DNAT Frage

Wie kann man das Konfigurieren?
Post Reply
Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

DNAT Frage

Post by Alternarivende » October 21st, 2019, 12:23 pm

Hallo zusammen,
ich möchte einen Client (192.168.50.2,DMZ) von einem anderen Netz (10.7.8.0) aus erreichbar machen um das Gerät zu konfigurieren.

Die Clients in diesem Netz können dieses aber eigentlich nicht verlassen, daher dachte ich ich erstelle eine DNAT Regel und spreche den Client einfach mit einer anderen IP an, hole ihn also für die Clients gewissermaßen in dasselbe Netz.

Funktioniert das? Und wenn ja wie?

Beste Grüße

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: DNAT Frage

Post by ChrisK » October 21st, 2019, 2:52 pm

Hallo,

ich glaube hier wäre eine SNAT (Source NAT) Regel sinnvoller: Pakete die aus dem 10.7.8.0'er Netz kommen per SNAT mit der Interface-IP vom 192.168.50.0'er Netz versehen. Dann sollte es klappen.

VG

Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: DNAT Frage

Post by Alternarivende » October 21st, 2019, 3:17 pm

Ich glaube das wird nicht funktionieren.

Das Problem ist das ich auch aus anderen 10er Netzen auf diE DMZ muss und deren Gateways routen nicht zu der DMZ und unser Rechenzentrum wird das auch so nicht konfigurieren.

Für den Weg zurück, also DMZ Richtung 8er Netz habe ich eine SNAT Regel angelegt. Das klappt auch. Nur die übrigen 10er können auf jeden Fall das 8er erreichen. Daher dachte ich an so eine "Umleitung", falls möglich.

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: DNAT Frage

Post by ChrisK » October 21st, 2019, 5:18 pm

Ich glaube wir müssten erstmal definieren was genau du mit "können dies nicht verlassen" meinst.
Gibt es keinen Default-Gateways auf den Clients oder sind die Zieladressen in der Firewall auf das Netz beschränkt?

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: DNAT Frage

Post by ChrisK » October 21st, 2019, 5:55 pm

Hm, ich ging bei meiner ersten Antwort davon aus, dass wir davon reden dass alle Netze am IPFire anliegen. Nun schreibst du etwas vom Rechenzentrum und Routing.
Magst du vlt. mal kurz skizzieren wie genau das Setup ist? Welche Router gibt es und welche Netze liegen wo an?
Das wäre hilfreich um eine funktionsfähige Lösung zu finden.
Danke!

Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: DNAT Frage

Post by Alternarivende » October 22nd, 2019, 5:52 am

Ich denke das ist sinnvoll das mal etwas näher zu skizzieren:

Clients = 10.7.10.0
GW = 10.7.10.1 (RZ-Gerät)
GW = 10.7.8.1 (selbes Gerät)
andere Clients = 10.X.X.X
VOIP = 10.7.8.0
GW = 10.7.8.2 (IPFIRE)
DMZ = 192.168.50.0
DMZ-Reverse = 192.168.50.2

Nun gestaltet es sich etwas schwierig seitens unseres RZs eine Route zum 50er Netz zu bekommen da im 10er viele viele andere Clients und Standorte sind. Unsere Clients nutzen aber die 10.1 und die 8.1 als Gateway und können diese Netze erreichen. Daher hatte ich die Idee den internen Clients einfach unter einer 8er Adresse den DMZ-Reverse bekannt zu machen, damit wir eine funktionsfähige Route in die DMZ bekommen.

Ich habe dazu auch eine Anleitung gefunden die dies glaube ich auch skizziert, sicher bin ich mir da aber nicht:
http://kb.unixservertech.com/software/ipfire/dmz

Ich hoffe das es nun etwas verständlicher ist.

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: DNAT Frage

Post by ChrisK » October 22nd, 2019, 7:13 am

Welche Rolle spielt der IPFire in dem Konstrukt denn? Ist er der Gateway für bestimmte Netze?
Wenn der IPFire der Gateway/Router vom DMZ ist, sollte das machbar sein.

BeBiMa
Posts: 2842
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: DNAT Frage

Post by BeBiMa » October 22nd, 2019, 10:55 am

Auch die Auflistung der Netze wäre ganz hilfreich.
Eine IP-Adresse allein sagt noch nicht alles über die Erreichbarkeit aus.
Image
Unitymedia Cable Internet ( 32MBit )

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: DNAT Frage

Post by ChrisK » October 22nd, 2019, 11:26 am

Genau, am besten wäre ein kleines ASCII-Diagramm welche Netze an welchen Routern hängen.

Ein DNAT (so wie von dir gedacht) kannst du nämlich nur dort sinnvoll einrichten, wo das zu NATtende Ziel-Netzwerk direkt anliegt. Oder es muss sichergestellt sein, dass dein maskiertes Netzwerk von den Routern weiter hinten in der Kette akzeptiert wird.

Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: DNAT Frage

Post by Alternarivende » October 23rd, 2019, 7:32 am

ChrisK wrote:
October 22nd, 2019, 7:13 am
Welche Rolle spielt der IPFire in dem Konstrukt denn? Ist er der Gateway für bestimmte Netze?
Wenn der IPFire der Gateway/Router vom DMZ ist, sollte das machbar sein.
Hi,
ja genau so ist das. Der IPFire ist GW für 10.7.8.0 und logischerweise für die DMZ.
Ich habe das nach der verlinkten Anleitung eingestellt und das funktioniert theoretisch auch soweit, meine Telefone machen da aber noch ein paar Probleme.

Komisch ist nur das unter Status -> Verbindungen jetzt auch die Verbindungen aus dem grünen Netz (8.0) schwarz dargestellt werden. Soweit funktioniert alles aber ich weiß nicht wieso das jetzt so aussieht. Ich hatte schon den Alias temporär wieder deaktiviert und die beiden Firewallregeln auch, aber das bleibt so.

Hier mal die FW-Regeln für das DNAT und SNAT:
reverse01.jpg
reverse02.jpg

BeBiMa
Posts: 2842
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: DNAT Frage

Post by BeBiMa » October 23rd, 2019, 8:23 am

Immer noch hast Du keine Netzangaben gemacht. 10.7.8.0 definiert das Netz noch nicht vollständig. Da fehlt noch die Netzmaske.
Ebenso wäre eine Aufstellung über die Verbindung der einzelnen Komponenten incl. zugehöriger Netzwerkdefinitionen hilfreich.
Image
Unitymedia Cable Internet ( 32MBit )

Alternarivende
Posts: 186
Joined: April 4th, 2013, 4:30 pm

Re: DNAT Frage

Post by Alternarivende » October 23rd, 2019, 12:37 pm

Es sind alles 24er Netze. Den zweiten Teil deiner Anfrage verstehe ich irgendwie nicht. Was meinst du da genau?

10er Netz -> GW 10.1
8er Netz -> GW 8.1
IPFIRE -> 8.2 -> Verbindung ins Internet und DMZ 50.2 ins 8er Netz, über 8.1

Meinst du diese Infos?

BeBiMa
Posts: 2842
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: DNAT Frage

Post by BeBiMa » October 23rd, 2019, 2:45 pm

Eine graphische Darstellung der physikalischen Verbindungen im Netzwerk wäre ganz hilfreich.
Image
Unitymedia Cable Internet ( 32MBit )

Post Reply