Nach Umstellung auf einfaches NAT eigene Homepages und Dienste nicht mehr aus dem LAN erreichbar.

Cosmic Spawn

New member
Hi,

ich habe einen Kabelanschluss bei Vodafone und habe mir vor Kurzem eine öffentliche IP im 30er Subnetz geben lassen, damit ich das doppelte NAT loswerde. In meine Fritzbox habe ich nun den Exposed Host Modus aktiviert und meine in meiner OPNsense den WAN-Port enstprechend konfiguriert, damit ich meine neue öffentliche IP nutzen kann. Läuft auch alles super und ich kann meine Dienste und Pages von Außen erreichen.
Mein Problem ist jetzt aber, dass ich nichts mehr aus dem LAN erreiche. Wenn ich also daheim am Rechner sitze komme ich z.B. nicht mehr auf meine Nextcloud. Hier funktioniert die Weiterleitung einfach nicht mehr und ich weiß nicht warum. Im Netz bin ich bisher auch noch nicht fündig geworden, außer dass das vielleicht etwas mit der NAT-Reflection zu tun haben kann, die man wohl aktivieren sollte. Das hat bei mir aber nicht geklappt, oder ich mache irgendwas falsch.
Hat jemand eine Idee, oder Erfahrungen auf diesem Gebiet? Muss ich vielleicht noch zusätzliche Firewall-Regeln erstellen?

LG
 
Ich nochmal. Hab es eben hinbekommen:

---

Firewall -> NAT -> Portweiterleitung

Interface: WAN
TCP/IP Version IPv4
Protokoll: TCP

Quelle / Umkehren: deaktiviert
Quelle: jeglich
Quellportbereich: jeglich an jeglich

Ziel / umkehren: deaktiviert
Ziel: WAN Address
Zielportbereich: (HTTP) 80 an (HTTP) 80

Ziel-IP umleiten: "IP-Adresse des Servers"
Zielport weiterleiten: (HTTP) 80

Pooloptionen: Standard

NAT Reflektion: aktivieren oder Systemvorgabe benutzen
Filter Regel Zuordnung: zugehörige Filterregel hinzufügen

Firewall -> Einstellungen -> Erweitert

Reflektion für Portweiterleitungen -> aktivieren
Reflektion für 1:1 -> deaktivieren
Automatisches ausgehendes NAT für Reflektion -> aktivieren

---

Mein Problem war, dass ich "Automatisches ausgehendes NAT für Reflektion" deaktiviert hatte.
Vielleicht hilft es dem ein oder anderen hier trotzdem. :)

LG
 
Firewall -> NAT -> Portweiterleitung
Heisst das bei der *sense echt "Portweiterleitung"? Wenn man schon beim Thema "NAT" ist, wäre wohl DNAT (Destination-NAT) das naheliegenste, aber was soll's... 😄

Was das Thema NAT-Reflection angeht... Wie hast Du die Sachen denn angesprochen? Via interner IP sollte da NAT eigentlich keine Rolle spielen, wenn es über einen FQDN geht, hätte man intern ggf. auch DNS-technisch etwas umbiegen können und sich diesen ganzen NAT-Blödsinn einfach sparen können. Davon wirst Du Dich auf kurz oder lang sowieso verabschieden müssen (Thema IPv6)

Was das hier angeht....
ich habe einen Kabelanschluss bei Vodafone und habe mir vor Kurzem eine öffentliche IP im 30er Subnetz geben lassen, damit ich das doppelte NAT loswerde.
Mit dem richtigen Router hast Du auch nur 1x NAT und zwar direkt an der Front, wo es in der IPv4-Welt hingehört. Hier steht z.B. einfach eine Fritzbox, wobei man dort auch statische Routen hinterlegen kann. Für alle Netze hinter der eigentlichen Firewall werden dort einfach die jeweiligen Routen eingetragen und schon braucht man auch kein NAT mehr hinter dem ersten Router.

