pfSense und Internet Box - doppeltes NAT

Na dann willkommen im Club 🙂

Mit der Internetbox in der beschriebenen Netzwerkanordnung führt leider kein Weg an einem Double-NAT-Setup vorbei: weder Bridgemodus noch statische Routen lassen sich auf der IB konfigurieren. Auch wenns technisch etwas unschön ist, so funktioniert Double-NAT in vielen Fällen tadellos.

Für ein sauberes Single-NAT-Setup müsstest du einen gebridgten Router auftreiben und die pfSense multicast-fähig machen. Falls du auch die AllIP-Telefonie via die Internetbox laufen hast, wirds noch komplizierter, da Swisscom sich weigert ihren Privatkunden die SIP-Zugangsdaten mitzuteilen.

Kurzum: solange es funktioniert, lässt du dein Setup am besten so wie es ist.

Hallo PowerMac

Danke für das Feedback...

Wenn ich das Doppelte NAT zum laufen kriegen würde, wär ich mehr oder weniger wunschlos glücklich. Habe mich vorallem zu lange nicht mehr damit befasst ums noch richtig hinzukriegen.

Netzmässig siehts so aus:

WAN IB - DHCP

LAN IB  192.168.1.1      ¦ ich erachte das 192.168.1.0/24  Netz als Transportnetz zwischen IB und PF 

WAN PF 192.168.1.20   ¦

LAN PF z.b. 10.100.10.0/24

Zu Testzwecken habe ich mal die Synology Ports auf der IB freigeschaltet 5000 - 5001 und die PF als Target angegeben.

Auf der PF dann ein NAT für das gleiche als source das WAN der PF und als target die IP des Syno's.

Ich vermute, dass dies nicht ganz falsch war... "hoffnungsvoll kuckt"

So und nun wünsche ich erstmal eine Gute nacht.

besa

Ja, zumindest der unverschlüsselte HTTP-Zugriff auf das Synology-WebGUI müsste so eigentlich funktionieren. Um den Fehler einzugrenzen, kannst du testweise einmal einen Computer im 192.168.1.xx-Netz anschliessen, also direkt an der Internetbox, und das Portforwarding der pfSense testen (http://192.168.1.20:5000/). Oder du nimmst die Synology versuchsweise vor die pfSense und schaust, ob dann das Portforwarding der Internetbox geht.

Du hast das Portforwarding schon sowohl auf der Internetbox als auch auf der pfSense auf den TCP-Port (nicht UDP) 5000 eingerichtet, oder?

Hab nun ziemlich viel Zeit verbraten...

Ich wollte eigentlich meine Dyndns Adresse weiterbenuzten die ich mit dem centro grande schon genutz habe. Die pfSense weigert sich jedoch die Addresse zu importieren.

Gemäss meiner Suche im Internet sollte das auch am Double Nat liegen.

Ich habe nun mal alles so eingerichtet das es am DMZ port hängt, das scheint aber auch keinen Einfluss zu haben.

Werde mir wohl einen Mediakoverter bestellen, oder kennt jemand einen 5 - 8 port switch der einen gbic port hat?

sanfte grüsse

besa

Hallo Besa

Ich habe genau Deine Konstellation so produktiv im Einsatz, läuft alles einwandfrei.

Wichtig ist, dass Du bei IB LAN den DHCP aktivierst und den WAN von pfSense ebenfalls auf DHCP stellst.

Sobald die pfSense eine IP auf dem WAN von der IB bezogen hat, konfigurierst Du diese IP auf der IB als statische IP-Adresse. Danach aktivierst Du die DMZ-Funktion auf der IB und ordnest als Gerät die pfSense zu.

Das DynDNS Problem musst Du so lösen, dass die IB die DynDNS Funktion übernimmt und nicht die pfSense.

Bei mir laufen so erfolgreich Mailserver mit Webmail und Push-Mail etc., Synology NAS mit Photo- und Video-Station, sowie diversen VPN-Tunnels absolut störungsfrei.

Ich hoffe, Dir damit helfen zu können.

Gruss

Päde

In der Regel kannst du den DynDNS-Client so konfigurieren, dass der Registrationsserver selbst die verwendete externe IP erkennt (nennt sich "Autodetect" oder ähnlich), dann sollte die Adresse auch von der pfSense aus verwaltet werden können. Kann man aber auch wie schon geschrieben auf der Internetbox machen.

8-Port-Switches mit SFP-Port gibts schon, z.B. der Linksys/CiscoSB SRW2008 bzw. dessen Nachfolgemodelle. Nur als Medienkonverter wär mir das aber zu umständlich.

Dumme Frage: Brauchst Du die IB Box für irgendetwas oder ist sie in Deinem Netzwerk nur "durchlauferhitzer" ?

Falls Du sie eigentlich gar nicht brauchst, sollte es eigentlich funktionieren, indem man z.b. bei Digitec so einen Konverter den sie im Fiber7 Bundle anbieten von TP-Link für CHF 30 holst, dann das SFP Modul aus der IB ziehst und via Konverter direkt auf Deine pfSense gehst.

Dabei muss man aber soweit ich weiss schauen, dass in der pfSense dann der WAN port auf VLAN 10 ist, sowie eine spezifische DHCP Option mitgesendet wird, sonst gibts keine Verbindung. Danach sollte es meines Wissens aber funktionieren und Du kannst die IB irgendwo als Briefbeschwerer benutzen und hast kein Doppel-NAT mehr. 🙂

Details für DHCP etc. müsste in diesem Blog korrekt sein: https://blog.dogan.ch/2013/10/20/pfsense-mit-swisscom-ftth/

Hab's aber nicht persönlich getestet, habe meinen Glas Anschluss erst seit wenigen Tagen, mich aber auch schon am Mangel an Bridge / besseren VPN fähigkeiten geärgert und werde in den nächsten Tagen versuchen die IB ausser Betrieb zu nehmen und direkt meinen Server (kein pfSense, reiner Linux Server) zu verwenden. Das TP-Link Teil habe ich auf jeden Fall schon und direkt einen PC anstecken geht auch, da kommen jedenfalls ein paar PDU's an.

Hallo Besa

Ja die TV Boxen müssen unbedingt direkt an der IB an einem separaten LAN-Port angeschlossen werden.

Gruss

Päde