Paket von WAN an LAN weitergeben



  • Hallo Comunity,

    ich betreibe eine pfSense mit einer WAN Seite (86.x.x.x) und einer LAN Seite (192.x.x.x).
    Diese wurde neu in Betreib genommen. Die Geräte der LAN Seite standen vorher direkt im öffentlichen Netz.
    Die Pakete werden mit NAT von innen nach Außen geroutet, der Verkehr funktioniert einwandfrei.
    Jedoch habe ich noch ein Problem:

    Ein Gerät dass sich nun auf der WAN Seite befindet (192) muss leider seine öffentliche IP (86) behalten.
    Wie muss ich nun die pfSense konfigurieren, damit Pakete die an der WAN Schnittstelle für eben dieses Gerät ankommen, an die LAN Schnittstelle weitergegeben werden.

    Zusammengefasst: Ich muss ein Gerät mit öffentlicher Adresse an der internen Seite betreiben.
    Geht das?

    Für Hilfe wäre ich sehr dankbar.

    Gruss


  • LAYER 8 Moderator

    Ein Gerät dass sich nun auf der WAN Seite befindet (192) muss leider seine öffentliche IP (86) behalten.

    Der Satz macht so keinen Sinn, WAN ist doch nicht 192?
    Außerdem scheint es dann so zu sein, dass ihr mehr als eine Public IP aus 86.x.x.x habt? Ein ganzes Subnetz? Einzelne IPs? Das ist durchaus nicht unrelevant bei der Konfiguration.

    Wie muss ich nun die pfSense konfigurieren, damit Pakete die an der WAN Schnittstelle für eben dieses Gerät ankommen, an die LAN Schnittstelle weitergegeben werden.

    So wie du es weiter oben schon sagst: mit NAT. Nur wahrscheinlich mit 1:1 NAT (oder einem Port Forwarding, je nachdem).

    Zusammengefasst: Ich muss ein Gerät mit öffentlicher Adresse an der internen Seite betreiben.
    Geht das?

    Kurz: ja.

    Grüße
    Jens



  • Hallo Danke für die Antwort.

    Sorry…blöd formuliert. Müsste heißen:
    Eine Gerät das sich auf der WAN seite befand und nun auf die LAN Seite gewechselt ist, muss seine öffentliche Adresse behalten.

    Auf der WAN seite kommt ein Netz öffentlicher IPs mit 255.255.255.248 Subnet an.
    Eine Adresse in diesem Subnet ist fest für das Wechselnde Gerät vergeben.

    Habe bereits versucht es über ein 1:1 NAT zu realsieren. Aber ohne erfolg, eingetragen hatte ich intern wie extern die öffentliche IP.

    Für weitere Hilfe bin ich dankbar.

    Grüße



  • Soweit ich das Thema verstanden habe, sollte dir ein Proxy ARP in dieser speziellen Konstallation weiterhelfen.
    Schau dir die Sache mal an.

    Grüße


  • LAYER 8 Moderator

    Welcher Art bekommt ihr das externe Subnetz an? Wird das geroutet? Habt ihr da ein Default Gateway drin das ihr ansprechen müsst? Wird es geroutet, klappt 1:1 NAT problemlos. Bei einem Netz mit Gateway muss die pfSense erst einmal wissen, dass sie auf die IP reagieren soll. Man muss sie also als zusätzliche Alias IP anlegen. Ist das geschehen, wird eine 1:1 NAT Regel erstellt und danach eine Filterregel. Die Filterregel muss dann aufs WAN und darf als "Ziel" nur die INTERNE Adresse des Geräts haben, NICHT die externe. Grund hierfür ist der Paketfilter, der zuerst die Adresse umschreibt (extern->intern) und dann erst filtert. So muss der Filter also die interne Adresse filtern. Helfen wird in diesem Fall auch der Haken beim Logging der Regel um zu sehen, um sie überhaupt ausgelöst wird oder nicht.

    ProxyArp ist m.E. hier nicht notwendig, da es vollständig um Routing/NATting geht.

    Grüße



  • Hi,
    das externe Subnet kommt als Netz an in dem ein default GW vorhanden ist. Diesen muss die pfsense für allen externen Verkehr ansprechen.
    IP Alias ist jetzt auf dem WAn Interface angelegt. 1:1 NAT Regel ist auch angelegt.

    Das mit der Filterregel verstehe ich jedoch nicht so ganz, da externe und interne Adresse ja identisch sind ?

