Öffentliche IP 1:1 von WAN in DMZ durchreichen (kein NAT gewünscht)



  • Hallo.

    Kurz vorweg: Die pfSense Firewall ist mir neu. Ich beschäftige mich erst sein ein paar Tagen mit ihr. Daher bitte ich Rücksicht auf mich und meine Fragen zu nehmen, auch wenn die vielleicht schon gestellt wurden. Im Forum habe ich nichts dazu gefunden was mir direkt helfen würde. Gibt es aber doch was, so gebt mir bitte einfach einen entsprechenden Link. ;-)

    Ich betreibe die Firewall als Frontend-Firewall, und benötige daher nur zwei WAN-Schnittstellen zur Internet-Anbindung zweier DSL-Provider. Die standardmäßig als LAN angebotene Verbindung wird nicht benötigt, da zum LAN nur die Backend-Firewall Zugang hat. Daher wurde LAN in DMZ umbenannt und diverse 1:1 NAT Verbindungen und Regeln eingetragen.

    Auf die WAN Verbindung laufen feste IP's, also zum Beispiel xxx.xxx.101.22/28. Die vorgenannte IP muss ich direkt, also ohne den Umweg über NAT in die DMZ bringen. Wie kann dies erfolgen?

    Danke für die Hilfe.

    Gruß

    Andreas



  • Hi,

    @Andreas:

    Daher wurde LAN in DMZ umbenannt und diverse 1:1 NAT Verbindungen und Regeln eingetragen.

    Auf die WAN Verbindung laufen feste IP's, also zum Beispiel xxx.xxx.101.22/28. Die vorgenannte IP muss ich direkt, also ohne den Umweg über NAT in die DMZ bringen. Wie kann dies erfolgen?

    liest sich so, als ob Du das 1:1 NAT schon gemacht hast?
    Es fehlt dann nur noch die "Rückroute"

    => Outbound NAT auf "manual" umstellen; an sich kannst Du die dann automatisch erzeugten Regeln löschen und Deine eigenen 1:1 Outbound NAT Regeln dafür anlegen.
    => und wohl schon gemacht, aber sicherheitshalber nochmal erwähnt:
        nicht vergessen, passende Firewall Regeln anzulegen, die alle / benötigte Ports auf die jeweils interne IP durchlassen.

    Grüße

    Reiner



  • Hallo Reiner,

    vielen Dank für die Hilfe. Ich denke ich verstehe schon was Du meinst. Allerdings ist es ja wirklich so, dass die IP xxx.xxx.101.22 wirklich xxx.xxx.101.22 bleiben muss. Es darf also keine Übersetzung auf dem Weg von der WAN-Schnittstelle in die DMZ stattfinden. Nun denke ich, dies könnte evtl. über das Setzen von Routen stattfinden. Da bin ich mir aber nicht sicher. Vielleicht ist das ja auch der falsche Ansatz und es gibt eine bessere Lösung.

    Gruß

    Andreas

    @Andreas:

    Hallo.

    Kurz vorweg: Die pfSense Firewall ist mir neu. Ich beschäftige mich erst sein ein paar Tagen mit ihr. Daher bitte ich Rücksicht auf mich und meine Fragen zu nehmen, auch wenn die vielleicht schon gestellt wurden. Im Forum habe ich nichts dazu gefunden was mir direkt helfen würde. Gibt es aber doch was, so gebt mir bitte einfach einen entsprechenden Link. ;-)

    Ich betreibe die Firewall als Frontend-Firewall, und benötige daher nur zwei WAN-Schnittstellen zur Internet-Anbindung zweier DSL-Provider. Die standardmäßig als LAN angebotene Verbindung wird nicht benötigt, da zum LAN nur die Backend-Firewall Zugang hat. Daher wurde LAN in DMZ umbenannt und diverse 1:1 NAT Verbindungen und Regeln eingetragen.

    Auf die WAN Verbindung laufen feste IP's, also zum Beispiel xxx.xxx.101.22/28. Die vorgenannte IP muss ich direkt, also ohne den Umweg über NAT in die DMZ bringen. Wie kann dies erfolgen?

    Danke für die Hilfe.

    Gruß

    Andreas



  • @Andreas:

    Hallo Reiner,

    vielen Dank für die Hilfe. Ich denke ich verstehe schon was Du meinst. Allerdings ist es ja wirklich so, dass die IP xxx.xxx.101.22 wirklich xxx.xxx.101.22 bleiben muss. Es darf also keine Übersetzung auf dem Weg von der WAN-Schnittstelle in die DMZ stattfinden. Nun denke ich, dies könnte evtl. über das Setzen von Routen stattfinden. Da bin ich mir aber nicht sicher. Vielleicht ist das ja auch der falsche Ansatz und es gibt eine bessere Lösung.

    na, das ist kein Problem… ich mach das bei uns auch so ^^

    WAN  =>  GW1/GW2  =>  AS Netz als DMZ  =>  FW1/FW2  =>  LAN Netze

    Bei uns ist das aber ganz einfach gergelt, weil wir auf der WAN Seite ein Transfernetz /29 haben und das AS Netz ein /24 ist...
    Da ist "nichts" bei NAT/1:1 NAT/Outbound NAT eingetragen, wodurch es automatisch gerouted wird.
    Es mussten nur die passenden Firewall Regeln ergänzt werden, damit entsprechende IP/Dienste hinter den GWs erreichbar sind.

    Du schreibst aber

    … benötige daher nur zwei WAN-Schnittstellen zur Internet-Anbindung zweier DSL-Provider...

    und dass du ein

    … Auf die WAN Verbindung laufen feste IP's, also zum Beispiel xxx.xxx.101.22/28.

    hast…

    Daher muss ich erstmal davon ausgehen, dass Du wie schon geschrieben:

    Daher wurde LAN in DMZ umbenannt und diverse 1:1 NAT Verbindungen und Regeln eingetragen.

    1:1 NAT nutzen musst… denn Du kannst nicht das WAN Netz auf WAN und DMZ Seite einrichten und routen...

    Das einzige was noch gehen würde, ist auf den vorderen Firewalls den Brige Modus zu nutzen

    http://forum.pfsense.org/index.php?topic=30653.0
    http://doc.pfsense.org/index.php/Interface_Bridges
    ..

    es gibt da nette Tutorials, finde sie gerade nur nicht wieder...


Locked