"Exposed" Host möglich
-
Moin,
ist es unter pfsense möglich, so etwas wie in der FB Exposed host zu betreiben? -
@simpsonetti Würde mich auch mal interessieren und vor allem, wie genau.
-
Was ist denn so besonders an Exposed host das man so was nicht mit einer DMZ und entsprechenden Firewallregeln / NAT umsetzen kann?
Netgate 6100
-
@nonick Nehmen wir an, ich möchte einen weiteren Router hinter der pfSense betreiben, mit möglichst guter Konnektivität, wie mache ich das mit der Sense?
pfSense on Hyper-V
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
-
@bob-dig Gar nicht weil Doppel NAT Mist ist.
Ich kenne die AVM Geräte nicht, so wie ich das lese werden alle Anfragen einfach zum eingetragen Exposed host weitergeleitet. Existiert zusätzlich eine Portweiterleitung dann wird dieses Port ausgenommen.Wenn man alle Ports per NAT zu den entsprechenden Host weiterleitet müsste das doch das selbe sein, oder?
Netgate 6100
-
@nonick Eben? Oder könnte man auch 1zu1 NAT machen? Ich hatte das mal versucht und hatte keinen Erfolg damit, deswegen finde ich die Frage auch interessant.
-
@nonick said in "Exposed" Host möglich:
@bob-dig Gar nicht weil Doppel NAT Mist ist.
Doppel-NAT ist erstmal gar nichts. Kann dieses ewige "ich muss NAT vermeiden weil das ist BÖSE" einfach nicht verstehen. Ja man muss es verstehen und ja man muss damit umgehen (können) aber ansonsten ist das primär erstmal gar nichts :)
@simpsonetti said in "Exposed" Host möglich:
ist es unter pfsense möglich, so etwas wie in der FB Exposed host zu betreiben?
Ja, simpelst sogar. Wenn du nur eine externe IP hast, dann müssten du lediglich die "WAN address" 1:1 auf ein internes Ziel deiner Wahl NATten. Das würde dann ein- wie ausgehend alle Pakete auf die nachgelagerten IP umschreiben. Zusätzlich braucht es - weil es bei 1:1 NAT keine automatische Regelerstellung gibt - eine extra Regel auf dem WAN Interface, die Traffic an die interne IP (Weiterleitungsziel) erlaubt. Interne IP weil die NAT Regel vor den Filterregeln greift und daher die Pakete schon umgeschrieben werden - dann aber noch erlaubt werden müssen.
Also 1:1 NAT + entsprechende Regel (wahrscheinlich für echten exposed Host dann allow any auf die IP) wäre dann der exposed Host.
Cheers
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr Glaube, neu hinzugekommen ist auch das Any fürs Protokoll unter Port Forward.
Wäre das auch eine gangbare Option für den Anwendungsfall?
pfSense on Hyper-V
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
-
Noch als Ergänzung, was ich dazu gerade aus der Anleitung gefischt habe.
In pfSense
software, 1:1 NAT can be active on the WAN IP address, with the caveat that it will leave all services running on the firewall itself inaccessible externally. So 1:1 NAT cannot be used on the WAN IP address in cases where VPNs of any type are enabled, or other local services on the firewall must be accessible externally. In some cases, this limitation can be mitigated by a port forward for locally hosted services.Muss man also auch bedenken. Vermutlich greift diese Limitierung bei beiden Varianten, also sowohl bei 1:1-Nat als auch bei "alles" PortForwarden.
-
@bob-dig said in "Exposed" Host möglich:
@jegr Glaube, neu hinzugekommen ist auch das Any fürs Protokoll unter Port Forward.
Wäre das auch eine gangbare Option für den Anwendungsfall?ANY ist zumindest bei 2.6 noch keine gültige Auswahl für Port Forwards. Das kam mit 22.05 und soll mit 2.7 dann mit reinkommen. Also aktuell teilweise noch gar nicht möglich.
