Forum Datorer och system Server Tråd Inlägg

Pfsense NAT

1
Skriv svar
Permalänk
Medlem

Pfsense NAT

Hej! Jag har ett problem som jag tycker att jag inte borde ha längre. Men varje gång jag tycker att jag har fått koll på det så fungerar det inte.

Det gäller NAT.
Det jag försöker göra är främst förstå NAT, men mitt problem är:

Jag har en pfsense router som kör en vpn klient som försöker komma åt en ipserie på 192.168.4.0/24
Denna pfsense router skall använda NAT för att låta ip serien 192.168.1.0/24 komma åt den första ipserien

jag vet att jag skall använda mig av NAT men jag lyckas alltid strula till det.

Det jag tycker att jag borde göra är att lägga upp en regel:
interface: openvpn
source: 192.168.1.0/24
source port:*
destination:192.168.4.0/24
destination port:*
NAT address: openvpn address
NAT port: *

Hjälp mig gärna och om någon har ett bra exempel hur man ska tänka när man använder NAT tveka inte att skicka över det!
Jag hoppas detta är sista gången jag behöver bråka med detta

Edit: kompenserat för en trött mans formulering

Senast redigerat
Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Redigera
Citera flera Citera
Permalänk
Medlem

Hej,

Skulle du kunna klargöra lite mer i detalj vilken IP-range som är vad. Är 192.168.1.0/24 LAN och 192.168.4.0/24 IP-range som du tilldelar klienter (OpenVPN)?

Klienter under LAN kommer åt OpenVPN klienter per default så länge de använder Pfsense som default gateway. OpenVPN klienterna kommer åt LAN så länge du har pushat ut routen 192.168.1.0/24 till dem, vilket kan göras i GUIt i Pfsense om jag inte minns fel.

Visa signatur

Intel Core i9 9900K@ 5,2Ghz (Noctua NH-D15) | Asus ROG Maximus Xi Hero Z390 | Corsair Vengeance 16GB DDR4 2666Mhz | MSI GeForce RTX 3080 10GB GAMING X TRIO | EVGA Supernova G2 750W |

Redigera
Citera flera Citera
Permalänk
Medlem

Hejsan
Kör själv pfSense på flera platser med IPSec mellan dessa, har sedan en entry point (pfsense-box) med OpenVPN.

Kör du L2TP eller OpenVPN, kör du guiden som finns i pfSense ska du inte behöva göra något mer. Du har inte problem att logga in utan du har problem att få access till de nät som finns på till LAN-interface (eller vilket interface du nu har denna ip-serie på)?

Har du get access till VPN ip-serien under rätt interface? VLAN eller inte?

Har du kollat så att vpn ip-serien finns med under:
Firewall>NAT>Outbound och under listan "Automatic Rules"?

Senast redigerat
Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Redigera
Citera flera Citera
Permalänk
Medlem

@Saodie: @gonace: Ska försöka förklara mig bättre.
Det jag har är en pfsense router med ett internt vm nät med subnät 192.168.5.0/24 denna ligger som en vm på server.
Det lokala nätet ligger på subnät 192.168.1.0/24 denna har kontakt med pfsense genom att pfsense ligger på en statisk adress 192.168.1.100, detta som en egen interface.
Openvpn klienten har också en egen interface i pfsense där den får ipserien 192.168.10.0
Openvpn serven skickar ut ett subnät 192.168.4.0/24 över tunneln

Hur gör jag så att subnät 192.168.1.0/24 kommer åt 192.168.4.0/24?

Jag har lagt in route för 192.168.4.0 att gå till 192.168.1.100 in min lokala router.
Det som behöver göras är att lägga upp rätt NAT regel till tunneln, har gjort detta för men glömmer alltid bort hur jag har gjort.

-Inga VLAN

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Vad är det för trafik som ska gå till 4.0-nätet, all typ av trafik? Det blir ju svårt att sätta upp NAT för alla scenarior, är det kanske inte en statisk route du behöver i så fall?

