pfSense: 1:1 NAT erstellen

Nicht immer kann oder soll direkt auf einem Firewall-Router gefiltert werden oder aus anderen Gründen muss der gesamte Datenverkehr für eine oder mehrere (öffentliche) IP-Adressen Eins-zu-Eins an ein Zielsystem weitergeleitet werden. Am Beispiel von pfSense ist eine solche Konfiguration schnell erstellt.

(Öffentliche) IP-Adressen bekannt machen

Zunächst müssen virtuelle IP-Adressen erstellt werden, damit pfSense sich für diese überhaupt angesprochen fühlt:

  • Am Web-Interface anmelden.
  • Auf „Firewall – Virtual IPs“ klicken.
  • Auf der Registerkarte „Virtual IPs“ auf das „+“-Symbol klicken.
  • Bei „Type“ „IP Alias“ auswählen.
  • Sofern notwendig das richtige Interface auswählen. Hat man nur ein WAN-Interface auf dem z.B. ein öffentliches Subnetz konfiguriert ist, belässt man die Voreinstellung.
  • Bei „IP-Adress(es)“ die IP-Addresse eintragen und die zugehörige Subnetzmaske auswählen.
  • Ggf. bei „Description“ eine Beschreibung eintragen.
  • Auf die Schaltfläche „Save“ klicken.
  • Auf die Schaltfläche „Apply changes“ klicken.

1:1 NAT anlegen

Damit jeder Datenverkehr für die (öffentliche) IP-Adresse Eins-zu-Eins auf eine interne IP-Adresse weitergeleitet werden kann, muss die notwendige Übersetzung konfiguriert werden:

  • Auf „Firewall – NAT“ klicken.
  • Zur Registerkarte „1:1“ wechseln und auf das „+“-Symbol klicken.
  • Bei „External subnet IP“ die zuvor als virtuelle IP konfigurierte Adresse eintragen.
  • Bei „Internal IP“ die interne IP-Adresse des Zielsystems eintragen.
  • Ggf. bei „Description“ eine Beschreibung eintragen.
  • Auf die Schaltfläche „Save“ klicken.
  • Auf die Schaltfläche „Apply changes“ klicken.

Firewall-Regeln anlegen

Damit der Datenverkehr die Firewall überhaupt passieren darf, muss zuletzt eine Regel erstellt werden:

  • Auf „Firewall – Rules“ klicken.
  • Zur Registerkarte „WAN“ wechseln und auf das „+“-Symbol klicken.
  • Bei „Protocol“ „any“ auswählen.
  • Bei „Destination“ für „Type“ „Single host or alias“ auswählen und im Feld „address“ die interne IP-Adresse des Zielsystems eintragen.
  • Ggf. bei „Description“ eine Beschreibung eintragen.
  • Auf die Schaltfläche „Save“ klicken.
  • Auf die Schaltfläche „Apply changes“ klicken.

Von nun an wird sämtlicher Datenverkehr, der für die externe bzw. öffentliche IP-Adresse bestimmt ist Eins-zu-Eins an das Zielsystem weitergeleitet.

4 Kommentare

  • Hallo Andy,
    durch Zufall bin ich auf deinen Blog gestoßen und habe mich schon riesig gefreut, dass nun genau das Thema, welches mich auch beschäftigt, behandelt wird. Leider bekomme ich das ganze nicht zum Laufen. Ich habe genau das gleich Setup, anstelle der LB1111 habe ich die LB1110. Diese läuft im Bridge Mode. Aber bei mir wird Gateway als offline angezeigt. Ich weiß nicht woran es liegt. Könntest du vielleicht ein wenig Starthilfe geben?
    Danke & Gruß
    Christian

  • Monitor IP eingetragen? Falls ja, ist diese evtl. nicht aus dem Mobilfunk-Netz erreichbar?

  • Google DNS-Server 8.8.8.8 Welcher wäre denn erreichbar?

  • Google geht meistens, wobei ich es auch schon mal erlebt habe, das es nicht zuverlässig erreicht werden kann.
    Evtl. mal eine andere Monitor IP testen.
    Möglicherweise stimmt mit dem Routing oder der Firewall etwas nicht.
    Mal in die Logs und den Routing Table schauen, ob da etwas auffällt.

    Wird die LB1110 für WAN oder Fallback verwendet?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.