7
TK Anlage hinter pfsense
Hello,
Ich kämpfe mit eingehendem/ausgehendem NAT an einer PFSense
Meine Situation:
Wir haben an der PFSense mehrere WAN Netze /29 hängen. Nun möchte ich mit dem mobilen TK Client über eine einzelne externe IP (11.12.13.155/29) auf die TK Anlage zugreifen.
Dazu habe ich folgendes unternommen:
1. eine inbound NAT/Port Forward rule von 11.12.13.155 zu 192.168.150.1 (TK Anlage) für die verschiedenen Ports (443, 5222 etc.)
2. eine outbound NAT rule von 192.168.150.1 nach any auf dem passenden Netz
3. eine FW Rule von 192.168.150.1 nach any, mit dem zu nutzenden GW.
4. unter System advanced/Firewall folgendes eingestellt
NAT reflec. mode: Pure NAT
Enable NAT Reflection for 1:1 NAT - checked
Enable automatic outbound NAT for Reflection - checked
die TK Anlage geht auch korrekt mit der 11.12.13.155 ins Internet.
Nun meine Hürde: Versuche ich mit einem Client von extern (eigener DSL Anschluss) auf die TK Anlage zuzugreifen, sehe ich in unter States nur "CLOSED:SYN_SENT 4 / 0 208 B / 0 B", sprich, er "natted" zum richtigen Host, kann aber scheinbar keine Pakete zurückgeben. Ich habe keine Idee, wo ich noch etwas einstellen kann.
Hat jemand eine Idee oder einen Vorschlag? Es kann eigentlich nichts wildes sein.
VG Michael
Ich kämpfe mit eingehendem/ausgehendem NAT an einer PFSense
Meine Situation:
Wir haben an der PFSense mehrere WAN Netze /29 hängen. Nun möchte ich mit dem mobilen TK Client über eine einzelne externe IP (11.12.13.155/29) auf die TK Anlage zugreifen.
Dazu habe ich folgendes unternommen:
1. eine inbound NAT/Port Forward rule von 11.12.13.155 zu 192.168.150.1 (TK Anlage) für die verschiedenen Ports (443, 5222 etc.)
2. eine outbound NAT rule von 192.168.150.1 nach any auf dem passenden Netz
3. eine FW Rule von 192.168.150.1 nach any, mit dem zu nutzenden GW.
4. unter System advanced/Firewall folgendes eingestellt
NAT reflec. mode: Pure NAT
Enable NAT Reflection for 1:1 NAT - checked
Enable automatic outbound NAT for Reflection - checked
die TK Anlage geht auch korrekt mit der 11.12.13.155 ins Internet.
Nun meine Hürde: Versuche ich mit einem Client von extern (eigener DSL Anschluss) auf die TK Anlage zuzugreifen, sehe ich in unter States nur "CLOSED:SYN_SENT 4 / 0 208 B / 0 B", sprich, er "natted" zum richtigen Host, kann aber scheinbar keine Pakete zurückgeben. Ich habe keine Idee, wo ich noch etwas einstellen kann.
Hat jemand eine Idee oder einen Vorschlag? Es kann eigentlich nichts wildes sein.
VG Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 560417
Url: https://administrator.de/contentid/560417
Ausgedruckt am: 25.11.2024 um 08:11 Uhr
7 Kommentare
Neuester Kommentar
Alles relevante und die Lösungen stehen in den weiterführenden Links des hiesigen Tutorials:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"
Das Einfachste ist auf der Anlage STUN zu aktivieren, denn must du an den Default Regeln gar nichts ändern.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"
Das Einfachste ist auf der Anlage STUN zu aktivieren, denn must du an den Default Regeln gar nichts ändern.
Hast Du auch Richtung WAN => TK Anlage eine Firewall Freischaltung? Was sagen die FW Logs noch?
Vielen Dank für eure Antworten.
@aqui: Leider löst das STUN nicht die Frage, ich möchte nicht über das Standard GW des WAN Netzes raus, sondern über eine andere Adresse des Teilnetzes. Per Default wäre die 11.12.13.154 das Standard GW , genau diese möchte ich NICHT nutzen.
Die Vorschläge in dem Tutorial helfen mir nicht wirklich, bzw. gehen nicht auf die Frage ein.
@ing3niumx: Die Firewall Logs geben keine Informationen her, da wird nichts gesperrt.
@aqui: Leider löst das STUN nicht die Frage, ich möchte nicht über das Standard GW des WAN Netzes raus, sondern über eine andere Adresse des Teilnetzes. Per Default wäre die 11.12.13.154 das Standard GW , genau diese möchte ich NICHT nutzen.
Die Vorschläge in dem Tutorial helfen mir nicht wirklich, bzw. gehen nicht auf die Frage ein.
@ing3niumx: Die Firewall Logs geben keine Informationen her, da wird nichts gesperrt.
Aaa, Du willst den 11.12.13.155 als GW für die TK-Anlage haben?
Du musst dir dann glaube ich ein zusätzliches GW erstellen und eine Regel erstellen für die TK-Anlage, dass sie über den GW routen muss.
Probiere es damit und sage Bescheid (falls ich das nicht falsch verstanden habe).
Du musst dir dann glaube ich ein zusätzliches GW erstellen und eine Regel erstellen für die TK-Anlage, dass sie über den GW routen muss.
Probiere es damit und sage Bescheid (falls ich das nicht falsch verstanden habe).
ich möchte nicht über das Standard GW des WAN Netzes raus, sondern über eine andere Adresse des Teilnetzes.
Ach so ! Dann ist die pfSense aber der komplett falsche Weg das zu suchen.Wenn die interne Anlage extern über ein anderes Gateway raus geht dann musst du in der pfSense eine statische Route setzen dafür.
Das nennt man Policy based Routing, da du an der FW denn Traffic von der Anlage klassifizieren musst um ihn dann an ein anderes Default Gateway zu forwarden.
Das Prinzip ist hier erklärt:
Cisco Router 2 Gateways für verschiedene Clients
Eine kurze Skizze wäre hier sehr hilfreich um dein Setup genau zu verstehen !
@ing3niumx, @aqui
mein Weg war tatsächlich das Policy Based Routing, über welche das passende GW für den ausgehenden Traffic gesetzt wird.
Unsere Telefonanlage erkennt allerdings die "genattete" Adresse, diese stand aber noch auf der 11.12.13.154 (Adresse vor dem PBR). Nach dem Neustart des Daemons lief es dann.
Dinge, die einen verzweifeln lassen.
Vielen Dank für eure Hilfe und Ideen.
mein Weg war tatsächlich das Policy Based Routing, über welche das passende GW für den ausgehenden Traffic gesetzt wird.
Unsere Telefonanlage erkennt allerdings die "genattete" Adresse, diese stand aber noch auf der 11.12.13.154 (Adresse vor dem PBR). Nach dem Neustart des Daemons lief es dann.
Dinge, die einen verzweifeln lassen.
Vielen Dank für eure Hilfe und Ideen.
Gut wenns nun klappt wie es soll ! 
Case closed.
Case closed.
