7
Pfsense, Virtual IP mit NAT und DMZ Host
Hallo zusammen,
ich könnte etwas Hilfe bei der einrichtung der pfsense gebrauchen.
Am WAN Port stehen mir zwei IP Adressen zur Verfügung. Diese liegen allerdings in unterschiedlichen Netzen.
WAN-Port (Beispiel)
IP: 10.1.1.2/24
Gateway: 10.1.1.1
Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
IP: 10.1.2.2/24
Gateway: 10.1.2.1
Diese IP habe ist als Virutal IP auch dem WAN Interface zugeordnet.
Ich möchte nun, dass am DMZ Port (opt1) der Host über dem Gateway der Virtuel IP senden und empfangen kann. Hier sehe ich nur die Möglichkeit das Gateway über die Friewall regeln zu steuern.
Ob 1:1 NAT oder Port Forwarding ist nicht wichtig. Auf dem Host am DMZ Port läuft auch ein Webserver mit Port 443. Dieser soll von extern über die Virtual IP zu erreichen sein. Könnte das Probleme, wenn die pfsense auch noch auf Port 443 horcht?
Wenn noch etwas unklar ist kann ich auch gerne eine Zeichnung anfertigen.
Gruß
Xearo
ich könnte etwas Hilfe bei der einrichtung der pfsense gebrauchen.
Am WAN Port stehen mir zwei IP Adressen zur Verfügung. Diese liegen allerdings in unterschiedlichen Netzen.
WAN-Port (Beispiel)
IP: 10.1.1.2/24
Gateway: 10.1.1.1
Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
IP: 10.1.2.2/24
Gateway: 10.1.2.1
Diese IP habe ist als Virutal IP auch dem WAN Interface zugeordnet.
Ich möchte nun, dass am DMZ Port (opt1) der Host über dem Gateway der Virtuel IP senden und empfangen kann. Hier sehe ich nur die Möglichkeit das Gateway über die Friewall regeln zu steuern.
Ob 1:1 NAT oder Port Forwarding ist nicht wichtig. Auf dem Host am DMZ Port läuft auch ein Webserver mit Port 443. Dieser soll von extern über die Virtual IP zu erreichen sein. Könnte das Probleme, wenn die pfsense auch noch auf Port 443 horcht?
Wenn noch etwas unklar ist kann ich auch gerne eine Zeichnung anfertigen.
Gruß
Xearo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302180
Url: https://administrator.de/contentid/302180
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Ein paar Dinge deiner Schilderung sind verwirrend...
Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!
Dazu 2 Dinge:
Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.
Du hast 2 Möglichkeiten das zu lösen:
WAN-Port (Beispiel), IP: 10.1.1.2/24, Gateway: 10.1.1.1
OK, kein Thema...simpler KlassikerDas Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
Das ist irgendwie Blödsinn, denn das Standardgateway für Endgeräte an der LAN Schnittstelle ist IMMER die dortige Firewall IP !!!Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!
IP: 10.1.2.2/24 Gateway: 10.1.2.1
Auch das ist eine mögliche gültige IP für den WAN Port ??!Dazu 2 Dinge:
Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.
Du hast 2 Möglichkeiten das zu lösen:
- Ein DMZ Interface an der pfSense einzurichtenb mit dem 2ten Netz ohne Masquerading sofern das nicht erforderlich ist (öffentliche IP)
- Ein Dual WAN Port Design zu machen: https://doc.pfsense.org/index.php/Multi-WAN
Zitat von @aqui:
RichtigWAN-Port (Beispiel), IP: 10.1.1.2/24, Gateway: 10.1.1.1
OK, kein Thema...simpler KlassikerDas Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
Das ist irgendwie Blödsinn, denn das Standardgateway für Endgeräte an der LAN Schnittstelle ist IMMER die dortige Firewall IP !!!Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!
Da habe ich mist erzählt. Was ich meinte ist, dass die PFSense ein Standardgateway ins Internet kennt, welches am WAN Port hängt. Zusätzliche habe ich noch das zweite Gateway eingerichtet, welches zur Virtual IP gehört.
Der Firma stehen halt zwei freie IP-Adresse zur Verfügung, die leider nicht in einem Netzwerksegment liegen (wie in meinem Beispiel erwähnt)
IP: 10.1.2.2/24 Gateway: 10.1.2.1
Auch das ist eine mögliche gültige IP für den WAN Port ??!Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.
Der ISP hat in der Firma einen Switch reingesetzt, von dem ein Kabel zur PfSense an die WAN-Schnittstelle geht. Ich komme auch mit beiden IP-Adresse und dem jeweiligen Gateway an der PFSense raus, dass habe ich über die Diagnostik Bordmittel getestet.
Über NAT/Portforwarding habe ich die Virtual IP als Destination angegeben, und als Ziel die interne IP des Hosts genommen, der in der DMZ hängt.
Über NAT / Outbound, habe ich die IP des DMZ Host genommen und diese mit der Virtual IP gemappt.
Das klappt auch soweit. Ich kann nur nicht für die NAT-Regeln, die entsprechende Firewall / WAN Regel, das Gateway zur Virtual IP angeben, dann funktioniert es nicht.
