Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Korrektes internes 1:1 NAT

    Deutsch
    11 nat
    3
    11
    928
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • micneuM
      micneu @SuB_Frank
      last edited by micneu

      @sub_frank bitte nicht falsch verstehen, aber bei der geringen zahl an geräten, würde es nicht schneller gehen die einfach mit der neuen ip auszustatten? denn wenn die benutzer einfach den hostnamen aufrufen bekommen sie ja nicht mit das eine neue ip vergeben wurde zusätzlich die kollegen informieren.

      Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
      Hardware: Netgate 6100
      ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

      S 1 Reply Last reply Reply Quote 0
      • S
        SuB_Frank @micneu
        last edited by

        @micneu
        Auch nicht falsch verstehen, aber viele Geräte meinst du den muss ich ändern, ich habe ein paar Geräte, 14 an der Zahl, die eine neuen IP bekommen, alles Gräte die Dienste anbieten.
        Wenn ich das jetzt einfach so umstelle, dann hab ich dutzende Anrufe, wo sich die Leute melden weil sie an ihre Daten nicht mehr ran kommen ihr Softphone nicht mehr funktioniert, der Drucker nicht druckt, warum sie sich nicht mehr bei dem Server per SSH einloggen können und ja es sind auch in den hosts Dateien auf jedem Laptop irgendwelche Einträge mit den alten IPs vorhanden.
        Wenn die Laptops wo die ganzen Einstellungen geändert werden müssen an einem Standort wäre, oder die Personen die sie benutzen mehr Ahnung hätten, würde ich vorab das ganze schon ändern, nur leider sind die Laptop wo es geändert werden muss in Deutschland verteilt, und bei vielen Benutzern dieser Laptops wird es schon schwierig wenn es um ein "Öffnen mit" geht, ganz neben bei sind das auch nicht alles nur Windows, sonder auch MacOS und Linux.

        Daher ja, die Idee des 1:1 NAT wo die pfsene den traffic, der an die alten IPs geht, einfach an die neue umleitet, da muss ich dann nur an der pfsense hinbekommen das sie das tut und mit der Zeit werden die ganzen Laptops die die alten IPs kennen verschwinden, getauscht weil zu langsam, neu eingerichtet weil...

        Einfaches Beispiel:

        • Ein Benutzer möchte an eine interne Webseite, sein Favorit im Browser schickt ihn nach https://192.168.0.113:8443/projekt/
        • Derzeit gibt es den Webserver noch mit dieser IP also kein Problem.

        Jetzt kommt die Umstellung auf die neue Firewall, die ganzen IP Bereiche für die Netze ändern sich der Webserver bekommen die neue IP 10.101.3.23.

        • Der Benutzer klick jetzt wieder auf seinen Favoriten im Browser und Seite öffnet sich nicht mehr.
        • wie soll es auch richtigerweise müsste der Favorit ja nach https://10.102.3.23:8443/projekt/ bzw besser https://projekt.local.firma.de gehen

        Da es nach deiner Meinung nur ein paar Geräte sind fahre ich jetzt zu dem Benutzer hin, ändere das fahre zum nächsten Benutzer ändere es dort auch, fahre zum nächsten, nach 50 Benutzen, ein paar sicher auch zwei mal da ihnen später noch aufgefallen ist das was anderes auch nicht mehr geht und ein paar tausend Kilometern Fahrerei bin ich dann wohl nach ein paar Wochen durch.
        Falls du da einen besseren Vorschlag hast bin ich auch ganz Ohr, aber glaube mir ich habe mit den mir zur Verführung stehenden Mittel schon Gedanken gemacht und komme immer wieder darauf zurück das irgendwas auf der alten IP reagieren muss, um es dann weiter zu leiten.