Die meisten Leute schmeissen die pfSense halt einfach hinter irgendwas vorhandenes (i.d.R. einen Router vom ISP) und wenn die pfSense dann schon standardmässig eine NAT-Regel drin hat, dann "funktioniert" das ja auch erstmal. Allerdings trauen sich auch viele nicht, so ein Konstrukt einfach mal umzubauen (Routen eintragen, NAT abschalten), ist aber auch alles kein Hexenwerk und das schöne ist ja: Von innen bleibt der Zugriff bestehen, man kann also auch ganz schnell wieder alles zurückstellen ☺️ Somit wäre...
eine öffentliche IP im 30er Subnetz geben lassen
... nur ein Grund für eine statische IP (was ja durchaus auch seine Vorzüge hat), aber als Grund eine Vermeidung von doppeltem NAT anzugeben.... eher nicht (da war höchstens der Router mau 😁)
 
Hi

Mit dem richtigen Router hast Du auch nur 1x NAT und zwar direkt an der Front, wo es in der IPv4-Welt hingehört. Hier steht z.B. einfach eine Fritzbox, wobei man dort auch statische Routen hinterlegen kann. Für alle Netze hinter der eigentlichen Firewall werden dort einfach die jeweiligen Routen eingetragen und schon braucht man auch kein NAT mehr hinter dem ersten Router.

Und genauso hat es mir @blurrrr damals erklärt und habe es anschließend genauso umgesetzt. Funktioniert prächtig. In der Fritzbox habe ich als statische IPv4 Route einfach eine Supernet Adresse eingetragen, die auf insgesamt 8 Subnetze von 172.16.0.0/24 bis 172.16.7.0/24 hinter der pfSense routet. Die pfSense selber läuft bei mir auch nicht als Exposed Host. Der einzige Port der durch die Fritzbox an die pfSense geleitet wird ist ein OpenVPN Port.
 
Der einzige Port der durch die Fritzbox an die pfSense geleitet wird ist ein OpenVPN Port.
Das sieht bei mir ganz ähnlich aus ☺️ Nu hat @Cosmic Spawn aber schon sein /30er, ist ja auch nicht verkehrt. Das mit der NAT-Reflection ist allerdings so eine Sache, zumal dieser Punkt auch nicht bei allen Firewalls vorhanden ist. Da sollte man sich dann ggf. doch mal Gedanken darum machen, wie man es einfach "anders" lösen könnte. Irgendwo einen Haken zu setzen, welcher dann einfach macht, dass es funktioniert, halte ich jetzt nicht für die entgültige Lösung - besser wäre, wenn man es auch versteht und ggf. auch abseits des Hakens vernünftig lösen kann. Im o.g. Link stand ja noch ein wenig dazu :)
 
@blurrrr

Ich hatte vorher schon eine statische IPv4 Adresse im 32er Subnetz. Für die OPNsense brauche ich aber eine andere IP als die Fritz Box, da die dann den Gateway darstellt und auch selbst noch ins Internet kommen muss. Daher die 30er Subnetzmaske.

Das doppelte NAT hat bei mir Probleme verursacht, daher wollte ich weg davon und das war für mich die schnellste und beste Lösung. Ich denke auch, dass uns IPv4 auch noch einige Zeit erhalten bleibt. Falls das irgendwann nicht mehr der Fall sein wird, kann ich mich immer noch damit beschäftigen.

Vielleicht kann ich das im internen Netz auch irgendwann anders lösen. Eventuell auch mit einem CA-Server und internem DNS. Dann hätte ich für’s LAN eigene Domains.

Aktuell hab ich allerdings nicht viel Zeit mich da ausgiebig damit zu befassen. Daher war das erst einmal die Option meiner Wahl. Aber Danke für die Tipps! :)
 
und das war für mich die schnellste und beste Lösung.
Die "schnellste" Lösung wäre gewesen, wenn man im Internet-Router die Routen für die hinter der pfSense-liegenden Netze einträgt und bei der pfSense einfach NAT abschaltet 😜

Vielleicht kann ich das im internen Netz auch irgendwann anders lösen. Eventuell auch mit einem CA-Server und internem DNS. Dann hätte ich für’s LAN eigene Domains.
Naja, wenn man sich das geben will... Wenn Du dann aber einen internen DNS laufen lässt, brauchst Du keine CA... Split-DNS wäre das Stichwort... Von aussen wäre der externe DNS verantwortlich (FQDN -> public IP), von innen eben Dein interner (FQDN -> interne IP). Eine eigene CA zwecks interner Domain kann man sicherlich betreiben, aber mir persönlich wäre das den Aufwand definitiv nicht wert, denn auch eigens ausgestellte Zertifikate wollen gepflegt werden und WENN... will man es ja auch dann direkt überall gleich haben, was sämtliche Netzwerk-Teilnehmer einschliesst (weiss ja nicht, was sich so alles in Deinem Netz tummelt) ☺️

