Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Exerne IPs intern weiterleiten

    Deutsch
    6
    10
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      Julian 2
      last edited by Julian 2

      Hallo Leute,

      Wir benötigen für folgende Aufgabe eine Lösung. Es geht um den Aufbau einer Hardwarefirewall für 6 Clients.

      Ich habe statische externe Ips die auf einem Switch "anliegen" und von verschieden Clients statisch verwendet werden. Es gibt also kein DHCP-Server o.ä.

      Nun wollen wir für einige IPs die Ports beschränken. Wichtig ist uns dabei, dass die IP Adressen sich nicht ändern. Sodass im Falle eines Firewall Problems. Der Client direkt in den Switch vor der Firewall gesteckt werden kann und die feste IP im Client nicht verändert werden muss.
      Letztlich soll also die Wall einfach alle Ips exakt beibehalten und nur die Port beschränken.

      Ich habe schon folgendes Video gesehen: https://www.youtube.com/watch?v=zrBr0N0WrTY
      Allerdings hat mir das leider nichts gebracht. Auch wenn ich das DHCP vom LAN angeschaltet habe und intern andere IPs vergeben habe, führte das nicht zum Erfolg. Kann der Wan Port überhaupt alle IPs "weiterleiten"

      Am Ende soll es wie eine Art Gate sein, was für bestimmte externe IPs nur die Ports behandelt und die IPs unberührt lässt.

      Ist das ganze womöglich nicht machbar, da ich die falsche Hardware habe? Habe PfSense zum testen auf einen Shuttle DH170 gespielt.

      Ich hoffe ihr versteht was ich meine.

      Julian

      V JeGrJ 2 Replies Last reply Reply Quote 0
      • RicoR
        Rico LAYER 8 Rebel Alliance
        last edited by

        Nein leider nicht komplett verstanden. :-)
        Du hast ein kleines Subnetz vom Provider, sagen wir /28 und möchtest die IPs daraus gefiltert an interne (RFC1918) Adressen weiterleiten?

        -Rico

        2x Netgate XG-7100 | 11x Netgate SG-5100 | 6x Netgate SG-3100 | 2x Netgate SG-1100

        J 1 Reply Last reply Reply Quote 0
        • V
          viragomann @Julian 2
          last edited by

          @julian-2 said in Exerne IPs intern weiterleiten:

          Sodass im Falle eines Firewall Problems.

          Gibt es doch nicht mit pfSense. 😉

          Aber gut, du möchtest auf beiden Seiten praktisch dasselbe Netzwerksegment haben. Darauf läuft deine Anforderungen hinaus.

          Das geht nur, indem die externes und internes Interface brückst. Das geht schon.
          Kann man machen, müsste für mich aber triftigere Gründe haben.

          J 1 Reply Last reply Reply Quote 0
          • J
            Julian 2 @viragomann
            last edited by

            @viragomann
            Das ist die Anforderung die ich umsetzten soll. Der Grund ist, dass unserer externe Techniker im Ausland sitzt und immer Zugriff auf die Server haben will. Sollte also die Firewall Hardware rumspinnen, fehlt der Zugriff. Ich bin nur unregelmäßig im Büro und den Burödamen ist es nicht zuzumuten die IP Einstellungen mal schnell zu ändern. Einen Stecker umstecken kriegen sie aber hin.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @Julian 2
              last edited by

              Hi,

              @julian-2 said in Exerne IPs intern weiterleiten:

              Ich habe statische externe Ips die auf einem Switch "anliegen" und von verschieden Clients statisch verwendet werden. Es gibt also kein DHCP-Server o.ä.

              kannst du das spezifizieren? Also echte public IPs? Aus dem gleichen Subnetz oder einzelne? Und wie hängen die aktuell am Internet, nur über den Switch dann?

              Wichtig ist uns dabei, dass die IP Adressen sich nicht ändern. Sodass im Falle eines Firewall Problems. Der Client direkt in den Switch vor der Firewall gesteckt werden kann und die feste IP im Client nicht verändert werden muss.

              Letztlich soll also die Wall einfach alle Ips exakt beibehalten und nur die Port beschränken.

              Was steckt da für ein Bedarf dahinter? Denn ganz im Ernst: Wenn im Fehlerfall die "Lösung" darin besteht, den Client einfach wieder nackt ans Netz zu hängen, dann ist der Bedarf "Firewall für bestimmte Ports" anscheinend nicht kritisch, denn ansonsten wäre das quasi tödlich, die einfach wieder aufzumachen. Da hinterfrage ich schon, wie man sich das dann vorstellt?

