Zu blöd für ein einfaches inbound-nat



  • Hallo zusammen,

    Ich möchte meine m0n0wall ablösen, die in der nachfolgenden Konfiguration zwar läuft, aber mich nicht zufrieden stellt.
    meine Infrastruktur ist wie folgt.
    hab eine feste IP von meinem ISP. Diese terminiert an einem Netgear FVS338 in meinem privaten Subnetz 10.1.1.0/24. Dahinter steckt ein ESXi-Hypervisor der intern zwei VLANs hat.
    VLAN0 ist mein privates Subnetz 10.47.211.0/24
    VLAN1 ist ein weiteres privates Subnetz 192.168.47.0/24

    die pfSense hat logischerweise zwei Nics, eine in VLAN0 (WAN) und einen in VLAN1 (LAN)

    Die Konfiguration ist demnach so:
    WAN-IP: 10.47.211.3
    GW: 10.47.211.254

    LAN-IP: 192.168.47.3
    kein DHCP-Server aktiv.

    Nun zu meiner eigentlichen Frage: Bin ich zu blöd für ein einfaches Inbound-NAT?
    Im VLAN1 steht ein Webserver (192.168.47.23), der übers Internet erreichbar sein soll. Also bin ich in der pfSense hergegangen und habe unter Firewall NAT ein Inbound-NAT erstellt:
    WAN, TCP, *, *, WAN-Address, 80, ,192.168.47.23,80

    die Regel in Firewall wurde auch eingerichtet, aber es funktioniert nicht. Sprich, der Webserver ist nicht erreichbar. Klemm ich aber die identisch konfigurierte m0n0wall wieder hoch, dann funktioniert alles.
    Habe auch temporär mal versucht, eine nackige pfSense mit der Konfig der funktionierenden m0n0 zu füttern, in der Hoffnung, dass es dann funktioniert, hat es aber auch nicht. Nun habe ich wieder eine jungfräuliche pfSense, aber das Inbound Nat bekomme ich nicht zum Laufen.

    Kann es daran liegen, dass ich auf der WAN-Seite ebenfalls ein privates IP-Subnetz verwende? Und wenn ja, wie kann ich das trotzdem zum laufen kriegen?

    Vielen lieben Dank für einen Schubs in die richtige Richtung

    Gruß
    Markus



  • Hallo,

    das mit dem privaten Subnetz am WAN kann nur insofern ein Problem sein, als du nicht in der Interface-Konfig. den Haken bei "Block private networks" rausgenommen hast.

    Ansonsten, eine NAT Regel erlaubt auch den Traffic nur, wenn du das in der Regel bei "Filter rule association" auch entsprechend ausgewählt hast.

    Grüße



  • Hallo Viragomann,

    erstmal Dankeschön für Deine Antwort.
    "block private Networks" im WAN-Interface ist kein Haken drin.
    in der Advanced Konfig habe ich "NAT Reflection mode for port Forwards" auf NAT+Proxy gestellt, sowie in der NAT-Regel NAT-Reflection auf NAT+Proxy

    Gruß
    Markus



  • NAT reflection + proxy macht den Host nur vom LAN aus über die externe IP erreichbar. Sinnvoll bspw. wenn du kein internes DNS hast. In deinem Fall sehe ich allerdings keinen Sinn darin, weil damit der Webserver nur über die WAN IP erreichbar ist, die aber eine private Adresse ist und nicht im öffentlichen DNS steht.
    Für den Fehler kann das aber auch nicht verantwortlich sein.

    In der NAT Regel darf bei ""Filter rule association" nicht "none" ausgewählt sein. Überprüft?

    Ansonsten ist ein häufiger Fehler bei einer Neu-Einrichtung, das das Default-Gateway auf den LAN Hosts nicht richtig gesetzt ist.

    Von der ESXi-Seiter her ist alles in Ordnung. Ggf. das Packet Capture Tool einsetzen, um der Sache auf den Grund zu gehen.



  • "Filter rule association" steht auf "Name der Regel"
    Default-Gateway passt auch



  • Hat Deine pfSense die gleiche IP-Adresse (zum Netgear) wie die Monowall? Kommt der für den Webserver bestimmte Traffic auf der pfSense überhaupt an?

    Taucht dann im Firewall-Log was auf?

    (Evtl. mußt Du Dir eine Default-Block-Regel manuell anlegen, damit Du das Loggin dazu aktivieren kannst.)


Log in to reply