Outbound NAT Probleme mit aktivem CARP



  • Hallo zusammen

    Ich habe erst gerade auf Hochverfügbarkeit umgestellt. Bis dahin funktionierte alles korrekt. Seit der Umstellung habe ich Probleme mit dem Outbound NAT.

    Zuerst mal meine Konstellation.

    Modem:
    WAN: 192.168.10.1

    Modem NAT:
    1. öffentliche IP Adresse -> 192.168.10.2
    2. öffentliche IP Adresse -> 192.168.10.202
    3. öffentliche IP Adresse -> 192.168.10.203
    4. öffentliche IP Adresse -> 192.168.10.204
    5. öffentliche IP Adresse -> 192.168.10.205
    6. öffentliche IP Adresse -> 192.168.10.206

    Firewall:
    pf1:
    WAN: 192.168.10.250
    DMZ: 192.168.5.250
    LAN: 192.168.1.250

    pf2:
    WAN: 192.168.10.251
    DMZ: 192.168.5.251
    LAN: 192.168.1.251

    Virtuelle IPs:
    WAN: 192.168.10.2 (Haupt Adresse)
    WAN2: 192.168.10.202
    WAN3: 192.168.10.203
    WAN4: 192.168.10.204
    WAN5: 192.168.10.205
    WAN6: 192.168.10.206
    DMZ: 192.168.5.1
    LAN: 192.168.1.1

    Sync Interface ist hier nicht aufgeführt, dies funktioniert einwandfrei ;-)

    Outbound NAT (Manual Outbound NAT rule generation)
    WAN (Interface) -> Mailserver IP (Source) -> WAN2 (NAT Adress) -> Ports alle
    WAN (Interface) -> Nameserver IP (Source) -> WAN3 (NAT Adress) -> Ports alle
    usw.

    Das Problem hier, der Mailserver sendet trotzdem über die WAN öffentliche IP Adresse anstatt über die WAN2 öffentliche IP Adresse.
    Die gleiche Konstellation hat vorher erfolgreich funktioniert, bevor ich die Umstellung auf Hochverfügbar durchgeführt habe. Dazumals waren die jetzigen CARP VIPs einfach normale VIPs.

    Hat hier jemand einen Tipp?
    Ich blicke echt nicht mehr durch, aus meiner Sicht müsste es passen.

    Danke und Gruss


  • LAYER 8 Moderator

    Ahoi,

    sind das beim Modem reele Adressen oder hast du da nur die echten Public IPs verschleiert? Und wie ist das Modem hier gemeint? Eher als vorgeschalteter Router mit dahinterliegendem privaten Transfernetz?

    Gruß Jens



  • Salut

    Danke für deine Antwort.

    Also mit dem Modem ist schon ein Router gemeint, schlechte Wortwahl. Dieser stellt die Verbindung zum Internet her. Für meinen Anschluss habe ich 7 öffentliche IP Adressen. Diese werden vom Router per NAT an die jeweiligen IP Adressen der Firewall (siehe oben) durchgeschleift. Die Firewall des Router ist abgeschaltet, diese Funktion übernimmt pfsense.
    Der Router ist daher lediglich dazu da, die Verbindung ins Internet aufzubauen und die öffentlichen IP Adressen an die jeweiligen (virtuellen) WAN IP Adressen weiterzuleiten.

    Wie erwähnt, das ganze hat vorher einwandfrei funktioniert, erst seitdem ich nicht mehr normale virtuelle IP Adressen nutze sondern CARP VIPs, funktionert es nicht mehr.

    Gruss


  • LAYER 8 Moderator

    OK das kann vielerlei Problem sein. Wenn er vorher ging, sollte man grob vermuten, dass das durchschleifen durch den Router klappen sollte. Ich vermute mal die sind à la 1:1 NAT durchgereicht?

    Dann wäre als nächstes zu klären, wie die CARP VIPs konfiguriert sind. Und ob du bspw. einen Client in das WAN Segment packen kannst um die mal zu testen, ob die CARP VIPs sauber Antwort geben. Sind die sauber Master/Backup aktiv? Nirgends Split-Brain? Sind die CARP VIPs mit korrekter Subnetz-Maske angelegt? Das wären mal die ersten Anhaltspunkte zu sammeln.

    Grüße



  • Danke für deine Antwort.

