Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd

pfSense NAT disable, returnerar till privata adresser

1
Skriv svar
Permalänk
Medlem

pfSense NAT disable, returnerar till privata adresser

Hej har ett problem som jag inte lyckas lösa, försöker i små steg implementera pfSense på jobbet. Dock har vi stött på ett märkligt problem. Ritar upp en enkel karta för er.

Alla nätverkskort fungerar och nätverket går upp korrekt. Problemet vi har är med NAT. Vi vill inte att pfSense maskinen ska köra någon som helst NAT eller FW. Utan den ska enbart agera router. Därför har vi gått in under advanced och bockat i "disable all packet filtering" vilket essentiellt borde göra det vi vill. Dock verkar det inte vara så enkelt för DNS uppslag kommer inte tillbaka från internet till Client LAN, om pfSense maskinen själv gör DNS uppslag så fungerar det bra. Men om någon dator på Client LAN för söker göra det så kommer det aldrig fram. Vi har kollat i loggarna och det vi har kommit fram till är att pfSense maskinen fortsatt gör NAT på paket som kommer från Client LAN.

Vi vill enbart att vår Vyatta FW ska köra NAT och inte pfSense, och även fast vi stängt av den funktionen så verkar den vägra stänga av det helt. När ett paket går ut på internet så blir NAT korrekt på Vyatta FW, problemet är när det kommer tillbaka så försöker den svara så svarar internet med en intern IP adress på Client LAN istället för den externa IP adressen på Vyatta FW. Notera att detta endast händer från Client LAN, försöker man direkt från pfSense så fungerar det perfekt. Vad gör vi för fel?

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Redigera
Citera flera Citera
Permalänk
Medlem

Verkar rätt,

jag antar att du lagt till en statisk route i Vyatta FW för ditt klient lan?

Redigera
Citera flera Citera
Permalänk
Medlem

Ja den har FW som gateway

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av AquaRelliux:

Ja den har FW som gateway

Gå till inlägget

Nu vet jag inte riktigt vad du svarar på.

Du menar att din pfsence har Vyatta FW som gateway antar jag?

Du måste även läggen upp en statisk route i din Vyatta FW som pekar på din pfsence.

Kan du pinga Vyattan från klient lanet?

Redigera
Citera flera Citera
Permalänk
Medlem

Nu är detta inte tänkt som kritik, men jag vill gärna ha svar på frågorna, Hoppas du inte tar illa upp, för det är inte meningen.

Är det en brandvägg om man disablar all packet filtering?
Sedan undrar jag varför man på jobbet installerar en sådan "brandvägg". En hårdvarubrandvägg av valfritt ok märke lär med arbtestiden som läggs ned på projektet bli mycket billigare än en gratisprodukt som inte har bra support och som kräver en del pillande för att få samma funktionalitet.

Att man hemma kör PFSense eller annat är en helt annan sak för då behöver man inte betala för arbetstiden. (Då är det snarare mest bara roligt). Dock när det handlar om en arbetsplats så har jag i alla fall själv ohyggligt svårt att förstå varför många lägger ned den tiden, vilket nästan alltid gör uppsättningen dyrare än standardprodukter som har bra support, hårdvaruutbyte vid fel osv.

Redigera
Citera flera Citera
Permalänk
Medlem

OFT:

Skrivet av Talisker00:

Nu är detta inte tänkt som kritik, men jag vill gärna ha svar på frågorna, Hoppas du inte tar illa upp, för det är inte meningen.

Är det en brandvägg om man disablar all packet filtering?
Sedan undrar jag varför man på jobbet installerar en sådan "brandvägg". En hårdvarubrandvägg av valfritt ok märke lär med arbtestiden som läggs ned på projektet bli mycket billigare än en gratisprodukt som inte har bra support och som kräver en del pillande för att få samma funktionalitet.

Att man hemma kör PFSense eller annat är en helt annan sak för då behöver man inte betala för arbetstiden. (Då är det snarare mest bara roligt). Dock när det handlar om en arbetsplats så har jag i alla fall själv ohyggligt svårt att förstå varför många lägger ned den tiden, vilket nästan alltid gör uppsättningen dyrare än standardprodukter som har bra support, hårdvaruutbyte vid fel osv.

Gå till inlägget

Kan förvisso även vända på det att arbetstid inte kostar något då den redan är budgeterad och skall betalas oavsett medans valfri hårdvarubrandvägg kostar pengar för både investering och underhåll.

OT: Du har stängt av paketfiltret men har du slagit av NAT och satt på IP-Forwarding.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Talisker00:

Nu är detta inte tänkt som kritik, men jag vill gärna ha svar på frågorna, Hoppas du inte tar illa upp, för det är inte meningen.

