3 Dynamic WAN IP's voor 1 LAN, 3 Vlan's en 1 "DMZ" (Solved)
-
Beste,
ik ben nieuw in pFsense sinds enkele maanden,
en heb steeds een antwoord gevonden op mijn vragen door de zoekfunctie
te gebruiken van dit forum.
Maar momenteel zit ik vast met de gewenste configuratie van afbeelding 1.Ik heb Telenet internet via een modem-only en heb "onbeperk" aantal publieke ip-adressen
ter beschikking.
pFsense box met 7 fysieke netwerkkaarten,
1 onboard op het moederbord,
2x Gigabit PCI-Express
1x Quad Gigabit PCI-Express.
pFsense 2.2.4 embedded op een USB 3.0 stick.De Quad Gigabit PCI-Express (kant B) wens ik volledig apart te gebruiken
van kant A.
Graag wens ik 3 publieke ip-adressen op te splitsen in 3 delen:1 publiek ip-adress voor lan1 (kant A)
1 publiek ip-adress voor een groep van 3 geisoleerde lan's (kant B)
1 publiek ip-adress wat toegekend word aan het toestel op NIC4,
zodat vanaf dit toestel lijkt, alsof dit rechtstreeks verbonden is met de modem.Kant A en B volledig gescheiden van elkaar.
NIC5,NIC6 en NIC7 volledig gescheiden van elkaar.Kant A is al reeds in orde, nu rest alleen nog kant B.
Voorkeur zou uitgaan naar configuratie 1,
zodat de DMZ-switch kan worden weg gelaten.
Indien niet mogelijk is, configuratie 2 als plan b.Dank bij voorbaat.
Grts
DeLorean
-
Hallo,
Ik snap je configuratie niet helemaal.
Maar als je een ip op een NIC uit wil laten komen dit het makkelijkste door een private netwerk op te zetten (192, of 10… let er op dat 20.x.x.x en 30.x.x.x geen private subnets zijn en daarom zou ik een ander subnet kiezen)Maar je tekening is niet helemaal duidelijk, je kunt dit oplossen met een 1:1 nat of outbound en inbound nat, maar meer details zijn nodig om je verder te helpen.
-
Hallo PDJ,
Ik zal proberen de tekening eventjes te verduidelijken.
De pFsense box krijgt ip-adress via DHCP toegekend door mijn internetprovider.
De pFsense heeft standaard 192.168.1.1 , en geeft een statisch ip-adress 192.168.1.100 aan de WAN van
de WiFi-router.
De blauwe link, OPT1 van de pFsense box en LAN1 van de WiFi-router dient louter voor Wake On Lan van de pFsense box.
De onboard netwerkkaart van de pFsense box is ingeschakeld in de BIOS, maar niet ingeschakeld in pFsense, op
deze manier kan er geen netwerkverkeer van en naar OPT1 vloeien.
De pFsense box word s'nachts uitgeschakelt via een ssh command met een batchfile vanaf een laptop achter de WiFi-router.
Het is deze laptop die ook de pFsense box opstart via Wake On Lan bij het opstarten via een opstartpolicy.Verder deelt de WiFi-router ip-adressen uit via DHCP langs de LAN switch die er achter hangt.
Betreft de 3 WAN ip-adressen.
1 publiek IP-adress gebruikt de pFsensebox voor LAN1 voor de WiFi-Router
Een 2de publiek IP-adress zou ik graag willen toekennen aan het apparaat wat op NIC4 aangesloten zit,
dat het lijkt alsof dit apparaat rechtstreeks op de modem zit.
Een 3de publiek IP-adress zou voor 3 aparte Vlan's moeten dienen.Alle publieke IP-adressen worden via DHCP door de internetprovider (Telenet) toegekent,
maar gebruiken dezelfde gateway welke de internetprovider toekent.Wat ik al reeds geprobeerd heb zonder succes is de configuratie 2,
met de DMZ switch.
Het lukt wel om NIC4 als WAN2 te gebruiken, en hier een 2de publiek ip-adress te verkrijgen,
maar dan zit ik vast.
