Gelöst: Blutiger Anfänger braucht Hilfe bei einer simplen NAT Regel



  • Hallo zusammen,

    ich brauch bitte mal Eure Hilfe,

    Aufbau

    –----------------------------

    Client Netz 192.168.100.0/22
    re1:192.168.100.242/22

    pfSense
    re0:192.168.0.21/24

    Kamera Netz 192.168.0.0/24

    Die Clients haben die Route: 192.168.0.0/24 auf 192.168.100.242

    Momentan wird das ganz noch über ein simples NAT(WindowsXP) Routing umsetzt.

    Jetzt wollte ich das mit pfSense lösen... und bin kläglich gescheitert:

    • Firewall Regeln sind auf: any
    • eine NAT 1:1 Regel
      Interface: re0
      External subnet IP: 192.168.0.21
      Internal IP: re0 net
      Destination: any

    Was mache ich falsch ?


  • Rebel Alliance Moderator

    Hi,

    die Frage was du falsch machst ergibt sich vielleicht wenn du erklärst, was du eigentlich erreichen willst, denn NAT bräuchstest du an dieser Stelle überhaupt nicht. Das ist einfaches Routing von 192.168.100.0/22 <-> 192.168.0.0/24
    Deshalb die Frage zurück, was du aufbauen möchtest.



  • Eigentlich ist die Sache ganz einfach…

    es gibt eine Software die muss auf das Netz 192.168.0.0/24 zugreifen dort sind 2 Server die muss Sie erreichen können (Datenbank usw.) - Die Clients sind in 192.168.100.0/22

    ich dachte NAT wäre der richtige/bessere Weg ?


  • Rebel Alliance Moderator

    Warum besser/richtiger? Bei NAT werden Adressen ersetzt. Das kann nützlich sein, keine Frage, aber in deinem Fall ist es schlicht unsinnig. Beide Netze sind eh privat. Warum also ein hin- und hergenatte wo keines sein muss? NAT komplett abschalten, Regeln erstellen und die Routen entsprechend pushen (damit die Geräte auch wissen, wo die Antwortpakete hin sollen) und Ruhe gibts :)



  • Hi,

    ich denke auch das es nur noch am "Rückweg" aus dem 192.168.0.0/24 Netz liegt, dieses weiß nicht wohin mit den Paketen aus 192.168.100.0/22, sprich das diese Pakete 192.168.100.21 als Gateway nutzen sollen aber versuchen sie über den Default zu bringen.



  • Setz mal auf beiden Interfaces (re1 und re0) die Default allow LAN to any rule  die du im LAN Interface standardmäßig findes.

    Ich meine das würde helfen.


  • Rebel Alliance Moderator

    Na Regeln muss man natürlich erstellen, sonst geht gar nichts durch. Davon gehe ich aus. Sorry, aber das steht auch überall, dass pfSense default deny als Standard-Policy betreibt. Zusätzlich aber sollte noch die NAT auf advanced und dann alle Einträge gelöscht werden, dann hat man wirklich reines Routing und kein verkapptes NAT mehr.



  • Hallo zusammen,

    nachdem ich mich an Wochenende mal intensiv mit meinem "Problem" beschäftigt habe - ist es eigentlich klar wieso der Weg gennerell falsch war…

    Ich schreib das eigenltich jetzt nur noch falls jemand, wie ich, auch mal verrennt

    1. Über das GUI eine Route zu erstellen ist nicht möglich, da Linux diese bereits bereits erstellt hat - wird aber nicht angezeigt (Übersicht)
    2. Über NAT eine 1:1 oder Port Regel zu erstellen funktionierte dahalb nicht weil kein Antwortweg auf den Servern geroutet war (war in diesem Fall nicht möglich)

    Lösung ist eine Simple Ausgehende Regel (Outbound)

    Interface:        re0
    Source:            re1 NET
    Source Ports:  Alle
    Destination:    re0 NET
    Desti. Ports:    Alle
    NAT Address:  re0 Address
    NAT Ports:      Alle

    UND! Manuelle Regel Erstellung aktivieren

    Ansonnsten nochmal Danke, an all die Denkanstöße

    Gruß Matthias

    PS: Die Firewall auf allow to any zu setzen war das erste was ich gemacht hatte (hatte ich aber auch geschrieben ...)


  • Rebel Alliance Moderator

    Hallo Matthias,

    schön dass dus so gelöst hast, es erschließt sich für mich aber immer noch nicht, warum du das überhaupt brauchst, denn - wie du schon sagst - eine Route gibts bereits, da die pfSense beide Netze kennt. Was hier mehrfach gemeint war, ist die route auf den Servern/Clients einzutragen bzw. deren Default Gateways, damit die Pakete auch richtig abbiegen können. Ansonsten werden sie nie da ankommen wo sie hinsollen. Dann klappt das ganze auch ohne NAT ohne Probleme.

    Beispiel: Dein Client aus dem C(lient) Netz muss zur Kamera im K(amera) Netz. C1 hat aber einen Default Router .1 und nicht die pfSense. Macht man es jetzt schön, trägt man am Default Router das K Netz mit Destination pfSense (.100.242) ein. Damit brauchen die Clients jetzt keine route mehr extra, denn der Default Router schickts automatisch weiter. Damit dann auch der Rückweg klappt, muss die Kamera1 (K1) die man erreichen will auch ein Default GW haben. Im besten Fall ist das die pfSense selbst, dann sollte alles schon klappen, ansonsten ist das ein anderer Router, dann muss auch hier die Rückroute nach 192.168.100.0/22 via pfSense (.0.21) eingetragen werden. Oder man trägt statt auf den Default GWs die Netze jeweils auf den Kameras und Clients manuell ein - ist aber umständlich und fehleranfällig.

    Gruß



  • Ja aber ein Server darv lt. Hersteller kein fuktionierendes Gate haben (erschließt sich mich auch nicht) … Gate ist eingetragen funktioniert aber nicht ... hat einbischen genauert bis ich auf das gekommen bin ...


  • Rebel Alliance Moderator

    Welcher Hersteller schreibt denn sowas? Das ist simples Netzwerk 1x1. Ein Gerät (ganz egal ob man das Dingens Server o.ä. nennt) mit einer Netzwerkschnittstelle kann/sollte immer ein Gateway haben, ansonsten wird es schon verflixt schwer, wenn das Gerät mal außerhalb des lokal verbundenen Netzes erreichbar sein soll. Klar, wenn du somit kein Gateway hast, brauchst du natürlich NAT damit es so aussieht, als stündest du selbst in diesem Netz. Aber trotzdem zweifle ich die Aussage des Herstellers an (nicht deine!), dass man kein Gateway haben darf. Sowas hört sich für mich eher nach verfrickeltem Netzwerkstack oder Software an, als nach tatsächlicher Vorgabe (aka: Ausrede) ;)



  • Davon gehe ich aus … daher !Hands off! -  ::)

    PS: Daher hatte ich das vermutlich damals auch über ne NAT gelöst ... nur dummerweise vergessen -wieso ...  ;)


Log in to reply