Und nein, das wäre kein adäquater Ersatz, weil es nur den eingehenden Traffic berücksichtigt, aber nicht den ausgehenden. Für das entsprechende System wäre es je nach Einsatzzweck ggf. fatal, da bestimmte Verbindungen initial von innen nach außen aufgebaut und dann mit der falschen IP erstellt werden. Das ist kein exposed Host. Wenn natürlich alles was man will "nur" eingehend ist und ausgehend egal, dann kann das natürlich passen, aber wie gesagt, es ist nicht das, was die Option exposed Host meistens umschreibt.
Also als Ersatz "jein", abhängig davon was man braucht.
@bob-dig said in "Exposed" Host möglich:
also sowohl bei 1:1-Nat als auch bei "alles" PortForwarden.
Nein, der Punkt greift einfach weil "BiNat" alles nach innen reicht. Wie auch in dem Satz zu lesen ist: wenn ich PFWs definiere, dann gelten die ja vorher. Reihenfolge. Erst PFW, dann BiNAT, dann Outbound. Und wenn ich ein VPN bspw. via PFW auf meinen localhost ziehe greift das vor BiNAT oder einer anderen PFW Regel, die alles andere wegschiebt. Wie immer kommts lediglich auf die Reihenfolge an :)
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr Verstehe deine Antwort nicht. Freitag ist vielleicht nicht der beste Tag für verständliche Antworten.
pfSense on Hyper-V
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
-
@bob-dig said in "Exposed" Host möglich:
@jegr Verstehe deine Antwort nicht. Freitag ist vielleicht nicht der beste Tag für verständliche Antworten.
Wenn du mir sagst was du nicht verstehst, kann ich dir vielleicht auch sagen was ich gemeint habe :)
-
@jegr said in "Exposed" Host möglich:
Also 1:1 NAT + entsprechende Regel (wahrscheinlich für echten exposed Host dann allow any auf die IP) wäre dann der exposed Host.
Cheers
Hi. Ja. Der Thread ist schon was älter.
Ich bin aber bei hier im Forum und habe eine ähnliche Frage.
Da ich gerade auf pfsense umstelle und es gerne so machen mag, dass mein altes System „hinter“ der pfsense weiterläuft und ich sie einzeln umziehe.
Aktuell nutze ich eine Unifi UDM SE.
Entsprechend mag ich an einem Port der pfsense die UDM dahinter möglichst problemfrei weiter laufen lassen.
Denke, dass das hier beschrieben vorgehen die beste Wahl ist, oder?
Hänge ich die UDM dann an einen LAN Ort der pfsense und weise ihr (der UDM) die ja dann eine Client IP hat die entsprechende Regel zu und das war’s?
Freue mich auf Mithilfe. Danke.
-
@thundergate Häng die UDM einfach hinter die pfS und mache jeweils NAT für das, was vom Internet aus erreichbar sein muss. Das ist oftmals Nichts, mit Ausnahme von VPN.
Ausgehend wird i.d.R. alles automatisch funktionieren.
-
@tpf said in "Exposed" Host möglich:
@thundergate Häng die UDM einfach hinter die pfS und mache jeweils NAT für das, was vom Internet aus erreichbar sein muss. Das ist oftmals Nichts, mit Ausnahme von VPN.
Hi. Danke für das Feedback. Sprich ich setze für die IP der UDM (welche sie dann bekommt) im NAT Outbound ein Any/Any und gut ist für den Übergang?
-
@thundergate
Hi,die günstigste Strategie hängt davon ab, welche Services und Geräte in deinem Netz von außen erreichbar sein sollen. Ist das ein einziges Gerät / Dienst oder sind es mehrere, für welche aktuell die UDM das Forwarding macht?
Outbound NAT ist wahrscheinlich nicht das zielführende Mittel, das macht SNAT für ausgehenden Traffic und wird normalerweise nur am WAN benötigt und da automatisch konfiguriert?
-
@viragomann In dem Fall ist es wirklich nur einmal Wireguard auf einer IP.
Heißt ich mache einfach einen NAT Port Forward (51820) auf die UniFi UDM und fertig?
-
@thundergate
Ja, genau.
Auf der UDM wird es dann weitergeleitet. -
Man kann auch hinter der pfSense einen kleinen MikroTik
Router benutzen und der macht dann eben kein NAT.Oder gar einen kleinen Cisco GS300 oder SG350 Switch
und der routet dann das LAN bzw. den Verkehr dort.
