Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wie 1:1 Nat einer IP-Range

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 2 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vegatronic
      last edited by

      Hallo alle zusammen,

      wir setzen pfSense im Kommunalen Umfeld in Sachsen ein, innerhalb des Kommunalen Datennetzes (KDN).
      Dabei nutzen wir die Möglichkeit der virtuellen IP-Adressen + 1:1 NAT um z.B Exchange-Server für die Zentralen E-Mail Gateways erreichbar zu machen. Dies funktioniert auch völlig Problemlos.

      Jetzt habe ich das Problem das ein Dienstleister einen Zentralen Trend-Micro Server innerhalb des Kommunalen Datennetzes stehen hat und dieser natürlich nicht mit Clients umgehen kann die hinter einem NAT liegen.
      Jetzt habe ich keine Lust für 120 Clients die Virtuellen IP-Adressen und das 1:1 NAT für jede IP-Adresse einzeln einzutragen,  kann man dies über eine Range definieren? Die zugehörigen Firewall-Regeln kann ich ja über ein Alias oder so abbilden, das ist unkritisch. Also hat jemand eine Idee dazu?

      Gruß
      Thomas

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo Thomas,

        du kannst in BiNAT Einträgen auch Netzwerke, nicht nur Hosts vergeben.
        Siehe https://doc.pfsense.org/index.php/1:1_NAT

        Der Text unterhalb der "external subnet IP" unter 1:1 NAT beschreibt das ebenfalls:

        Enter the external (usually on a WAN) subnet's starting address for the 1:1 mapping. The subnet mask from the internal address below will be applied to this IP address.

        Wenn ihr also bspw. 120 Clients abdecken müsst, wäre dass ja annähernd ein /25er Netz, somit wäre

        External subnet IP: 4.3.2.1
        Internal IP
        Type: network
        Address: 10.20.30.1/25

        würde dann genau dein Problem anpacken. Damit wäre 4.3.2.1 die Start-IP für ein /25er Netz, dass dann 1:1 auf den Netzwerkblock 10.20.30.1/25 gemappt wird.

        Wenn es mit den IP/Netz Boundaries nicht klappt, wird das Ganze dann leider etwas "häßlicher", da man die Subnetze aufsplitten müsste.

        Beispiel: 10.20.30.5-125 würde

        10.20.30.5/32
        10.20.30.6/31
        10.20.30.8/29
        10.20.30.16/28
        10.20.30.32/27
        10.20.30.64/27
        10.20.30.96/28
        10.20.30.112/29
        10.20.30.120/30
        10.20.30.124/31

        ergeben. Nicht wirklich schön, aber immerhin müsste man somit keine 120 1:1 Einträge definieren.
        Bei den Firewall Regeln ist es wieder einfacher, da hier Aliase eingesetzt werden können, da kannst du problemlos dann ein Alias mit krummen Boundaries nutzen und das mit einer Regel erschlagen :)

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • V
          vegatronic
          last edited by

          Hallo Jens,

          danke für die Schnelle Antwort, also müsste ich auf der Konfigurationsseite für das 1:1 NAT unter "External subnet IP" die erste IP angeben die ich auf der Außenseite benutzen will.  Diese muss ich als virtuelle IP anlegen oder ist das in diesem Fall unnötig ? Bei den 1:1 Maps für den Exchange Server muss ich ja virtuelle IPs anlegen,sonst sind diese nicht von "außen" erreichbar. Ich möchte eben dann nicht 120 virtuelle IP von Hand anlegen….

          Gruß
          Thomas

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Diese muss ich als virtuelle IP anlegen oder ist das in diesem Fall unnötig ?

            Hängt davon ab, ob du das externe Subnetz, dass du da BiNATten willst geroutet bekommst oder der Uplink dir hier nur ein Gateway bietet. Bekommst dus auf eine IP geroutet, muss es nicht als VIPs aufgelegt werden (das ist der Charme von Routing :)), ansonsten leider schon.
            Evtl. klappt es mit dem Type "Other", da bin ich mir aber unsicher.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • V
              vegatronic
              last edited by

              @JeGr:

              Hängt davon ab, ob du das externe Subnetz, dass du da BiNATten willst geroutet bekommst oder der Uplink dir hier nur ein Gateway bietet. Bekommst dus auf eine IP geroutet, muss es nicht als VIPs aufgelegt werden (das ist der Charme von Routing :)), ansonsten leider schon.
              Evtl. klappt es mit dem Type "Other", da bin ich mir aber unsicher.

              Hallo Jens,

              das externe Subnetz wird nicht auf eine IP geroutet, da spätestens wenn Du wenn Du 2 WAN-Leitungen hast das nicht mehr sauber funktioniert. Bzw. mir es dann so ging das Upload auf WAN-1 kam und Download auf WAN-2. Bzw. ich die über Routing Gruppen bei Ausfall einer Leitung noch das Interface/Routing auf die andere Leitung drehe.

              Gruß
              Thomas

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                wenn Du 2 WAN-Leitungen hast das nicht mehr sauber funktioniert

                Ich könnte jetzt böse "doch" sagen, aber dann sprechen wir von OSPF oder BGP und das meinst du sehr wahrscheinlich nicht ;)

                Allerdings bringt das doch so oder so nichts - wenn die Adressen nicht geroutet sind, müssten ja beide Leitungen im gleichen Netz stehen um die sinnvoll nutzen zu können? Egal, um MultiWAN ging es ja nicht. Zu deiner ursprünglichen Frage bleibt dann leider nur der "harte" Weg, die IPs als VIPs anzulegen oder mal zu versuchen, ob Other mit einer Netzdefinition + 1:1 NAT funktioniert. Hatte diese Konstellation leider noch nirgends.

                Grüße

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • V
                  vegatronic
                  last edited by

                  Hallo alle zusammen,

                  Ich hole das mal wieder nach oben, das ganze wird langsam ernst….. Ich habe mal Skizziert um was  es geht und wie ich das in der pfSense konfiguriert habe....
                  Ich muss also für den Bereich 10.33.34.50-254 ein BINAT machen auf die 10.60.62.50-254 - weil ein Serverdienst im Geschlossenem Sachsen-weitem Netzwerk mit NAT nicht umgehen kann und die Clients sonst nicht sieht. Dazu kommt noch das alle Anfragen an den zentralen Proxy über das ADSL Interface erfolgen sollen. Ohne BINAT
                  ist das alles kein Thema und schon einige male im Einsatz... Aber mit - da muss ich doch mal um Hilfe bitten....

                  Gruß
                  Thomas

                  BNAT_pfSense.PNG
                  BNAT_pfSense.PNG_thumb
                  Routing2_Leitungen.png
                  Routing2_Leitungen.png_thumb

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.