Outbound NAT Probleme mit aktivem CARP
-
Oder wie kriege ich den Router dazu, dass pfsense die öffentlichen IP Adressen direkt benutzen kann?
Gar nicht. Da es ein Router ist, wirst du die Adressen nicht einfach durchreichen können. Ausnahme: Du bekommst deine Public IPs als Block/Netz auf eine einzelne Adresse/Transfernetz geroutet, dann könntest du die wiederum weiterrouten an die pfSense (auch über ein private IP Transfernetz). Wenn das nicht der Fall ist, ist dein skizzierter Fall eigentlich durchaus korrekt.
Andere Frage: wie hast du die öffentlichen IPs denn jetzt intern weiterverwurstet? Du schreibst ja, einkommend geht der Zugriff über die public IPs, nur abgehend wird die falsche IP verwendet. Wie funktioniert der Traffic ankommend? Port Forwarding eingerichtet?
Grüße
-
Ich mach mal wieder ein Beispiel:
öffentliche IP 1.2.3.4 -> die hat der Router (z.B. Fritzbox) zugeteilt bekommen
WAN-Netz IP 192.168.1.1 -> Das ist die Adresse des Routers (z.B. Fritzbox) an der LAN-Seite
pfSense 1 IP 192.168.1.101 -> IP der pfSense Nr1 an der WAN-Schnittstelle
pfSense 2 IP 192.168.1.102 -> IP der pfSense Nr2 an der WAN-Schnittstelle
pfSense vIP 192.168.1.100 -> vIP des CARP-Clusters auf der WAN-SchnittstelleIm Router muss für die öffentliche IP eine DMZ aktiviert werden: Diese DMZ weist auf die vIP des WAN der pfSense, also 1.2.3.4 -> DMZ -> 192.169.1.100
gruß
PS: Wenn man natürlich mehrere IPs zugewiesen bekommen hat muss der Router vor der psSense in der Lage sein die einzeln weiterzugeben sonst artet das in große NAT-Tabellen da aus!
-
Im Router muss für die öffentliche IP eine DMZ aktiviert werden: Diese DMZ weist auf die vIP des WAN der pfSense, also 1.2.3.4 -> DMZ -> 192.169.1.100
Funktioniert im o.g. Fall nicht. Die DMZ kann in den vorgeschalteten (meist günstigen) Routern oft nur generisch gesetzt werden. Dass hier per IP mehrfach vollständig alles weitergeleitet wird, gibt es eher selten. Davon abgesehen lese ich das so heraus, dass es bereits schon so eingerichtet ist, denn eingehend scheint ja bspw. Mailserver o.ä. zu funktionieren. -> Siehe OP (erster Post).
-
Erstmal danke für eure Antworten.
Andere Frage: wie hast du die öffentlichen IPs denn jetzt intern weiterverwurstet? Du schreibst ja, einkommend geht der Zugriff über die public IPs, nur abgehend wird die falsche IP verwendet. Wie funktioniert der Traffic ankommend? Port Forwarding eingerichtet?
Ja, die IPs werden per NAT durchgeschleift. generell eigentlich nur einzelne Ports, beim Mailserver habe ich zu Testzwecken jetzt mal 1:1 NAT eingerichtet.
Vom Router wird die spezifische öffentliche IP (xxx.xxx.xxx.202) an die CARP VIP (192.168.10.202) weitergereicht, pfsense weist sie dann weiter an den Mail Server.Ich habe das Gefühl, der Router weiss nicht wie er die IP 192.168.10.202 korrekt verwenden soll, wenn der Mail Server etwas versendet. Ich habe auch schon testweise NAT auf dem Router umgedreht, so dass 192.168.10.202 wieder auf xxx.xxx.xxx.202 gedreht wird, das scheint mit dem Billig Router aber nicht zu funktionieren. Oder übersehe ich etwas? Der Router müsste doch das ganze wieder umdrehen?
