12
OPNSense routing
Hallo liebe Mitglieder,
Ich habe ein Problem mit meiner OPNSense Installation:
Alle meine Virtuelle Maschinen können mit NAT 1:1 erreicht werden von außen aber wenn ich nun von einer VM meiner Instanz auf sich selbst mit externer IP zugreifen möchte landet dies im nichts das gleiche passiert auch wenn ich mit dieser VM eine andere VM auf der gleichen Server Instanz erreichen möchte.
Traceroute:
IP Adressen sind unkendlich gemacht.
zur Config diese sieht nun so aus:
Virtuelle IPs
DHCP
NAT 1:1
Alles ist vom Netz(extern) so erreichbar wie es sein soll nur leider intern nicht.
Zusätzlich funktioniert (127.0.0.1).
Falls ihr noch weitere Infos bracht schreibt dies bitte.
Danke für die hilfe!
Finnis
Ich habe ein Problem mit meiner OPNSense Installation:
Alle meine Virtuelle Maschinen können mit NAT 1:1 erreicht werden von außen aber wenn ich nun von einer VM meiner Instanz auf sich selbst mit externer IP zugreifen möchte landet dies im nichts das gleiche passiert auch wenn ich mit dieser VM eine andere VM auf der gleichen Server Instanz erreichen möchte.
Traceroute:
root@Finnis:/home# traceroute ###.##.###.##
traceroute to ###.##.###.## (###.##.###.##), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *IP Adressen sind unkendlich gemacht.
zur Config diese sieht nun so aus:
Virtuelle IPs
DHCP
NAT 1:1
Alles ist vom Netz(extern) so erreichbar wie es sein soll nur leider intern nicht.
Zusätzlich funktioniert (127.0.0.1).
Falls ihr noch weitere Infos bracht schreibt dies bitte.
Danke für die hilfe!
Finnis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 438261
Url: https://administrator.de/contentid/438261
Printed on: May 4, 2024 at 15:05 o'clock
12 Comments
Latest comment
Hallo,
sind das denn externe oder interne IP Adressen? Durch die unkenntlich(!) machung kann man dazu nur so kaum etwas sagen und der Tracert bringt uns so auch kaum was
VG
sind das denn externe oder interne IP Adressen? Durch die unkenntlich(!) machung kann man dazu nur so kaum etwas sagen und der Tracert bringt uns so auch kaum was
VG
das sind externe IP Adressen
warum dann ein nat?
Denk das nochmals durch und prüf die gesamte Konfiguration. Außerdem, nebenbei, korrigiere bitte mal die Tippfehler.
Denk das nochmals durch und prüf die gesamte Konfiguration. Außerdem, nebenbei, korrigiere bitte mal die Tippfehler.
Moin,
ohne die Adressen zu können klingt das Konzept schon konfus.
Über das WAN interface sind interne Ressourcen (von intern!) erstmal nicht erreichbar. Das funktioniert über split DNS, Port Forwarding oder Hairpin NAT. Letzteres würde ich bevorzugen da es meine ich auch bei der OpenSense nur ein Schalter ist.
Wie Kollege @certifiedit.net schon sagte, solltest du das Konstrukt über denken. Oder handelt es sich hier schlicht um ein Doppel NAT und die Büchse hängt nicht im Internet?
Gruß
Spirit
ohne die Adressen zu können klingt das Konzept schon konfus.
Über das WAN interface sind interne Ressourcen (von intern!) erstmal nicht erreichbar. Das funktioniert über split DNS, Port Forwarding oder Hairpin NAT. Letzteres würde ich bevorzugen da es meine ich auch bei der OpenSense nur ein Schalter ist.
Wie Kollege @certifiedit.net schon sagte, solltest du das Konstrukt über denken. Oder handelt es sich hier schlicht um ein Doppel NAT und die Büchse hängt nicht im Internet?
Gruß
Spirit
auf sich selbst mit externer IP zugreifen möchte landet dies im nichts
Das ist wie oben schon gesagt NAT Hairpinning !https://wiki.mikrotik.com/wiki/Hairpin_NAT
Das musst du erst im Setup der FW aktivieren sonst geht das nicht aus den im Mikrotik Tutorial erklärten Gründen !
Geht im Advance Setup (Beispiel pfSense):
Es gilt aber was oben schon mehrfach zu Recht gesagt wurde. Das Design ist ziemlich krank und solltest du in der Tat dringenst überdenken !
Zitat von @aqui:
Es gilt aber was oben schon mehrfach zu Recht gesagt wurde. Das Design ist ziemlich krank und solltest du in der Tat dringenst überdenken !
Es gilt aber was oben schon mehrfach zu Recht gesagt wurde. Das Design ist ziemlich krank und solltest du in der Tat dringenst überdenken !
Naja, das kann schon notwendig sein, wenn der Provider das /28-30 statt über ein Transfernetz direkt am Providerrouter rausfallen läßt. Dann muß man an der Firewall proxy-arp und 1:1 NAT konfigurieren, um die die IP-Adressen "hinter" die Firewall zu bekommen. Unitymedia (Früher KabelBW) ist z.B. so ein Spezialist, der einem 4 einzelne Adressen gibt statt ein /29 über ein Transfernetz. Da hilft auch kein strampeln, treten und beißen. Die "machen das halt so". Manche Kunden zählen halt die Arbeitszeit und Produktivität der Mitarbeiter, die dann solchen Mist umgehen müssen nicht mit in der Kalkulation beim Vergleich zwischen "ordentlichem" Provider und Billigprovider.
lks
der einem 4 einzelne Adressen gibt
Die dann aber in einem Netz ?!Auf der FW arbeitet man dann mit Aliases (pfSense) das wäre ja dann nicht das Problem. Jedenfalls nicht solange die FW WAN IP ind die restlichen vom Provider vergebenen IPs in einem gemeinsamen Subnetz liegen.
Wenn nicht, wäre das in der Tat dann natürlich schon recht krank vom Provider.
Sorry, so wie sich mir das darstellt ist das komplett falsch (und unnötig) geplant. Wenn er von extern diese festen IPs hat, dann soll er die eben auf die internen IPs natten und nicht intern (so siehts aus) diesselben externen ips nutzen.
Vielleicht wäre ein Profi hier angebracht. (mal schauen, ob das durch die Zensur geht).
Vielleicht wäre ein Profi hier angebracht. (mal schauen, ob das durch die Zensur geht).
Sollte, denn wir sind ja alle Profis hier in einem Administrator Forum, oder ??? 
Aber das Problem sitzt vor der Konzeption und nicht im Admin-Forum. 
Da hast du natürlich absolut Recht....!
Weiß ich nicht genau, ich habe'meinen Kunden immer davon abgeraten. Die meisten haben dann einen "ordentlicheren" Provider genommen (sofern man Telekom mit Businessvertrag als das bezeichnen kann),.
Auf der FW arbeitet man dann mit Aliases (pfSense) das wäre ja dann nicht das Problem. Jedenfalls nicht solange die FW WAN IP ind die restlichen vom Provider vergebenen IPs in einem gemeinsamen Subnetz liegen.
Wenn nicht, wäre das in der Tat dann natürlich schon recht krank vom Provider.
Wenn nicht, wäre das in der Tat dann natürlich schon recht krank vom Provider.
Von Unitymedia habe ich schon diverse Sachen gehört, die "krank" sind.
lks
