Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Eine Frage zum NAT

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Merl
      last edited by

      Hallo,

      Da ich mir etwas Gedanken zwecks des Netzwerkes hier vor Ort gemacht habe hier eine Frage zu folgender therotischen Situation.

      1. Interne Interface gehört zu einem 192er/24 Netz mit DHCP mit Zuweisung der IP auf MAC-Addresseebne
      2. Externe Interface ist ein statische echte IP

      Bis hierher geht es problemlos und ist eine standard Konfiguration.

      3. Da ich einer MAC-Addi eine Bestimmte 192er Adresse zuordne bei der DHCP Anfrage weis ich auch welcher User dahintersteckt.

      Nun möchte ich wenn der User ins Internet geht er auch eine Bestimmt "Echte IP" genattet wird. Nicht die statische IP die das externe
      Interface besitzt. Ebenfalls soll wenn der Interne Usere sich z.b. einen Webserver Installiert, der ja eigendlich seine "Echte IP" haette
      ein NAT auch umgedreht funktionieren. Bei einem Webaufruf der "Echten IP" im Internet macht PFSENSE ein Nat auf die entsprechende
      Interne 192er Adresse.

      Hintergrund ist hier das alle User im Internen Netzwerk auch eine "Echte IP" besitzen. Diese wird dann Später auf den Weg ins Internet
      vor meiner PFSENSE Accountet. Daher muss er auf dem Weg durch meine PFSENSE ein NAT Passieren das er mit seiner "Echten IP" das
      Internet besucht.

      Hm … ich hoffe ich habe es geschafft meine Gedanken einigermassen Verständlich rüber zu bringen.

      Wäre diese konstellation Grundsätzlich möglich?

      Liebe Grüße,
      Merli

      1 Reply Last reply Reply Quote 0
      • H
        hoba
        last edited by

        Lege für alle echten IPs VirtualIPs an (Firewall>Virtual IPs). Der Typ hängt von Deiner Infrastruktur vor der pfSense ab. ProxyARP und CARP generieren Layer2 Verkehr für die Virtuellen IPs, Other akzeptiert diese einfach, für den Fall, daß die IPs so oder so zu Dir geroutet werden. Als nächstes brauchst Du dann nur noch 1:1 NAT um dedizierte interne IPs auf die entsprechenden VIPs zu mappen (firewall>NAT, 1:1). Das war's dann schon für abgehende Verbindungen. Ankommend mußt Du jetzt nur noch ggf. Firewallregeln definieren, das Portforwarding übernimmt das 1:1 NAT nämlich auch schon.

        1 Reply Last reply Reply Quote 0
        • M
          Merl
          last edited by

          Doch so einfach ;) ??

          Muss ich mal Testen.

          Vielen Dank für die den tollen Tip.

          Gruss Merli

          1 Reply Last reply Reply Quote 0
          • M
            Merl
            last edited by

            Hallo,

            so nach dem wir die ganzen für und wieder hier vor ort diskutiert haben. und einige das thema OLSR aufgeworfen wurde hier nun
            eine weitere frage zur sense.

            die vorraussetzung wäre das es ein externes interface mit satischer ip geben würde. natuerlich auch das interne mit einem 192er netz.
            die sense macht ein 1:1 nat für die echten ip's ins internet, auf dem LAN-Interface soll das OLSR laufen. an welchen dann direkt
            ein LINKSYS AP mit DD-WRT und OLSR rennt. dieser soll dann für unseren Ort wo es nun schon etwa 30 AP's gibt welche dann auch
            auf OLSR umgerüstet werden sollen das gateway ins internet sein. bedingung ist aber wieder das die clients die dann am OLSR netz
            haengen sich von der sense per DHCP eine IP holen. die dann mit 1:1 nat mit einer echten IP verbunden wird. der zugriff auf das netz
            soll per mac-add berechtigt werden.

            so das wäre die theoretische vorstellung. hat vielleicht jemand so etwas schon realisiert? und wäre das theoretisch möglich
            ohne die sense zu verbiegen, um eine standart installation verwenden zu können?

            grund des ganzen ist den administrativen aufwand im gesamten wlannetz zu minimieren. weil 2 leutchen die nebenbei auch noch
            arbeiten gehen … naja, das muss alles ganz einfach sein.

            so ich hoffe der eine oder andere hat vielleicht mit der sense sowas schon gemacht.

            lieben gruss
            Merli

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.