Public IP-Adressen per DHCP + 1:1 NAT



  • Moin beisammen!

    Ich habe einen - vermutlich etwas seltenen/seltsamen - Usecase, bei dem ich bisher etwas auf die Nase gefallen bin. Vielleicht kann mir ja jemand hier mit einem Tip weiterhelfen.

    Meine pfSense-Box hat drei NICs, eins davon geht ans LAN und verteilt dort als 82.100.100.34/27 IP-Adressen per DHCP an die Clients. Ja, das sind wirklich öffentliche IPs. Am zweiten NIC hängt ein Ethernetkabel, an dem kein DHCP sondern einfach nur "Internet" rausfällt. Dieses Interface ist auf 82.100.100.35/27 konfiguriert (Gateway via 82.100.100.33)

    So weit kein Hexenwerk: Die Clients erhalten ihre public IPs und können ins Netz - müssen allerdings durchs NAT und erscheinen nach draußen daher als 82.100.100.35.

    Nach ersten Recherchen habe ich jetzt (wie im Wiki dokumentiert) die "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" gewählt und alle angezeigten Rules gelöscht - allerdings bisher ohne weiteren Erfolg, die Clients wurden immernoch als 82.100.100.35 geführt.

    Meine erste Vermutung wäre jetzt gewesen, dass da noch ein 1:1 NAT drauf muss - was ich dann aber doch nicht so zum laufen bekommen habe.

    Daher wäre hier die erste Frage nach einem Hinweis, wie ich die IPs 1:1 durchgeleitet bekomme (aber gleichzeitig noch alles gefirewallt werden kann - sonst könnte ich ja einfach alles an nen Switch stecken und gut is).

    Außerdem wäre für mich noch von Interesse ob ich irgendwie die 82.100.100.35 eleminieren kann. So gesehen hat ja die Box jetzt zwei IPs im selben Netz: ein Mal .34 und ein Mal .35. Kann man das nicht auf eine IP reduzieren?

    Beste Grüße,
    Martin


  • Moderator

    Hallo Martin,

    also irgendwie erschließt sich mir der Use Case noch nicht wirklich, denn bei 1:1 NAT legst du die IP nicht innen auf, sondern außen. Deshalb könntest du vielleicht (mit Skizze?) etwas erläutern, was du erreichen willst. Was ich vermute:

    • WAN IF mit .35 und Default GW auf .33
    • DMZ IF mit irgendeiner Adresse
    • Clients auf DMZ, die echte IPs bekommen sollen (.36-.62 vermutlich?)
    • 3. Interface für …?

    Ich spreche da jetzt von DMZ, weil das was du beschreibst eigentlich eher DMZ als LAN Job ist.
    Wenn ich das richtig interpretiert habe, wäre meine Herangehensweise gewesen:

    • WAN IP auf .34 statt auf .35 setzen (weil GW+1 einfacher zu merken ist)
    • alle nötigen IPs bzw. das restliche Netz auf dem WAN als Alias-IP anlegen
    • Clients auf DMZ Interface bekommen interne Dummy-IP (10.x, 172.16.x oder 192.168.x was am wenigstens Terror macht), DMZ Interface bekommt .1
    • Clients bekommen feste Zuordnung (kann durch MAC Zuweisung geschehen)
    • 1:1 NAT konfigurieren auf WAN von externer IP .xy auf interne IP .yz

    Fertig. Ggf. noch ausgehende Verbindungen von .yz wieder auf .xy mappen.

    DHCP an der Stelle führt nur zu vielen Tränen.

    Grüße
    Jens