Frage zu SRC-NAT / SRC-Routing

prakti

Hallo Experten,

ich möchte / muss von einer iptables-Firewall zu pfsense migrieren. Mein Problem ist
die Terminierung unserer öffentlichen IP-Adressen. Folgendes Szenario:

die öffentl. IPs 194.22.22.160/28 werden von der Telekom auf eines Ihrer privaten Netze 10.1.1.0/28
(Transfernetz) geroutet. "Am Ende" hängt mein Router und muss aus 10.1.1.5 umsetzen nach 194.22.22.163 .

In Iptables-Syntax funktioniert das aktuell wie folgt:

• Eingehend:
  iptables -t nat -I POSTROUTING -s 10.1.1.5 -o eth1 -j SNAT –to-source 194.22.22.163

• Ausgehend:
  iptables -t nat -I POSTROUTING -s 172.16.0.0/16 -o eth1 -j SNAT –to-source 194.22.22.163

• Die Routing-Tabelle:
  Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  194.22.22.160   0.0.0.0         255.255.255.248 U     0      0        0 eth1
  10.1.1.5              0.0.0.0         255.255.255.240 U     0      0        0 eth1
  172.16.0.0      172.16.14.30    255.255.0.0     UG    0      0        0 eth0
  0.0.0.0               10.1.1.1           0.0.0.0         UG    0      0        0 eth1

• ifconfig:
  _eth1      Link encap:Ethernet  HWaddr 00:30:05:80:69:06  
               inet addr:10.1.1.5  Bcast:10.1.1.15  Mask:255.255.255.240

eth1:1    Link encap:Ethernet  HWaddr 00:30:05:80:69:06  
              inet addr:194.22.22.163  Bcast:194.22.22.167  Mask:255.255.255.248_

Firewalling ist leider nicht mein Steckenpferd und so habe ich gehofft mit dem fwbuilder
von iptables nach pf zu konvertieren … habe aber später gelesen das "pf-format" nicht dem
"XML-pfsense-format" entspricht. Kann mich jmd. in die richtige Richtung schupsen?

Folgendes habe ich bisher versucht, aus "IPTables abzuleiten":
Interfaces > LAN > 172.16.0.4
Interfaces > WAN > Block private networks (deselected)
Interfaces > WAN > 10.1.1.5/28  +  gateway 10.1.1.1

Und nun geht es los mit den Fragen.
Muss ich ein virtuelles Interface a la eth1:1 anlegen oder muss das über "VIP" (virtuelle IPs)
, also Firewall > VIP  laufen?
Danach Firewall > NAT > Outbound > Auto oder Manual Mode ??
Mir ist nicht klar, wo ich die 194.22.22.163 unterbringe.

Wenn mir hier jmd. über die Strasse helfen könnte ;-) ....

Besten Dank schonmal im Voraus !!

flix87

also wenn ich das Alles richtig verstanden habe musst du das Ganze als virtuelle IP eintragen -> Firewall: Virtual IP Addresses
Dort das WAN interface auswählen und dann als IP Alias die IP eintragen.
Outbound NAT brauchst du nur wenn du die IP Adresse auch nach extern benutzen willst. Ansonsten wird einfach die IP genommen die direkt auf dem Interface drauf liegt.

prakti

Hallo Flix,

danke für deine Antwort … ich habe das Problem mit folgenden Einstellungen gelöst:
Firewall -> Virtual IPs -> Type: IP Alias | Interface WAN | IP Address Single address 194.22.22.163/32 -> SAVE

Firewall -> NAT -> Outbound -> Manual Outbound NAT rule gen. -> New rules:

1. "Do not NAT" unchecked | Interface WAN | Protocol any | Source: Network 10.1.1.0/28  | Destination: any | Translation: Address = 194.22.22.163  -> SAVE
2. "Do not NAT" unchecked | Interface WAN | Protocol any | Source: Network 172.16.0.0/16  | Destination: any | Translation: Address = 194.22.22.163  -> SAVE

Das wars ... es funktioniert sogar IPSec-Passthrough nach draussen mit dem Cisco VPN Client  :D
Cheers !!