        Ist ja nicht so das es überhaupt nicht so funktionieren würde, die pfsens tut es ja jetzt schon, nur halt mit Problemen behaftet. Ich gehe stark davon aus das ich irgend eine Einstellung falsch oder vergessen habe, das die pfsense das im Moment so macht.

        micneuM 1 Reply Last reply Reply Quote 0
        • micneuM
          micneu @SuB_Frank
          last edited by

          @sub_frank

          1. warum haben deine benutzert einträge in der hosts, dafür ist doch dns (wir haben 5 dns server (wegen wartung/ausfälle) und somit bekommen alle benutzer immer auf die dienste (da sie hostnamen nutzen). was macht euere firma denn wenn ihr keinen dns server einsetzt?
          2. dehalb habe ich ja geschrieben, die benutzer informieren das sich was ändert
          3. selbst über vpn funktioniert unser dns für die firmen geräte

          Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
          Hardware: Netgate 6100
          ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

          S 1 Reply Last reply Reply Quote 0
          • V
            viragomann @SuB_Frank
            last edited by

            @sub_frank said in Korrektes internes 1:1 NAT:

            Im LAN1 (Standardregeln von der Installation: Antilockout und Scheunentor) gehen beide Ping auch parallel nur das der Ping auf die alte Adresse nicht abbricht wenn ich beim Testobjekt das Netzwerkkabel rausziehe. Fürs LAN1 ist ja auch kein 1:1 NAT eingetragen, keine Ahnung was immer dort auf dem Ping antwortet

            Die antwortende IP wird normalerweise in der Ausgabe angezeigt.
            Dann schau in die ARP Tabelle des Rechners, welches Gerät es ist.

            Mein Verdacht wäre, dass der Switch die Netzbereiche nicht sauber trennt.
            Ist das ein L3 Switch oder arbeitet er rein auf L2?

            S 1 Reply Last reply Reply Quote 0
            • S
              SuB_Frank @micneu
              last edited by

              @micneu

              1. Frage da meinen Chef, der hat das bisher so gemacht, denke mal stand irgendwo so im Internet das man da so was machen kann und das hat sich dann als Prozess eingebürgert.
              2. Das wissen die und wo hilft mir das?
              3. Danke für die Info das es bei dir funktioiert, bei mir zu hause funktioniert das auch.

              Ich kann hundert DNS hinstellen, das löst mein Problem nicht, weil ohne Domainnamen wird kein DNS gefragt, mit einen host Datei Eintrag wird auch kein DNS gefragt.

              Also wieder zurück zu meinem Problem, wieso gibt es so eine Verzögerung und warum geht beides nicht gleichzeitig.

              1 Reply Last reply Reply Quote 0
              • S
                SuB_Frank @viragomann
                last edited by

                @viragomann

                Ok, wer auf dem Ping in LAN1 antwortet, habe ich rausbekommen, ging über ein Netz was übergangsweise da war, über ein Gateway und von da über einen VPN ins Firmen Netz , Scheunentorregel die da was machbar machte was man nicht im Auge hatte.

                Somit bleib aber bei allen dann das komischer verhalten mit der Verzögerung.

                Sind Unifi Switch mit einer UDM als Manager, wenn ich das richtig sehe, sind das Layer2, die über die UDM Layer3 Funktionen abbekommen also kein sauberer Layer3 Switch. Werde es mal mit reduzierter Netzanzahl mal ohne VLAN testen, ob es da immer noch so reagiert und mich dann hier nochmal melden, da komme ich aber erst nächsten Montag zu.

                V 1 Reply Last reply Reply Quote 0
                • V
                  viragomann @SuB_Frank
                  last edited by viragomann

                  @sub_frank said in Korrektes internes 1:1 NAT:

                  Ok, wer auf dem Ping in LAN1 antwortet, habe ich rausbekommen, ging über ein Netz was übergangsweise da war, über ein Gateway und von da über einen VPN ins Firmen Netz , Scheunentorregel die da was machbar machte was man nicht im Auge hatte.
                  Somit bleib aber bei allen dann das komischer verhalten mit der Verzögerung.

                  Wenn dieses getrennt ist, funktionieren dennoch erste Pings auf die alte IP nicht?

                  Sind Unifi Switch mit einer UDM als Manager, wenn ich das richtig sehe, sind das Layer2, die über die UDM Layer3 Funktionen abbekommen also kein sauberer Layer3 Switch.

