NAT Problem

Dimitow

Wir haben folgendes Problem:

pfsense lan-port -> pfsense wan-port -> Cisco ASA

Die pfsense hat eine öffentliche IP auf dem WAN-Port. Die ASA wird quasi nur als Gateway/Router benutzt.
Auf dem WAN der pfsense haben wir folgende NAT Regel:

nat on igb5_vlan101 inet all -> (öffentliche IP) static-port

Im Log der ASA sehe ich aber immer noch connections die mit LAN-IPs dort aufschlagen. Sinnigerweise betrifft das anscheinend nicht alle Verbindungen.
Beispiel: Ich klicke auf einer Webseite rum, irgendwann kommt ein timeout. In dem Moment steht im Log der ASA meine LAN-IP.

Mir gehen aktuell die Ideen aus, woran das liegen könnte. Habe auch schon NAT Regeln benutzt wie das LAN-Netz als Source eingetragen war. Verhält sich genauso.

Hat irgendwer ne Idee woran das liegen könnte?

flix87

Wenn du Outbound NAT auf Manuell gestellt hast und du eine Verbindung von LAN ins WAN Natten willst musst du so eine Regel erstellen bei Outbound NAT

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
    WAN    LANNet        *                        *                        *                      WAN Address        *            No

WAN Interface - Lan Subnet - Öffentliche IP (Static Port würde ich nicht machen nur für spezielle Sacen die IPSEC oder Voip)

bei WAN Address kann natürlich auch deine IP direkt stehet. Wenn du nur eine Hast hier WAN Address auswählen

Hier Darf nicht als ersten das LAN Interface stehen weil Outbound das Interface ja zählt wo die Daten rausgehen nicht wo sie rein gehen.

Wenn du aber keine besonderen Anforderungen hast einfach auf Automatic lassen.

Dimitow

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN      any         *                      *                   *         WAN address *         YES

Das ist meine outgoing NAT Regel. Ich habs wie gesagt auch schon mit Source = lan-ip-netzwerk versucht.

Static Port brauche ich leider wegen VOIP.

Ich habe eben ein tcpdump auf dem wan interface laufen lassen. Fast alle SIP connections schickt er mit der lan-ip raus. Warum das überhaupt funktioniert ist mir ein Rätsel.
Ansonsten sind fast alle anderen Verbindungen auf die WAN-IP genattet. Nur leider eben nicht alle, obwohl sie aus dem gleichen Netz kommen.

flix87

Wenn du es für VOIP brauchst am besten dafür eine eigene Regel machen mit der Quell IP oder Zielport.
Wenn du alles auf Static Port machst könnten dir irgendwann die Ports ausgehen.

Steht dann Outbound NAT auch auf manuell?
States oder Firewall nach dem anpassen mal resetet?