Ik heb NIC5 in pFsense LAN2 genoemt, en een bridge gemaakt met WAN2, de ip-configuratie van LAN2 op None gezet,
en de ip-configuratie van WAN2 staat op DHCP.
Het apparaat aangesloten op LAN2 (NIC5) krijgt echter totaal geen ip-adress toegekent.
Bij momenten geraak ik via LAN1 zelfs niet meer op internet.
Ideaal zou geweest zijn als ik de 3 publieke ip-adressen via 1 interface (WAN van pFsense) kon laten binnenkomen,
zodat de DMZ-switch weg gelaten kan worden zoals op afbeelding 1.Indien er nog dingen onduidelijk zijn, hoor ik het wel.
Alvast bedankt voor de reactie ;-)Grtz
DeLorean -
Als ik het goed begrijp wil je eigenlijk 3 maal een DHCP request doen voor 3 verschillende IPs?
Als dat het geval is, kan eigenlijk alleen optie B (mocht de switch managable zijn dan zou VLANs ook een optie zijn, in dat geval is er maar 1 NIC nodig met meerdere VLANs)
Het uitschakelen van de PFsense box kan ook via Cron gedaan worden op de box zelf en misschien via de wake functie in de Bios voor het uitschakelen. (als het in en uitschakelen is om 's nachts geen toegang te verlenen, is de scheduling in Pfsense ook een optie)
Persoonlijk zou ik OPT1 ook gewoon inschakelen, maar via firewalling de toegang regelen, daardoor word je beheer makkelijker.De bridge zou ik persoonlijk niet doen, ik zou of 1:1 NAT maken als de andere kant ook 1 host is (dus intern subnet aanmaken en verkeer 1:1 Natten)
Bridging met WAN geeft 9 van de 10 keer problemen en is vaker op een andere manier (1:1 nat) beter op te lossen.Om heel eerlijk te zijn denk ik dat je configuratie heel rommelig en onbeheersbaar gaat worden, ik zou even terug naar de situatie gaan wat je precies wilt bereiken en daarna de techniek in gaan vullen.
-
@PDJ:
Als ik het goed begrijp wil je eigenlijk 3 maal een DHCP request doen voor 3 verschillende IPs?
Dat klopt.
@PDJ:
Het uitschakelen van de PFsense box kan ook via Cron gedaan worden op de box zelf en misschien via de wake functie in de Bios voor het uitschakelen. (als het in en uitschakelen is om 's nachts geen toegang te verlenen, is de scheduling in Pfsense ook een optie)
Het uitschakelen van de pFsense box word gedaan voor stroombesparing, alle beetjes helpen ;-) , maar heeft ook het voordeel dat het netwerk volledig word afgesloten van de buitenwereld.
Aangezien de pFsense tussen modem en router staat.@PDJ:
De bridge zou ik persoonlijk niet doen, ik zou of 1:1 NAT maken als de andere kant ook 1 host is (dus intern subnet aanmaken en verkeer 1:1 Natten)
Bridging met WAN geeft 9 van de 10 keer problemen en is vaker op een andere manier (1:1 nat) beter op te lossen.Hier zit dus ook mijn probleem, ik vind overal op forums, internet en YouTube tutorials omtrent het 1:1 nat en outbound NAT,
maar overal gaat het om statische ip-adressen en niet voor dynamische.
"dynamic" word niet aanvaard bij "external subnet ip" in het scherm van 1:1 NAT (zie afbeelding)@PDJ:
Om heel eerlijk te zijn denk ik dat je configuratie heel rommelig en onbeheersbaar gaat worden, ik zou even terug naar de situatie gaan wat je precies wilt bereiken en daarna de techniek in gaan vullen
Het linker gedeelte (kant A) op de afbeelding zou voor prive gebruik zijn, en het rechter gedeelte (kant B) voor sporadisch pc's / laptops internet te geven bij herstellingen daarvan.
De poort NIC4 in configuratie 1 waarvan ik verwachtte om een dynamisch ip-adress te verkrijgen, dient om sporadisch een router of wifi-router aan te hangen voor het configureren hiervan. Nadien blijft deze poort ongebruikt.
