Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

Pfsense NAT

Hej! Jag har ett problem som jag tycker att jag inte borde ha längre. Men varje gång jag tycker att jag har fått koll på det så fungerar det inte.

Det gäller NAT.
Det jag försöker göra är främst förstå NAT, men mitt problem är:

Jag har en pfsense router som kör en vpn klient som försöker komma åt en ipserie på 192.168.4.0/24
Denna pfsense router skall använda NAT för att låta ip serien 192.168.1.0/24 komma åt den första ipserien

jag vet att jag skall använda mig av NAT men jag lyckas alltid strula till det.

Det jag tycker att jag borde göra är att lägga upp en regel:
interface: openvpn
source: 192.168.1.0/24
source port:*
destination:192.168.4.0/24
destination port:*
NAT address: openvpn address
NAT port: *

Hjälp mig gärna och om någon har ett bra exempel hur man ska tänka när man använder NAT tveka inte att skicka över det!
Jag hoppas detta är sista gången jag behöver bråka med detta

Edit: kompenserat för en trött mans formulering

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Maj 2008

Hej,

Skulle du kunna klargöra lite mer i detalj vilken IP-range som är vad. Är 192.168.1.0/24 LAN och 192.168.4.0/24 IP-range som du tilldelar klienter (OpenVPN)?

Klienter under LAN kommer åt OpenVPN klienter per default så länge de använder Pfsense som default gateway. OpenVPN klienterna kommer åt LAN så länge du har pushat ut routen 192.168.1.0/24 till dem, vilket kan göras i GUIt i Pfsense om jag inte minns fel.

Intel Core i7 3930K@ 4,7Ghz (Noctua NH-D14) | Asus Rampage IV Formula | Corsair Vengeance DDR3 16GB | MSI GTX 1080Ti Gaming X | Corsair AX 850W |
Ljud: Asus Essence STX -> Audio-GD DAC 19 -> Heed Canamp -> AKG K701

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

Hejsan
Kör själv pfSense på flera platser med IPSec mellan dessa, har sedan en entry point (pfsense-box) med OpenVPN.

Kör du L2TP eller OpenVPN, kör du guiden som finns i pfSense ska du inte behöva göra något mer. Du har inte problem att logga in utan du har problem att få access till de nät som finns på till LAN-interface (eller vilket interface du nu har denna ip-serie på)?

Har du get access till VPN ip-serien under rätt interface? VLAN eller inte?

Har du kollat så att vpn ip-serien finns med under:
Firewall>NAT>Outbound och under listan "Automatic Rules"?

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@Saodie: @GonAce: Ska försöka förklara mig bättre.
Det jag har är en pfsense router med ett internt vm nät med subnät 192.168.5.0/24 denna ligger som en vm på server.
Det lokala nätet ligger på subnät 192.168.1.0/24 denna har kontakt med pfsense genom att pfsense ligger på en statisk adress 192.168.1.100, detta som en egen interface.
Openvpn klienten har också en egen interface i pfsense där den får ipserien 192.168.10.0
Openvpn serven skickar ut ett subnät 192.168.4.0/24 över tunneln

Hur gör jag så att subnät 192.168.1.0/24 kommer åt 192.168.4.0/24?

Jag har lagt in route för 192.168.4.0 att gå till 192.168.1.100 in min lokala router.
Det som behöver göras är att lägga upp rätt NAT regel till tunneln, har gjort detta för men glömmer alltid bort hur jag har gjort.

-Inga VLAN

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Hedersmedlem
Plats
QuakeNet
Registrerad
Jul 2001

Vad är det för trafik som ska gå till 4.0-nätet, all typ av trafik? Det blir ju svårt att sätta upp NAT för alla scenarior, är det kanske inte en statisk route du behöver i så fall?

