8
PfSense NAT mit Multi Wan
Hallo zusammen,
ich brauche eure Hilfe zu einer Hürde bzgl. NAT mit mehreren WAN Netzen, wahrscheinlich einfach, nur gerade nicht für mich.
Situation wie folgt:
2 pfSense Geräte
3 WAN Anchlüsse mit je einem /29er Netz, IPv4
die öffentlichen IP Adressen der WANs (je 1. freie Adresse im Netz) sind per CARP redundant mit den letzten beiden Adressen definiert und arbeiten, wie gewünscht, im Master/Backup Status, umschalten auch keine Schwierigkeiten.
Nun habe ich die Hürde, das ich eine Porttranslation auf einen internen Server einrichten möchte, diese externe IP liegt auf dem "dritten" WAN Netz. Rufe ich auf dem internen Server eine externe Webseite auf, wird dieser Verkehr über das "erste" WAN Netz transportiert.
Beim Einrichten des NAT leite ich den externen Port auf die interne Adresse um und ich sehe auf dem internen Server auf dem Port eine offene Anfrage. Ich vermute nun, dass die Antwort des internen Servers an den externen Client über das "erste" WAN Netz beantwortet wird.
Hat jemand eine Idee, wo ich was eintragen muss und würde mir das auch verraten?
VG Michael
ich brauche eure Hilfe zu einer Hürde bzgl. NAT mit mehreren WAN Netzen, wahrscheinlich einfach, nur gerade nicht für mich.
Situation wie folgt:
2 pfSense Geräte
3 WAN Anchlüsse mit je einem /29er Netz, IPv4
die öffentlichen IP Adressen der WANs (je 1. freie Adresse im Netz) sind per CARP redundant mit den letzten beiden Adressen definiert und arbeiten, wie gewünscht, im Master/Backup Status, umschalten auch keine Schwierigkeiten.
Nun habe ich die Hürde, das ich eine Porttranslation auf einen internen Server einrichten möchte, diese externe IP liegt auf dem "dritten" WAN Netz. Rufe ich auf dem internen Server eine externe Webseite auf, wird dieser Verkehr über das "erste" WAN Netz transportiert.
Beim Einrichten des NAT leite ich den externen Port auf die interne Adresse um und ich sehe auf dem internen Server auf dem Port eine offene Anfrage. Ich vermute nun, dass die Antwort des internen Servers an den externen Client über das "erste" WAN Netz beantwortet wird.
Hat jemand eine Idee, wo ich was eintragen muss und würde mir das auch verraten?
VG Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 507195
Url: https://administrator.de/contentid/507195
Printed on: April 24, 2024 at 22:04 o'clock
8 Comments
Latest comment
Moin,
schau dir mal im Pfsense-Book das Kapitel 17.7 an.
Die Frage welche ich gerade selbst nicht genau beantworten kann, ist ob die Konstellation tatsächlich mit mehreren IP-Adressen (ein Subnetz) auf einem WAN Interface funktioniert.
Ansonsten muss schlicht pro WAN Interface eine NAT Konfig unter Outbound-NAT eingetragen werden.
Die beiden Einträge sind erforderlich:
Dazu muss, wie im Book beschrieben, die Konfig auf manuel stehen.
Gruß
Spirit
schau dir mal im Pfsense-Book das Kapitel 17.7 an.
Die Frage welche ich gerade selbst nicht genau beantworten kann, ist ob die Konstellation tatsächlich mit mehreren IP-Adressen (ein Subnetz) auf einem WAN Interface funktioniert.
Ansonsten muss schlicht pro WAN Interface eine NAT Konfig unter Outbound-NAT eingetragen werden.
Die beiden Einträge sind erforderlich:
Dazu muss, wie im Book beschrieben, die Konfig auf manuel stehen.
Gruß
Spirit
Das dürfte was mit dem Stichwort "NAT Reflection" zu tun haben die Multiwan ist da wohl nicht das Problem.
Du könntest aber auch ein Portforward am Lan port machen wenn ziel ist eigene WAN Adresse gleich zum internen Server umleiten. geht auch.
Du könntest aber auch ein Portforward am Lan port machen wenn ziel ist eigene WAN Adresse gleich zum internen Server umleiten. geht auch.
Hier steht wie es geht:
https://www.heise.de/select/ct/2016/24/1479992026108405
Ist aber in der Tat wohl eher NAT Reflection (Nat Hairpinning). Kann man aber im pfSense Advanced Setup entsprechend (de)aktivieren.
https://community.cisco.com/t5/routing/nat-hairpinning/td-p/2475807
https://wiki.mikrotik.com/wiki/Hairpin_NAT
usw.
https://www.heise.de/select/ct/2016/24/1479992026108405
Ist aber in der Tat wohl eher NAT Reflection (Nat Hairpinning). Kann man aber im pfSense Advanced Setup entsprechend (de)aktivieren.
https://community.cisco.com/t5/routing/nat-hairpinning/td-p/2475807
https://wiki.mikrotik.com/wiki/Hairpin_NAT
usw.
Hallo Spirit,
Subnet auf einem WAN Interface klappt wunderbar.
Das Outbound NAT habe ich, wie in der Grafik dargestellt, genau so eingerichtet.
Ins Buch habe ich noch nicht geschaut, mache ich. (bisher akuter Zeitmangel)
Gruß
Michael
Subnet auf einem WAN Interface klappt wunderbar.
Das Outbound NAT habe ich, wie in der Grafik dargestellt, genau so eingerichtet.
Ins Buch habe ich noch nicht geschaut, mache ich. (bisher akuter Zeitmangel)
Gruß
Michael
Hallo UnbekannterNR1
Die NAT Reflections sind alle aktiv, war es leider nicht
"Du könntest aber auch ein Portforward am Lan port machen wenn ziel ist eigene WAN Adresse gleich zum internen Server umleiten. geht auch."
Sorry, das verstehe ich nicht ganz
VG Michael
Die NAT Reflections sind alle aktiv, war es leider nicht
"Du könntest aber auch ein Portforward am Lan port machen wenn ziel ist eigene WAN Adresse gleich zum internen Server umleiten. geht auch."
Sorry, das verstehe ich nicht ganz
VG Michael
Zitat von @aqui:
Hier steht wie es geht:
https://www.heise.de/select/ct/2016/24/1479992026108405
Ist aber in der Tat wohl eher NAT Reflection (Nat Hairpinning). Kann man aber im pfSense Advanced Setup entsprechend (de)aktivieren.
https://community.cisco.com/t5/routing/nat-hairpinning/td-p/2475807
https://wiki.mikrotik.com/wiki/Hairpin_NAT
usw.
Hier steht wie es geht:
https://www.heise.de/select/ct/2016/24/1479992026108405
Ist aber in der Tat wohl eher NAT Reflection (Nat Hairpinning). Kann man aber im pfSense Advanced Setup entsprechend (de)aktivieren.
https://community.cisco.com/t5/routing/nat-hairpinning/td-p/2475807
https://wiki.mikrotik.com/wiki/Hairpin_NAT
usw.
an den Heise Artikel kommt man nur zahlend heran.
und die Reflections sind aktiv.
Gruß
Michael
Man muss nicht auf jeden Thread im Minutentakt einzeln antworten sondern kann es auch intelligent mit einen @.. vor dem Usernamen zusammenfassen in einen und die Übersichtlichkeit steigern... 
ja, das würde auch gehen, ich versuch es zukünftig