Gar nicht. Da es ein Router ist, wirst du die Adressen nicht einfach durchreichen können. Ausnahme: Du bekommst deine Public IPs als Block/Netz auf eine einzelne Adresse/Transfernetz geroutet, dann könntest du die wiederum weiterrouten an die pfSense (auch über ein private IP Transfernetz). Wenn das nicht der Fall ist, ist dein skizzierter Fall eigentlich durchaus korrekt.
Meine Public IPs ist von einem Block von 8 Adressen, wenn ichs richtig im Kopf habe xxx.xxx.xxx.201/29. Dann müsste ich aber das ganze Netz weiterrouten und alle öffentlichen IP Adressen bei pfsense erfassen? Sprich auch die CARP vIP der WAN Schnittstelle?
PS: Wenn man natürlich mehrere IPs zugewiesen bekommen hat muss der Router vor der psSense in der Lage sein die einzeln weiterzugeben sonst artet das in große NAT-Tabellen da aus!
Der Router gibt die IP Adressen alle per NAT an pfsense weiter -> 1. Post. Eingehend funktioniert dies korrekt, ausgehend nur nicht mit der gewünschten IP Adresse.
-
Ja, die IPs werden per NAT durchgeschleift. generell eigentlich nur einzelne Ports, beim Mailserver habe ich zu Testzwecken jetzt mal 1:1 NAT eingerichtet.
Moment. Wenn der Mailserver via 1:1 NAT eingerichtet ist, müsste dieser eigentlich implizit jetzt abgehend die richtige IP verwenden. Ansonsten wäre es kein 1:1 NAT. Ist das so?
Meine Public IPs ist von einem Block von 8 Adressen, wenn ichs richtig im Kopf habe xxx.xxx.xxx.201/29. Dann müsste ich aber das ganze Netz weiterrouten und alle öffentlichen IP Adressen bei pfsense erfassen? Sprich auch die CARP vIP der WAN Schnittstelle?
So du das /29er Netz auf den Router sauber "geroutet" bekommst, wäre das eine Möglichkeit, ja. Dann müsste dort eine Route eingerichtet werden mit xxx/29 nach -> pfSense CARP VIP. Dann müsstest du nicht einmal mehr die public IPs als Aliase auf dem Interface erfassen (unnötig, denn sie kommen ja durchs Routing auf der Maschine an), sondern könntest direkt per 1:1 NAT oder Port Forwarding zu deinen Maschinen weiterreichen. Mache ich mit einem großen /22er z.B. auch so. Bekomme das auf ein /29er Transfer Netz auf die CARP VIP geroutet und kann dadurch ohne jede IP des /22ers auflegen zu müssen direkt in der pfSense einfach die IPs verwursten. Ausnahme ist nur, wenn die PF selbst was mit einer IP anstellen soll, dann brauche ich die natürlich irgendwie auf einem Interface. Aber für den meisten Kram brauchst du es nicht und NAT bspw. gehört dazu.
Grüße
-
Moment. Wenn der Mailserver via 1:1 NAT eingerichtet ist, müsste dieser eigentlich implizit jetzt abgehend die richtige IP verwenden. Ansonsten wäre es kein 1:1 NAT. Ist das so?
Achtung, das 1:1 NAT ist nun nur testweise auf pfsense eingerichtet, auf dem Router nicht. Mailserver sendet aber dennoch mit der falschen öffentlichen IP Adresse raus. Ich habe auch versucht, das 1:1 NAT auf dem Router einzurichten, dies funktioniert leider bisher nicht, der Mail Server ist dann nicht mehr von aussen erreichbar.
Soweit ich das verstehe, nützt das 1:1 NAT hier nichts, wenn der Router dann mit dem eingehenden Traffic nicht korrekt umgehen kann. Ich vermute daher, dass die Problematik mehr beim Router noch besteht, dass er die internen IP Adressen noch korrekt übersetzt in die jeweilige öffentliche IP.So du das /29er Netz auf den Router sauber "geroutet" bekommst, wäre das eine Möglichkeit, ja. Dann müsste dort eine Route eingerichtet werden mit xxx/29 nach -> pfSense CARP VIP. Dann müsstest du nicht einmal mehr die public IPs als Aliase auf dem Interface erfassen (unnötig, denn sie kommen ja durchs Routing auf der Maschine an), sondern könntest direkt per 1:1 NAT oder Port Forwarding zu deinen Maschinen weiterreichen. Mache ich mit einem großen /22er z.B. auch so. Bekomme das auf ein /29er Transfer Netz auf die CARP VIP geroutet und kann dadurch ohne jede IP des /22ers auflegen zu müssen direkt in der pfSense einfach die IPs verwursten. Ausnahme ist nur, wenn die PF selbst was mit einer IP anstellen soll, dann brauche ich die natürlich irgendwie auf einem Interface. Aber für den meisten Kram brauchst du es nicht und NAT bspw. gehört dazu.
