Hallo Zusammen
Ich bin ein neuer Mitstreiter, ich hoffe ich bleibe nicht in der Opferrolle in welcher ich mich gerade sehe 🙂
Nachdem ich mir eine pfSense gebaut habe wollte ich folgendes Netzwerk umsetzen.
---- [ Internet Box ] ---- [ pfSense ] --- [ Mein Netz] --- VLAN's 30, 40, 50
I
I
[ TV Box ]
Die TV Box soll weiterhin an der Internetbox bleiben, da der rest der Familie hier überfordert wäre wenn was schief geht 🙂
Mein Problem ist nun das ich erst mal auf der I Box NAT einrichte auf die pfSense und auf der pfSense dann die NAT's auf meine diversen Test Server und anderen Krempel mache.
von früher habe ich noch was im Kopf das doppeltes NAT nicht wirklich toll ist.
Gibt es einen einfachen Weg das umzusetzten ohne die Internet Box ganz zu entfernen?
Liebe Grüsse
Besa
Nachtrag,
Primär brauche ich nur die openvpn ports und die synology ports ge"nat"et 🙂
Hallo Besa
Sorry, dass ich mich erst jetzt wieder melde.
Die DMZ Variante ist die einzige Lösung des Problems. Wichtig ist auch der aktivierte DynDNS auf der IB, was Du ja bereits selber so umgesetzt hast.
Du darfst dann keine Routing / Port forward mehr auf der IB einrichten, unbedingt alle löschen.
Mit der DMZ Variante musst Du nun nur noch auf der pfSense die richtigen Port forward konfigurieren, da nun sämtliche Ports direkt an das DMZ Gerät weitergeleitet werden. (Ein paar Ausnahmen gibt es, da gewisse Ports für die IB reserviert sind)
Ich hoffe, Dir damit weiterhelfen zu können.
Grüsse
Päde
Na dann willkommen im Club 🙂
Mit der Internetbox in der beschriebenen Netzwerkanordnung führt leider kein Weg an einem Double-NAT-Setup vorbei: weder Bridgemodus noch statische Routen lassen sich auf der IB konfigurieren. Auch wenns technisch etwas unschön ist, so funktioniert Double-NAT in vielen Fällen tadellos.
Für ein sauberes Single-NAT-Setup müsstest du einen gebridgten Router auftreiben und die pfSense multicast-fähig machen. Falls du auch die AllIP-Telefonie via die Internetbox laufen hast, wirds noch komplizierter, da Swisscom sich weigert ihren Privatkunden die SIP-Zugangsdaten mitzuteilen.
Kurzum: solange es funktioniert, lässt du dein Setup am besten so wie es ist.
Hallo PowerMac
Danke für das Feedback...
Wenn ich das Doppelte NAT zum laufen kriegen würde, wär ich mehr oder weniger wunschlos glücklich. Habe mich vorallem zu lange nicht mehr damit befasst ums noch richtig hinzukriegen.
Netzmässig siehts so aus:
WAN IB - DHCP
LAN IB 192.168.1.1 ¦ ich erachte das 192.168.1.0/24 Netz als Transportnetz zwischen IB und PF
WAN PF 192.168.1.20 ¦
LAN PF z.b. 10.100.10.0/24
Zu Testzwecken habe ich mal die Synology Ports auf der IB freigeschaltet 5000 - 5001 und die PF als Target angegeben.
Auf der PF dann ein NAT für das gleiche als source das WAN der PF und als target die IP des Syno's.
Ich vermute, dass dies nicht ganz falsch war... "hoffnungsvoll kuckt"
So und nun wünsche ich erstmal eine Gute nacht.
besa
Ja, zumindest der unverschlüsselte HTTP-Zugriff auf das Synology-WebGUI müsste so eigentlich funktionieren. Um den Fehler einzugrenzen, kannst du testweise einmal einen Computer im 192.168.1.xx-Netz anschliessen, also direkt an der Internetbox, und das Portforwarding der pfSense testen (http://192.168.1.20:5000/). Oder du nimmst die Synology versuchsweise vor die pfSense und schaust, ob dann das Portforwarding der Internetbox geht.
Du hast das Portforwarding schon sowohl auf der Internetbox als auch auf der pfSense auf den TCP-Port (nicht UDP) 5000 eingerichtet, oder?
Hab nun ziemlich viel Zeit verbraten...
