[gelöst] nftable nat/snat ip umwandeln
[gelöst] nftable nat/snat ip umwandeln
Hallo zusammen,
ich habe eine etwas komlizierte Frage und hoffe, dass ich das jetzt richtig erklärt bekomme.
Ich habe zwei unterschiedliche netze. 192.168.0.0/24 und 10.0.0.0/8.
Ich kann bereits von beiden Netzen in das jeweilige andere routen.
Jetzt habe ich einen Drucker in dem 10.0.0.0/8 Netz stehen.
Bsp. IP: 10.0.0.100
Diese Adresse soll in dem anderen Netz nicht bekannt sein. Ich muss jedoch diesen Drucker in dem anderen Netz 192.168.0.0/24 installieren.
Bsp. virtuelle IP 192.168.0.100
Kann man jetzt mittels nat oder snat sagen, dass wenn ich aus dem 192.168.0.0/24 Netz auf den installierten Durcker (virtuelle IP: 192.168.0.100) drucke, die IP auf die richtige IP 10.0.0.100 geleitet wird? Ich bin mir nicht sicher ob das funktioniert oder wie ich diese nftable Regel erstellen kann.
Ich hoffe mir kann hierzu jemand eine Antwort geben.
ich habe eine etwas komlizierte Frage und hoffe, dass ich das jetzt richtig erklärt bekomme.
Ich habe zwei unterschiedliche netze. 192.168.0.0/24 und 10.0.0.0/8.
Ich kann bereits von beiden Netzen in das jeweilige andere routen.
Jetzt habe ich einen Drucker in dem 10.0.0.0/8 Netz stehen.
Bsp. IP: 10.0.0.100
Diese Adresse soll in dem anderen Netz nicht bekannt sein. Ich muss jedoch diesen Drucker in dem anderen Netz 192.168.0.0/24 installieren.
Bsp. virtuelle IP 192.168.0.100
Kann man jetzt mittels nat oder snat sagen, dass wenn ich aus dem 192.168.0.0/24 Netz auf den installierten Durcker (virtuelle IP: 192.168.0.100) drucke, die IP auf die richtige IP 10.0.0.100 geleitet wird? Ich bin mir nicht sicher ob das funktioniert oder wie ich diese nftable Regel erstellen kann.
Ich hoffe mir kann hierzu jemand eine Antwort geben.
Zuletzt geändert von joe2017 am 26.02.2021 16:41:50, insgesamt 1-mal geändert.
Re: nftable nat/snat ip umwandeln
Dein Scenario beschreibt nicht SNAT (das S steht für Source), sondern DNAT, d. h. hier wird das Ziel eines IP-Paketes verändert.
Zunächst einmal muss sichergestellt werden, dass die Pakete überhaupt am Router ankommen. Hierzu kannst du entweder:
- dem Router zusätzlich eine (weitere) virtuelle IP geben, z. B. die von dir genannte 192.168.0.100. Dann noch ein Port-Forward (DNAT) der betreffenden Dienste (z. B. ipp ist Port 631) auf die 10.0.0.100 und schon geht das. Ist die flexiblere Lösung
- AmPC als IP des Druckers den Gateway angeben, und ebenfalls Portforward auf den Drucker. Einfacher, aber führt eventuell später zu problemen da IP von GW und Drucker gleich sind.
Hier die Stelle zu DNAT lesen:
https://wiki.nftables.org/wiki-nftables ... tion_(NAT)
Zunächst einmal muss sichergestellt werden, dass die Pakete überhaupt am Router ankommen. Hierzu kannst du entweder:
- dem Router zusätzlich eine (weitere) virtuelle IP geben, z. B. die von dir genannte 192.168.0.100. Dann noch ein Port-Forward (DNAT) der betreffenden Dienste (z. B. ipp ist Port 631) auf die 10.0.0.100 und schon geht das. Ist die flexiblere Lösung
- AmPC als IP des Druckers den Gateway angeben, und ebenfalls Portforward auf den Drucker. Einfacher, aber führt eventuell später zu problemen da IP von GW und Drucker gleich sind.
Hier die Stelle zu DNAT lesen:
https://wiki.nftables.org/wiki-nftables ... tion_(NAT)
Re: nftable nat/snat ip umwandeln
Was ich vergessen habe...
Ich habe nicht nur einen Drucker sondern ca. 100. Somit müsste ich immer ip zu ip natten.
192.168.0.100 zu 10.0.0.100
192.168.0.101 zu 10.0.0.101
192.168.0.102 zu 10.0.0.102
usw.