Ich hatte das früher bereits mal angeschaut, jedoch mit einer Bridge des Router direkt auf die Firewall. Nur hatte ich mich dagegen entschieden, da ich noch eine Stromleiste habe, die vom I-Net her erreichbar ist. Mit dieser kann ich die Firewall(s) notfalls neu starten wenn diese nicht mehr reagieren. Daher wäre für mich eigentlich schon die Idee, die bisherige Lösung umzusetzen.
-
OK jetzt bin ich offiziell verwirrt. Ich dachte bislang dass auf dem vorgeschalteten Router eh schon 1:1 NAT für die IPs konfiguriert ist. Dann ist das natürlich ein Problem von der Kiste, dass die die internen IPs in die externen umsetzen muss. Also dessen abgehendes NAT muss passen. Kann das dort nicht sauber konfiguriert werden?
-
Ich hatte das früher bereits mal angeschaut, jedoch mit einer Bridge des Router direkt auf die Firewall. Nur hatte ich mich dagegen entschieden, da ich noch eine Stromleiste habe, die vom I-Net her erreichbar ist. Mit dieser kann ich die Firewall(s) notfalls neu starten wenn diese nicht mehr reagieren. Daher wäre für mich eigentlich schon die Idee, die bisherige Lösung umzusetzen.
Bridge-Modus hätte ich dem Double-NAT grundsätzlich auch vorgezogen.
Im CARP-System ist die Gefahr, dass die FW hängt eher gering, zumindest wenn du regelmäßig die Funktion überprüfst. Wenn der Master hängt, übernimmt Backup und du hast immer noch Zugriff. -
OK jetzt bin ich offiziell verwirrt.
:)
Ich dachte bislang dass auf dem vorgeschalteten Router eh schon 1:1 NAT für die IPs konfiguriert ist. Dann ist das natürlich ein Problem von der Kiste, dass die die internen IPs in die externen umsetzen muss. Also dessen abgehendes NAT muss passen. Kann das dort nicht sauber konfiguriert werden?
Nein leider nicht. Ich versuche dies schon lange, doch sobald ich bspw. die .202 öff. Adresse per 1:1 NAT auf die 10.202 Adresse der pfsense zeigen lasse, funktioniert anschliessend der eingehende Mailverkehr nicht mehr, obwohl ich ja eigentlich nichts anderes mache als anstatt Port 1-65535 alles zur Mail vIP weiterleiten.
Bridge-Modus hätte ich dem Double-NAT grundsätzlich auch vorgezogen.
Im CARP-System ist die Gefahr, dass die FW hängt eher gering, zumindest wenn du regelmäßig die Funktion überprüfst. Wenn der Master hängt, übernimmt Backup und du hast immer noch Zugriff.Ich werde dies mir nun überlegen. Vorher ging dies einfach nicht, da ich im Notfall die Firewall neu starten wollte, Server natürlich auch im Notfall. Nun mit der Hochverfügbarkeit sollte dies kein Thema mehr sein. Zudem keine Sicherheitslücke wegen einer Stromleiste mit Webserver. Die Server kann ich ja immer noch per VPN.
-
Nein leider nicht. Ich versuche dies schon lange, doch sobald ich bspw. die .202 öff. Adresse per 1:1 NAT auf die 10.202 Adresse der pfsense zeigen lasse, funktioniert anschliessend der eingehende Mailverkehr nicht mehr, obwohl ich ja eigentlich nichts anderes mache als anstatt Port 1-65535 alles zur Mail vIP weiterleiten.