Es funktioniert wohl in die andere richtung, vom Host aus der DMZ ins Internet nimmt er das Gateway zur Virtual IP.
Edit: Mit der konstellation bin ich schon mehr oder weniger zufrieden. Allerdings klappt es nicht mit Port 443.
Edit 2: Ok Port 443 klappt nicht, weil es da schon einge weiterleitung für einen anderen Host im LAN Segment gibt.
Der Firma stehen halt zwei freie IP-Adresse zur Verfügung, die leider nicht in einem Netzwerksegment liegen (wie in meinem Beispiel erwähnt)
Dann ist das so nicht möglich, dann musst du mit Dual WAN Port arbeiten oder musst vor die Firewall noch einen Router bringen der beide Segmente bedienen kann.Der ISP hat in der Firma einen Switch reingesetzt, von dem ein Kabel zur PfSense an die WAN-Schnittstelle geht.
OK, aber der ISP wird niemals auf einem L2 Switch zwei IP Netze in einer gemeinsamen Collision Domain fahren, sprich mit 2 separaten IP Netzen auf einem gemeinsamen Draht arbeiten.Das wäre gegen jeden TCP/IP Standard und hat er mit Sicherheit nicht gemacht.
Wenn doch, such dir sofort einen anderen ISP !!
Es ist auch vollkommen unüblich, würde das stimmen. Normal bekommt man immer ein kleines Subnetz. 2 separate öffentliche IP Netze erfordern dann auch einen Router oder Dual WAN.
Die Problem resultieren daraus das niemals 2 IP Netze auf einem Draht sein können...
Es wird wohl ein L3-Switch sein mit Subinterfaces ?!
Wie dem auch sei, ich denke ich weiss was jetzt zu tun ist.
Danke Dir.
Wie dem auch sei, ich denke ich weiss was jetzt zu tun ist.
Danke Dir.
Es wird wohl ein L3-Switch sein mit Subinterfaces ?!
Das, und nur das oder Router, würde Sinn machen.Um genaueres zu antworten müsste man dann die Konfig dieses Switches kennen ?!
ich denke ich weiss was jetzt zu tun ist.
Das hört sich gut an...! Dann sind wir mal gespannt auf die Lösung ?!
Ich habe jetzt erstmal eine unschöne Lösung. Das sollte jetzt so bleiben bis Firma einen größeren IP-Adressraum bekommt. (Da zwei Adressen in nahe Zukunft ohnehin nicht reichen)
Über die zweite IP-Adresse wird einfach ein NAT mit den Ports 8080 und 5443 auf den DMZ Host gemacht.
Das funktioniert so. Er kann auch unterscheiden, von welcher IP die Anfrage gemacht wurde. Das ist wichtig, da auf der ersten IP auch Portforwarding gemacht wird, teils auf identischen Ports.
Was nun nicht funktioniert.....ist die Weiterleitung von Port 443 zum DMZ Host. Dabei ist die Konfguration eigentlich identisch wie bei den anderen Ports. Mit der WAN Adress zum Exchange Server, der an der LAN Schnittstelle hängt funktioniert das. Den WebConfigurator habe ich testweise auch auf einen anderen Port geschaltet, und auch die "redirect rule" deaktiviert.
Ich habe auch probiert, eine Weiterleitung über Port 443 Extern, nach Port 5443 intern. Dabei habe ich auch mit Outgoing NAT einiges getestet, alles ohne Erfolg.
Über die zweite IP-Adresse wird einfach ein NAT mit den Ports 8080 und 5443 auf den DMZ Host gemacht.
Das funktioniert so. Er kann auch unterscheiden, von welcher IP die Anfrage gemacht wurde. Das ist wichtig, da auf der ersten IP auch Portforwarding gemacht wird, teils auf identischen Ports.
Was nun nicht funktioniert.....ist die Weiterleitung von Port 443 zum DMZ Host. Dabei ist die Konfguration eigentlich identisch wie bei den anderen Ports. Mit der WAN Adress zum Exchange Server, der an der LAN Schnittstelle hängt funktioniert das. Den WebConfigurator habe ich testweise auch auf einen anderen Port geschaltet, und auch die "redirect rule" deaktiviert.
Ich habe auch probiert, eine Weiterleitung über Port 443 Extern, nach Port 5443 intern. Dabei habe ich auch mit Outgoing NAT einiges getestet, alles ohne Erfolg.
Hier habe ich auch meine Frage eingestellt und bin nun zu einer Lösung gekommen.
https://forum.pfsense.org/index.php?topic=110429.0
Um er kurz zu sagen, dass Sicherheitszertifikat hatte so einen bescheurten CN, dass Firefox und Internet Explorer einfach gar nichts angezeigt haben. Erst als ich es mal mit dem Safari am Iphone oder dem Android Browser probiert habe, konnte ich sehen dass die Webseite eigentlich doch erreichbar ist.
https://forum.pfsense.org/index.php?topic=110429.0
Um er kurz zu sagen, dass Sicherheitszertifikat hatte so einen bescheurten CN, dass Firefox und Internet Explorer einfach gar nichts angezeigt haben. Erst als ich es mal mit dem Safari am Iphone oder dem Android Browser probiert habe, konnte ich sehen dass die Webseite eigentlich doch erreichbar ist.