    ICh würde sagen, beim Router sollte alles korrekt sein, da ich da nichts verändert habe. Nein, es werden nur einzelne Ports durchgereicht. Von aussen her wird alles korrekt durchgereicht, was zugänglich sein soll. Dies funktioniert einwandfrei, nur gegen aussen wird nicht die korrekte IP Adresse verwendet.

    Die CARP VIPs funktionieren aus meiner Sicht korrekt, da ja alles von aussen her korrekt über die VIPs durchgereicht wird. Subnetzmaske (/24 wie sonst auch bei den restlichen im gleichen Adressbreich) sollte aus meiner Sicht ebenfalls korrekt sein.

    Master und Backup sind beide sauber aktiv, ich habe auch schon CARP temp. deaktiviert mit dem gleichen Ergebnis. Darum bin ich auch ratlos :-(

    Split-Brain würde ich jetzt behaupten, dass es nicht das Problem ist.

    Aus meiner Sicht könnte es höchstens an den CARP VIPs liegen, da es vorher mit der gleichen Konfiguration funktioniert hat (ein ähnliches Phänomen habe ich ja mit OpenVPN (siehe anderer Post), nur dass da der Port von aussen zu ist). Nun ist der einzige Unterschied, dass die WAN IP nicht mehr "real" vorhanden ist, sondern als CARP VIP sowie die VIPs nun nicht mehr Aliases sind, sondern CARP.

    Gruss


  • LAYER 8 Moderator

    An den CARP VIPs liegt es im Normalfall nicht. Die verhalten sich auch nicht anders wie jede andere IP auf dem Interface. Du solltest aber mal die abgehenden Outbound NAT Rules checken, wie die eingestellt sind. Von wo nach wo welche IP genutzt wird beim Umschreiben aufs WAN. Ggf. kannst dus auch posten :)

    Grüße



  • Hi,

    @d4sId:

    Die gleiche Konstellation hat vorher erfolgreich funktioniert, bevor ich die Umstellung auf Hochverfügbar durchgeführt habe. Dazumals waren die jetzigen CARP VIPs einfach normale VIPs.

    Das hätte auch so bleiben können. Wenn sie sich im selben Subnetz wie die Hauptadresse befinden, reicht es, wenn diese eine CARP-VIP ist, die restlichen können IP Aliases sein. Die Subnetzmasken müssen richtig gesetzt sein.
    Aber egal, das hätte dein Problem auch nicht gelöst.

    Hattest du das Outbound NAT im Zuge der CARP-Umstellung geändert, oder war es bereits zuvor auf "manuell" und diese Regeln so gesetzt?

    @JeGr:

    An den CARP VIPs liegt es im Normalfall nicht. Die verhalten sich auch nicht anders wie jede andere IP auf dem Interface.

    Genau. Alles was sich durch die Umstellung auf CARP ändert, ist die MAC-Adresse nach außen. Aber "außen" sollte das Problem ja nicht liegen.
    Vielleicht einmal mit Packet Capture an der WAN Schnittstelle die Pakete untersuchen, um zu sehen, was da wirklich abgeht.

    Es hat hier aber schon öfter Klagen über das Outbound NAT gegeben und manchmal hat die pfSense auch einen Neustart gebraucht, um die Regeln korrekt anzuwenden.

    Grüße



  • Danke für eure Antworten.

    Ein Neustart hat bei mir leider nichts gebracht, hatte ich auch schon versucht.

    Die Einstellungen sind die selben:

    Neu:
    gemäss Bild

    Alt:

    <source>
    <network>192.168.5.20/32</network>

    <sourceport><target>192.168.10.202</target>
    <targetip><targetip_subnet>0</targetip_subnet>
    <interface>wan</interface>
    <poolopts><destination><any></any></destination>

    Ich werde mal schauen was sich bez. Capture ergibt.

    Gruss


    </poolopts></targetip></sourceport>



  • ich vermute, du hast bei der einrichtung der vIPs irgendwas falsch gemacht.

    Wenn du zwei Sensen hast, und die vIP deines WAN ist jetzt die x.x.x.202 … welche IP hast du den Sensen für ihre physikalische Anschlüsse gegeben?

    Bei mir sieht das so aus:

    Sense 1: WAN-IP 10.10.11.252 -> Interface "WAN"
    Sense 2: WAN-IP 10.10.11.253 -> Interface "WAN"
    vIP: Interface "WAN" Adresse: 10.10.11.252 (eingerichtet auf beiden Sensen)

    Dann bekommt die vIP auf Sense 1 "Skew 0" und die auf Sense 2 "Skew 100". (automatisch)



  • Die sind gemäss erstem Post:

    pf1 -> WAN 192.168.10.250
    pf2 -> WAN 192.168.10.251

    CARP VIP -> WAN 192.168.10.2

    Gemäss den vielen Tutorials sollte dies korrekt eingerichtet sein.

