Routing-Probleme von interne IP auf eine externe IP
Hallo alle zusammen,
ich brauche mal wieder eure Hilfe und zwar habe ich ein Routing/NAT-Problem.
Ich habe eine Pfsense-VM die zwei externe/public IP-Adresse hat. Sagen wir mal 5.5.5.5 und 7.7.7.7. Beide Adressen werden über DHCP zugewiesen und haben das gleiche Gateway.
Über die IP 5.5.5.5 soll Pfsense erreichbar sein und über die IP 7.7.7.7 eine interne Linux-VM. Die Linux-VM hate eine IP in einem privaten IP-Bereich.
Über 1:1-NAT habe ich jetzt die public IP-Adresse auf meine Linux-VM geroutet.
Dies funktioniert auch super. Kann sie auch von außerhalb erreichen. Also von extern nach intern alles schön.
Mein Problem ist jetzt aber folgendes:
Wenn ich jetzt die externe IP von der Linux-VM ermittle, über :
Bekomme ich immer die IP 5.5.5.5.
Unter Firewall/NAT/Ausgehend in PFsense habe ich testweise ein Mapping angelegt:
Hetzner_IP_57 ist meine Netzwerkkarte mit der IP 7.7.7.7.
Leider hat dies kein Erfolg.
Was habe ich vergessen, übersehen?
Vielen Dank.
jeschero
ich brauche mal wieder eure Hilfe und zwar habe ich ein Routing/NAT-Problem.
Ich habe eine Pfsense-VM die zwei externe/public IP-Adresse hat. Sagen wir mal 5.5.5.5 und 7.7.7.7. Beide Adressen werden über DHCP zugewiesen und haben das gleiche Gateway.
Über die IP 5.5.5.5 soll Pfsense erreichbar sein und über die IP 7.7.7.7 eine interne Linux-VM. Die Linux-VM hate eine IP in einem privaten IP-Bereich.
Über 1:1-NAT habe ich jetzt die public IP-Adresse auf meine Linux-VM geroutet.
Dies funktioniert auch super. Kann sie auch von außerhalb erreichen. Also von extern nach intern alles schön.
Mein Problem ist jetzt aber folgendes:
Wenn ich jetzt die externe IP von der Linux-VM ermittle, über :
dig +short myip.opendns.com @resolver1.opendns.com
Unter Firewall/NAT/Ausgehend in PFsense habe ich testweise ein Mapping angelegt:
Hetzner_IP_57 ist meine Netzwerkkarte mit der IP 7.7.7.7.
Leider hat dies kein Erfolg.
Was habe ich vergessen, übersehen?
Vielen Dank.
jeschero
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391521
Url: https://administrator.de/contentid/391521
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Beide Adressen werden über DHCP zugewiesen und haben das gleiche Gateway.
Dann auch auf unterschiedlichen Interfaces, richtig ??Auf ein und demselben Interface doppelte IPs zuweisen per DHCP ist unmöglich !
Hier ist deine Beschreibung leider etwas oberflächlich
Der Zugriff kann nur über eine Virtual IP geschehen. (Firewall -> Virtual IPs) Die wird aber statisch eingerichtet und NICHT über DHCP !
Zudem muss sie immer im gleichen Subnetz liegen wie die physische WAN IP. Also sowas was du etwas laienhaft als 5.5.5.5 und 7.7.7.7 bezeichnest geht schonmal per se nicht da ja unterschiedliche IP Netze.
Was geht ist 5.5.5.5 /8 und 5.7.7.7 /8 oder 5.5.5.5 /16 und 5.5.7.7 /16 usw. Du verstehst vermutlich das Prinzip ?!.
Eine vollkommen netzfremde IP kann ja nicht auf das Interface geroutet werden. Wie sollte das gehen ?!
2 oder mehr IPs per DHCP kann (und darf !) ein physisches Interface nicht haben. Ginge technisch auch gar nicht.
Fragt sich nun also WAS da genau bei dir konfiguriert ist ??
Bekomme ich immer die IP 5.5.5.5.
