lordxearo
Goto Top

Pfsense, Virtual IP mit NAT und DMZ Host

Hallo zusammen,

ich könnte etwas Hilfe bei der einrichtung der pfsense gebrauchen.

Am WAN Port stehen mir zwei IP Adressen zur Verfügung. Diese liegen allerdings in unterschiedlichen Netzen.

WAN-Port (Beispiel)
IP: 10.1.1.2/24
Gateway: 10.1.1.1

Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt

IP: 10.1.2.2/24
Gateway: 10.1.2.1

Diese IP habe ist als Virutal IP auch dem WAN Interface zugeordnet.

Ich möchte nun, dass am DMZ Port (opt1) der Host über dem Gateway der Virtuel IP senden und empfangen kann. Hier sehe ich nur die Möglichkeit das Gateway über die Friewall regeln zu steuern.
Ob 1:1 NAT oder Port Forwarding ist nicht wichtig. Auf dem Host am DMZ Port läuft auch ein Webserver mit Port 443. Dieser soll von extern über die Virtual IP zu erreichen sein. Könnte das Probleme, wenn die pfsense auch noch auf Port 443 horcht?

Wenn noch etwas unklar ist kann ich auch gerne eine Zeichnung anfertigen.

Gruß

Xearo

Content-ID: 302180

Url: https://administrator.de/contentid/302180

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

aqui
aqui 18.04.2016 um 13:34:39 Uhr
Goto Top
Ein paar Dinge deiner Schilderung sind verwirrend...
WAN-Port (Beispiel), IP: 10.1.1.2/24, Gateway: 10.1.1.1
OK, kein Thema...simpler Klassiker
Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
Das ist irgendwie Blödsinn, denn das Standardgateway für Endgeräte an der LAN Schnittstelle ist IMMER die dortige Firewall IP !!!
Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!
IP: 10.1.2.2/24 Gateway: 10.1.2.1
Auch das ist eine mögliche gültige IP für den WAN Port ??!

Dazu 2 Dinge:
Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.
Du hast 2 Möglichkeiten das zu lösen:
Alles andere wird kritisch und unsauber...
LordXearo
LordXearo 18.04.2016 aktualisiert um 14:39:10 Uhr
Goto Top
Zitat von @aqui:
WAN-Port (Beispiel), IP: 10.1.1.2/24, Gateway: 10.1.1.1
OK, kein Thema...simpler Klassiker
Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
Das ist irgendwie Blödsinn, denn das Standardgateway für Endgeräte an der LAN Schnittstelle ist IMMER die dortige Firewall IP !!!
Richtig
Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!

Da habe ich mist erzählt. Was ich meinte ist, dass die PFSense ein Standardgateway ins Internet kennt, welches am WAN Port hängt. Zusätzliche habe ich noch das zweite Gateway eingerichtet, welches zur Virtual IP gehört.

Der Firma stehen halt zwei freie IP-Adresse zur Verfügung, die leider nicht in einem Netzwerksegment liegen (wie in meinem Beispiel erwähnt)

IP: 10.1.2.2/24 Gateway: 10.1.2.1
Auch das ist eine mögliche gültige IP für den WAN Port ??!


Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.

Der ISP hat in der Firma einen Switch reingesetzt, von dem ein Kabel zur PfSense an die WAN-Schnittstelle geht. Ich komme auch mit beiden IP-Adresse und dem jeweiligen Gateway an der PFSense raus, dass habe ich über die Diagnostik Bordmittel getestet.

Über NAT/Portforwarding habe ich die Virtual IP als Destination angegeben, und als Ziel die interne IP des Hosts genommen, der in der DMZ hängt.

Über NAT / Outbound, habe ich die IP des DMZ Host genommen und diese mit der Virtual IP gemappt.

Das klappt auch soweit. Ich kann nur nicht für die NAT-Regeln, die entsprechende Firewall / WAN Regel, das Gateway zur Virtual IP angeben, dann funktioniert es nicht.

Es funktioniert wohl in die andere richtung, vom Host aus der DMZ ins Internet nimmt er das Gateway zur Virtual IP.

Edit: Mit der konstellation bin ich schon mehr oder weniger zufrieden. Allerdings klappt es nicht mit Port 443.