    Ich zweifle viel mehr an der gesamten Konstellation. Ich vermute viel mehr die öffentlichen IP's sollten als CARP VIPs erfasst sein, die IP's dann per 1:1 NAT an den jeweiligen Server weiterleiten. Ich weiss nur noch nicht wie ich das mit dem vorgeschalteten Router handeln soll, ebenfalls jede IP per 1:1 NAT weiterleiten? Oder wie kriege ich den Router dazu, dass pfsense die öffentlichen IP Adressen direkt benutzen kann?

    PS: der vorgeschaltene Router ist ein Zyxel P-870HN-51b

    Gruss


  • LAYER 8 Moderator

    Oder wie kriege ich den Router dazu, dass pfsense die öffentlichen IP Adressen direkt benutzen kann?

    Gar nicht. Da es ein Router ist, wirst du die Adressen nicht einfach durchreichen können. Ausnahme: Du bekommst deine Public IPs als Block/Netz auf eine einzelne Adresse/Transfernetz geroutet, dann könntest du die wiederum weiterrouten an die pfSense (auch über ein private IP Transfernetz). Wenn das nicht der Fall ist, ist dein skizzierter Fall eigentlich durchaus korrekt.

    Andere Frage: wie hast du die öffentlichen IPs denn jetzt intern weiterverwurstet? Du schreibst ja, einkommend geht der Zugriff über die public IPs, nur abgehend wird die falsche IP verwendet. Wie funktioniert der Traffic ankommend? Port Forwarding eingerichtet?

    Grüße



  • Ich mach mal wieder ein Beispiel:

    öffentliche IP 1.2.3.4 -> die hat der Router (z.B. Fritzbox) zugeteilt bekommen

    WAN-Netz IP 192.168.1.1 -> Das ist die Adresse des Routers (z.B. Fritzbox) an der LAN-Seite

    pfSense 1 IP 192.168.1.101 -> IP der pfSense Nr1 an der WAN-Schnittstelle
    pfSense 2 IP 192.168.1.102 -> IP der pfSense Nr2 an der WAN-Schnittstelle
    pfSense  vIP 192.168.1.100 -> vIP des CARP-Clusters auf der WAN-Schnittstelle

    Im Router muss für die öffentliche IP eine DMZ aktiviert werden: Diese DMZ weist auf die vIP des WAN der pfSense, also 1.2.3.4 -> DMZ -> 192.169.1.100

    gruß

    PS: Wenn man natürlich mehrere IPs zugewiesen bekommen hat muss der Router vor der psSense in der Lage sein die einzeln weiterzugeben sonst artet das in große NAT-Tabellen da aus!


  • LAYER 8 Moderator

    Im Router muss für die öffentliche IP eine DMZ aktiviert werden: Diese DMZ weist auf die vIP des WAN der pfSense, also 1.2.3.4 -> DMZ -> 192.169.1.100

    Funktioniert im o.g. Fall nicht. Die DMZ kann in den vorgeschalteten (meist günstigen) Routern oft nur generisch gesetzt werden. Dass hier per IP mehrfach vollständig alles weitergeleitet wird, gibt es eher selten. Davon abgesehen lese ich das so heraus, dass es bereits schon so eingerichtet ist, denn eingehend scheint ja bspw. Mailserver o.ä. zu funktionieren. -> Siehe OP (erster Post).



  • Erstmal danke für eure Antworten.

    Andere Frage: wie hast du die öffentlichen IPs denn jetzt intern weiterverwurstet? Du schreibst ja, einkommend geht der Zugriff über die public IPs, nur abgehend wird die falsche IP verwendet. Wie funktioniert der Traffic ankommend? Port Forwarding eingerichtet?

    Ja, die IPs werden per NAT durchgeschleift. generell eigentlich nur einzelne Ports, beim Mailserver habe ich zu Testzwecken jetzt mal 1:1 NAT eingerichtet.
    Vom Router wird die spezifische öffentliche IP (xxx.xxx.xxx.202) an die CARP VIP (192.168.10.202) weitergereicht, pfsense weist sie dann weiter an den Mail Server.

