Welche Daten brauche ich von meinem ISP bei mehreren WAN IPs?



  • Hi Leute,

    heute ist meine pfSense Hardware eingetroffen.
    Habe 5 neue IPs bei meinem Anbieter besorgt (/29 Netz).
    Er schrieb mir jetzt eine eMail mit:
    IP Adresse des Routers: …
    Nutzbare IP Adressen: ...
    Subnet: ...
    Broadcast Adresse: ...

    welche Daten davon brauche ich denn?

    Aufbau: Telefondose -> One Access 50 Router vom Anbieter ausgang LAN -> WAN Anschluss pfsense -> LAN Ausgang pfsense an Switch -> Rechner & Server im LAN

    Ich brauche doch eigentlich nur die Nutzbaren IP Adressen oder?
    Diese muss ich ja in den Rules der pfsense Firewall eintragen als Destination IP am WAN Anschluss und dann an welche LAN IP die definierten Ports weitergeleitet werden sollen.

    Die IP Adresse des Routers brauche ich doch nicht, oder sollte ich diese Adresse im pfSense irgendwo als Gateway einstellen?

    Brauche ich die Subnet und Broadcast Adresse überhaupt für irgendwas?

    Bin absolut neu auf dem Gebiet.
    Sorry! :)

    Gruß


  • Rebel Alliance Moderator

    Ahoi,

    das ist eigentlich relativ einfach. Wenn dir dein Anbieter ein /29er Netz zugeteilt hat, dann hat er in selbigem wahrscheinlich selbst ein Bein (aka dein Default Gateway aka sein Router). Das wird dann wohl die IP des Routers sein in deinem Fall. Im (unwahrscheinlicheren) Fall, dass er dir das ganze /29er adressiert hat, müsste er dir eine Adresse in einem Transfernetz zuweisen und sein Gateway/Router dort angeben. Da sich das bei dir aber liest, als wären alle IPs im gleichen Netz, trifft eher 1) zu.

    Ergo: Auf dem WAN Interface konfigurierst du als IP der Sense eine der nutzbaren Adressen mit der passenden Netzmaske an. Als Default Gateway gibst du die Adresse des Routers ein. Auf der LAN Seite konfigurierst du wie du es haben willst und damit solltest du schonmal alles am Laufen haben. Sollte der Anbieter dir DNS Server mitgegeben haben, gib diese an, ansonsten nimmst du dir freie Server wie die von http://www.opennicproject.org/ oder die Google Public DNSe.

    Die anderen nutzbaren Adressen (restlichen 4) kannst du als Alias IPs auf dem WAN Interface eintragen und dann bspw. via 1:1 NAT direkt auf den gewüschten Server weiter mappen. Oder auch nur portweise, wie du willst. Alles andere solltest du sein lassen. Weiterrouten der Adressen ist nicht (sauber/schön) möglich. Und die IPs direkt am Gerät (Server bspw.) zu haben müsstest du es vor die Firewall an einem Switch am Router des Anbieters anschließen - auch keine gute Idee.

    Daher für deine anderen Fragen:

    1. (nur die Adressen): Nein (siehe oben warum)
    2. (Rules eintragen ..): Nein (siehe oben - wird am einfachsten per 1:1 NAT gemacht)
    3. (IP des Routers): Doch. Das ist der Gateway für die Pfsense (wie sollte die sonst überhaupt irgendwas ins Internet routen)
    4. Broadcast/Subnet wird automatisch ausgefüllt wenn du beim WAN eine der freien IPs und /29 als Maske auswählst

    Da dein Rechner/Server etc. sauber hinter der Firewall stehen sollen (was auch gut so ist), müssen alle IPs auf der WAN Seite der pfSense terminieren bzw. ankommen. Und von da gibst du sie dann per NAT weiter. Ein echtes Routing von dem /29er Netz (und ohne fiese Sachen wie ProxyARP, direkte /32er Hostrouten oder irgendwelche ARP Mauscheleien) wäre nur möglich, wenn dir dein Anbieter das komplette Netz über ein Transfernetz reinreicht und dir das /29er dann auf die IP des Transfernetzes schickt. Dann könntest du eine eigene DMZ einrichten und dort das /29er auflegen und den Server direkt auf die Public IP hängen. So wie es dir aber eingerichtet ist, wäre das nur unschön möglich. Darum: 1:1 NAT.

    Grüße



  • Vielen Dank für die Antwort.
    Hab alles super hinbekommen. War gar nicht so schwer wie ich dachte. :)


Log in to reply