IP Alias auf WAN Interface mit DHCP Konfiguration



  • Hi!

    Zu Hause gehe ich über den Kabelanschluss ins Internet. Das Kabel Modem ist in den Bridge Mode geschaltet, das WAN Interface meiner pfSense Mühle erhält dadurch über DHCP eine öffentliche IPv4 Adresse.
    Obwohl das Modem im Bridge Mode läuft, ist es dennoch über eine private IPv4 Adresse erreichbar. Um einen Blick auf das Web Interface werfen zu können, habe ich also in pfSense ein IP Alias auf das WAN Interface gelegt, einen passenden Source NAT Eintrag hinzugefügt und schon konnte ich aus dem LAN auf das Modem zugreifen, so weit so gut.

    Kürzlich wurde die Verbindung von Provider Seite aus getrennt, wodurch das WAN Interface seine IP Adresse verlor und eine neue bezogen hat. Trotzdem hatte ich keine Verbindung ins Internet. Bei der Fehlersuche fiel mir auf, dass das WAN Interface zwar eine neue öffentliche IPv4 Adresse bezogen hatte, allerdings als primäres Interface den privaten IP Alias verwendete. Nur durch Löschen des IP Alias konnte ich erreichen, dass die über DHCP bezogene Adresse primär verwendet wurde.

    Wie kann ich dem Problem in Zukunft entgegen wirken? Sollte ich in diesem Fall statt einem IP Alias eine Virutal IP vom Typ "Other" verwenden?



  • Hi,

    klingt abenteuerlich, was du da schreibst.

    Es gibt keine primäre und sekundäre IP in dieser Art. Wenn IPs auf einem Interface konfiguriert sind, sind beide gleichwertig. Die konfigurierten IPs sind auch nur für eingehende Datenpakete zuständig und haben demnach wohl nichts damit zu tun, dass du keine Verbindung ins Internet hattest, die wäre ausgehend.

    Vermutlich liegt das Problem entweder an einem falschen Gateway oder am Outbound NAT. Hast du für die 2. IP ein 2. Gateway konfiguriert, das bei Ausfall des Default Gateway zum Einsatz gekommen wäre.
    Falls nicht, kannst du es mit manuellen Outbound NAT Regeln versuchen. Wenn du da als Translation Address die WAN IP (DHCP) setzt, sollte es laufen.



  • Hi viragomann,

    es mag sein, dass IP Adressen auf einem Interface gleichwertig sind. Jedoch verbirgt sich hinter dem Alias "WAN Address" immer nur eine. Das Problem in meinem Fall bestand darin, dass beim Beziehen einer neuen IP Adresse über DHCP statt der neuen öffentlichen Adresse das IP Alias als WAN Address gesetzt wurde, wodurch natürlich keine Verbindung ins Internet möglich ist.

    Ein Gateway für den IP Alias ist nicht gesetzt, ist auch garnicht nötig. Ich habe für alle Subnetze hinter der Firewall entsprechende manuelle Outbound NAT Regeln gesetzt (automatische Erstellung von Regeln ist deaktiviert). Die bestehende Konfiguration hat auch vollkommen korrekt funktioniert, ein Problem bestand erst nachdem das WAN Interface eine neue IP Adresse bezogen hat.