Problem mit einer virtuellen IP am EXT



  • Hallo Leute!

    Ich moechte eine bestehende, alte Firewall durch eine PFSense 1.0.1 ersetzen.
    Dabei bin ich an die vorgegebenden Gegebenheiten -fuers erste- gebunden:

    Ich muss auf das EXT Interface 2 IP Adressen konfigurieren (1.1.1.1 und 1.1.1.2 als virtuelle IP).
    Von 1.1.1.2 ist der Port 25 auf den internen Mail Server (192.168.1.11) weiterzuleiten.
    Dies funktioniert aber nicht. Folgendes habe ich gemacht:
    Unter Firewall-Virtual IP's habe ich 1.1.1.2 als virtuelle IP (als "other" und als "proxy arp" habe ich es probiert) angelegt. Und unter Firewall-NAT-Port Forward eine Rule (WAN, 1.1.1.2 als external address, TCP, SMTP als Port Range, 192.168.1.11 als NAT IP und SMTP als local Port) angelegt. Das Hakerl fuers automatische Generieren der Rule habe ich drinnengelassen.

    Meiner Meinung nach alles richtig und klar. Nur es geht nicht.
    Hat jemand eine Idee?

    lg rainer



  • Was für eine Art WAN Verbindung hast Du und was was für ein Gerät ist am WAN vorgeschaltet (Providerrouter mit Gateway, tranparentes Modem,…)?



  • @hoba:

    Was für eine Art WAN Verbindung hast Du und was was für ein Gerät ist am WAN vorgeschaltet (Providerrouter mit Gateway, tranparentes Modem,…)?

    Die WAN Konfiguration ist "static", dem Kunden ist ein /29 Netz zugeteilt.
    (also 1.1.1.0/29,
    1.1.1.1 Providerrouter,
    1.1.1.2 hat das WAN IF der PFSense,
    1.1.1.3 ist die IP Adresse des MX Records (und somit des virt IF). Daher muss der Port 25 weitergeleitet werden) x)

    Die Anbindung ist 4MBit/s, symmetrisch, Glasfaser.
    Nach der PFSense geht es mit einem Router (des Providers) weiter, der auch die Umsetzung auf Glasfaser macht.
    Mit der "normalen" (1.1.1.2) IP Adresse am WAN IF funktioniert alles Bestenes, die Mitarbeiter kommen ins Internet und können surfen, etc.
    Nur die 1.1.1.3 ist weder pingbar (obwohl ich ICMP am WAN IF erlaube), noch kommt der Port 25 beim Mailserver an.
    Ich habe die Firewall momentan nicht vor mir, jedoch kann ich mich erinnern, dass unter Diagnostics-States

    192.168.1.11:25<–1.1.1.3:25<--{IP Adresse vom Testrechner} mit State: SYN_Closed stand.
    Das SYN_Closed finde ich komisch.

    Und, um ganz genau zu sein: Ich habe die PFSense auf einer CF Card installiert, das Image habe ich mir von http://shopping.hacom.net/catalog/pub/pfsense/ heruntergeladen.

    Und ersetzt wird eine alte Linuxfirewall, die das virt.IF einfach mit ifconfig eth0:0 konfiguriert hat.

    Dem Kunden sind keine Firewalls, Bridges, MAC Addressen sensitive Dinge oder sonstige Gemeinheiten vorgeschalten.
    Auch bin ich mir sicher, dass die prinzipielle IP Konfiguration passt.
    Ich bin mir aber nicht sicher, ob ich die virt. IF Konfiguration richtig gemacht habe (siehe erstes Post) und ob die automatische Rule generation der PFSense ausreicht um meine Wuensche zu erfuellen.

    lg rainer

    x) Man koennte natuerlich den MX Record auf 1.1.1.2 aendern und das Problem umgehen. Das kommt aber momentan, wegen der Buerokratie (groszer Kunde, etc..) nicht in Frage.



  • Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

    Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).



  • @hoba:

    Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

    Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

    was ist eine HEAD Version?



  • Developement Version von 2.0 sozusagen. Ist derzeit im Alphastadium.



  • @hoba:

    Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

    Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

    Also, ich kriegs nicht hin. Ich habe das Problem nun bei mir zu Hause nachgestellt. Das gleiche Ergebnis.
    Folgendes finde ich unter Show States:
    tcp 192.168.110.254:25 <- 1.1.1.3:25 <- 1.1.1.4:1098 CLOSED:SYN_SENT

    Das finde ich komisch. 1.1.1.4 ist mein Laptop (soll den externen Zugriff simulieren), 1.1.1.3 ist die PFSense am VIP und 192.168.110.254 ist die PFSense am LAN. Auf 192.168.110.101 (PC) laeuft ein SMTP Server (testhalber).
    Dieser scheint aber in den States nicht auf.
    Statt der 192.168.110.254 wuerde ich die 192.168.110.101 erwarten.
    Ich glaube, irgendwas mache/verstehe ich prinzipiell falsch.