Visa signatur

SWECLOCKERS.COM :: If Quake was done today ::
WS: Gigabyte Z690 UD DDR5 :: Core i5 12600K :: 32 GB RAM :: Geforce RTX 3060 Ti :: 10 GbE NIC :: AOC C32G1 32" :: Seagate FireCuda 530 1TB :: Deepcool Matrexx 55
NAS: SM X10-SLM-F :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+

Redigera
Citera flera Citera
Permalänk
Medlem

Varför sätta upp det med nat när du kan enkelt göra detta med hjälp av brandväggsregler och låta din pfsense göra jobbet. Dvs routa trafiken. Du nämner att du satt up före för trafiken men problemet är nog brandväggen i sig. Detta brukar lösa sig själv vid tillagt nät som interfacet samt bramdväggsregler.

Visa signatur

..:: Workstation ::.. ..:: Asus P8Z77-v LX ::.. ..:: MSI GTX1060 6GB ::.. ..:: i5 3450 Ivy Bridge /w Antec KÜHLER H2O 620 Sluten Vattenkylning ::.. ..:: Corsair 16GB DDR3 600MHz/CL9/VENG ::.. ..:: NoName 650W ::.. ..:: Dell 24" 2408WFP ::.. ..:: Server ::.. ..:: AMD ..:: FX-8320 ::.. ..:: 16GB ::.. ..:: XFX HD6450 ::.. ..::250GB SSD Samsung 840 EVO::.. ..:: 3x 2TB wd black ::.. ..:: VCP6-DCV ::.. ..:: vmware esxi 6.7 ::..

Redigera
Citera flera Citera
Permalänk
Medlem

Du behöver inte NAT eller routes. Sätt en Allow regel i brandväggen så löser det sig.

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av tjossanmannen:

Varför sätta upp det med nat när du kan enkelt göra detta med hjälp av brandväggsregler och låta din pfsense göra jobbet. Dvs routa trafiken. Du nämner att du satt up före för trafiken men problemet är nog brandväggen i sig. Detta brukar lösa sig själv vid tillagt nät som interfacet samt bramdväggsregler.

Gå till inlägget
Skrivet av enoch85:

Du behöver inte NAT eller routes. Sätt en Allow regel i brandväggen så löser det sig.

Gå till inlägget

Detta har jag aldrig testat. Hur skulle en sådan regel se ut?

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Redigera
Citera flera Citera
Permalänk
Medlem

https://i.imgur.com/Zm9D0nS.png

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Du har alltså lagt upp olika nätverk i PFsense, eller hur? Eller ligger allt "i samma påse" genom en mindre strikt subnätmask?

Det enklaste är väl om du lagt upp separata nätverk i PFsense (fysiskt eller med hjälp av VLAN). Bland nätverken är ju också de olika VPN-instanserna separerade för sig, och jag tror att i PFsense du också ger dem logiska namn som kan användas i reglerna. I så fall är det ganska enkelt att ange reglerna:

Tillåt eller blockera --- source = nätverk t ex OpenVPN --- destination = nätverket du vill att OpenVPN ska kunna nå

Något NAT behövs inte.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Joulester:

Hej! Jag har ett problem som jag tycker att jag inte borde ha längre. Men varje gång jag tycker att jag har fått koll på det så fungerar det inte.

Det gäller NAT.
Det jag försöker göra är främst förstå NAT, men mitt problem är:

Jag har en pfsense router som kör en vpn klient som försöker komma åt en ipserie på 192.168.4.0/24
Denna pfsense router skall använda NAT för att låta ip serien 192.168.1.0/24 komma åt den första ipserien

jag vet att jag skall använda mig av NAT men jag lyckas alltid strula till det.

Det jag tycker att jag borde göra är att lägga upp en regel:
interface: openvpn
source: 192.168.1.0/24
source port:*
destination:192.168.4.0/24
destination port:*
NAT address: openvpn address
NAT port: *

Hjälp mig gärna och om någon har ett bra exempel hur man ska tänka när man använder NAT tveka inte att skicka över det!
Jag hoppas detta är sista gången jag behöver bråka med detta

Edit: kompenserat för en trött mans formulering

Gå till inlägget

Var ett slarvfel av mig med vpn tunneln och denna lösning fungerade efter att det var åtgärdat.

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara