11
PFsense Port Forward und NAT
Hallo,
folgendes Problem bei einer PFSense 2.3.4_1.
Die PFsense ist eine VM auf einem Hyper-V Host.
Der Hyper-V Host steht im Rechenzentrum und mir ist ein /27 Subnetz zugewiesen.
Die PFSense hat die 79.xx.xxx.132 als WAN Ip-Adresse. Als Gateway die .129
WAN Interface
IP: 79.xx.xxx.132
Subnetz: 255.255.224.0
Gateway 79.xx.xxx.129
DNS: Welche aus dem RZ
LAN Interface
IP: 10.xx.xxx.1
Subnetz: 255.255.255.0
Gateway: ------
Nun habe ich mir diverse Adressen aus dem Subnetz als Virtual IP auf die PFsense gepackt und möchte gerne NAT Betreiben.
z.B
Cent OS 7 Webserver
IP: 10.xx.xxx.139
Subnetz: 255.255.255.0
Gateway: 10.xx.xxx.1
Die VM kommt ins Internet und ist aktuell via 1:1 NAT komplett erreichbar. Über die externe IP: 79.xx.xxx.139
Das stört mich und ich möchte nur noch die benötigten Ports weiterleiten, da die IP's auch knapp werden.
Nun lege ich z.B eine neue NAT Regel an, wie folgt:
Interface: WAN_Uplink Protocol: TCP/UDP Source Adress: * Source Port: 4444 Destination Adress: 79.xx.xxx.139 Dest.Ports: 22 NAT IP: 10.xx.xxx.139 NAT Ports: 22
Leider bekomme ich über darüber aber leider keine Verbindung zu stande, in der Firewall wird auch kein Traffic dafür geloggt.
Ich stehe auf dem Schluach und weiß gerade nicht weiter.
Freundlichen Gruß
folgendes Problem bei einer PFSense 2.3.4_1.
Die PFsense ist eine VM auf einem Hyper-V Host.
Der Hyper-V Host steht im Rechenzentrum und mir ist ein /27 Subnetz zugewiesen.
Die PFSense hat die 79.xx.xxx.132 als WAN Ip-Adresse. Als Gateway die .129
WAN Interface
IP: 79.xx.xxx.132
Subnetz: 255.255.224.0
Gateway 79.xx.xxx.129
DNS: Welche aus dem RZ
LAN Interface
IP: 10.xx.xxx.1
Subnetz: 255.255.255.0
Gateway: ------
Nun habe ich mir diverse Adressen aus dem Subnetz als Virtual IP auf die PFsense gepackt und möchte gerne NAT Betreiben.
z.B
Cent OS 7 Webserver
IP: 10.xx.xxx.139
Subnetz: 255.255.255.0
Gateway: 10.xx.xxx.1
Die VM kommt ins Internet und ist aktuell via 1:1 NAT komplett erreichbar. Über die externe IP: 79.xx.xxx.139
Das stört mich und ich möchte nur noch die benötigten Ports weiterleiten, da die IP's auch knapp werden.
Nun lege ich z.B eine neue NAT Regel an, wie folgt:
Interface: WAN_Uplink Protocol: TCP/UDP Source Adress: * Source Port: 4444 Destination Adress: 79.xx.xxx.139 Dest.Ports: 22 NAT IP: 10.xx.xxx.139 NAT Ports: 22
Leider bekomme ich über darüber aber leider keine Verbindung zu stande, in der Firewall wird auch kein Traffic dafür geloggt.
Ich stehe auf dem Schluach und weiß gerade nicht weiter.
Freundlichen Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 346563
Url: https://administrator.de/contentid/346563
Printed on: April 18, 2024 at 13:04 o'clock
11 Comments
Latest comment
Moin,
Hier ein Beispiel:
Gruß,
Dani
Nun lege ich z.B eine neue NAT Regel an, wie folgt:
du meinst Port Forward Regel?!Hier ein Beispiel:
Gruß,
Dani
Hi,
was meinst du genau ?
Du scheinst PortForward und NAT zu verwechseln oder zu vermischen.
-
Meinst du "dein Begriff von NAT" ausgehend oder eingehend ?
-
schreib mal an dem Beispiel des CentOS Webservers genau auf welche Ports du wie auf welche Adresse und Ports "natten" (nach deiner Definition) willst.
CH
was meinst du genau ?
Du scheinst PortForward und NAT zu verwechseln oder zu vermischen.
-
Meinst du "dein Begriff von NAT" ausgehend oder eingehend ?
-
schreib mal an dem Beispiel des CentOS Webservers genau auf welche Ports du wie auf welche Adresse und Ports "natten" (nach deiner Definition) willst.
CH
Moin,
anbei mal 2 Screenshots meiner Konfiguration.
Mein Problem ist dass ich via Port Forward keine Verbindung zu stande bekomme.
Aktuell greift auch eine Allow All Regel, diese muss zwingend weg. Geht aber erst wenn alles andere korrekt läuft.
anbei mal 2 Screenshots meiner Konfiguration.
Mein Problem ist dass ich via Port Forward keine Verbindung zu stande bekomme.
Aktuell greift auch eine Allow All Regel, diese muss zwingend weg. Geht aber erst wenn alles andere korrekt läuft.
Moin,
ich seh in beiden Screenshots die Regel aus deiner Frage nicht oder habe ich noch Tomaten auf den Augen?
Gruß,
Dani
ich seh in beiden Screenshots die Regel aus deiner Frage nicht oder habe ich noch Tomaten auf den Augen?
Gruß,
Dani
Leider bekomme ich über darüber aber leider keine Verbindung zu stande,
Das ist auch kein Wunder, denn du gibst den Source Pot fest vor. Dieser wird aber bei jedem Sessionaufbau dynamisch per Zufall ermittelt. Folglich ist es also klar das der Zugriff dann fehlschlägt.Hier muss "any" gesetzt sein und nur der Destination Port ist dann entsprechend zur Anwendung zu setzen.
Hi,
wie schon geschrieben, du vermischst bzw. verwechselst Port Forward und (1:1) NAT.
Du versuchst Port Forwarding einzurichten, verwendest aber für jeden interne Host eine externe IP: unnötig !!
entweder 1:1 NAT oder Port Forwarding von wenigen Adressen.
-
Warum deine Regeln nicht funktionieren: Wie Aqui schon schrieb: Source Port muß "any" sein. Ebenso solltest du anstelle von TCP/UDP nur TCP (oder UDP) einstellen.
Gruß
Christoph
wie schon geschrieben, du vermischst bzw. verwechselst Port Forward und (1:1) NAT.
Du versuchst Port Forwarding einzurichten, verwendest aber für jeden interne Host eine externe IP: unnötig !!
entweder 1:1 NAT oder Port Forwarding von wenigen Adressen.
-
Warum deine Regeln nicht funktionieren: Wie Aqui schon schrieb: Source Port muß "any" sein. Ebenso solltest du anstelle von TCP/UDP nur TCP (oder UDP) einstellen.
Gruß
Christoph
Ein Mapping auf Virtual IPs kann aber schon Sinn machen wenn der TO z.B. mehrere interne Webserver freigeben muss. Das wäre bei Port Adress Translation nicht möglich, da der Port ja immer nur einmal geforwardet werden kann.
Vielen Dank für den Anstoß.
Das war mir nicht bewusst mit dem SourcePort.
Geht mir auch darum wie ich in der PFSense z.B 2 virutelle IP's habe die jeweils mit Port 9987 auf unterschiedliche Interne IP's zeigen...
Ich nehme an, da verwende ich als Source Adresse "Single Host or Alias" und hinterlege dort die externe IP-Adresse?
Das war mir nicht bewusst mit dem SourcePort.
Geht mir auch darum wie ich in der PFSense z.B 2 virutelle IP's habe die jeweils mit Port 9987 auf unterschiedliche Interne IP's zeigen...
Ich nehme an, da verwende ich als Source Adresse "Single Host or Alias" und hinterlege dort die externe IP-Adresse?
Das war mir nicht bewusst mit dem SourcePort.
Gehört zum kleinen Einmaleins des Netzwerkens und lernt man eigentlich in der ersten Klasse Netzwerkschule 
Geht mir auch darum wie ich in der PFSense z.B 2 virutelle IP's habe die jeweils mit Port 9987 auf unterschiedliche Interne IP's zeigen...
Dann hast du alles richtig gemacht, denn dafür brauchst du dann die virtuellen IPs.Wenn du den Fehler mit dem Source Port korrigierst wird es auch auf Anhieb klappen..
Ich nehme an, da verwende ich als Source Adresse
Die Frage ist jetzt etwas verwirrend ??In der ACL musst du am WAN Port den Zugriff folgendermaßen erlauben:
PASS Interface: WAN_Uplink
Protocol: TCP/UDP
Source Adress: ANY Source Port: ANY
Destination Adress: 79.xx.xxx.139 Dest.Ports: 9987 NAT IP: 10.xx.xxx.139 Ports: 9987
Die Destination Adress kannst du natürlich auch als Alias Adresse anlegen. Das ist eher kosmetisch und dient der besseren Übersicht.
Moin,
besten Dank.
Läuft jetzt alles soweit.
besten Dank.
Läuft jetzt alles soweit.
So sollte es auch sein...Glückwunsch ! 
