Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Inbound NAT über 2nd WAN funktioniert nicht

    Deutsch
    2
    3
    65
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dehsgr last edited by

      Hallo Zusammen,

      ich zerraufe mir derzeit zu o.g. Thema die Haare, da ich es einfach nicht zum Laufen bekomme. Folgende Systemvoraussetzungen sind gegeben:

      • 2x pfsense 2.4.4-RELEASE-p3 (amd64) mit HA-Konfiguration auf zwei unterschiedlichen Hyper-V-Hosts.

      Diese sind gemäß folgender Architektur im Netzwerk untergebracht:

      WAN1 - Router1 (172.16.2.254) -
                                     |      (Virtual WAN-Interface 172.16.2.1)
                                      --- pfsense -------------------------------- LAN
                                     |      (Virtual WAN-Interface 172.17.2.1)
      WAN2 - Router2 (172.17.2.254) -
      

      Über WAN1 funktioniert alles soweit wie gewünscht. Dh. z.B. der Mail-Server ist von extern über Port 25 erreichbar. Über WAN2 jedoch klappt es mit dem NATting nicht, obwohl exakt gleich konfiguriert (mit Ausnahme der entsprechenden Interface-Auswahl natürlich).

      Beider Anschlüsse sind PINGbar und auch Port 80 wird merkwürdigerweise problemlos geroutet. Nur bei Port 25 und 443 gibt es das Problem, dass anscheinend nur ein SYN zustande kommt.

      Ich hoffe, Ihr habt ein paar Denkanstöße für mich. 😢

      Solltet Ihr weitere Infos benötigen, immer her mit den Fragen. 😀

      Viele Grüße!

      1 Reply Last reply Reply Quote 0
      • V
        viragomann last edited by

        Hallo,

        dass Verbindungen über WAN2 funktionieren, muss sichergestellt sein, dass die Antwortpakete dein Netzwerk wieder über WAN2 verlassen. Dafür verwendet pfSense das "reply-to" Flag. Damit dieses funktioniert, müssen ein paar Bedingungen erfüllt sein:

        • Am WAN2 muss ein Gateway eingerichtet sein.
        • "reply-to" darf nicht deaktiviert sein (global in den Advanced Settings oder in der zutreffenden FW-Regel für den eingehenden Traffic).
        • Die Regel, die den eingehenden Traffic erlaubt, darf nicht eine Floating-Regel sein.
        • Die Regel, die den eingehenden Traffic erlaubt, darf nicht auf einer Interface-Gruppe definiert sein, sondern am WAN2 selbst.

        Überprüfe mal diese Punkte. Bezüglich der zutreffenden Regeln am besten alles Logging einschalten und im Filter-Log die Regel suchen.

        Grüße

        1 Reply Last reply Reply Quote 0
        • D
          dehsgr last edited by

          Hey,

          vielen Dank für die Hinweise. Die Floating-Rules waren Schuld. Nach dem Umbau klappt es jetzt.

          Vielen herzlichen Dank!

          Grüße

          1 Reply Last reply Reply Quote 0
          • First post
            Last post