    Ich habe das Gefühl, der Router weiss nicht wie er die IP 192.168.10.202 korrekt verwenden soll, wenn der Mail Server etwas versendet. Ich habe auch schon testweise NAT auf dem Router umgedreht, so dass 192.168.10.202 wieder auf xxx.xxx.xxx.202 gedreht wird, das scheint mit dem Billig Router aber nicht zu funktionieren. Oder übersehe ich etwas? Der Router müsste doch das ganze wieder umdrehen?

    Gar nicht. Da es ein Router ist, wirst du die Adressen nicht einfach durchreichen können. Ausnahme: Du bekommst deine Public IPs als Block/Netz auf eine einzelne Adresse/Transfernetz geroutet, dann könntest du die wiederum weiterrouten an die pfSense (auch über ein private IP Transfernetz). Wenn das nicht der Fall ist, ist dein skizzierter Fall eigentlich durchaus korrekt.

    Meine Public IPs ist von einem Block von 8 Adressen, wenn ichs richtig im Kopf habe xxx.xxx.xxx.201/29. Dann müsste ich aber das ganze Netz weiterrouten und alle öffentlichen IP Adressen bei pfsense erfassen? Sprich auch die CARP vIP der WAN Schnittstelle?

    PS: Wenn man natürlich mehrere IPs zugewiesen bekommen hat muss der Router vor der psSense in der Lage sein die einzeln weiterzugeben sonst artet das in große NAT-Tabellen da aus!

    Der Router gibt die IP Adressen alle per NAT an pfsense weiter -> 1. Post. Eingehend funktioniert dies korrekt, ausgehend nur nicht mit der gewünschten IP Adresse.


  • LAYER 8 Moderator

    Ja, die IPs werden per NAT durchgeschleift. generell eigentlich nur einzelne Ports, beim Mailserver habe ich zu Testzwecken jetzt mal 1:1 NAT eingerichtet.

    Moment. Wenn der Mailserver via 1:1 NAT eingerichtet ist, müsste dieser eigentlich implizit jetzt abgehend die richtige IP verwenden. Ansonsten wäre es kein 1:1 NAT. Ist das so?

    Meine Public IPs ist von einem Block von 8 Adressen, wenn ichs richtig im Kopf habe xxx.xxx.xxx.201/29. Dann müsste ich aber das ganze Netz weiterrouten und alle öffentlichen IP Adressen bei pfsense erfassen? Sprich auch die CARP vIP der WAN Schnittstelle?

    So du das /29er Netz auf den Router sauber "geroutet" bekommst, wäre das eine Möglichkeit, ja. Dann müsste dort eine Route eingerichtet werden mit xxx/29 nach -> pfSense CARP VIP. Dann müsstest du nicht einmal mehr die public IPs als Aliase auf dem Interface erfassen (unnötig, denn sie kommen ja durchs Routing auf der Maschine an), sondern könntest direkt per 1:1 NAT oder Port Forwarding  zu deinen Maschinen weiterreichen. Mache ich mit einem großen /22er z.B. auch so. Bekomme das auf ein /29er Transfer Netz auf die CARP VIP geroutet und kann dadurch ohne jede IP des /22ers auflegen zu müssen direkt in der pfSense einfach die IPs verwursten. Ausnahme ist nur, wenn die PF selbst was mit einer IP anstellen soll, dann brauche ich die natürlich irgendwie auf einem Interface. Aber für den meisten Kram brauchst du es nicht und NAT bspw. gehört dazu.

    Grüße



  • @JeGr:

    Moment. Wenn der Mailserver via 1:1 NAT eingerichtet ist, müsste dieser eigentlich implizit jetzt abgehend die richtige IP verwenden. Ansonsten wäre es kein 1:1 NAT. Ist das so?

    Achtung, das 1:1 NAT ist nun nur testweise auf pfsense eingerichtet, auf dem Router nicht. Mailserver sendet aber dennoch mit der falschen öffentlichen IP Adresse raus. Ich habe auch versucht, das 1:1 NAT auf dem Router einzurichten, dies funktioniert leider bisher nicht, der Mail Server ist dann nicht mehr von aussen erreichbar.
    Soweit ich das verstehe, nützt das 1:1 NAT hier nichts, wenn der Router dann mit dem eingehenden Traffic nicht korrekt umgehen kann. Ich vermute daher, dass die Problematik mehr beim Router noch besteht, dass er die internen IP Adressen noch korrekt übersetzt in die jeweilige öffentliche IP.

