2 x DCHP auf WAN Interface
-
Hallo
Wer hat mir ein Tipp:
Mein ISP vergibt 2 öffentliche IP, jedoch nur per DHCP.
Auf beiden IP's soll Port 80 auf jeweils einen anderen intern Host weitergeleitet werden.
Die erste Externe funktioniert normal via Typ DHCP und enstprechenden NAT/Rule etc.
Mit der zweiten wird es schwieriger, da der ISP eine andere MAC-Adresse benötigt.Gibt's irgend eine Möglichkeit eine "virtuelle IP" auf dem WAN Interface mit einer virtuelle MAC und damit ein weiterer Lease per DHCP abzurufen?
Danke
Adi -
Virtuelle IP mit eigener MAC-Adresse geht (ProxyARP oder CARP erzeugen auch Layer2-Traffic), aber diese IP kann nicht per DHCP bezogen werden sondern muß statisch konfiguriert werden. Ein zweites Interface mit Switch am WAN und als OPT-Interface auf DHCP wird vermutlich nicht gehen, weil das einen Subnetkonflikt gibt (gehe mal davon aus, daß die IPs im gleichen Subnet liegen mit gleichem Gateway).
Wenn Du 2 pfSensen dafür nehmen würdest hättest Du für den Server, auf den Du forwardest ein Gateway Problem, geht also auch nicht gerade einfach.
Bastellösung: Dual WAN pfSense mit zusätzlichem vorgeschaltetem NAT-Router (kann auch wieder eine pfSense sein) an einem interface:
----nat-router----OPT1 / pfSense LAN ----- clients/server ISP-Link----- switch -------------------WANIch hoffe die Zeichnung ist halbwegs verständlich. Der NAT-Router sorgt nur dafür, daß kein Konflikt zwischen OPT1- und WAN-Subnet entsteht. Wenn Du dafür einen billigen Router nimmst, der eine DMZ oder expedited Host Option hat mußt Du an dem Ding nicht viel konfigurieren. Er ist dann quasi "pseudotransparent". Eine andere Lösung fällt mir hierzu geradenicht ein.
-
gute idee, danke
das mit dem nat-router ist ein interessanter ansatz, ich werde mal eine bridge reinhängen.
-
Darf ich fragen, was das für ein ISP ist?
Zwei separate DSL Leitungen meinst Du wohl nicht. -
@fairmax:
gute idee, danke
das mit dem nat-router ist ein interessanter ansatz, ich werde mal eine bridge reinhängen.
Eine Bridge wird Dir nicht viel bringen, da Du dann immer noch einen IP-Adressen-Konflikt an zwei Interfaces der pfSense hast. Ich nehme an, die beiden DHCP-bezogenen Adressen/Subnets/Gateways sind im gleichen Range bzw. identisch.
-
Es handelt sich um den ISP von muttenznet (IMP/Pratteln/Schweiz). Es ist ein und der selbe Kabelanschluss,
der mittels DHCP zwei IP-Adressen zuweist (Wird irgendwie über das Cabelmodem gesteuert)Jep, beide IP's sind im selben Subnetz und haben den gleichen Gateway.
Danke
Adi -
wär das was ?
[Modem/ISP] | | |----------------- WAN 89.x.x.x ---------------] | | | DHCP | DHCP | (89.x.x.Y) | (89.x.x.W) | | [pfsense1]----------- DMZ -----------[pfsense2] LAN | DMZ 172.16.0.x | DMZ | LAN CARP1 | CARP2 | CARP2 | CARP1 | | | | | | | [Server1] | | NAT 443 (89.x.x.Y) | | | | | |--------------- LAN 192.x.x.x -------------] | [Server2] NAT 443 (89.x.x.W) -
Wenn du CARP benutzen willst müsstest du statische IP's an deinen WAN's haben.
Da du in deiner letzten Zeichnung ja sowieso zwei pfSense's eingezeichnet hast, könnte dich aber vielleicht ein projekt von mir, welches erfolgreich war, interessieren.
http://forum.pfsense.org/index.php/topic,3297.msg20022.html#msg20022Im grunde genommen ist es dasselbe Setup das hoba vorgeschlagen hat, mit dem Unterschied das kein billiger NAT Router zwischen das zweite WAN geschalten wird, sondern eine zweite pfSense.
In deiner Zeichnung würde ich noch ändern: der Server in der DMZ sollte nicht eine public IP haben sondern eine IP aus der DMZ range.
Es werden dann einfach die entsprechenden ports von den public IP's an den beiden WAN's auf den Server geforwardet.Ich bin mir jetzt aber gerade nicht sicher ob es ein Problem geben könnte wenn eine Anfrage über pfSense1 kommt und der default Gateway auf pfSense2 gesetzt ist. (Ich denke aber es sollte durch das NAT kein problem geben).
-
Danke für die Hinweise.
Server 1 und Server 2 bekommen jeweils eine IP-Adresse aus dem entsprechenden
Subnet mittels NAT (der "äusseren" Adressen 89.x.x.Y resp 89.x.x.W) wird Port 443 weitergeleitet.Ich meinte, dass es auch ohne CARP geht, es muss lediglich entschieden werden, welche PFSENSE
für welche Zone den Default-Gateway ist:[Modem/ISP] | | |---+----------------- WAN 89.x.x.x --------------+---| | | | WAN DHCP | WAN DHCP | (89.x.x.Y) | (89.x.x.W) | | [pfsense1]---------- DMZ 172.16.0.x -+--------[pfsense2] LAN | DMZ | DMZ | LAN .253 | .253 | .254 | .254 | | | | |DMZ GW | | |.100 .254 | | | | | [Server1] | | NAT 443 (89.x.x.W) | | | | | |-----------------+- LAN 192.x.x.x ---------------+---| | |LAN GW |.200 .253 | [Server2] NAT 443 (89.x.x.Y) -
Das wird nicht gehen, weil Du jetzt 2 gateways im LAN und der DMZ hast, aber nur einen zuweisen kannst für die Clients. Ich halte meinen Lösungsansatz immer noch für den einzig machbaren/einfachsten ;) Grünsfröschli's Ansatz aus dem anderen Thread könnte auch funktionieren, aber ein dummer NAT/DMZ-Router und danach nur eine einzige pfSense auf der alles konfiguriert wird ist wesentlich fehlerunanfälliger und einfacher/überschaulicher.
