Pfsense, Virtual IP mit NAT und DMZ Host

Mitglied: LordXearo

LordXearo (Level 2) - Jetzt verbinden

18.04.2016 um 12:10 Uhr, 3394 Aufrufe, 7 Kommentare

Hallo zusammen,

ich könnte etwas Hilfe bei der einrichtung der pfsense gebrauchen.

Am WAN Port stehen mir zwei IP Adressen zur Verfügung. Diese liegen allerdings in unterschiedlichen Netzen.

WAN-Port (Beispiel)
IP: 10.1.1.2/24
Gateway: 10.1.1.1

Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt

IP: 10.1.2.2/24
Gateway: 10.1.2.1

Diese IP habe ist als Virutal IP auch dem WAN Interface zugeordnet.

Ich möchte nun, dass am DMZ Port (opt1) der Host über dem Gateway der Virtuel IP senden und empfangen kann. Hier sehe ich nur die Möglichkeit das Gateway über die Friewall regeln zu steuern.
Ob 1:1 NAT oder Port Forwarding ist nicht wichtig. Auf dem Host am DMZ Port läuft auch ein Webserver mit Port 443. Dieser soll von extern über die Virtual IP zu erreichen sein. Könnte das Probleme, wenn die pfsense auch noch auf Port 443 horcht?

Wenn noch etwas unklar ist kann ich auch gerne eine Zeichnung anfertigen.

Gruß

Xearo
Mitglied: aqui
18.04.2016 um 13:34 Uhr
Ein paar Dinge deiner Schilderung sind verwirrend...
WAN-Port (Beispiel), IP: 10.1.1.2/24, Gateway: 10.1.1.1
OK, kein Thema...simpler Klassiker
Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
Das ist irgendwie Blödsinn, denn das Standardgateway für Endgeräte an der LAN Schnittstelle ist IMMER die dortige Firewall IP !!!
Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!
IP: 10.1.2.2/24 Gateway: 10.1.2.1
Auch das ist eine mögliche gültige IP für den WAN Port ??!

Dazu 2 Dinge:
Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.
Du hast 2 Möglichkeiten das zu lösen:
  • Ein DMZ Interface an der pfSense einzurichtenb mit dem 2ten Netz ohne Masquerading sofern das nicht erforderlich ist (öffentliche IP)
  • Ein Dual WAN Port Design zu machen: https://doc.pfsense.org/index.php/Multi-WAN
Alles andere wird kritisch und unsauber...
Bitte warten ..
Mitglied: LordXearo
18.04.2016, aktualisiert um 14:39 Uhr
Zitat von @aqui:
WAN-Port (Beispiel), IP: 10.1.1.2/24, Gateway: 10.1.1.1
OK, kein Thema...simpler Klassiker
Das Gateway ist als Standard Gateway definiert und wird von der LAN Schnittstelle genutzt
Das ist irgendwie Blödsinn, denn das Standardgateway für Endgeräte an der LAN Schnittstelle ist IMMER die dortige Firewall IP !!!
Richtig
Das ist also falsch was du da machst oder du hast dich nur gedrückt aus falsch...?!

Da habe ich mist erzählt. Was ich meinte ist, dass die PFSense ein Standardgateway ins Internet kennt, welches am WAN Port hängt. Zusätzliche habe ich noch das zweite Gateway eingerichtet, welches zur Virtual IP gehört.

Der Firma stehen halt zwei freie IP-Adresse zur Verfügung, die leider nicht in einem Netzwerksegment liegen (wie in meinem Beispiel erwähnt)

IP: 10.1.2.2/24 Gateway: 10.1.2.1
Auch das ist eine mögliche gültige IP für den WAN Port ??!


Es kann eigentlich bei einem sauberen und Standard konformen IP Design unmöglich sein das du 2 IP Segmente gemeinsam auf einer Layer 2 Domain, sprich den WAN Port fährst.
Normal ist das im TCP/IP nicht supportet. Deshalb hast du hier schon mal ein generelle Problem, denn wie soll der WAN Port das bedienen ? Ein Port Alias kann immer nur im gleichen IP Netz liegen, was ja auch Sinn macht.

Der ISP hat in der Firma einen Switch reingesetzt, von dem ein Kabel zur PfSense an die WAN-Schnittstelle geht. Ich komme auch mit beiden IP-Adresse und dem jeweiligen Gateway an der PFSense raus, dass habe ich über die Diagnostik Bordmittel getestet.

Über NAT/Portforwarding habe ich die Virtual IP als Destination angegeben, und als Ziel die interne IP des Hosts genommen, der in der DMZ hängt.

Über NAT / Outbound, habe ich die IP des DMZ Host genommen und diese mit der Virtual IP gemappt.