    So du das /29er Netz auf den Router sauber "geroutet" bekommst, wäre das eine Möglichkeit, ja. Dann müsste dort eine Route eingerichtet werden mit xxx/29 nach -> pfSense CARP VIP. Dann müsstest du nicht einmal mehr die public IPs als Aliase auf dem Interface erfassen (unnötig, denn sie kommen ja durchs Routing auf der Maschine an), sondern könntest direkt per 1:1 NAT oder Port Forwarding  zu deinen Maschinen weiterreichen. Mache ich mit einem großen /22er z.B. auch so. Bekomme das auf ein /29er Transfer Netz auf die CARP VIP geroutet und kann dadurch ohne jede IP des /22ers auflegen zu müssen direkt in der pfSense einfach die IPs verwursten. Ausnahme ist nur, wenn die PF selbst was mit einer IP anstellen soll, dann brauche ich die natürlich irgendwie auf einem Interface. Aber für den meisten Kram brauchst du es nicht und NAT bspw. gehört dazu.

    Ich hatte das früher bereits mal angeschaut, jedoch mit einer Bridge des Router direkt auf die Firewall. Nur hatte ich mich dagegen entschieden, da ich noch eine Stromleiste habe, die vom I-Net her erreichbar ist. Mit dieser kann ich die Firewall(s) notfalls neu starten wenn diese nicht mehr reagieren. Daher wäre für mich eigentlich schon die Idee, die bisherige Lösung umzusetzen.


  • LAYER 8 Moderator

    OK jetzt bin ich offiziell verwirrt. Ich dachte bislang dass auf dem vorgeschalteten Router eh schon 1:1 NAT für die IPs konfiguriert ist. Dann ist das natürlich ein Problem von der Kiste, dass die die internen IPs in die externen umsetzen muss. Also dessen abgehendes NAT muss passen. Kann das dort nicht sauber konfiguriert werden?



  • @d4sId:

    Ich hatte das früher bereits mal angeschaut, jedoch mit einer Bridge des Router direkt auf die Firewall. Nur hatte ich mich dagegen entschieden, da ich noch eine Stromleiste habe, die vom I-Net her erreichbar ist. Mit dieser kann ich die Firewall(s) notfalls neu starten wenn diese nicht mehr reagieren. Daher wäre für mich eigentlich schon die Idee, die bisherige Lösung umzusetzen.

    Bridge-Modus hätte ich dem Double-NAT grundsätzlich auch vorgezogen.
    Im CARP-System ist die Gefahr, dass die FW hängt eher gering, zumindest wenn du regelmäßig die Funktion überprüfst. Wenn der Master hängt, übernimmt Backup und du hast immer noch Zugriff.



  • @JeGr:

    OK jetzt bin ich offiziell verwirrt.

    :)

    Ich dachte bislang dass auf dem vorgeschalteten Router eh schon 1:1 NAT für die IPs konfiguriert ist. Dann ist das natürlich ein Problem von der Kiste, dass die die internen IPs in die externen umsetzen muss. Also dessen abgehendes NAT muss passen. Kann das dort nicht sauber konfiguriert werden?

    Nein leider nicht. Ich versuche dies schon lange, doch sobald ich bspw. die .202 öff. Adresse per 1:1 NAT auf die 10.202 Adresse der pfsense zeigen lasse, funktioniert anschliessend der eingehende Mailverkehr nicht mehr, obwohl ich ja eigentlich nichts anderes mache als anstatt Port 1-65535 alles zur Mail vIP weiterleiten.

    @viragomann:

    Bridge-Modus hätte ich dem Double-NAT grundsätzlich auch vorgezogen.
    Im CARP-System ist die Gefahr, dass die FW hängt eher gering, zumindest wenn du regelmäßig die Funktion überprüfst. Wenn der Master hängt, übernimmt Backup und du hast immer noch Zugriff.

    Ich werde dies mir nun überlegen. Vorher ging dies einfach nicht, da ich im Notfall die Firewall neu starten wollte, Server natürlich auch im Notfall. Nun mit der Hochverfügbarkeit sollte dies kein Thema mehr sein. Zudem keine Sicherheitslücke wegen einer Stromleiste mit Webserver. Die Server kann ich ja immer noch per VPN.


