[gelöst] nftable nat/snat ip umwandeln

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[gelöst] nftable nat/snat ip umwandeln

Beitrag von joe2017 » 19.02.2021 11:55:59

Hallo zusammen,

ich habe eine etwas komlizierte Frage und hoffe, dass ich das jetzt richtig erklärt bekomme.
Ich habe zwei unterschiedliche netze. 192.168.0.0/24 und 10.0.0.0/8.
Ich kann bereits von beiden Netzen in das jeweilige andere routen.

Jetzt habe ich einen Drucker in dem 10.0.0.0/8 Netz stehen.
Bsp. IP: 10.0.0.100

Diese Adresse soll in dem anderen Netz nicht bekannt sein. Ich muss jedoch diesen Drucker in dem anderen Netz 192.168.0.0/24 installieren.
Bsp. virtuelle IP 192.168.0.100

Kann man jetzt mittels nat oder snat sagen, dass wenn ich aus dem 192.168.0.0/24 Netz auf den installierten Durcker (virtuelle IP: 192.168.0.100) drucke, die IP auf die richtige IP 10.0.0.100 geleitet wird? Ich bin mir nicht sicher ob das funktioniert oder wie ich diese nftable Regel erstellen kann.

Ich hoffe mir kann hierzu jemand eine Antwort geben.
Zuletzt geändert von joe2017 am 26.02.2021 16:41:50, insgesamt 1-mal geändert.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: nftable nat/snat ip umwandeln

Beitrag von mludwig » 19.02.2021 12:16:00

Dein Scenario beschreibt nicht SNAT (das S steht für Source), sondern DNAT, d. h. hier wird das Ziel eines IP-Paketes verändert.

Zunächst einmal muss sichergestellt werden, dass die Pakete überhaupt am Router ankommen. Hierzu kannst du entweder:
- dem Router zusätzlich eine (weitere) virtuelle IP geben, z. B. die von dir genannte 192.168.0.100. Dann noch ein Port-Forward (DNAT) der betreffenden Dienste (z. B. ipp ist Port 631) auf die 10.0.0.100 und schon geht das. Ist die flexiblere Lösung
- AmPC als IP des Druckers den Gateway angeben, und ebenfalls Portforward auf den Drucker. Einfacher, aber führt eventuell später zu problemen da IP von GW und Drucker gleich sind.

Hier die Stelle zu DNAT lesen:
https://wiki.nftables.org/wiki-nftables ... tion_(NAT)

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: nftable nat/snat ip umwandeln

Beitrag von joe2017 » 19.02.2021 12:35:45

Was ich vergessen habe...

Ich habe nicht nur einen Drucker sondern ca. 100. Somit müsste ich immer ip zu ip natten.
192.168.0.100 zu 10.0.0.100
192.168.0.101 zu 10.0.0.101
192.168.0.102 zu 10.0.0.102
usw.

Wäre dieses Szenario trotzdem möglich?

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: nftable nat/snat ip umwandeln

Beitrag von mludwig » 19.02.2021 12:51:42

Wenn man mit virtuellen IPs am Router arbeitet, ginge das auch. Je Drucker eine weitere virtuelle IP am Router. Ist aber doch ein ganz schöner Aufwand. Im ersten Post schreibst du, dass du zwischen beiden Netzen routen kannst. Was hindert dich denn daran einfach direkt die IP als Ziel anzugeben? Das würde alles doch sehr viel einfacher machen, und einen Sicherheitsgewinn durch das NAT kann ich auch nicht erkennen.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: nftable nat/snat ip umwandeln

Beitrag von joe2017 » 19.02.2021 13:06:24

Ich habe einen Denkfehler gemacht und etwas vergessen.

Der Drucker wird nicht auf einem PC im Netz 192.168.0.0/24 installiert.
Der externe PC auf welchem der Drucker installiert wird, steht hinter einem VPN und das Netz des PC´s ist mir nicht bekannt.

Netz 1: 10.0.0.0/8
Gateway 1: 10.0.0.1
Interface 2: 192.168.0.2
Drucker IP: 10.0.0.100 (real)
Drucker IP: 10.0.0.101 (real)
Drucker IP: 10.0.0.102 (real)

Netz 2: 192.168.0.0/24
Gateway 2: 192.168.0.1
externer PC hinter vpn: IP unbekannt?
Drucker IP am externen Netz: 192.168.0.100 (virtuel)
Drucker IP am externen Netz: 192.168.0.101 (virtuel)
Drucker IP am externen Netz: 192.168.0.102 (virtuel)

Wenn externer PC auf dem Drucker 192.168.0.100 druckt, soll der Druck bei 10.0.0.100 rauskommen.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: nftable nat/snat ip umwandeln

Beitrag von mludwig » 19.02.2021 13:47:59

Hier würde ich das DNAT direkt auf dem VPN-Gateway einrichten, weil dort jeglicher Traffic den das betrifft sowieso durch muss. Man erspart sich die virtuellen IPs, und der Rest des Netzes bekommt von dem Workaround auch nichts mit.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: nftable nat/snat ip umwandeln

Beitrag von joe2017 » 19.02.2021 14:43:07

Weist du wie diese nftable Regel aussehen?
Mit NAT hab ich generell kaum etwas gemacht.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: nftable nat/snat ip umwandeln

Beitrag von mludwig » 19.02.2021 17:40:44

Das muesste ca so aussehen:

Code: Alles auswählen

#nft list ruleset
table ip nat {
	chain PREROUTING {
		type nat hook prerouting priority dstnat; policy accept;
		meta l4proto tcp ip daddr 192.168.0.100 counter packets 0 bytes 0 dnat to 10.0.0.100
		ip protocol tcp ip daddr 192.168.0.100 counter packets 0 bytes 0 dnat to 10.0.0.100
	}
}
nicht selber getestet, das war jetzt eher eine Trockenuebung von mir.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: nftable nat/snat ip umwandeln

Beitrag von joe2017 » 26.02.2021 16:41:22

Hi mludwig,

Ich bin heute endlich dazu gekommen und deine Trockenübung hat bestens funktioniert!

Vielen Dank für deine Hilfe!

Antworten