Vermutlich hast du dann die Virtual IP vergessen ?!Ja, es sind zwei verschiedene Interface in PFsense, wo die IP-Adressen jeweils per DHCP bezogen werden.
Wie vermutet...anders wäre es auch nicht möglich !Die beiden Adressen kommen aus einem 26 Netzwerk.
Hier bist du leider wieder ungenau so das das widersprüchlich ist WAS meinst du jetzt damit ??
Die beiden pfSense Interface IP Adressen an diesen zwei Interfaces ?
Aber dann wohl hoffentlich aus 2 unterschiedlichen /26 Netzen ?!
Oder meinst du damit die Interface IP Adresse und die Virtual IP dazu auf demselben Interface ?
Bei letzterem müssen beide IP (Interface und Virtual IP dazu) in einem gemeinsamen IP Netz liegen.
Was du damit jetzt meinst kann man leider wieder nur raten
Hier hilft ggf. eine kurze Skizze oder Zeichnung.
Also sagen wir mal beispielhaft:
OK, das wäre ein Beispiel für EIN einziges IP Interface bzw. IP Segment was an einem Interface anliegt.Typ IP Aliase kann ich sie ja nicht nutzen,
Nein, logisch, den Aliase sind einzig nur Namen. Die dienen nur zur besseren Übersicht der Konfig. Mit Funktionen hat das nichts zu tun.Was du benotigst sind in jedem Falle Virtual IPs !!
Du willst ja eine 2te virtuelle Interface IP ansprechen um darüber das Port Forwarding zu machen. Mit Alias hat das nichts zu tun.
Übrigens musst du Port Forwarding nur machen wenn du NAT auf dem Interface machst. Normal macht die pfSense nur auf dem WAN Interface NAT aber nicht auf anderen Interfaces. Dort routet sie ganz normal mit Firewall Regeln.
Auch hier ist deine Beschreibung leider wieder sehr oberflächlich und zwingt uns hier zum Raten
Die beiden IP-Adressen sind beide im gleichen Subnetz.
Das ist normal für den Hoster.Die IP-Adressen werden per DHCP jeweils über ein eigenes Interface bezogen
Das ist schon das erste tödliche Problem !Da beide IP Adressen ja in einem gemeinsamen Subnetz liegen hast du jetzt 2 pfSense Interfaces die 2 gleiche IP Adressen haben.
Das ist schon ein prinzipieller und grundlegender Verstoß im Routing Umfeld und geht so logischerweis niemals ! Klar, denn damit ist eine eindeutige Wegefindung zu den 2 Interface vollkommen unmöglich durch die nicht mehr eindeutige Netzwerk Zuordnung. Solche absoluten Basiscs sollte man eigentlich wissen als Netzwerker !
Du machst hier vermutlich einen fundamentalen (Anfänger) Denkfehler in der IP Adresskonfig ?! Das ist schon aus der Zeichnung ersichtlich, denn die .57 und die .62 liegen im gleichen IP Netz und dürften deshalb niemals auf 2 unterschiedlichen, physischen Interfaces liegen !
Die pfSense ist ein Router (!) und keine Bridge ! Jedes Interface MUSS in einem separaten IP Netzwerk Segment liegen wie es bei Routern ja nunmal üblich ist.
DAS ist bei dir oben aber genau nicht der Fall.
Bridgen kann sie zwar auch das musst du aber konfigurieren ! Nützt aber in deinem Setup auch nichts.
Im Grunde ist dein Vorgehen ganz banal und klar. Du willst eine der IPs als physisches Interface haben und eine soll als Virtuelle IP das Port Forwarding machen auf einen internen Host unabhängig von der Interface IP. Ein normales und millionenfaches Standard Design.
Das muss dann aber natürlich auf einem einzigen Interface liegen ! Wie sollte der Hoster es denn auch eindeutig routen ?! Es sei denn du subnettest das weiter um so 2 Netze zu bekommen, was aber nicht geht, da der Provider dir ja die Netzmaske fest vorgibt und du diese nicht ändern kannst oder darfst.
Der Knackpunkt ist hier die DHCP Vergabe was dir für dieses Setup das Genick bricht.
