Nat Reflection - Pure NAT funktioniert nicht



  • Hallo zusammen

    ich habe hier mehrere PFsense im Einsatz - an einem Standort soll nun in kleiner interner Webserver sowohl von außen als auch von Innen erreichbar sein - also habe ich "Nat Reflection" mit Pure NAT aktiviert - wie auch schon in anderen Installationen.

    Leider funktioniert das an diesem Standort nicht.
    Von Außen ist alles erreichbar nur aus dem internen Netzwerk nicht.

    Hat jemand eine idee wie ich hier weiter vorgehen kann ?



  • Hallo,

    ist in System > Advanced > Firewall & NAT die Option "Enable automatic outbound NAT for Reflection" gesetzt?

    Grüße



  • Hi

    So schaut das hier aus:

    5379caf7-fa83-428c-a570-b587aba3701e-image.png



  • Bei mir hier auch, funktioniert aber tadellos.

    Ich nehme an, Webserver und Clients liegen im selben Subnetz, oder?
    Du könntest es noch mit "NAT + Proxy" direkt in der Regel versuchen.



  • Hi

    ich habe auch 2 PFSENSE in einem RZ mit da läuft das auch ganz wunderbar - ich verstehe aktuell nicht warum das hier nicht geht ...

    Versuche mal die andere Option.



  • Nein - gleiches Ergebnis ...

    Hmm - ja - Webserver und Die Win Clients liegen im gleichen Subnet.
    Die PFSENSE hat 3 WAN Ports (Load Balancing).

    Der WEBSERVER ist aber nur an WAN1 per NAT nach außen gebunden

    Könnte es an den 3 WAN´s liegen ?



  • Mit Multi-WAN + NET Reflection habe ich keine Erfahrung, ich denke aber nicht, dass hier das Problem liegt. NAT Reflection sollte einfach nur am internen Interface zur internen IP des Webservers weiterleiten, wenn die Clients dessen externe IP ansteuern.

    Die Firewall-Regeln am internen Interface erlauben den Zugriff?



  • Hallo

    Das müsste dann ja auf der Lan seite der Firewall Regeln sein - da ist eigentlich nix groß eingescränkt - garnix ...



  • Schau dir mal mit Paket Capture an, was da ab geht.

    Bei mir sieht das mit o.a. Einstellungen so aus:

    15:09:27.411741 IP Client.50684 > ext.IP.80: tcp 0
    15:09:27.411757 IP pfSense.IP.13268 > int.Server.IP.80: tcp 0
    15:09:27.411969 IP int.Server.IP.80 > pfSense.IP.13268: tcp 0
    15:09:27.411983 IP ext.IP.80 > Client.50684: tcp 0
    

  • LAYER 8 Moderator

    @viragomann said in Nat Reflection - Pure NAT funktioniert nicht:

    Mit Multi-WAN + NET Reflection habe ich keine Erfahrung, ich denke aber nicht, dass hier das Problem liegt. NAT Reflection sollte einfach nur am internen Interface zur internen IP des Webservers weiterleiten, wenn die Clients dessen externe IP ansteuern.

    Doch, könnte genau daran liegen. Bei MultiWAN hat man gern policy based rules am Start und zwingt auch gern mal Traffic vom LAN nach <any> über GW 1/2/Failover/LB Gruppe etc. Wenn der Traffic aber dann via externes Gateway rausgezwungen wird, kann er nicht mehr reflektiert werden.

    Das ist aber alles Raterei ohne weitere Details und Screenshots. Bitte man WAN/LAN/NAT Regeln zeigen, welche IP hat der Webserver intern/extern bzw. markieren damit man weiß welche Regel das sein soll und dann reinschauen. Ich würde aber mal auf LAN Seite ganz on top oben zwei Regeln testen mit

    pass <LAN_net> -> <interneIPserver> gw default (*)
    pass <LAN_net> -> <externeIPserver> gw default (*)
    

    um genau die Sachen mit MultiWAN und GW/GW Gruppen und policy based rules auszuklammern. Wenns dann geht, schauen, welche Regel mit States/Traffic angeschlagen hat. Das ist dann die richtige und dann kann man schauen, welche andere Regel den Traffic verbogen hat.



  • Hallo

    so - jetzt setzte es dann bei mir dann ganz aus .....

    Regeln eingefügt wie von jeGr vorgeschlagen:
    b34dec36-8928-42e1-b619-df8d3b273542-image.png

    (hoffe habe es richtig gemacht)

    gespeichert und "übernommen" und siehe da - interner Zugriff möglich - Seite lädt ...

    wollte gerade ne Nachricht hier schreiben dass es geht - ca. 30 Sekunden später - jetzt geht´s wieder nicht mehr ...


  • LAYER 8 Moderator

    du hast schon wieder Gatewway PPPOE eingefügt. Habe doch klar geschrieben, warum du * (also default) einstellen sollst?



  • Hallo

    Entschuldige bitte - mein Fehler

    JA - wen beide Regeln bei GW auf Default stehen funktioniert es (auch länger als 10 Sekunden)



  • Hallo

    kann ich das so lassen ?


  • LAYER 8 Moderator

    Welche Regel matcht denn? Die wirst du dann brauchen, die andere kann man löschen.


Log in to reply