Wäre dieses Szenario trotzdem möglich?
Ich habe nicht nur einen Drucker sondern ca. 100. Somit müsste ich immer ip zu ip natten.
192.168.0.100 zu 10.0.0.100
192.168.0.101 zu 10.0.0.101
192.168.0.102 zu 10.0.0.102
usw.
Wäre dieses Szenario trotzdem möglich?
Re: nftable nat/snat ip umwandeln
Wenn man mit virtuellen IPs am Router arbeitet, ginge das auch. Je Drucker eine weitere virtuelle IP am Router. Ist aber doch ein ganz schöner Aufwand. Im ersten Post schreibst du, dass du zwischen beiden Netzen routen kannst. Was hindert dich denn daran einfach direkt die IP als Ziel anzugeben? Das würde alles doch sehr viel einfacher machen, und einen Sicherheitsgewinn durch das NAT kann ich auch nicht erkennen.
Re: nftable nat/snat ip umwandeln
Ich habe einen Denkfehler gemacht und etwas vergessen.
Der Drucker wird nicht auf einem PC im Netz 192.168.0.0/24 installiert.
Der externe PC auf welchem der Drucker installiert wird, steht hinter einem VPN und das Netz des PC´s ist mir nicht bekannt.
Netz 1: 10.0.0.0/8
Gateway 1: 10.0.0.1
Interface 2: 192.168.0.2
Drucker IP: 10.0.0.100 (real)
Drucker IP: 10.0.0.101 (real)
Drucker IP: 10.0.0.102 (real)
Netz 2: 192.168.0.0/24
Gateway 2: 192.168.0.1
externer PC hinter vpn: IP unbekannt?
Drucker IP am externen Netz: 192.168.0.100 (virtuel)
Drucker IP am externen Netz: 192.168.0.101 (virtuel)
Drucker IP am externen Netz: 192.168.0.102 (virtuel)
Wenn externer PC auf dem Drucker 192.168.0.100 druckt, soll der Druck bei 10.0.0.100 rauskommen.
Der Drucker wird nicht auf einem PC im Netz 192.168.0.0/24 installiert.
Der externe PC auf welchem der Drucker installiert wird, steht hinter einem VPN und das Netz des PC´s ist mir nicht bekannt.
Netz 1: 10.0.0.0/8
Gateway 1: 10.0.0.1
Interface 2: 192.168.0.2
Drucker IP: 10.0.0.100 (real)
Drucker IP: 10.0.0.101 (real)
Drucker IP: 10.0.0.102 (real)
Netz 2: 192.168.0.0/24
Gateway 2: 192.168.0.1
externer PC hinter vpn: IP unbekannt?
Drucker IP am externen Netz: 192.168.0.100 (virtuel)
Drucker IP am externen Netz: 192.168.0.101 (virtuel)
Drucker IP am externen Netz: 192.168.0.102 (virtuel)
Wenn externer PC auf dem Drucker 192.168.0.100 druckt, soll der Druck bei 10.0.0.100 rauskommen.
Re: nftable nat/snat ip umwandeln
Hier würde ich das DNAT direkt auf dem VPN-Gateway einrichten, weil dort jeglicher Traffic den das betrifft sowieso durch muss. Man erspart sich die virtuellen IPs, und der Rest des Netzes bekommt von dem Workaround auch nichts mit.
Re: nftable nat/snat ip umwandeln
Weist du wie diese nftable Regel aussehen?
Mit NAT hab ich generell kaum etwas gemacht.
Mit NAT hab ich generell kaum etwas gemacht.
Re: nftable nat/snat ip umwandeln
Das muesste ca so aussehen:
nicht selber getestet, das war jetzt eher eine Trockenuebung von mir.
Code: Alles auswählen
#nft list ruleset
table ip nat {
chain PREROUTING {
type nat hook prerouting priority dstnat; policy accept;
meta l4proto tcp ip daddr 192.168.0.100 counter packets 0 bytes 0 dnat to 10.0.0.100
ip protocol tcp ip daddr 192.168.0.100 counter packets 0 bytes 0 dnat to 10.0.0.100
}
}
Re: nftable nat/snat ip umwandeln
Hi mludwig,
Ich bin heute endlich dazu gekommen und deine Trockenübung hat bestens funktioniert!
Vielen Dank für deine Hilfe!
Ich bin heute endlich dazu gekommen und deine Trockenübung hat bestens funktioniert!
Vielen Dank für deine Hilfe!