              @julian-2 said in Exerne IPs intern weiterleiten:

              Kann der Wan Port überhaupt alle IPs "weiterleiten"

              Ein Router/eine Firewall leitet keine IPs weiter. Es kann nur

              a) geroutet werden wenn der IP Range geroutet wird, dann kann die Firewall das einfach auf ein anderes internes Interface weiterreichen und dort dann mit public IPs arbeiten. Dafür müssen die IPs aber geroutet werden, sonst klappt das nicht

              b) geNATtet werden (also quasi forwarding/redirecting). Dann haben die Clients aber interne IPs und NICHT mehr die gleichen externen wie vorher. Dafür würde dann die Firewall die externen IPs haben diese dann entweder für bestimmte Ports (PFW) oder komplett (BiNAT 1:1) weiterreichen.

              Es gibt dann noch die Variante Bridging von @viragomann das ist aber meist nicht ganz der präferierte Fall und zumindest solang noch kein FBSD13 drunter läuft nicht wirklich dolle performant. Kann man aber machen um quasi ne "transparente Firewall" zu haben, dann muss die Firewall aber noch nen anderes Interface mit echter IP für die Wartung haben, sonst kann man sie schlecht erreichen.

              Ich würde hier eher stark zu a) tendieren, was aber wie gesagt nur geht wenn die IPs geroutet werden. Da das aber hier nicht ganz klar ist braucht es da mehr Info zu.

              Cheers

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              J 1 Reply Last reply Reply Quote 0
              • J
                Julian 2 @Rico
                last edited by

                @rico
                Ich brauche letztlich keine internen IPs. Ich habe statische öffentliche IPs die direkt zu den Clients gehen und dort fest hinterlegt sind. Aktuell hängen die über das Modem also direkt im öffentlichen Netz, jeder mit seiner eigenen IP.

                1 Reply Last reply Reply Quote 0
                • J
                  Julian 2 @JeGr
                  last edited by

                  @jegr
                  Ja genau nur über den Switch. BIG 2862 als Modem und dort kommen 255 öffentliche IPs an.

                  Bedarf wurde eben schon beschrieben. So recht sinnvoll finde ich es auch nicht, aber irgendwie möchte er diesen Worst Case Fall abgedeckt haben

                  Was muss ich an weiteren Infos liefern?

                  JeGrJ 1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator @Julian 2
                    last edited by JeGr

                    @julian-2 said in Exerne IPs intern weiterleiten:

                    Was muss ich an weiteren Infos liefern?

                    Wie kommen die IPs wo an? Werden die geroutet? Ist der Provider da im gleichen Netz mit drin? Und wenn ja könnte man das Netz segmentieren.

                    Ja genau nur über den Switch. BIG 2862 als Modem und dort kommen 255 öffentliche IPs an.

                    das klingt als käme das ganze /24 irgendwo an, aber die Frage ist eben "wie"? :)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • micneuM
                      micneu
                      last edited by

                      bitte mal einen grafischen netzwerplan, so kann ich es nicht richtig einordnen

                      Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                      Hardware: Netgate 6100
                      ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                      1 Reply Last reply Reply Quote 0
                      • N
                        NOCling
                        last edited by

                        Für den Fall das mal…

                        Na so kritisch können die Server jedenfalls nicht sein, wenn man die einfach so mit einem Switch ins Internet hängt.
                        Das verstößt gegen alle Grundregel der IT Sicherheit.

                        Ja man könnte da mit Proxy ARP usw. eine Transparente Firewall zwischen hängen.

                        Aber wenn die Kisten so wichtig sind, warum dann nicht gescheit mit internen IPs, ggf. verschiedenen DMZ VLANs/Netzen und einer HA Firewall davor?
                        Dann würde es Sinn ergeben.

                        Wartung ist dann auch über VPN zum Standort möglich.
                        Lasse mich mal nachdenken, wann fällt eine HA FW aus?
                        Totaler Stromausfall, dann ist eh alles egal…
                        Hardware Schaden, dann ggf. alle x Jahre mal eine, kaufst was gescheites für 24/7 ausgelegtes…
                        Softwarefehler, beim Update z.B., da bist dann vor Ort und kannst direkt was retten, 2-3 Mal im Jahr…
                        Menschliches Versagen, wenn jemand Mist konfiguriert…

                        Sicherlich das kleinere Übel, wenn man jeden Tag sieht welcher Firmen gerade wieder unter gehen da deren IT niederliegt…

                        Netgate 6100 & Netgate 2100

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.