    Um mich zu erklären:
    An der WAN Seite der pf kommt ein Paket an, welches als Ziel 86.x.x.14 hat. dieses muss durch die Firewall durch, da an der LAN Seite der pf das Gerät mit der Adresse 86.x.x.14 hängt und auf eben diese Pakete wartet. Alle anderen Geräte auf der LAN Seite haben 192.x.x.x Adressen.

    Ein weiterer kurzer Hint wäre nett…
    Danke im Voraus


  • LAYER 8 Moderator

    Das mit der Filterregel verstehe ich jedoch nicht so ganz, da externe und interne Adresse ja identisch sind ?

    Nanu? Ich glaube dann hast du was grundlegendes von 1:1 NAT nicht verstanden. Das ist dazu da, dass deine Kiste jetzt HINTER der Firewall parken kann im privaten Netz mit 192.168er IP und von außen am WAN die externe IP reingereicht bekommt auf diese private IP. Du konfigurierst NICHT die externe IP im internen Netz. Das kann routingtechnisch gar nicht funktionieren, zumal du wie gesagt das Netz aufgelegt bekommst und nicht geroutet (sonst wäre das tatsächlich möglich).

    Wo ist das Problem mit dem Gerät? Kannst du die IP darauf nicht ändern? Oder war das nur ein Verständnisproblem?

    Grüße



  • @JeGr:

    ProxyArp ist m.E. hier nicht notwendig, da es vollständig um Routing/NATting geht.

    Ich wüsste nicht, wie das mit NAT oder Routing zu lösen wäre, wenn die IP Adressen auf WAN und LAN identisch sein sollen.

    @Gator99:

    Das mit der Filterregel verstehe ich jedoch nicht so ganz, da externe und interne Adresse ja identisch sind ?

    Genau dafür hat man Proxy ARP erfunden. So habe ich es jedenfalls verstanden.


  • LAYER 8 Moderator

    Ich wüsste nicht, wie das mit NAT oder Routing zu lösen wäre, wenn die IP Adressen auf WAN und LAN identisch sein sollen.

    Das ist der Punkt den ich anders verstanden hatte ;) Deshalb ja die Nachfrage, ich hatte das irgendwie nicht so herausgelesen. Dann verstehe ich auch dein ProxyARP :)



  • Hi,

    doch…ich verstehe NAT eigentlich schon. Genau deshalb macht die Regel ja auch keinen Sinn für mich. Es gibt ja nichts zu übersetzen.
    Es muss ein paket dass an der Wan seite ankommt quasi transparent an die lan seite weitergegeben werden.

    Denn wie ich versucht habe zu erklären muss ich ein gerät dass vormal auf der WAN seite stand jetzt in der LAN Seite betreiben. Und ich kann an diesem Gerät leider KEINE Änderungen vornehmen. Ist eine Beistellung einer Fremdfirma.

    Ich weiß das dieses Problem ungewöhlich ist...zumal diese Konstellation eigentlich garkeinen Sinn macht.
    Muss aber vorerst leider trotzdem so betrieben werden. Änderungen sind später vielleicht möglich, zur Zeit jedoch leider nicht.

    Deshalb habe ich ja auch auf eine erhellende Antwort von den Fachleuten hier im Forum gehofft.

    Vielleicht denk ich ja auch zu einfach...aber ist es denn nicht irgendwie möglich ein auf Seite A der pfSense eintreffendes Paket gänzlich unverändert auf Seite B wieder auszuspucken?
    Und Rückweg natürlich auch....

    Ich hoffe ich kann verständlich machen was ich meine.

    Danke
    Gruss



  • @Gator99:

    Vielleicht denk ich ja auch zu einfach…aber ist es denn nicht irgendwie möglich ein auf Seite A der pfSense eintreffendes Paket gänzlich unverändert auf Seite B wieder auszuspucken?
    Und Rückweg natürlich auch....

    https://de.wikipedia.org/wiki/Address_Resolution_Protocol#Proxy_ARP
    Beachte den 2. Satz.



  • Klingt vielversprechend. Schau ich mir in der pf an. Danke.



  • Hi,

    ich habe jetzt mal ein bisschen weiter versucht, kann aber keinen Erfolg verbuchen.
    Google und Doku haben mir auch nicht so recht weitergeholfen.

    Wenn mir jemand ein par Grundzüge der Konfiguration posten könnte wäre ich sehr dankbar.

    Gruss


Log in to reply