Är det en brandvägg om man disablar all packet filtering?
Sedan undrar jag varför man på jobbet installerar en sådan "brandvägg". En hårdvarubrandvägg av valfritt ok märke lär med arbtestiden som läggs ned på projektet bli mycket billigare än en gratisprodukt som inte har bra support och som kräver en del pillande för att få samma funktionalitet.

Att man hemma kör PFSense eller annat är en helt annan sak för då behöver man inte betala för arbetstiden. (Då är det snarare mest bara roligt). Dock när det handlar om en arbetsplats så har jag i alla fall själv ohyggligt svårt att förstå varför många lägger ned den tiden, vilket nästan alltid gör uppsättningen dyrare än standardprodukter som har bra support, hårdvaruutbyte vid fel osv.

Gå till inlägget

Det finns extremt många anledningar till detta och faktiskt finns det många företag som kör pfSense som Enterprise lösningar. Det är möjligt att få pro support från dem men det kostar pengar då. Att sätta upp hela vår miljö med enbart hårdvarubrandvägg har många nackdelar, för det första skulle vi behöva ungefär 6st. De kostar oerhört mycket mer pengar, de är inte direkt lättare att konfigurera och de drar mer ström. De är svårare att styra dem och då alla våra routrar är virtualiserade. Detta är mest uppsatt som en test då vår Vyatta miljö är utdaterad och vi behöver något nytt.

Om du hade läst vad jag skrev så är det endast pfSense som har stängt av "packet filtering" Vyatta FW är vår brandvägg som används som den enda brandväggen i miljön.

Skrivet av suhrim:

Nu vet jag inte riktigt vad du svarar på.

Du menar att din pfsence har Vyatta FW som gateway antar jag?

Du måste även läggen upp en statisk route i din Vyatta FW som pekar på din pfsence.

Kan du pinga Vyattan från klient lanet?

Gå till inlägget

Allt nätverks funktionalitet fungerar med ping emot ip-addresser och ja det finns en statisk route till Vyatta FW, den är satt som gateway för DNS och alla interfaces(Ja det finns ca 7 mer interfaces som inte visas på bilden). Det blir endast problem med NAT från Client LAN då det vi enda har testat men jag tänker förutsatt att alla andra LANs också har problem med samma sak.

Skrivet av aluser:

OFT:

Kan förvisso även vända på det att arbetstid inte kostar något då den redan är budgeterad och skall betalas oavsett medans valfri hårdvarubrandvägg kostar pengar för både investering och underhåll.

OT: Du har stängt av paketfiltret men har du slagit av NAT och satt på IP-Forwarding.

Gå till inlägget

Detta har jag gjort:

Som du ser skall den också stänga av NAT + alla firewall rules.

Senast redigerat
Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av AquaRelliux:

Allt nätverks funktionalitet fungerar med ping emot ip-addresser och ja det finns en statisk route till Vyatta FW, den är satt som gateway för DNS och alla interfaces(Ja det finns ca 7 mer interfaces som inte visas på bilden). Det blir endast problem med NAT från Client LAN då det vi enda har testat men jag tänker förutsatt att alla andra LANs också har problem med samma sak.

Gå till inlägget

Vilka interface har Vyatta FW som gateway? Vilket nät sitter dessa på? Vilken gateway delas ut på klient lanet?

Frågan var om du lagt upp routes i din Vyatta som pekar mot din pfsence inte tvärtom.

Redigera
Citera flera Citera
Permalänk
Medlem

Okej vi gör så här, detta är alla interfaces:

interfaces>
		<lan1>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan10</if>
			<enable/>
			<ipaddr>10.1.11.254</ipaddr>
			<subnet>23</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan1>
		<lan2>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan2</if>
			<enable/>
			<ipaddr>10.1.2.254</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan2>
		<lan3>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan5</if>
			<enable/>
			<ipaddr>10.1.5.249</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan3>
		<lan4>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan12</if>
			<enable/>
			<ipaddr>10.1.12.253</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan4>
		<lan5>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan20</if>
			<enable/>
			<ipaddr>10.1.20.254</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan5>
		<lan6>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan25</if>
			<enable/>
			<ipaddr>10.1.25.254</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan6>
		<lan7>
			<descr><![CDATA[]></descr>
			<if>em0_vlan70</if>
			<enable/>
			<ipaddr>10.1.70.254</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan7>
		<lan8>
			<descr><![CDATA[]]></descr>
			<if>em0_vlan99</if>
			<enable/>
			<ipaddr>192.168.12.253</ipaddr>
			<subnet>24</subnet>
			<gateway>Internet</gateway>
			<spoofmac/>
		</lan8>
	</interfaces>