Das klappt auch soweit. Ich kann nur nicht für die NAT-Regeln, die entsprechende Firewall / WAN Regel, das Gateway zur Virtual IP angeben, dann funktioniert es nicht.

Es funktioniert wohl in die andere richtung, vom Host aus der DMZ ins Internet nimmt er das Gateway zur Virtual IP.

Edit: Mit der konstellation bin ich schon mehr oder weniger zufrieden. Allerdings klappt es nicht mit Port 443.

Edit 2: Ok Port 443 klappt nicht, weil es da schon einge weiterleitung für einen anderen Host im LAN Segment gibt.
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.04.2016, aktualisiert um 15:40 Uhr
Der Firma stehen halt zwei freie IP-Adresse zur Verfügung, die leider nicht in einem Netzwerksegment liegen (wie in meinem Beispiel erwähnt)
Dann ist das so nicht möglich, dann musst du mit Dual WAN Port arbeiten oder musst vor die Firewall noch einen Router bringen der beide Segmente bedienen kann.
Der ISP hat in der Firma einen Switch reingesetzt, von dem ein Kabel zur PfSense an die WAN-Schnittstelle geht.
OK, aber der ISP wird niemals auf einem L2 Switch zwei IP Netze in einer gemeinsamen Collision Domain fahren, sprich mit 2 separaten IP Netzen auf einem gemeinsamen Draht arbeiten.
Das wäre gegen jeden TCP/IP Standard und hat er mit Sicherheit nicht gemacht.
Wenn doch, such dir sofort einen anderen ISP !!
Es ist auch vollkommen unüblich, würde das stimmen. Normal bekommt man immer ein kleines Subnetz. 2 separate öffentliche IP Netze erfordern dann auch einen Router oder Dual WAN.
Die Problem resultieren daraus das niemals 2 IP Netze auf einem Draht sein können...
Bitte warten ..
Mitglied: LordXearo
18.04.2016 um 16:01 Uhr
Es wird wohl ein L3-Switch sein mit Subinterfaces ?!

Wie dem auch sei, ich denke ich weiss was jetzt zu tun ist.

Danke Dir.
Bitte warten ..
Mitglied: aqui
19.04.2016 um 09:20 Uhr
Es wird wohl ein L3-Switch sein mit Subinterfaces ?!
Das, und nur das oder Router, würde Sinn machen.
Um genaueres zu antworten müsste man dann die Konfig dieses Switches kennen ?!
ich denke ich weiss was jetzt zu tun ist.
Das hört sich gut an...! Dann sind wir mal gespannt auf die Lösung ?!
Bitte warten ..
Mitglied: LordXearo
19.04.2016 um 12:54 Uhr
Ich habe jetzt erstmal eine unschöne Lösung. Das sollte jetzt so bleiben bis Firma einen größeren IP-Adressraum bekommt. (Da zwei Adressen in nahe Zukunft ohnehin nicht reichen)


Über die zweite IP-Adresse wird einfach ein NAT mit den Ports 8080 und 5443 auf den DMZ Host gemacht.
Das funktioniert so. Er kann auch unterscheiden, von welcher IP die Anfrage gemacht wurde. Das ist wichtig, da auf der ersten IP auch Portforwarding gemacht wird, teils auf identischen Ports.

Was nun nicht funktioniert.....ist die Weiterleitung von Port 443 zum DMZ Host. Dabei ist die Konfguration eigentlich identisch wie bei den anderen Ports. Mit der WAN Adress zum Exchange Server, der an der LAN Schnittstelle hängt funktioniert das. Den WebConfigurator habe ich testweise auch auf einen anderen Port geschaltet, und auch die "redirect rule" deaktiviert.

Ich habe auch probiert, eine Weiterleitung über Port 443 Extern, nach Port 5443 intern. Dabei habe ich auch mit Outgoing NAT einiges getestet, alles ohne Erfolg.

https://www.administrator.de/images/c/1/3/7b6c9730c03be9b04a4f5dcac9c1db ...
pfsense, pat - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: LordXearo
21.04.2016, aktualisiert um 13:20 Uhr
Hier habe ich auch meine Frage eingestellt und bin nun zu einer Lösung gekommen.

https://forum.pfsense.org/index.php?topic=110429.0

Um er kurz zu sagen, dass Sicherheitszertifikat hatte so einen bescheurten CN, dass Firefox und Internet Explorer einfach gar nichts angezeigt haben. Erst als ich es mal mit dem Safari am Iphone oder dem Android Browser probiert habe, konnte ich sehen dass die Webseite eigentlich doch erreichbar ist.
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit10 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
gelöst Slavik-10Vor 1 TagFrageWindows 1030 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 1 TagFrageWindows Server15 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 19 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 17 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 19 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...