Edit 2: Ok Port 443 klappt nicht, weil es da schon einge weiterleitung für einen anderen Host im LAN Segment gibt.
aqui
Lösung aqui 18.04.2016 aktualisiert um 15:40:31 Uhr
Goto Top
Der Firma stehen halt zwei freie IP-Adresse zur Verfügung, die leider nicht in einem Netzwerksegment liegen (wie in meinem Beispiel erwähnt)
Dann ist das so nicht möglich, dann musst du mit Dual WAN Port arbeiten oder musst vor die Firewall noch einen Router bringen der beide Segmente bedienen kann.
Der ISP hat in der Firma einen Switch reingesetzt, von dem ein Kabel zur PfSense an die WAN-Schnittstelle geht.
OK, aber der ISP wird niemals auf einem L2 Switch zwei IP Netze in einer gemeinsamen Collision Domain fahren, sprich mit 2 separaten IP Netzen auf einem gemeinsamen Draht arbeiten.
Das wäre gegen jeden TCP/IP Standard und hat er mit Sicherheit nicht gemacht.
Wenn doch, such dir sofort einen anderen ISP !!
Es ist auch vollkommen unüblich, würde das stimmen. Normal bekommt man immer ein kleines Subnetz. 2 separate öffentliche IP Netze erfordern dann auch einen Router oder Dual WAN.
Die Problem resultieren daraus das niemals 2 IP Netze auf einem Draht sein können...
LordXearo
LordXearo 18.04.2016 um 16:01:39 Uhr
Goto Top
Es wird wohl ein L3-Switch sein mit Subinterfaces ?!

Wie dem auch sei, ich denke ich weiss was jetzt zu tun ist.

Danke Dir.
aqui
aqui 19.04.2016 um 09:20:58 Uhr
Goto Top
Es wird wohl ein L3-Switch sein mit Subinterfaces ?!
Das, und nur das oder Router, würde Sinn machen.
Um genaueres zu antworten müsste man dann die Konfig dieses Switches kennen ?!
ich denke ich weiss was jetzt zu tun ist.
Das hört sich gut an...! Dann sind wir mal gespannt auf die Lösung ?!
LordXearo
LordXearo 19.04.2016 um 12:54:19 Uhr
Goto Top
Ich habe jetzt erstmal eine unschöne Lösung. Das sollte jetzt so bleiben bis Firma einen größeren IP-Adressraum bekommt. (Da zwei Adressen in nahe Zukunft ohnehin nicht reichen)


Über die zweite IP-Adresse wird einfach ein NAT mit den Ports 8080 und 5443 auf den DMZ Host gemacht.
Das funktioniert so. Er kann auch unterscheiden, von welcher IP die Anfrage gemacht wurde. Das ist wichtig, da auf der ersten IP auch Portforwarding gemacht wird, teils auf identischen Ports.

Was nun nicht funktioniert.....ist die Weiterleitung von Port 443 zum DMZ Host. Dabei ist die Konfguration eigentlich identisch wie bei den anderen Ports. Mit der WAN Adress zum Exchange Server, der an der LAN Schnittstelle hängt funktioniert das. Den WebConfigurator habe ich testweise auch auf einen anderen Port geschaltet, und auch die "redirect rule" deaktiviert.

Ich habe auch probiert, eine Weiterleitung über Port 443 Extern, nach Port 5443 intern. Dabei habe ich auch mit Outgoing NAT einiges getestet, alles ohne Erfolg.
pfsense, pat
LordXearo
LordXearo 21.04.2016 aktualisiert um 13:20:25 Uhr
Goto Top
Hier habe ich auch meine Frage eingestellt und bin nun zu einer Lösung gekommen.

https://forum.pfsense.org/index.php?topic=110429.0

Um er kurz zu sagen, dass Sicherheitszertifikat hatte so einen bescheurten CN, dass Firefox und Internet Explorer einfach gar nichts angezeigt haben. Erst als ich es mal mit dem Safari am Iphone oder dem Android Browser probiert habe, konnte ich sehen dass die Webseite eigentlich doch erreichbar ist.