SWECLOCKERS.COM :: If Quake was done today :: Serverrum
WS: Asus P9X79 :: Core i7 3820 :: 32 GB RAM :: Samsung 830 256 GB :: 2x Intel 910 400 GB PCIE :: PNY Geforce GTX 970 XLR8 :: Gigabyte Odin GT 800W :: 2x Samsung Syncmaster S27A950D
NAS: SuperMicro X10-SLM-F :: Core i3 4130T :: 24 GB Kingston ECC :: Ri-Vier RVS2-06A 12Bay 2U :: IBM M1015 (IT) :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+ ::

Trädvy Permalänk
Medlem
Plats
Hudiksvall
Registrerad
Okt 2004

Varför sätta upp det med nat när du kan enkelt göra detta med hjälp av brandväggsregler och låta din pfsense göra jobbet. Dvs routa trafiken. Du nämner att du satt up före för trafiken men problemet är nog brandväggen i sig. Detta brukar lösa sig själv vid tillagt nät som interfacet samt bramdväggsregler.

..:: Workstation ::.. ..:: Asus P8Z77-v LX ::.. ..:: MSI GTX1060 6GB ::.. ..:: i5 3450 Ivy Bridge /w Antec KÜHLER H2O 620 Sluten Vattenkylning ::.. ..:: Corsair 16GB DDR3 600MHz/CL9/VENG ::.. ..:: NoName 650W ::.. ..:: Dell 24" 2408WFP ::.. ..:: Server ::.. ..:: AMD ..:: FX-8320 ::.. ..:: 16GB ::.. ..:: XFX HD6450 ::.. ..::250GB SSD Samsung 840 EVO::.. ..:: 3x 2TB wd black ::.. ..:: VCP6-DCV ::.. ..:: vmware esxi 6.7 ::..

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

Du behöver inte NAT eller routes. Sätt en Allow regel i brandväggen så löser det sig.

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av tjossanmannen:

Varför sätta upp det med nat när du kan enkelt göra detta med hjälp av brandväggsregler och låta din pfsense göra jobbet. Dvs routa trafiken. Du nämner att du satt up före för trafiken men problemet är nog brandväggen i sig. Detta brukar lösa sig själv vid tillagt nät som interfacet samt bramdväggsregler.

Skrivet av enoch85:

Du behöver inte NAT eller routes. Sätt en Allow regel i brandväggen så löser det sig.

Detta har jag aldrig testat. Hur skulle en sådan regel se ut?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Moderator
Registrerad
Mar 2006

Du har alltså lagt upp olika nätverk i PFsense, eller hur? Eller ligger allt "i samma påse" genom en mindre strikt subnätmask?

Det enklaste är väl om du lagt upp separata nätverk i PFsense (fysiskt eller med hjälp av VLAN). Bland nätverken är ju också de olika VPN-instanserna separerade för sig, och jag tror att i PFsense du också ger dem logiska namn som kan användas i reglerna. I så fall är det ganska enkelt att ange reglerna:

Tillåt eller blockera --- source = nätverk t ex OpenVPN --- destination = nätverket du vill att OpenVPN ska kunna nå

Något NAT behövs inte.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av Joulester:

Hej! Jag har ett problem som jag tycker att jag inte borde ha längre. Men varje gång jag tycker att jag har fått koll på det så fungerar det inte.

Det gäller NAT.
Det jag försöker göra är främst förstå NAT, men mitt problem är:

Jag har en pfsense router som kör en vpn klient som försöker komma åt en ipserie på 192.168.4.0/24
Denna pfsense router skall använda NAT för att låta ip serien 192.168.1.0/24 komma åt den första ipserien

jag vet att jag skall använda mig av NAT men jag lyckas alltid strula till det.

Det jag tycker att jag borde göra är att lägga upp en regel:
interface: openvpn
source: 192.168.1.0/24
source port:*
destination:192.168.4.0/24
destination port:*
NAT address: openvpn address
NAT port: *

Hjälp mig gärna och om någon har ett bra exempel hur man ska tänka när man använder NAT tveka inte att skicka över det!
Jag hoppas detta är sista gången jag behöver bråka med detta

Edit: kompenserat för en trött mans formulering

Var ett slarvfel av mig med vpn tunneln och denna lösning fungerade efter att det var åtgärdat.

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W