Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT Problem

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 901 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Dimitow
      last edited by

      Wir haben folgendes Problem:

      pfsense lan-port -> pfsense wan-port -> Cisco ASA

      Die pfsense hat eine öffentliche IP auf dem WAN-Port. Die ASA wird quasi nur als Gateway/Router benutzt.
      Auf dem WAN der pfsense haben wir folgende NAT Regel:

      nat on igb5_vlan101 inet all -> (öffentliche IP) static-port

      Im Log der ASA sehe ich aber immer noch connections die mit LAN-IPs dort aufschlagen. Sinnigerweise betrifft das anscheinend nicht alle Verbindungen.
      Beispiel: Ich klicke auf einer Webseite rum, irgendwann kommt ein timeout. In dem Moment steht im Log der ASA meine LAN-IP.

      Mir gehen aktuell die Ideen aus, woran das liegen könnte. Habe auch schon NAT Regeln benutzt wie das LAN-Netz als Source eingetragen war. Verhält sich genauso.

      Hat irgendwer ne Idee woran das liegen könnte?

      1 Reply Last reply Reply Quote 0
      • F
        flix87
        last edited by

        Wenn du Outbound NAT auf Manuell gestellt hast und du eine Verbindung von LAN ins WAN Natten willst musst du so eine Regel erstellen bei Outbound NAT

        Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
            WAN    LANNet        *                        *                        *                      WAN Address        *            No

        WAN Interface - Lan Subnet - Öffentliche IP (Static Port würde ich nicht machen nur für spezielle Sacen die IPSEC oder Voip)

        bei WAN Address kann natürlich auch deine IP direkt stehet. Wenn du nur eine Hast hier WAN Address auswählen

        Hier Darf nicht als ersten das LAN Interface stehen weil Outbound das Interface ja zählt wo die Daten rausgehen nicht wo sie rein gehen.

        Wenn du aber keine besonderen Anforderungen hast einfach auf Automatic lassen.

        1 Reply Last reply Reply Quote 0
        • D
          Dimitow
          last edited by

          Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
          WAN      any         *                      *                   *         WAN address *         YES

          Das ist meine outgoing NAT Regel. Ich habs wie gesagt auch schon mit Source = lan-ip-netzwerk versucht.

          Static Port brauche ich leider wegen VOIP.

          Ich habe eben ein tcpdump auf dem wan interface laufen lassen. Fast alle SIP connections schickt er mit der lan-ip raus. Warum das überhaupt funktioniert ist mir ein Rätsel.
          Ansonsten sind fast alle anderen Verbindungen auf die WAN-IP genattet. Nur leider eben nicht alle, obwohl sie aus dem gleichen Netz kommen.

          1 Reply Last reply Reply Quote 0
          • F
            flix87
            last edited by

            Wenn du es für VOIP brauchst am besten dafür eine eigene Regel machen mit der Quell IP oder Zielport.
            Wenn du alles auf Static Port machst könnten dir irgendwann die Ports ausgehen.

            Steht dann Outbound NAT auch auf manuell?
            States oder Firewall nach dem anpassen mal resetet?

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.