Ich wollte eigentlich meine Dyndns Adresse weiterbenuzten die ich mit dem centro grande schon genutz habe. Die pfSense weigert sich jedoch die Addresse zu importieren.
Gemäss meiner Suche im Internet sollte das auch am Double Nat liegen.
Ich habe nun mal alles so eingerichtet das es am DMZ port hängt, das scheint aber auch keinen Einfluss zu haben.
Werde mir wohl einen Mediakoverter bestellen, oder kennt jemand einen 5 - 8 port switch der einen gbic port hat?
sanfte grüsse
besa
Hallo Besa
Ich habe genau Deine Konstellation so produktiv im Einsatz, läuft alles einwandfrei.
Wichtig ist, dass Du bei IB LAN den DHCP aktivierst und den WAN von pfSense ebenfalls auf DHCP stellst.
Sobald die pfSense eine IP auf dem WAN von der IB bezogen hat, konfigurierst Du diese IP auf der IB als statische IP-Adresse. Danach aktivierst Du die DMZ-Funktion auf der IB und ordnest als Gerät die pfSense zu.
Das DynDNS Problem musst Du so lösen, dass die IB die DynDNS Funktion übernimmt und nicht die pfSense.
Bei mir laufen so erfolgreich Mailserver mit Webmail und Push-Mail etc., Synology NAS mit Photo- und Video-Station, sowie diversen VPN-Tunnels absolut störungsfrei.
Ich hoffe, Dir damit helfen zu können.
Gruss
Päde
In der Regel kannst du den DynDNS-Client so konfigurieren, dass der Registrationsserver selbst die verwendete externe IP erkennt (nennt sich "Autodetect" oder ähnlich), dann sollte die Adresse auch von der pfSense aus verwaltet werden können. Kann man aber auch wie schon geschrieben auf der Internetbox machen.
8-Port-Switches mit SFP-Port gibts schon, z.B. der Linksys/CiscoSB SRW2008 bzw. dessen Nachfolgemodelle. Nur als Medienkonverter wär mir das aber zu umständlich.
Dumme Frage: Brauchst Du die IB Box für irgendetwas oder ist sie in Deinem Netzwerk nur "durchlauferhitzer" ?
Falls Du sie eigentlich gar nicht brauchst, sollte es eigentlich funktionieren, indem man z.b. bei Digitec so einen Konverter den sie im Fiber7 Bundle anbieten von TP-Link für CHF 30 holst, dann das SFP Modul aus der IB ziehst und via Konverter direkt auf Deine pfSense gehst.
Dabei muss man aber soweit ich weiss schauen, dass in der pfSense dann der WAN port auf VLAN 10 ist, sowie eine spezifische DHCP Option mitgesendet wird, sonst gibts keine Verbindung. Danach sollte es meines Wissens aber funktionieren und Du kannst die IB irgendwo als Briefbeschwerer benutzen und hast kein Doppel-NAT mehr. 🙂
Details für DHCP etc. müsste in diesem Blog korrekt sein: https://blog.dogan.ch/2013/10/20/pfsense-mit-swisscom-ftth/
Hab's aber nicht persönlich getestet, habe meinen Glas Anschluss erst seit wenigen Tagen, mich aber auch schon am Mangel an Bridge / besseren VPN fähigkeiten geärgert und werde in den nächsten Tagen versuchen die IB ausser Betrieb zu nehmen und direkt meinen Server (kein pfSense, reiner Linux Server) zu verwenden. Das TP-Link Teil habe ich auf jeden Fall schon und direkt einen PC anstecken geht auch, da kommen jedenfalls ein paar PDU's an.
Hallo Besa
Sorry, dass ich mich erst jetzt wieder melde.
Die DMZ Variante ist die einzige Lösung des Problems. Wichtig ist auch der aktivierte DynDNS auf der IB, was Du ja bereits selber so umgesetzt hast.
Du darfst dann keine Routing / Port forward mehr auf der IB einrichten, unbedingt alle löschen.
Mit der DMZ Variante musst Du nun nur noch auf der pfSense die richtigen Port forward konfigurieren, da nun sämtliche Ports direkt an das DMZ Gerät weitergeleitet werden. (Ein paar Ausnahmen gibt es, da gewisse Ports für die IB reserviert sind)
Ich hoffe, Dir damit weiterhelfen zu können.
Grüsse
Päde
Hallo Besa
Ja die TV Boxen müssen unbedingt direkt an der IB an einem separaten LAN-Port angeschlossen werden.
Gruss
Päde