NAT Forwarding



  • Hallo, da ich bei nur diesem Punkt scheitere wollte ich hier Fragen, wo mein Problem liegt. Meine Konfiguration:

    KabelBW FB 6360 mit Port Forwarding: Exposed Host, da sobald ich Bridge nutze, kein Internet mehr verfügbar ist. Nun möchte ich gerne Ports forwarden was mit Anwendungen, direkt auf der Box bereits funktioniert, d.h. Ports wie von dem Webinterface. Sobald ich nun aber eine interne IP aus dem LAN forwarden möchte, sehe ich zwar durch tcpdump, dass die Verbindung zwar ankommt und auch weitergeleitet wird an meine IP die ich aufrufen möchte, aber am Ende trotzdem ein Fehler bekomme. (auch von externen Devices).

    Ich weiß nicht was ich falsch mache. Irgendwelche Ideen?

    Gruß,
    d3dx9.



  • Ich kann dir leider nicht ganz folgen, was du genau machen willst und was nicht funktioniert.



  • Also, ich habe eine KabelBW FritzBox 6360 auf welche Port Forwarding als Exposed Host für eine pfSense Maschine eingerichtet ist. Da die pfSense mein ganzes Netzwerk betreffen soll und ein anderes Subnet besitzt als wie die FB, möchte ich das weitere Port Forwarding von der Firewall übernehmen lassen.

    Dabei habe ich aber Probleme:
    Ich habe intern eine Synology sowie eine Windows und Debian VM, welche auch teilweise extern verfügbar sein soll. pfSense selbst, ist durch eine Port Forwarding in der Firewall selbst eingerichtet und erreichbar, ausserdem ist ein Port Forwarding auf Port 5000 eingerichtet, welches aber nicht erreichbar ist.

    Die FritzBox selbst hat das Subnet 192.168.178.0/24 - die pfSense hat ein anderes Gateway 10.0.0.0/24.

    Synology ist 10.0.0.6, pfSense 10.0.0.1, Windows 10.0.0.7, Linux 10.0.0.8, welche intern verfügbar sind, aber auch wenn ich Ports dort forwarde, nicht extern erreichbar sind.



  • Du brauchst 2 Dinge.

    1. Musst du in der Firewall (pfSense) die jeweiligen Ports öffnen (am WAN interface, also das Interface was direkt mit der FB verbunden ist)
    2. Du musst ein NAT einrichten.

    Zu 1. musst du eine Regel einrichten die etwa so aussieht:

    Destination: IP des Ziel eingeben, z.b. das NAS
    Port: Port des Ziel eingeben z.b. port des NAS

    zu 2

    Interface WAN
    Protokol wählen
    Des. Port wählen (zielport des z.b. NAS)
    NAT IP dort die IP des NAS eingeben
    NAT Port das selbe wie Des. Port.

    Das sollte dann passen



  • Kennen die Clients denn das ruchtige Gateway? Ist die FB als Gateway in der pf eingetragen?



  • Ja, Ja (aber das sollte schon passiert sein, weil du sonst von keinem Client ins Internet kommen würdest)

    Ich muss dennoch kurz Ausholen. Mein Setup ist deinem recht ähnlich, ich habe auch eine FB vorgeschaltet, allerdings arbeite ich nicht mit Exposed Host und schalte die Ports an der FB einzeln  frei die ich brauch. Ist Geschmackssache, und es verkompliziert einige Dinge ganz leicht, aber als ich pfSense das erste mal getestet hatte, habe ich der ganzen Sache nicht so vertraut, deshalb der extra step :)

    Anyway, deine Clients bekommen eine IP von pfSense verteilt, da ist eine GW IP mit angegeben, die der pfSense, mehr müssen die clients in dem Moment nicht wissen. Die pfSense hat am WAN Anschluss bei dir 192.168.178.0/24 anliegen und somit muss die pfSense das GW 192.168.178.1 (schätze ich mal) kennen. Denn auch als exposed host bekommst du keine Öffentliche IP, die FB macht immer noch NAT, ledeglich alle Ports werden von der FB direkt auf die pfSense weitergeleitet.

    Erklärt es dir das ?