  • @rainer:

    @hoba:

    Du könntest nochmal Typ CARP als VIP probieren. Was Du auf alle Fälle brauchst ist eine ART VIP, die auch Layer2-Messages generiert. Das mach nur Proxy ARP bzw CARP. In der HEAD Version gibt es noch einen zusätzlichen Typ VIP, der das macht, was du mit der Linuxfirewall gemacht hast. CARP oder ProxyARP sollte aber auch funktionieren (ich habe einige Installationnen draussen, die das gleiche machen, was Du versuchst einzurichten.

    Du könntest auch spaßhalber mal den Providerrouter ausschalten bzw. rebooten. Vielleicht hat der Probleme mit seinem MAC cache (tritt gerne mal bei Cisco Routern auf).

    Also, ich kriegs nicht hin. Ich habe das Problem nun bei mir zu Hause nachgestellt. Das gleiche Ergebnis.
    Folgendes finde ich unter Show States:
    tcp 192.168.110.254:25 <- 1.1.1.3:25 <- 1.1.1.4:1098 CLOSED:SYN_SENT

    Das finde ich komisch. 1.1.1.4 ist mein Laptop (soll den externen Zugriff simulieren), 1.1.1.3 ist die PFSense am VIP und 192.168.110.254 ist die PFSense am LAN. Auf 192.168.110.101 (PC) laeuft ein SMTP Server (testhalber).
    Dieser scheint aber in den States nicht auf.
    Statt der 192.168.110.254 wuerde ich die 192.168.110.101 erwarten.
    Ich glaube, irgendwas mache/verstehe ich prinzipiell falsch.

    OK, ich habe nun alles mal auf factory defaults gesetzt und neu angefangen und siehe da, es geht  :)
    Ich trau's mich ja kaum zu fragen, aber was ich nicht zusammengebracht habe, ist ICMP am VIRT. IF zu erlauben.
    Gibts da einen Trick?



  • Hast Du das Protokoll ICMP auch geforwardet? Welchen Typ Virtueller IP benutzt Du jetzt?



  • @hoba:

    Hast Du das Protokoll ICMP auch geforwardet? Welchen Typ Virtueller IP benutzt Du jetzt?

    Nein, ICMP habe ich nicht geforwarded. Muss ich das bei pfSense?
    Proxy ARP verwende ich.



  • ICMP = Ping  ;D

    So was Blödes, kann man ja gar nicht forwarden  :o



  • @hoba:

    ICMP = Ping  ;D

    OK, danke fuer deine Hilfe.
    Nur, dass ICMP=Ping ist, war mir schon klar. Nur, dass ich es es auch forwarden muss, darauf bin ich nicht gekommen.
    War gewohnt, dass das virtuelle IF selbst antwortet.

    lg rainer



  • Das funktioniert, wenn Du als Virtuelle IP CARP benutzt, weil diese IP dann direkt von der Firewall benutzt werden kann. ProxyARP läßt sich nur weiterleiten.



  • @hoba:

    Das funktioniert, wenn Du als Virtuelle IP CARP benutzt, weil diese IP dann direkt von der Firewall benutzt werden kann. ProxyARP läßt sich nur weiterleiten.

    Ah, OK. Ich gebe zu, ich habe keine Ahnung von CARP und habe mich davon abschrecken lassen, da ich dafuer ein Passwort, etc. eingeben muss. Da dachte ich mir gleich, dass es das nicht sein wird. Werde mich mal diesbezueglich bilden ;-)
    Danke uebrigens fuer deine schnellen Antworten :-))



  • CARP ist eigentlich für ein Clustersetup gedacht und da ist der Verkehr zwischen den Clustermitgliedern verschlüsselt. Andererseits ist eine Cluster, in der eine einzige Maschine nur noch aktiv ist, ja auch nichts anderes, als das was Du machen willst  ;)



  • Passt jetzt alles. Der Switch hat einen Vogel gehabt.
    Er hat sich die ARP Entries ewig gemerkt. –> neuer Switch.

    lg rainer



  • Super! Danke für die Rückmeldung bzw. Ehrenrettung  ;D


Log in to reply