Mehrere statische öffentliche IP Adressen + WAN DHCP + 1:1 NAT + Outbound NAT



  • Hallo zusammen!

    Vorweg, ich bin begeistert, was man hier im Forum an Infos bekommt und welche Hilfestellungen gegeben werden. Ich möchte mich herzlich dafür bedanken, dass mir der Einstieg in pfSense durch das so versüßt wurde. DANKE!

    Nun zu meinem Anliegen.

    Ich bin seit einiger Zeit Businesskunde von UPC, habe einen Kabelanschluss von ihnen mit einem /29 Subnet.

    So sieht der momentane Aufbau mit pfSense (aktuelle Version 2.2.1) bei mir aus: -> siehe pfsense_diagramm.png im Anhang.
    Bei der Modellnummer des Modems ist mir leider ein Fehler unterlaufen. Es handelt sich um das Cisco EPC3925 und nicht das Cisco EPC3212 wie in meinem Diagramm.

    Meine IP Adressen (Beispiele):
    WAN
    Öffentliche IP die vom DHCP zugewiesen wird (public ip, assigned via DHCP): 89.49.240.78
    Gateway der statischen IPs (gateway for static ips): 212.40.80.185
    Subnetmask: 255.255.255.248
    Verwendbare IPs (useable static ips): 212.40.80.186 - 212.40.80.190

    LAN
    LAN Gateway: 192.168.10.1
    LAN Client IPs (DHCP): 192.168.10.100 - 192.168.10.250

    Der Installationswizard der pfSense lief problemlos durch. Sobald ich ein Gerät an den LAN Anschluss angestöpselt hab, hat dieses eine richtige IP Adresse vom LAN DHCP zugewiesen bekommen und konnte mit der öffentlichen DHCP Adresse (89.49.240.78) ins Internet.

    Soweit sogut…

    Ich habe bei mir die verwendbaren statischen IPs einzeln als Virtual IPs mit Typ IP Alias auf dem WAN Interface angelegt.
    Jede IP ist mit /32 in den Virtual IPs hinterlegt.

    Nun folgte die Umstellung auf Manual Outbound NAT.

    Anschließend habe ich unter Firewall das 1:1 NAT zum NAS eingerichtet.
    Die External Subnet IP habe ich auf 212.40.80.190/32 gesetzt.
    Die Internal IP steht auf 192.168.10.250 (wie im Screenshot).
    Save, Apply und Done.

    Danach habe ich die Firewall Regel erstellt, damit der Traffic auch über die richtige IP rausgeht.

    1. 192.168.10.250 soll über 212.40.80.190 geschleust werden.

    2. 192.168.10.100-192.168.10.249 soll über 212.40.80.186 raus.

    3. Source: 192.168.10.250
      Protocol/Port: any
      Destination: 212.40.80.198
      Protocol/Port: any

    4. Source: 192.168.10.100 - 192.168.10.249
      Protocol/Port: any
      Destination: 212.40.80.186
      Protocol/Port: any

    Somit sollte nun doch das 1:1 NAT + Outbound NAT passen und ich sollte von WAN -> LAN und LAN -> WAN verbinden und die richtigen IPs zugewiesen bekommen??

    Leider komme ich weder von außen auf das NAS noch von den Geräten im LAN raus ins Internet.

    Weiß jemand von euch, wo ich bei dem ganzen den Wurm drin hab?

    Freue mich über jede Antwort.

    Vielen Dank für deine/eure Hilfe und einen schönen Abend!

    LG
    Tom

    PS: Das aktuelle pfSense Buch bekommt man nur über den Gold Status, oder? Wenn ja, dann hol ich mir das heute Abend noch :)



  • Hallo!

    Willkommen im Forum!

    Ist das tatsächlich so, du bekommst eine dynamische IP von UPC und hast zusätzlich ein /29er Subnetz? Hab ich noch nie gehört, habe aber auch noch keinen Kabelanschluss eingerichtet.

    Wenn so, dann bekommst du wohl mit der IP auch ein Gateway zugewiesen, das pfSense dann von Haus aus als Standard-Gateway nimmt und alles, was nicht bekannt oder anders angegeben ist darüberschleust.
    Also wenn du WAN auf DHCP konfiguriert hast, musst du das Gateway manuell einrichten und als default setzen.

    Die virtuellen IPs sollten mit ihrer tatsächlichen Subnetzmaske angelegt werden, also /29 anstatt /32, um pfSense nicht zu verwirren.
    In den Docs steht, zumindest eine je Subnetz sollte mit der wirklichen Subnetzmaske gesetzt sein. Es spricht aber nichts dagegen, es bei allen richtig zu setzen.

    Beim 1:1 NAT bleibt aber /32 eingestellt!

    So, und nun steige ich aber aus…

    @costa:

    Danach habe ich die Firewall Regel erstellt, damit der Traffic auch über die richtige IP rausgeht.

    1. 192.168.10.250 soll über 212.40.80.190 geschleust werden.
    2. 192.168.10.100-192.168.10.249 soll über 212.40.80.186 raus.

    Firewall Regel damit der Traffic auch über die richtige IP rausgeht?

    Mit Firewall Regeln erlaubt oder unterbindet man Traffic, aber man kann keine IP zum "Rausgehen" auswählen. Eventuell kann man damit noch auf ein bestimmtes Gateway routen, die IP ändert das aber auch nicht.

    Meinst du etwa eine Outbound NAT Regel?

    Und darin sehe ich auch keinen Sinn:
    @costa:

    1. Source: 192.168.10.250
      Protocol/Port: any
      Destination: 212.40.80.198
      Protocol/Port: any

    2. Source: 192.168.10.100 - 192.168.10.249
      Protocol/Port: any
      Destination: 212.40.80.186
      Protocol/Port: any

    Wo hast du das gesetzt? Und wie erklärt man pfSense, dass man 192.168.10.100 - 192.168.10.249 haben möchte? Dazu braucht es doch Subnetze.

    Kannst du vielleicht von diesen Regeln Screenshots machen, damit das klarer wird.

    Grüße



  • moin,

    versuch mal beim Router der UPC admin admin oder admin password oder administrator password ect… normal ist das auf default, wenn nicht dann ruf bei der Hotline an, und sag du hast ein Problem bei der Portweiterleitung, und du musst ein paar Ports zumachen was auch immer, und brauchst das PWD - wenn du nett bist bekommst du es :)

    die letzten 6 zeichen/ziffern der MAC adresse sind auch ein warmer tipp :)

    und sag du willst ne statische IP4 adresse, und das möge bitte vermerkt werden, dann erzählt er/sie dir dass ihnen die ip4 adressen langsam ausgehen und man auf ip6 portiert wird, dann sag sie mögen dir bitte ne fixe geben und vermerken dass du nicht auf ip6 portiert wirst, mach das aber bald, sonst gehts dir so wie mir, wachst morgens auf, und musst feststellen dass nichts mehr geht ;)

    hab ne private 250Mbit leitung mit ner statischen IP also die UPC ändert die IP adressen nur im Problemfall, also bei mir ist sie bis zum Tag der IP6 portierung 2 Jahre lang gleich gewesen, ich bat dann um rückportierung da meine Hardware keine ip6 kann, zack 10 min später inkl eintrag man möge portierungen unterlassen war alles beim alten, ;)

    mit freundlichkeit geht da viel bei der Hotline ;)


Log in to reply