Gateway för alla interfaces som ni kan se i koden är

	<gateways>
		<gateway_item>
			<interface>lan8</interface>
			<gateway>192.168.12.251</gateway>
			<name>Internet</name>
			<weight>1</weight>
			<ipprotocol>inet</ipprotocol>
			<interval/>
			<descr><![CDATA[Internet Gateway]]></descr>
			<default/>
		</gateway_item>
	</gateways>

Den statica routen ut på internet fungerar, Vyatta använder OSPF för att lära sig vägen till rätt nätverk. Problemet är att när svaret kommer tillbaka är det till FEL mottagare. Svaret borde vara till Vyatta FW externa IP men det är det inte utan svaret den för säger att den ska gå till Client LAN adressen och detta tyder på att NAT inte fungerar efter det att den passerat pfSense routern. Om vi bara kör Vyatta fungerar det perfekt.

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för ett utförligt svar. Jag var mest nyfiken och givetvis kan man vara duktig nog på exempelvis PFSense så det lönar sig, min fråga var mest lämpad till de som inte kan det och försöker sätta upp det till en större löekostnad än om man kört standardprodukter.

Sedan är det givetvis beroende av lösningar. Det finns brandväggar som kan har massor av virtuella routingtabeller som gör att en brandvägg kan agera med vattentäta skott. Alternativt kan man givetvis har layer3-switchar som routar trafiken, men jag antar att du som mig föredrar att använda brandväggar för fullständig kontroll. (Jo, med exempelvis Cisco VRF kan man åstadkomma sådant också, men för en väsentligt högre peng).

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av AquaRelliux:

Okej vi gör så här, detta är alla interfaces:

interfaces>
<lan1>
<descr><![CDATA[]]></descr>
<if>em0_vlan10</if>
<enable/>
<ipaddr>10.1.11.254</ipaddr>
<subnet>23</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan1>
<lan2>
<descr><![CDATA[]]></descr>
<if>em0_vlan2</if>
<enable/>
<ipaddr>10.1.2.254</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan2>
<lan3>
<descr><![CDATA[]]></descr>
<if>em0_vlan5</if>
<enable/>
<ipaddr>10.1.5.249</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan3>
<lan4>
<descr><![CDATA[]]></descr>
<if>em0_vlan12</if>
<enable/>
<ipaddr>10.1.12.253</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan4>
<lan5>
<descr><![CDATA[]]></descr>
<if>em0_vlan20</if>
<enable/>
<ipaddr>10.1.20.254</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan5>
<lan6>
<descr><![CDATA[]]></descr>
<if>em0_vlan25</if>
<enable/>
<ipaddr>10.1.25.254</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan6>
<lan7>
<descr><![CDATA[]></descr>
<if>em0_vlan70</if>
<enable/>
<ipaddr>10.1.70.254</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan7>
<lan8>
<descr><![CDATA[]]></descr>
<if>em0_vlan99</if>
<enable/>
<ipaddr>192.168.12.253</ipaddr>
<subnet>24</subnet>
<gateway>Internet</gateway>
<spoofmac/>
</lan8>
</interfaces>

Dold text

Gateway för alla interfaces som ni kan se i koden är

<gateways>
<gateway_item>
<interface>lan8</interface>
<gateway>192.168.12.251</gateway>
<name>Internet</name>
<weight>1</weight>
<ipprotocol>inet</ipprotocol>
<interval/>
<descr><![CDATA[Internet Gateway]]></descr>
<default/>
</gateway_item>
</gateways>

Dold text

Den statica routen ut på internet fungerar, Vyatta använder OSPF för att lära sig vägen till rätt nätverk. Problemet är att när svaret kommer tillbaka är det till FEL mottagare. Svaret borde vara till Vyatta FW externa IP men det är det inte utan svaret den för säger att den ska gå till Client LAN adressen och detta tyder på att NAT inte fungerar efter det att den passerat pfSense routern. Om vi bara kör Vyatta fungerar det perfekt.

Gå till inlägget

Du ska inte sätta gateway på alla interface utan bara på lan8.
Vad får klienterna för gateway? (skall vara den ip pfsence har på det lanet.)
Har du testat att pinga din Vyatta FW från valfritt lan?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av suhrim:

Du ska inte sätta gateway på alla interface utan bara på lan8.
Vad får klienterna för gateway? (skall vara den ip pfsence har på det lanet.)
Har du testat att pinga din Vyatta FW från valfritt lan?

Gå till inlägget

Det går att pinga Vyatta FW från Client LAN, all nät trafik fungerar det är enbart NAT som inte fungerar från Client LANen, att ändra gateway borde inte fixa det.

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara