OPNSense routing

Mitglied: Finnis

Finnis (Level 1) - Jetzt verbinden

08.04.2019 um 00:12 Uhr, 2588 Aufrufe, 12 Kommentare

Hallo liebe Mitglieder,

Ich habe ein Problem mit meiner OPNSense Installation:
Alle meine Virtuelle Maschinen können mit NAT 1:1 erreicht werden von außen aber wenn ich nun von einer VM meiner Instanz auf sich selbst mit externer IP zugreifen möchte landet dies im nichts das gleiche passiert auch wenn ich mit dieser VM eine andere VM auf der gleichen Server Instanz erreichen möchte.
Traceroute:

root@Finnis:/home# traceroute ###.##.###.##
traceroute to ###.##.###.## (###.##.###.##), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

IP Adressen sind unkendlich gemacht.

zur Config diese sieht nun so aus:
Virtuelle IPs
https://administrator.de/images/c/1/5/761aeaa77a61cae478af3336ba38eb05.j ...

DHCP
https://administrator.de/images/c/1/5/3ce562ed945669c12739b107f7085d94.j ...

NAT 1:1
https://administrator.de/images/c/1/5/44beb768f4b66102f8b2ade2489a2573.j ...

Alles ist vom Netz(extern) so erreichbar wie es sein soll nur leider intern nicht.
Zusätzlich funktioniert (127.0.0.1).

Falls ihr noch weitere Infos bracht schreibt dies bitte.

Danke für die hilfe!
Finnis
download - Klicke auf das Bild, um es zu vergrößernrtqckv4sr36b-syfjbztlw - Klicke auf das Bild, um es zu vergrößerndownload (1) - Klicke auf das Bild, um es zu vergrößern
Mitglied: certifiedit.net
08.04.2019 um 00:30 Uhr
Hallo,

sind das denn externe oder interne IP Adressen? Durch die unkenntlich(!) machung kann man dazu nur so kaum etwas sagen und der Tracert bringt uns so auch kaum was :-) face-smile

VG
Bitte warten ..
Mitglied: Finnis
08.04.2019 um 00:39 Uhr
das sind externe IP Adressen
Bitte warten ..
Mitglied: certifiedit.net
08.04.2019, aktualisiert um 00:44 Uhr
warum dann ein nat?

Denk das nochmals durch und prüf die gesamte Konfiguration. Außerdem, nebenbei, korrigiere bitte mal die Tippfehler.
Bitte warten ..
Mitglied: Spirit-of-Eli
LÖSUNG 08.04.2019, aktualisiert um 07:46 Uhr
Moin,

ohne die Adressen zu können klingt das Konzept schon konfus.

Über das WAN interface sind interne Ressourcen (von intern!) erstmal nicht erreichbar. Das funktioniert über split DNS, Port Forwarding oder Hairpin NAT. Letzteres würde ich bevorzugen da es meine ich auch bei der OpenSense nur ein Schalter ist.

Wie Kollege @certifiedit.net schon sagte, solltest du das Konstrukt über denken. Oder handelt es sich hier schlicht um ein Doppel NAT und die Büchse hängt nicht im Internet?

Gruß
Spirit
Bitte warten ..
Mitglied: aqui
08.04.2019, aktualisiert um 10:31 Uhr
auf sich selbst mit externer IP zugreifen möchte landet dies im nichts
Das ist wie oben schon gesagt NAT Hairpinning !
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das musst du erst im Setup der FW aktivieren sonst geht das nicht aus den im Mikrotik Tutorial erklärten Gründen !
Geht im Advance Setup (Beispiel pfSense):

natref - Klicke auf das Bild, um es zu vergrößern

Es gilt aber was oben schon mehrfach zu Recht gesagt wurde. Das Design ist ziemlich krank und solltest du in der Tat dringenst überdenken !
Bitte warten ..
Mitglied: Lochkartenstanzer
08.04.2019, aktualisiert um 10:47 Uhr
Zitat von aqui:

Es gilt aber was oben schon mehrfach zu Recht gesagt wurde. Das Design ist ziemlich krank und solltest du in der Tat dringenst überdenken !


Naja, das kann schon notwendig sein, wenn der Provider das /28-30 statt über ein Transfernetz direkt am Providerrouter rausfallen läßt. Dann muß man an der Firewall proxy-arp und 1:1 NAT konfigurieren, um die die IP-Adressen "hinter" die Firewall zu bekommen. Unitymedia (Früher KabelBW) ist z.B. so ein Spezialist, der einem 4 einzelne Adressen gibt statt ein /29 über ein Transfernetz. Da hilft auch kein strampeln, treten und beißen. Die "machen das halt so". Manche Kunden zählen halt die Arbeitszeit und Produktivität der Mitarbeiter, die dann solchen Mist umgehen müssen nicht mit in der Kalkulation beim Vergleich zwischen "ordentlichem" Provider und Billigprovider.

