Wie 1:1 Nat einer IP-Range



  • Hallo alle zusammen,

    wir setzen pfSense im Kommunalen Umfeld in Sachsen ein, innerhalb des Kommunalen Datennetzes (KDN).
    Dabei nutzen wir die Möglichkeit der virtuellen IP-Adressen + 1:1 NAT um z.B Exchange-Server für die Zentralen E-Mail Gateways erreichbar zu machen. Dies funktioniert auch völlig Problemlos.

    Jetzt habe ich das Problem das ein Dienstleister einen Zentralen Trend-Micro Server innerhalb des Kommunalen Datennetzes stehen hat und dieser natürlich nicht mit Clients umgehen kann die hinter einem NAT liegen.
    Jetzt habe ich keine Lust für 120 Clients die Virtuellen IP-Adressen und das 1:1 NAT für jede IP-Adresse einzeln einzutragen,  kann man dies über eine Range definieren? Die zugehörigen Firewall-Regeln kann ich ja über ein Alias oder so abbilden, das ist unkritisch. Also hat jemand eine Idee dazu?

    Gruß
    Thomas


  • Moderator

    Hallo Thomas,

    du kannst in BiNAT Einträgen auch Netzwerke, nicht nur Hosts vergeben.
    Siehe https://doc.pfsense.org/index.php/1:1_NAT

    Der Text unterhalb der "external subnet IP" unter 1:1 NAT beschreibt das ebenfalls:

    Enter the external (usually on a WAN) subnet's starting address for the 1:1 mapping. The subnet mask from the internal address below will be applied to this IP address.

    Wenn ihr also bspw. 120 Clients abdecken müsst, wäre dass ja annähernd ein /25er Netz, somit wäre

    External subnet IP: 4.3.2.1
    Internal IP
    Type: network
    Address: 10.20.30.1/25

    würde dann genau dein Problem anpacken. Damit wäre 4.3.2.1 die Start-IP für ein /25er Netz, dass dann 1:1 auf den Netzwerkblock 10.20.30.1/25 gemappt wird.

    Wenn es mit den IP/Netz Boundaries nicht klappt, wird das Ganze dann leider etwas "häßlicher", da man die Subnetze aufsplitten müsste.

    Beispiel: 10.20.30.5-125 würde

    10.20.30.5/32
    10.20.30.6/31
    10.20.30.8/29
    10.20.30.16/28
    10.20.30.32/27
    10.20.30.64/27
    10.20.30.96/28
    10.20.30.112/29
    10.20.30.120/30
    10.20.30.124/31

    ergeben. Nicht wirklich schön, aber immerhin müsste man somit keine 120 1:1 Einträge definieren.
    Bei den Firewall Regeln ist es wieder einfacher, da hier Aliase eingesetzt werden können, da kannst du problemlos dann ein Alias mit krummen Boundaries nutzen und das mit einer Regel erschlagen :)

    Grüße



  • Hallo Jens,

    danke für die Schnelle Antwort, also müsste ich auf der Konfigurationsseite für das 1:1 NAT unter "External subnet IP" die erste IP angeben die ich auf der Außenseite benutzen will.  Diese muss ich als virtuelle IP anlegen oder ist das in diesem Fall unnötig ? Bei den 1:1 Maps für den Exchange Server muss ich ja virtuelle IPs anlegen,sonst sind diese nicht von "außen" erreichbar. Ich möchte eben dann nicht 120 virtuelle IP von Hand anlegen….

    Gruß
    Thomas


  • Moderator

    Diese muss ich als virtuelle IP anlegen oder ist das in diesem Fall unnötig ?

    Hängt davon ab, ob du das externe Subnetz, dass du da BiNATten willst geroutet bekommst oder der Uplink dir hier nur ein Gateway bietet. Bekommst dus auf eine IP geroutet, muss es nicht als VIPs aufgelegt werden (das ist der Charme von Routing :)), ansonsten leider schon.
    Evtl. klappt es mit dem Type "Other", da bin ich mir aber unsicher.



  • @JeGr:

    Hängt davon ab, ob du das externe Subnetz, dass du da BiNATten willst geroutet bekommst oder der Uplink dir hier nur ein Gateway bietet. Bekommst dus auf eine IP geroutet, muss es nicht als VIPs aufgelegt werden (das ist der Charme von Routing :)), ansonsten leider schon.
    Evtl. klappt es mit dem Type "Other", da bin ich mir aber unsicher.

    Hallo Jens,

    das externe Subnetz wird nicht auf eine IP geroutet, da spätestens wenn Du wenn Du 2 WAN-Leitungen hast das nicht mehr sauber funktioniert. Bzw. mir es dann so ging das Upload auf WAN-1 kam und Download auf WAN-2. Bzw. ich die über Routing Gruppen bei Ausfall einer Leitung noch das Interface/Routing auf die andere Leitung drehe.

    Gruß
    Thomas


  • Moderator

    wenn Du 2 WAN-Leitungen hast das nicht mehr sauber funktioniert

    Ich könnte jetzt böse "doch" sagen, aber dann sprechen wir von OSPF oder BGP und das meinst du sehr wahrscheinlich nicht ;)

    Allerdings bringt das doch so oder so nichts - wenn die Adressen nicht geroutet sind, müssten ja beide Leitungen im gleichen Netz stehen um die sinnvoll nutzen zu können? Egal, um MultiWAN ging es ja nicht. Zu deiner ursprünglichen Frage bleibt dann leider nur der "harte" Weg, die IPs als VIPs anzulegen oder mal zu versuchen, ob Other mit einer Netzdefinition + 1:1 NAT funktioniert. Hatte diese Konstellation leider noch nirgends.

    Grüße



  • Hallo alle zusammen,

    Ich hole das mal wieder nach oben, das ganze wird langsam ernst….. Ich habe mal Skizziert um was  es geht und wie ich das in der pfSense konfiguriert habe....
    Ich muss also für den Bereich 10.33.34.50-254 ein BINAT machen auf die 10.60.62.50-254 - weil ein Serverdienst im Geschlossenem Sachsen-weitem Netzwerk mit NAT nicht umgehen kann und die Clients sonst nicht sieht. Dazu kommt noch das alle Anfragen an den zentralen Proxy über das ADSL Interface erfolgen sollen. Ohne BINAT
    ist das alles kein Thema und schon einige male im Einsatz... Aber mit - da muss ich doch mal um Hilfe bitten....

    Gruß
    Thomas