Hast du dazu auf der pfSense dann auch eine 1:1 NAT erstellt? ZUSÄTZLICH auch eine Firewall Regel? Im Gegensatz zum Port Forwarding kann 1:1 NAT keine zusätzliche korrekte Firewall Regel erstellen, die muss bei 1:1 NAT selbst erstellt werden und auf die interne Zieladresse lauten, damit es klappt. Ist bei 1:1 NAT auf der PFS immer wieder gerne ein Problem, weil die Leute es vom Forwarding gewohnt sind, dass der Dialog automatisch eine Regel erstellen kann.
Stromleiste
kannst du via VPN ja trotzdem noch erreichbar machen :) -
Nein leider nicht. Ich versuche dies schon lange, doch sobald ich bspw. die .202 öff. Adresse per 1:1 NAT auf die 10.202 Adresse der pfsense zeigen lasse, funktioniert anschliessend der eingehende Mailverkehr nicht mehr, obwohl ich ja eigentlich nichts anderes mache als anstatt Port 1-65535 alles zur Mail vIP weiterleiten.
Hast du dazu auf der pfSense dann auch eine 1:1 NAT erstellt? ZUSÄTZLICH auch eine Firewall Regel? Im Gegensatz zum Port Forwarding kann 1:1 NAT keine zusätzliche korrekte Firewall Regel erstellen, die muss bei 1:1 NAT selbst erstellt werden und auf die interne Zieladresse lauten, damit es klappt. Ist bei 1:1 NAT auf der PFS immer wieder gerne ein Problem, weil die Leute es vom Forwarding gewohnt sind, dass der Dialog automatisch eine Regel erstellen kann.
Stromleiste
kannst du via VPN ja trotzdem noch erreichbar machen :)Jap. Ich stelle mal drei Screenshots rein, vom Router 1:1 NAT, vom PF 1:1 NAT und der FW Regel.
Der Screenshot "Mail Header" zeigt dass die IP Adresse noch immer die falsche ist mit diesen Einstellungen.PS: Ich glaube nun nicht mehr dass es ein pfsense Problem ist, sondern ein Router Problem. Scheinbar funktioniert das 1:1 NAT da nicht. Wenn ich auf 1:1 NAT konfiguriere, ist der Mail Server nicht erreichbar. Wenn ich stattdessen den Port weiterleite per NAT, ist der Mail Server ereichbar. Und dies ohne dass ich an den Firewall Einstellungen etwas verändere. :-\
![PF NAT.png](/public/imported_attachments/1/PF NAT.png)
![PF NAT.png_thumb](/public/imported_attachments/1/PF NAT.png_thumb)
![PF Rules.png](/public/imported_attachments/1/PF Rules.png)
![PF Rules.png_thumb](/public/imported_attachments/1/PF Rules.png_thumb)
![Router NAT.png](/public/imported_attachments/1/Router NAT.png)
![Router NAT.png_thumb](/public/imported_attachments/1/Router NAT.png_thumb)
![Mail Header.png](/public/imported_attachments/1/Mail Header.png)
![Mail Header.png_thumb](/public/imported_attachments/1/Mail Header.png_thumb) -
Endlich, ich habe den Fehler gefunden :)
Es war tatsächlich der vorgeschaltete Router. Die WAN Schnittstelle hat die IP Adresse per DHCP geholt. Dadurch war das "Full Feature NAT" nicht verfügbar. Nachdem ich die WAN IP Adresse statisch konfiguriert habe, war das "Full Feature NAT" verfügbar, seit ich dieses aktivieren konnte, funktioniert das 1:1 NAT auch auf die pfSense und somit funktioniert das NAT nun korrekt. Der Mail Server hat nun wieder ausgehend die richtige IP Adresse.
Danke nochmals für eure Unterstützung!
Gruss
-
Eieieieiei, das ist ja mal eine fiese Bug / "Feature" Kombination :)
Freut mich aber dass du damit dem Ganzen auf die Schliche gekommen bist :D
Viele Grüße