |                                                                                         | vmbr3 192.168.178.29
                |                                                                                         |
                |                                                                                         | UPLINK / Gateway
                |                                                                                         .-----+-----.
                 -----------------------------------------------|-----------------------------------------|  PFSense  |
                |                                               |                                         '-----+-----'
                |                                               |
                | vmbr0 10.100.1.1/24                         | vmbr1 10.100.178.0/24
                |                                                               GAST NETZ
                | 
         .-----+--------------------------.
         | Virtualisierte Server / Clients | 10.100.1.x/24 (später aufteilung in 10.100.3.0/24 DMZ für Server)
         '-----+--------------------------'
    


  • Hallo,

    hast du diesbezüglich auch eine Frage oder wolltest du uns nur dein Setup zeigen?

    Wenn letzteres, hier ist mir nicht klar, wie vmbr3 mit dem internen Netz der FB verbunden ist, eine IP aus diesem Netz hat sie ja.



  • Hallo,

    der Server hat 3 Netzwerkkarten.
    Die vmbr3 geht in einen Powerlan Stecker der an der FritzBox hängt.

    Meine Frage ist, wie ich eine NAT Regel hinbekomme, die mir erlaubt auf den Proxmox Server (10.100.1.2) auf dem Port 8006 zu kommen aus dem WAN.

    Dazu habe ich bisher Outbound-NAT deaktiviert, Private-Network blocking der WAN-Schnitstelle deaktiviert und eine NAT Regel erstellt:

    Interface: WAN
    Destination: WAN Address
    Destination Port Range: Any
    Destination IP: 10.100.1.2
    Destination Port: 8006



  • Wenn du es per NAT machen möchtest, musst du schon auch den Destination Port (WAN Port) spezifizieren.
    Also Destination Port Range: Other, Custom: 8006 (wäre auch fast jeder andere möglich, aber nicht sinnig)
    Redirect target IP: 10.100.1.2
    Redirect target port: 8006

    Zusätzlich muss der Zugriff auch erlaubt werden. Entweder gleich in der NAT-Regel durch Filter rule association = pass oder einer eigenen FW-Regel.

    Der Zugriff erfolgt dann über WAN Address:8006



  • Das habe ich auch schon gemacht...

    Ziel ist es:

    • Öffentliche IP der FritzBox
    • Port 8006 soll auf Proxmox gehen
    • Dieser liegt hinter der PFSense ist aber per statischem Routing erreichbar

    Meine NAT Regel sieht folgendermassen aus:
    0_1545578111563_Screenshot_20181223_161348.png

    0_1545578739270_Screenshot_20181223_162452.png

    0_1545578773638_Screenshot_20181223_162606.png

    Die Assoziierte FW Rule:
    0_1545578126313_Screenshot_20181223_161415.png

    0_1545578789562_Screenshot_20181223_162507.png

    0_1545578800942_Screenshot_20181223_162517.png

    Der Port Test:
    0_1545578151334_Screenshot_20181223_161539.png

    WAN Interface Einstellug:
    0_1545578852858_Screenshot_20181223_162727.png

    Firewall Log:
    0_1545579052923_Screenshot_20181223_163024.png



  • @rocky-0 said in PFSense hinter FritzBox (NAT):

    Ziel ist es:

    Öffentliche IP der FritzBox

    D.h., du möchtest den Host vom Internet aus erreichen?
    So etwas würde ich nie ins Web öffnen, ich würde dafür eine VPN einrichten.

    Wie auch immer, wenn du es so möchtest, musst du auch auf der FirtzBox eine Portweiterleitung auf die WAN-IP der pfSense einrichten oder die pfSense als Exposed Host definieren.

    @rocky-0 said in PFSense hinter FritzBox (NAT):

    Dieser liegt hinter der PFSense ist aber per statischem Routing erreichbar

    Heißt was? Irgendwo eine statische Route dafür eingerichtet?

    @rocky-0 said in PFSense hinter FritzBox (NAT):

    Der Port Test:

    Die pfSense hat eine IP in dem Netz 10.100.1.0/24 auf der vmbr0, welche der Host als Standardgateway nutzt?
    Und von dieser IP als Quelle klappt der Zugriff?
    Wenn ja, würde ich mir mal die Firewall des Hosts ansehen.



  • Nur aus Neugier: warum wird eine Fritzbox genutzt und kein reines Kabelmodem? Damit spart man sich das Gebastel mit NAT Forwarding und doppel NAT.