Aktuell hab ich allerdings nicht viel Zeit mich da ausgiebig damit zu befassen.
So geht es wohl den meisten, von daher: KISS-Prinzip 😇
 
HAHA :ROFLMAO: Sehr gut! Das KISS-Prinzip. Bring das mal einem Verschwürungstheoretiker bei! 😄

Ich hab ehrlich gesagt davon noch nie was gehört, dass man in der Fritzbox die Routen für die hinter der OPNsense bzw. pfSense-liegenden Netze eintragen kann. Die Fritzbox selbst hat ja keine Funktion für VLANs. Zumindest hab ich das noch nicht gesehen. Daher nutze ich dahinter ja hauptsächlich die OPNsense. Wusste nicht, dass das alles auch anders geht.
 
Doch, dem ist so, kannste mal nachschauen, dort wo Du auch die IPv4-Adresse der Fritzbox änderst (in der erweiterten Ansicht), da irgendwo in der Ecke kannst Du auch statische Routen hinterlegen.
Die Fritzbox selbst hat ja keine Funktion für VLANs.
Das ist soweit korrekt, das muss aber auch garnicht sein. Allen Netzen (ausser z.B. dem LAN) wird der Zugriff auf das Netz zwischen Fritzbox und pfSense verboten. Der Rest ist nur noch Routing, dafür muss die Fritzbox auch gar kein VLAN können, sie muss nur wissen, an welches Gateway sie die Pakete für die Netze hinter der pfSense schicken muss (ergo: statische Route auf der Fritzbox: Netz hinter pfSense -> Gateway WAN-IP pfSense (eben die IP der pfSense aus dem Fritzbox-Netz)). Ist nu aber egal... ist im Prinzip das gleiche, was Du jetzt mit Deinem /30er hast (nur, dass es dann eben kein öffentliches, sondern ein privates Netz zwischen Fritzbox und pfSense gewesen wäre). Deine aktuelle Lösung ist jetzt aber deswegen nicht schlecht, ganz im Gegenteil - ist ja auch ganz nett, wenn die öffentliche IP direkt auf der Firewall landet (kostet nur halt meist extra) ☺️
 
Doch, dem ist so, kannste mal nachschauen, dort wo Du auch die IPv4-Adresse der Fritzbox änderst (in der erweiterten Ansicht), da irgendwo in der Ecke kannst Du auch statische Routen hinterlegen.

Das ist soweit korrekt, das muss aber auch garnicht sein. Allen Netzen (ausser z.B. dem LAN) wird der Zugriff auf das Netz zwischen Fritzbox und pfSense verboten. Der Rest ist nur noch Routing, dafür muss die Fritzbox auch gar kein VLAN können, sie muss nur wissen, an welches Gateway sie die Pakete für die Netze hinter der pfSense schicken muss (ergo: statische Route auf der Fritzbox: Netz hinter pfSense -> Gateway WAN-IP pfSense (eben die IP der pfSense aus dem Fritzbox-Netz)). Ist nu aber egal... ist im Prinzip das gleiche, was Du jetzt mit Deinem /30er hast (nur, dass es dann eben kein öffentliches, sondern ein privates Netz zwischen Fritzbox und pfSense gewesen wäre). Deine aktuelle Lösung ist jetzt aber deswegen nicht schlecht, ganz im Gegenteil - ist ja auch ganz nett, wenn die öffentliche IP direkt auf der Firewall landet (kostet nur halt meist extra) ☺️

Ja, tut es, aber das ist es mir wert. Im Leben ist schließlich nichts umsonst! 😄

Aber danke für diese Beschreibung. Das werd ich mir auf alle Fälle mal merken. Das aktuelle Setup ist ja nicht in Stein gemeiselt. :)
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
4.213
Beiträge
43.951
Mitglieder
3.806
Neuestes Mitglied
Andy74
Zurück
Oben