                  Weiß jetzt nicht, wie ich diese L3 Funktion verstehen darf. Die Switche dürfen jedenfalls nicht selbst zwischen den Subnetzen routen können, wenn die pfSense das Gateway ist.

                  Abgesehen von einem lokalen DNS wird hier auch immer wieder generell statischen Netzwerkkonfigurationen abgeraten.
                  Es soll also alles über DHCP gemacht werden, und da, wo die IP gleich bleiben soll, soll statisches Mapping am DHCP konfiguriert werden.
                  Damit wäre dein Umbau auch um vieles einfacher.
                  Aber vielleicht macht es Sinn, erst mal in diese Richtung umzubauen mit den alten IPs und dann alle Änderungen auf der pfSense zu machen.

                  S 1 Reply Last reply Reply Quote 0
                  • S
                    SuB_Frank @viragomann
                    last edited by

                    @viragomann
                    Man stellt an der UDM (ist sowas wie eine pfsense, nur mit weniger Möglichkeiten) die Netze ein und kann diese den Ports am Switch zuweisen, alle ports die dem selben Netz zugewiesen werden, können untereinander kommunizieren, ansonsten geht es halt zur UDM, die dann nach Scheunentor erstmal alles erlaubt, es sei den man verbietet es.
                    Ein recht einfaches Sytem was für das Geld schon etwas bietet, aber halt mit Abstrichen was Konfiguration angeht, hab da viele Probleme mit dem VPN, den Routen, viele Modifikationen werden dort auf der Cliebtseite gemacht und und und.

                    Die Switche sind halt als Layer2 Switch angegeben, und über die UDM kann man den Ports VLANs zuweisen, was ja soweit gut funktioniert LAN und wLAN sind als VLAN auf einen port an der pfsense, der Port am Switch ist auch auf LAN und wLAN eingestellt, ander Ports haben halt nur LAN weiter haben nur wLAN wenn ich da jetzt Rechner an die Port hänge und versuchs von LAN nach wLAN zu gehen, kommt in der pfsense bei der Firewall in den Logs die ganzen Zugriffe an, die je nach Regel blockiert oder erlaubt werden.

                    Statische IPs bekommt bei mir nur die pfsense, alles andere geht dann per DHCP und das mit dem DNS funktioniert ja auch so das selbst wenn ich eine neue IP an der pfsens für einen Server einstelle, es auch gleich im DNS landet. Da will ich ja hin und spätestens wenn die Betriebssysteme auf den Laptops alle ihr Support ende erreicht haben bin ich auch die altlasten weitestgehend los aber das wird vor 2025 nicht passieren und selbst da wird es noch welche geben, die den Sprung auf die nächste Version geschafft haben mit einem Update, da hoffe ich aber das das nur noch eine handvoll ist und die kann ich dann ändern das die keine IPs mehr irgendwo drin haben, die ersten 10 sind ja schon durch weil es da neue gab, aber der weg ist lang.

                    V 1 Reply Last reply Reply Quote 0
                    • V
                      viragomann @SuB_Frank
                      last edited by

                      @sub_frank
                      Wenn das alles über pfSense als Gateway läuft, kann ich mir die Ping-Fehler nicht erklären.

                      Ich würde das mal mit Packet Capture untersuchen. Dabei immer nur einen einzelnen Ping request absetzen und sehen, ob der am richtigen Interface ankommt und wenn, ob er auch zum richtigen rausgeht.

                      1 Reply Last reply Reply Quote 0
                      • S
                        SuB_Frank
                        last edited by

                        Entschuldigung das die Rückmeldung so lange gedauert hat, aber das Umsetzen von Testaufbau zuhause zu Produktiv-System in der Firma lief nicht ganz so einfach wie gedacht, aber auf jeden fall hat sich das Problem dabei von selber gelöst, ich weis nicht, warum es im Testaufbau so ein Problem verursacht, jetzt im produktiven Einsatz, macht es alles so wie es soll ohne Störungen, das einzige ist geblieben ist, das ich beides nicht parallel pingen kann, aber das stört mich nicht wirklich, bei dem Test für die Anwendungen die da drauf zugreifen, lief das mit nahezu gleichzeitigen Ausführen der Anfragen.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.