Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Nat funktioniert nicht und probleme mit NAT Reflection

    Deutsch
    4
    6
    7.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      benuk
      last edited by

      Hi Allerseits,

      habe mir pfsense in einer VM (VMware Server 2.0.2) installiert. Hatte vorher eine endian Firewall. Bis auf 2 Probleme läuft alles super!

      Das erste Problem ist:
      Ich habe ein paar Standard-Ports per nat umgeleitet. Was auch problemlos funktioniert.
      Nun habe ich aber den Port 444 per nat zu einem Server im internen Netz weitergeleitet (ist ein ebox-Server). Das läuft unter https! Von extern versuche ich dann die Adresse folgendermaßen aufzurufen: https://meine-dyn-dns-adresse:444
      Das klappt aber nicht. Im Log habe ich auch nichts sehen können. Mache ich hier etwas Falsch?

      Im Anhang findet Ihr Screenshots der Nat-Regeln und der Firewall-Rules.

      Als zweites Problem habe ich folgendes:

      Ich habe einen eigenen Mailserver Zuhause stehen. Nun will ich per IMAP/s darauf zugreifen, und ebenso auf einen eigenen Webserver via HTTP und einen weiteren Server via HTTS/s, was auch funktioniert (von extern). Wenn ich intern bin, wird ja nicht über das externe Interface geroutet. Dazu müsste man entweder einen andere Namensauflösung verwenden, was aber nicht geht, da ich ja unterschiedliche IPs über unterschiedliche Ports aber unter dem selben Domainnamen auflösen muss. Also muss die Option "Disable NAT Reflection" im Menü "System->Advanced" abgehakt werden. Wenn ich das aber tue, wird sobald ich im internen Netz bin sämtlicher Traffic, welcher über die Ports in den NAT Regeln umgeleitet wird, auch hier umgeleitet. Das bedeutet, wenn ich z.B. aus dem Internen Netz www.tagesschau.de (Port 80) aufrufe, komme ich auf meinen Webserver!??
      Was hab ich hier nicht verstanden?
      Auch hier können die im Anhang befindlichen Screenshots eventuell weiterhelfen.

      Danke schon mal für Eure Mühe im Voraus!

      Gruß Bernd

      nat.png
      nat.png_thumb
      rules.png
      rules.png_thumb

      1 Reply Last reply Reply Quote 0
      • GruensFroeschliG
        GruensFroeschli
        last edited by

        Du hast bei all deinen NAT Regeln als externes Interface "any" angegeben.
        Das bedeutet aber, dass sämtlicher Traffic von allen Interfaces auf diesen Ports abgefangen wird.
        Da sollte die externe Adresse auf deinem WAN sein.
        Also im Dropdown den Punkt "interface address" wählen.

        Gut möglich, dass dein erstes Problem mit dem zweiten zusammenhängt.
        Du kannst sonst mal logging für die allow Regel aktivieren.
        Dann siehst du ob die Frames zugelassen werden.
        Alternativ kannst du sonst mal TCPdumpen auf dem LAN interface um zu sehen ob die Packete wirklich auf das Kabel intern kommen.

        We do what we must, because we can.

        Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

        1 Reply Last reply Reply Quote 0
        • B
          benuk
          last edited by

          Hi,

          danke für die Info! Genau das war das Problem mit der NAT Reflection! Nach der Umstellung auf das WAN Interface funktioniert das ganze jetzt.

          Wegen der Erreichbarkeit des Ports von extern:
          Ich habe die NAT Regel noch mal gelöscht, ebenso auch die Firewall Regel. Danach noch mal neu angelegt und jetzt funktioniert das auch!

          Kann man den Thread irgendwie als erledigt markieren??

          Danke noch mal!

          Gruß Bernd

          1 Reply Last reply Reply Quote 0
          • S
            Styx
            last edited by

            Da ich eigentlich genau das gleiche Problem habe, eröffne ich nicht extra einen neuen Thread.

            Im Grunde sollte ich alles korrekt eingestellt haben, aber man weiß ja nie. Ich habe pfsense auch eine Weile nicht benutzt, von daher sehe ich vielleicht auch den Wald vor lauter Bäumen nicht.

            Seit kurzem haben wir hier ein Kabelmodem von KabelBW. Das Internet funktioniert einwandfrei, allerdings klappt das Portforwarding nicht. Ich will lediglich SSH auf den Linuxserver umleiten. Intern komme ich problemlos auf den Server, extern geht es nicht, weder mit der externen IP Adresse noch mit der Domain, die per dynDNS regelmäßig aktualisiert wird. Hat irgendjemand eine Idee? Irgendwie habe ich den Verdacht, dass das KabelModem irgendwas blockt. Aber dazu habe ich nichts gefunden. Ich bin für jeden Hinweis dankbar.

            Edit:
            Es lag an meiner eigenen Dussligkeit. Die Lösung zu dem Problem habe ich im englischen Teil des forum erhalten:
            http://forum.pfsense.org/index.php/topic,24942.0.html

            1.jpg
            1.jpg_thumb
            2.jpg
            2.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • H
              hofimax
              last edited by

              Hi!

              Ich habe grad dasselbe Problem wie benuk, ich habe NAT Reflection aktiviert und werde jetzt auch aus dem internen LAN jedes mal auf meinen Webserver umgeleitet! Soagr wenn ich auf die PFSense per Webinterface zugreifen will, weswegen ich jetzt nicht mehr auf die PFSense komme und dieses NATReflection wieder deaktivieren kann! Kann mir jemand sagen wie ich das per SSH machen kann?? Hab wohl auch den Fehler in den NAT Rules, sonst wäre das nicht passiert oder?

              1 Reply Last reply Reply Quote 0
              • H
                hofimax
                last edited by

                Ahhh…habs schon rausgefunden!!

                Man muss zuerst das Filesystem auf read-write stellen per

                /etc/rc.conf_mount_rw

                dann unter /cf/conf/ im File config.xml diese Zeile wieder hinzufügen (ich habs unter <maximumstates>eingefügt)

                <disablenatreflection>yes</disablenatreflection>

                das Filesystem wieder auf read-only stellen mit

                /etc/rc.conf_mount_ro

                zum Schluss das File wieder einlesen mit

                /etc/rc.reload_all

                und es lief wieder! So jetz muss ich mich nur noch der NAT-Rule widmen, wo ja wohl der Fehler liegen dürfte!</maximumstates>

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.