lks
Bitte warten ..
Mitglied: aqui
08.04.2019 um 10:55 Uhr
der einem 4 einzelne Adressen gibt
Die dann aber in einem Netz ?!
Auf der FW arbeitet man dann mit Aliases (pfSense) das wäre ja dann nicht das Problem. Jedenfalls nicht solange die FW WAN IP ind die restlichen vom Provider vergebenen IPs in einem gemeinsamen Subnetz liegen.
Wenn nicht, wäre das in der Tat dann natürlich schon recht krank vom Provider.
Bitte warten ..
Mitglied: certifiedit.net
08.04.2019 um 10:57 Uhr
Sorry, so wie sich mir das darstellt ist das komplett falsch (und unnötig) geplant. Wenn er von extern diese festen IPs hat, dann soll er die eben auf die internen IPs natten und nicht intern (so siehts aus) diesselben externen ips nutzen.

Vielleicht wäre ein Profi hier angebracht. (mal schauen, ob das durch die Zensur geht).
Bitte warten ..
Mitglied: aqui
08.04.2019 um 11:09 Uhr
Sollte, denn wir sind ja alle Profis hier in einem Administrator Forum, oder ??? <img class=(|) face-monkey">
Bitte warten ..
Mitglied: certifiedit.net
08.04.2019 um 11:12 Uhr
Aber das Problem sitzt vor der Konzeption und nicht im Admin-Forum. ;-) face-wink
Bitte warten ..
Mitglied: aqui
08.04.2019 um 11:14 Uhr
Da hast du natürlich absolut Recht....! ;-) face-wink
Bitte warten ..
Mitglied: Lochkartenstanzer
08.04.2019, aktualisiert um 11:19 Uhr
Zitat von aqui:

der einem 4 einzelne Adressen gibt
Die dann aber in einem Netz ?!

Weiß ich nicht genau, ich habe'meinen Kunden immer davon abgeraten. Die meisten haben dann einen "ordentlicheren" Provider genommen (sofern man Telekom mit Businessvertrag als das bezeichnen kann),.

Auf der FW arbeitet man dann mit Aliases (pfSense) das wäre ja dann nicht das Problem. Jedenfalls nicht solange die FW WAN IP ind die restlichen vom Provider vergebenen IPs in einem gemeinsamen Subnetz liegen.
Wenn nicht, wäre das in der Tat dann natürlich schon recht krank vom Provider.

Von Unitymedia habe ich schon diverse Sachen gehört, die "krank" sind.

lks
Bitte warten ..
Heiß diskutierte Inhalte
Firewall
PfSense direkt an Glasfasermodem der Telekom über PPPoE
snah0815Vor 1 TagFrageFirewall24 Kommentare

Hallo Zusammen, nachdem ich die pfSense nun eine Zeit lang in einer Kaskade mit einer Fritzbox 7590 betrieben habe, möchte ich nun gerne die ...

Netzwerkmanagement
TIA568A oder B - Leistungsunterschiede oder egal?
gelöst alboshiroVor 1 TagFrageNetzwerkmanagement15 Kommentare

Hallo Zusammen, ich bin aktuell im Hausbau und habe in jedem Zimmer ein RJ45 CAT7 Ethernetkabel für jeden Raum verlegt. Jetzt müsste ich die ...

Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 20 StundenFrageInternet24 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

LAN, WAN, Wireless
WLAN-ACCESSPOINT welche soll ich mir kaufen?
samet22Vor 1 TagFrageLAN, WAN, Wireless11 Kommentare

Hallo :) Ich halte mich kurz: Ich möchte mir neue WLAN-Accesspoints für die Firma kaufen da die jetzigen fast 7 Jahre alt sind und ...

Webentwicklung
Wo legt Joomla den Content im Verzeichnis ab ?
MachelloVor 1 TagFrageWebentwicklung17 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Ich benötige Daten aus einer alten Joomla Webseite. Von dieser Webseite habe ich nur das komplette Verzeichnis vom ...

Monitoring
PC Monitoring Software?
TRON06Vor 1 TagFrageMonitoring9 Kommentare

Gibt es eine Monitoring Software (ähnlich wie HWiNFO) mit der man mehrere Computer überwachen kann (CPU auslastung, Festplatte, Temperatur Sensoren) und wo die Daten ...

Netzwerke
DHCP-Probleme nach Switch-Wechsel
gelöst sausi77Vor 1 TagFrageNetzwerke7 Kommentare

Folgendes Problem: - hab meinen Switch gewechselt: vom Zyxel GS1900-24E auf einen Zyxel XGS1930 Seitdem haben mobile Clients (insbesondere auf iOS und Windows-Basis Probleme) ...

Windows 10
Vom Homeoffice auf lokale Dateien zugreifen
SayllesVor 22 StundenFrageWindows 106 Kommentare

Guten Morgen, meine Frau ist im Homeoffice, ihr Arbeitgeber stellt ihr einen Access der unter Server 2016 lauft zur Verfügung. Dieser Remote zugriff funktioniert ...