Eine Frage zum NAT



  • Hallo,

    Da ich mir etwas Gedanken zwecks des Netzwerkes hier vor Ort gemacht habe hier eine Frage zu folgender therotischen Situation.

    1. Interne Interface gehört zu einem 192er/24 Netz mit DHCP mit Zuweisung der IP auf MAC-Addresseebne
    2. Externe Interface ist ein statische echte IP

    Bis hierher geht es problemlos und ist eine standard Konfiguration.

    3. Da ich einer MAC-Addi eine Bestimmte 192er Adresse zuordne bei der DHCP Anfrage weis ich auch welcher User dahintersteckt.

    Nun möchte ich wenn der User ins Internet geht er auch eine Bestimmt "Echte IP" genattet wird. Nicht die statische IP die das externe
    Interface besitzt. Ebenfalls soll wenn der Interne Usere sich z.b. einen Webserver Installiert, der ja eigendlich seine "Echte IP" haette
    ein NAT auch umgedreht funktionieren. Bei einem Webaufruf der "Echten IP" im Internet macht PFSENSE ein Nat auf die entsprechende
    Interne 192er Adresse.

    Hintergrund ist hier das alle User im Internen Netzwerk auch eine "Echte IP" besitzen. Diese wird dann Später auf den Weg ins Internet
    vor meiner PFSENSE Accountet. Daher muss er auf dem Weg durch meine PFSENSE ein NAT Passieren das er mit seiner "Echten IP" das
    Internet besucht.

    Hm … ich hoffe ich habe es geschafft meine Gedanken einigermassen Verständlich rüber zu bringen.

    Wäre diese konstellation Grundsätzlich möglich?

    Liebe Grüße,
    Merli



  • Lege für alle echten IPs VirtualIPs an (Firewall>Virtual IPs). Der Typ hängt von Deiner Infrastruktur vor der pfSense ab. ProxyARP und CARP generieren Layer2 Verkehr für die Virtuellen IPs, Other akzeptiert diese einfach, für den Fall, daß die IPs so oder so zu Dir geroutet werden. Als nächstes brauchst Du dann nur noch 1:1 NAT um dedizierte interne IPs auf die entsprechenden VIPs zu mappen (firewall>NAT, 1:1). Das war's dann schon für abgehende Verbindungen. Ankommend mußt Du jetzt nur noch ggf. Firewallregeln definieren, das Portforwarding übernimmt das 1:1 NAT nämlich auch schon.



  • Doch so einfach ;) ??

    Muss ich mal Testen.

    Vielen Dank für die den tollen Tip.

    Gruss Merli



  • Hallo,

    so nach dem wir die ganzen für und wieder hier vor ort diskutiert haben. und einige das thema OLSR aufgeworfen wurde hier nun
    eine weitere frage zur sense.

    die vorraussetzung wäre das es ein externes interface mit satischer ip geben würde. natuerlich auch das interne mit einem 192er netz.
    die sense macht ein 1:1 nat für die echten ip's ins internet, auf dem LAN-Interface soll das OLSR laufen. an welchen dann direkt
    ein LINKSYS AP mit DD-WRT und OLSR rennt. dieser soll dann für unseren Ort wo es nun schon etwa 30 AP's gibt welche dann auch
    auf OLSR umgerüstet werden sollen das gateway ins internet sein. bedingung ist aber wieder das die clients die dann am OLSR netz
    haengen sich von der sense per DHCP eine IP holen. die dann mit 1:1 nat mit einer echten IP verbunden wird. der zugriff auf das netz
    soll per mac-add berechtigt werden.

    so das wäre die theoretische vorstellung. hat vielleicht jemand so etwas schon realisiert? und wäre das theoretisch möglich
    ohne die sense zu verbiegen, um eine standart installation verwenden zu können?

    grund des ganzen ist den administrativen aufwand im gesamten wlannetz zu minimieren. weil 2 leutchen die nebenbei auch noch
    arbeiten gehen … naja, das muss alles ganz einfach sein.

    so ich hoffe der eine oder andere hat vielleicht mit der sense sowas schon gemacht.

    lieben gruss
    Merli


Log in to reply