[gelöst] NAT Regeln



  • Hallo,
    erstmal will ich mich kurz vorstellen: Mein Name ist Jürgen, bin 36 Jahre. Ich stufe meine Netzwerkerfahrung irgendwo zwischen Beginner und Erweitert ein. Ich handiere schon einige Zeit mit Netzwerken und habe mittlerweile drei Gebäude (zusammenhängende Wohnhäuser) mit LAN und Internet versorgt wie auch mit Telefonie (FTTH, VoIP, feste IP-Adresse).

    Der Aufbau sieht in etwa so aus:

    Glasfasermodem – FritzBox7270 -- Firewall -- managed Switch
                                          |                                  |      |      |
                                          |                                  |      |      |
                                  Switch 2 Gäste                NAS  PCs  Tel-Anlage

    Es ist so, das ich vor kurzem noch eine Firewall auf ipFire-Basis hatte, die ist mir jedoch "abgeraucht" und kann nicht mehr mit einer Festplatte booten. Liegt wohl an der Netzteilspannung oder so. Nun hab ich mir von pcengines die APU 1d4 bestellt mit ner mSata. Bis die bei mir ist, spiel ich noch etwas mit einer provisorischen Lösung rum. Und da komm ich irgendwie mit den Firewall-Regeln nicht ganz klar, ich hab auch nach intensiver Suche nicht das richtige für mich gefunden.

    Folgendes möchte ich bewerkstelligen:
    Ich besitze hier drei Wechselrichter von Kostal. Diese können von sonnenertrag.eu die Tagesstrommenge automatisiert übertragen. Dazu benötigt sonnenertrag.eu Zugriff auf die Wechselrichter, um die Daten automatisch abrufen zu können. Dies war bei ipfire recht einfach einzustellen (deutsches Interface war für mich leichter zu verstehen). Ich habe dazu eine Portfreigabe auf der FB gemacht und im ipfire ne Portfreigabe auf den Wechselrichterport. Fertig!

    Im pfsense hab ich schon einige Beispiele nachgebaut und musste sogar mal auf eine alte Konfig wieder zurücksetzen, da das Interface und Internet nicht mehr erreichbar war. Und ich komm nicht weiter. Ist das denn wirklich so schwer? Ich will doch nur ein paar bestimmte Ports (und nur die) von Aussen erreichbar machen.
    Ungefähr so: extern: 5.10.2.20:81 --> intern: 192.168.2.18:80

    Vielleicht kann mir jemand hier SCHRITT-FÜR-SCHRITT erklären, was ich wo einstellen müsste, damit dies funktioniert.

    Gruß
    jgoller



  • Das wird auf der PfSense mit NAT gemacht.

    Einfach das Interface auswählen auf dem die Anfrage reinkommt (Normal das WAN) dann den Port.
    Weiter unten  gibst du dann ein auf welche IP das weitergeleitet werden soll und auf welchen Port.
    Normal sitzt auch der Hacken das automatisch eine Firewallregel erstellt werden sollt.

    Allerdings musst du hier aufpassen wenn du hinter der Fritzbox hängst hast du da ein Privates Netzt das wird von der PfSense auf den WAN interface von Haus aus geblockt.
    Um das abzuschalten einfach beim WAN interface den Hacken bei "Block private networks" rausnehmen dann sollte es klappen Sofern in der Fritz box ebenfalls ein NAT (Heißt hier glaube ich Portweiterleitung) eingerichtet ist



  • Hallo!

    Interessant wäre, welche WAN IP deine Firewall hat. Nachdem sie hinter der FB sitzt, wird es wohl eine internet sein und eigentlich sollte alles was auf der FB ankommt an die Firewall weitergeleitet werden. Dann wäre es nicht nötig da und dort eine Portfreigabe zu machen.