Du kannst zwar das Interface als DHCP Client laufen lassen und eine IP dort per DHCP beziehen aber du kannst nicht die Virtuelle IP an demselben Interface auch noch per DHCP vergeben lassen. Das ist nicht supportet und kann kein Hersteller der Welt.
Die Virtual IP wird immer statisch dazu konfiguriert.
Hier musst du dir also vom Provider die eine (virtuelle) IP statisch zuteilen lassen.
Anders geht es nicht !
Die beiden Interfaces habe jeweils verschiedene IP-Adressen.
Ja, aber sie liegen doch beide in einem gemeinsamen IP Netzwerk, oder ?Das wäre dann ein fataler Konfig Fehler bei einem Router, denn dessen Interfaces müssen zwangsweise immer in unterschedlichen IP Netzen liegen !
Die Angabe deiner IP Adresse ist so oder so sinnfreei, da du hier die Subnetzmaske vergessen hast
Dies ist aber ausschlaggebend !! Außerdem ist die .572 keine gültige Host Adresse !!
Der Hoster gibt mir aber vor, das pro IP-Adresse eine andere MAC-Adresse verwendet werden muss.
Das ist auch logisch ansonsten könne er keine Mac Adress basierte Reservierung der IP in seinem DHCP Server machen !Er vergibt dir aber mit Sicherheit die IPs in einem gemeinsamen Subnetz und dann darfst du diese IP Adressen niemals auf 2 unterschiedlichen Interfaces eines Routers konfigurieren, denn damit ist eine eindeutige Wegefindung unmöglich. Solche einfachen Routing Grundlagen kennt man aber auch als Netzwerker.
Ich muss aber proIP ein eigenes Interface verwenden, siehe Post weiter oben.
Das geht auch wenn diese zwingend in unterschiedlichen IP Netzen liegen wie es ja nun mal bei Routern Standard ist. Diese routen ja bekanntermaßen immer zwischen IP Netzen.Leider kann man das durch die fehlende Masken Angabe der Adressen von dir nicht abschliessend beurteilen.
Gilt die obige Angabe noch mit dem 26er Prefix beim verwendten 148.211.55.0 Netzwerks, dann liegen die beiden Hostadressen .57 und .52 im gleichen IP Netzwerk und dürfen niemals auf unterschiedliche Interfaces der pfSense konfiguriert werden. Gibt auch sofort logischerweise einen Konfig Error in der pfSense.
Ich habe jetzt mal meine Einstellung der beiden Interface auf Statisch umgestellt.
Ist sinnfrei solange man nicht weiss ob diese in unterschiedlichen Subnetzen liegen !Bei Netzgleichheit an 2 physischen Interfaces müsste es so oder so einen fatalen Konfig Error in der pfSense geben.
Nur nochmal damit dir das auch klar ist:
Dein Vorhaben ist das einer Virtual IP. Das bedeutet eine IP am physischen Interface und eine die dem Netzwerk dieses Interfaces zugeordnet ist. BEIDE Adresse residieren unter einem Interface und NICHT auf 2 unterschiedlichen Interfaces ! Das ist wie bereits mehrfach gesagt routingtechnisch gar nicht möglich !
In sofern ist deine o.a. Konfig schon grundlegend falsch und kann nie klappen.
Vom DHCP Problem jetzt mal gar nicht geredet...
Leider kann ich nicht von der Linux VM ins Internet pingen, bzw. der Befehl:
Wie ist diese VM mit der pfSense verbunden ?Die pfSense rennt auch in einer VM, oder ?
Das LAN Interface (internes Interface) muss an den vSwitch oder das IP Segment gekoppelt sein an dem auch die VM hängt !
Gehe strategisch vor. Kannst du das LAN Interface der pfSense von der VM pingen ?
Wenn ja kannst du das WAN Intertface der pfSense pingen (ICMP muss erlaubt sein)
Nutze auch die Ping Diagnose der pfSense selber unter Diadnostics.
Hier kannst du immer mit Angabe des entsprechenden Absender Interfaces einmal in Richtuing VM pingen und einmal ins Internet z.B. 8.8.8.8 pingen um erstmal die grundsätzliche Connec tivität der pfSense zu checken.