Tijdens mijn werk als pc-technieker bemerk ik toch dikwijls dat het een probleem levert bij sommige routers/wifi-routers als deze achter een bestaande router te gehangen worden ter configuratie. Ook al ligt de ip-range in een ander bereik als de bovenliggende router/wifi-router.
Nu worden routers/wifi-routers telkens met de WAN poort op de DMZ switch gehangen voor het configureren, wat altijd werkt.Kort samengevat is het de bedoeling om alles veiliger te maken dan nu het geval is, want nu komen sporadisch "probleempc's" in het bereik van het privenetwerk aangezien nu alles nog in 1 LAN ligt.
Als 2de bedoeling is het om zuiniger te werk te gaan, als de DMZ switch weg gelaten kan worden.
Alle gebruikte switchen zijn 5 of 8 poorten Gigabit switchen unmanaged.Maar als ik het goed begrijp, is het met pFsense niet mogelijk om op 1 interface (wan van pFsense) ,
3 dynamische ip-adressen te laten toekomen, en deze op te splitsen in 1 LAN, 1 "doorgeef" interface (NIC4),
en 1 voor 3 Vlan's ?
Zoals ik al reeds vermelde, ben ik nog niet lang bezig met pFsense en ken er nog bijlange niet alle mogelijkheden van,
dus alle hulp is steeds welkom.Alvast bedankt voor de tips en hulp.
Grtz
DeLorean
-
Ik ga hier even vloeken in de kerk.
Maar als ik zo je configuratie zie, zou ik je een ander product aanraden, ik zou even kijken naar een routerboard, ze zijn low power en kunnen wel 3 DHCP requests op 1 interface doen.
Verder vind ik ze erg onoverzichtelijk en niet logisch te configureren, daarom gebruik ik ze alleen als AP's maar zou in jou geval misschien beter zijn.Inderdaad 1:1 nat gaat uit van een static ip en is lastig met een dynamisch IP, echter als je altijd hetzelfde IP krijgt van je provider kun je daar gewoon het IP invullen.
Aan de andere kant, heb je wel 1:1 nat nodig? dit heb je eigenlijk alleen nodig als het apparaat van de buitenkant bereikbaar moet zijn, vaak is een portforwarding voldoende (deze kan wel gewoon met een dynamisch adres)Nog een vraag, waarom wil je 3 public IP's gebruiken? ook hier is dit alleen "handig" als er vanaf de buitenkant verschillende apparaten bereikbaar dienen te zijn.
Voor onderhoud aan PC's zou ik een appart intern netwerk inrichten, maar gewoon over hetzelfde public ip laten lopen.
Dit kan ook voor onderhoud aan wireless accespoints -
Oke, bedankt voor de nuttige tips en geduld ;)
Grtz
DeLorean -
Hier ben ik terug met enige feedback.
Ik heb de configuratie bijna naar wens gekregen,
maar ga het hierbij laten, aangezien deze configuratie voor de moment perfect werkt.De pFsense box gebruikt nu 2 publieke IP-adressen (DHCP), 1 voor het A en C gedeelte,
en een 2de word toegekend aan het apparaat wat op interface NIC4.WAN en NIC4 van de pFsense box zijn met elkaar verbonden via een Bridge.
WAN interface heeft als configuratietype DHCP, en NIC4 heeft als configuratie "none", alsook
de Bridge zelf gebruikt "none" als configuratietype.De aangemaakte firewall regels om internet door te laten zijn als volgt :
IPv4 * * * * * * none (Nic4)
Op de volgende interfaces :
NIC4, NIC5, NIC6, NIC7 en Bridge staan de opties UITGESCHAKELD voor het blokkeren van
RFC 1918 networks en Reserved/not assigned by IANAVerder zijn er de nodige block rules aangemaakt wat internet blokkeert tussen de gedeeltes A, B en C onderling.
Tevens heb ik ook getest of NIC4 met behulp van een simpele switch meerdere publieke ip-adressen
kan verdelen, en dit is perfect mogelijk.Nogmaals bedankt voor de hulp, suggesties en tips zijn steeds welkom. :P
Grtz
DeLorean