    Auf der pfSense nennt sich das Portforwarding:
    Firewall > NAT > Port Forward

    Da eine Regel hinzufügen (Klick auf +)
    Interface: WAN
    Protocol: hast du nicht angegeben, TCP sollte passen, im Zweifelsfall: any
    Destination: WAN address
    Destination port: other, ins rote Feld: 81
    Redirect target IP: 192.168.2.18
    Redirect target port: other, ins rote Feld: 80
    Filter rule association: Add associated filter rule

    pfSense ist nicht wirklich kompliziert, aber an das Setup muss man sich eben erst gewöhnen, ebenso wie an die englischsprachige Oberfläche, speziell wenn man ein simple deutsche Oberfläche gewöhnt ist.
    pfSense bietet aber wesentlich mehr Möglichkeiten. Ob du diese brauchst, musst du für dich entscheiden.



  • Guten Abend,

    wow, perfekt. Vielen Dank. Ich weiss nicht mehr, was ich vorher anders gemacht hab, dafür hab ich zu viel rumprobiert. Aber wahrscheinlich hab ich source und Destination öfter mal durcheinander gebracht oder die Ports entsprechend vertrauscht. Auf der FP hab ich exposed host als Portfreigabe auf die pfsense gemacht. Ich hoffe, das dadurch nicht alles, was vor der Firewall hängt, offen im Netz ist. Hier hängen ein paar Wohnungen dran, die in meinem LAN nix zu suchen haben und auch darauf bestanden haben, das ich nichts mit einem Proxy mitloggen kann.

    Bezüglich der Frage nach den IPs: Die FB hat die 192.168.1.1, pfsense WAN (rot) die 192.168.1.2, pfsense LAN (grün) 192.168.2.6 .

    Jetzt kann ich erstmal weiter experimentieren, da das jetzt funktioniert. Vielen Dank noch mal!!

    Gruß
    jgoller



  • Ich denke mal, diese anderen Wohnungen, die du nicht im LAN haben möchtest, sind in der Grafik oben die Gäste.

    Wie auch immer, mit dem "exposed host" hast du die pfSense wohl ins Internet gehängt, also alles was von draußen in Richtung FB kommt, wird an die pfSense weitergeleitet. Ist eigentlich schlimmer, als nur die Nachbarn, aber dafür ist eine Firewall ja gemacht, doch musst du genau die WAN-Regeln prüfen.
    Die Gäste hängen wohl ohnehin dran. Ich kenne zwar die FB nicht, schätze aber, dass sie wie andere DSL Router auch lediglich einen 4-fach Switch hat, d.h. alles was intern angeschlossen, ist einfach nur verbunden.

    Absichern musst du dein LAN über die Regeln. Ist bei IPFire nichts anderes.
    Die Regeln richtest du dir über die GUI auf Firewall > WAN ein, bzw. wie unten beschrieben über eine NAT-Regel. Wenn da außer die eben eingerichtete für sonnenertrag.eu nichts stehen hast, ist sonst alles dicht.

    Ich nehme an, auf den Wechselrichtern kann man eh nichts anstellen oder ist da vielleicht noch eine zusätzliche Authentifizierung erforderlich, um darauf zuzugreifen. Ansonsten wäre es sinnvoll, die Regel auch auf eine Quell-IP einzuschränken, falls dir diese bekannt ist.

    Grüße



  • Ok, demnach hängt nur die pfsense offen im Netz, aber dies ist ja eigentlich der Sinn einer Firewall, da die ja die Zugriffe von aussen blockt. Die FB hat ja auch eine "Firewall", sonst würde man ja keine Portfreigaben machen müssen. Wenn ich per heise.de Security einen Netzwerkcheck (Standardports+Routertest) mache, ist alles dicht. Regeln gibt es auf der pfsense nur für die Wechselrichter, und die haben tatsächlich eine eigene Authentifizierung. Somit denke ich ist erstmal alles gut.
    Es ist ja auch so, das mein Provider wohl ein eigenes 'internes' Netz betreibt, da ich eine feste IP bekommen musste, um von aussen erreichbar zu sein. Der macht wohl auch nur eine Freigabe auf seiner Security Appliance.
    Wie testet ihr eigentlich die Sicherheit eurer Firewall von aussen??

    Gruss
    jgoller


Log in to reply