  • LAYER 8 Moderator

    Nein leider nicht. Ich versuche dies schon lange, doch sobald ich bspw. die .202 öff. Adresse per 1:1 NAT auf die 10.202 Adresse der pfsense zeigen lasse, funktioniert anschliessend der eingehende Mailverkehr nicht mehr, obwohl ich ja eigentlich nichts anderes mache als anstatt Port 1-65535 alles zur Mail vIP weiterleiten.

    Hast du dazu auf der pfSense dann auch eine 1:1 NAT erstellt? ZUSÄTZLICH auch eine Firewall Regel? Im Gegensatz zum Port Forwarding kann 1:1 NAT keine zusätzliche korrekte Firewall Regel erstellen, die muss bei 1:1 NAT selbst erstellt werden und auf die interne Zieladresse lauten, damit es klappt. Ist bei 1:1 NAT auf der PFS immer wieder gerne ein Problem, weil die Leute es vom Forwarding gewohnt sind, dass der Dialog automatisch eine Regel erstellen kann.

    Stromleiste
    kannst du via VPN ja trotzdem noch erreichbar machen :)



  • @JeGr:

    Nein leider nicht. Ich versuche dies schon lange, doch sobald ich bspw. die .202 öff. Adresse per 1:1 NAT auf die 10.202 Adresse der pfsense zeigen lasse, funktioniert anschliessend der eingehende Mailverkehr nicht mehr, obwohl ich ja eigentlich nichts anderes mache als anstatt Port 1-65535 alles zur Mail vIP weiterleiten.

    Hast du dazu auf der pfSense dann auch eine 1:1 NAT erstellt? ZUSÄTZLICH auch eine Firewall Regel? Im Gegensatz zum Port Forwarding kann 1:1 NAT keine zusätzliche korrekte Firewall Regel erstellen, die muss bei 1:1 NAT selbst erstellt werden und auf die interne Zieladresse lauten, damit es klappt. Ist bei 1:1 NAT auf der PFS immer wieder gerne ein Problem, weil die Leute es vom Forwarding gewohnt sind, dass der Dialog automatisch eine Regel erstellen kann.

    Stromleiste
    kannst du via VPN ja trotzdem noch erreichbar machen :)

    Jap. Ich stelle mal drei Screenshots rein, vom Router 1:1 NAT, vom PF 1:1 NAT und der FW Regel.
    Der Screenshot "Mail Header" zeigt dass die IP Adresse noch immer die falsche ist mit diesen Einstellungen.

    PS: Ich glaube nun nicht mehr dass es ein pfsense Problem ist, sondern ein Router Problem. Scheinbar funktioniert das 1:1 NAT da nicht. Wenn ich auf 1:1 NAT konfiguriere, ist der Mail Server nicht erreichbar. Wenn ich stattdessen den Port weiterleite per NAT, ist der Mail Server ereichbar. Und dies ohne dass ich an den Firewall Einstellungen etwas verändere.  :-\

    ![PF NAT.png](/public/imported_attachments/1/PF NAT.png)
    ![PF NAT.png_thumb](/public/imported_attachments/1/PF NAT.png_thumb)
    ![PF Rules.png](/public/imported_attachments/1/PF Rules.png)
    ![PF Rules.png_thumb](/public/imported_attachments/1/PF Rules.png_thumb)
    ![Router NAT.png](/public/imported_attachments/1/Router NAT.png)
    ![Router NAT.png_thumb](/public/imported_attachments/1/Router NAT.png_thumb)
    ![Mail Header.png](/public/imported_attachments/1/Mail Header.png)
    ![Mail Header.png_thumb](/public/imported_attachments/1/Mail Header.png_thumb)



  • Endlich, ich habe den Fehler gefunden  :)

    Es war tatsächlich der vorgeschaltete Router. Die WAN Schnittstelle hat die IP Adresse per DHCP geholt. Dadurch war das "Full Feature NAT" nicht verfügbar. Nachdem ich die WAN IP Adresse statisch konfiguriert habe, war das "Full Feature NAT" verfügbar, seit ich dieses aktivieren konnte, funktioniert das 1:1 NAT auch auf die pfSense und somit funktioniert das NAT nun korrekt. Der Mail Server hat nun wieder ausgehend die richtige IP Adresse.

    Danke nochmals für eure Unterstützung!

    Gruss


  • LAYER 8 Moderator

    Eieieieiei, das ist ja mal eine fiese Bug / "Feature" Kombination :)

    Freut mich aber dass du damit dem Ganzen auf die Schliche gekommen bist :D

    Viele Grüße


Log in to reply