PF mit NAT OpenBSD 5.4

W

Whiskey

Grünschnabel
Hi Folks,

folgendes Problem. Ich habe 2 VMs eine Windows VM und eine OpenBSD VM. Die OpenBSD VM soll NAT Router spielen. Dazu habe ich OpenBSD 5.4 installiert, mir das PF Buch geschnappt und folgende einfache Regel in /etc/pf.conf eingetragen.

Code:
ext_if="em0"
int_if="em1"
localnet=$int_if:network

match out on $ext_if from $localnet nat-to ($ext_if)
pass from { lo0, $localnet }

Die Regeln werden geladen, nur funktioniert das NAT nicht.
Wenn ich tcpdump auf em0 schalte sehe ich ARP-Requests die nach der MAC von der IP des internen Interfaces (em1) fragen. Dh. hier gibt es nur Routing aber kein funktionierendes NAT. Das schliesse ich zumindest aus dem was ich in tcpdump sehe. Da ich das selbe Problem auch schon unter FreeBSD hatte, jetzt mein Frage. Was mache ich hier verkehrt? Welche Regel fehlt in pf sodass NAT eingeschaltet ist? Welche Regel habe ich vergessen??

Danke,
Whiskey

PS: ip.inet.forwarding.ip ist auf 1 gesetzt.
 
Und

pass out on $ext_if from $localnet to any nat-to ($ext_if)

?
 
Und

pass out on $ext_if from $localnet to any nat-to ($ext_if)

?
Habe ich eingefuegt, das behebt aber das Problem nicht.
Skizze des Aufbaus:

* Windows ist die Win VM - Client
* OpenBSD ist die BSD VM - virtueller NAT Router
* FreeBSD ist Hardware Router in Netz - hardware NAT Router

Code:
Windows - lan0 -> [em1 - OpenBSD 5.4 - em0] -> [em2 -FreeBSD - em0] -> internet

Interessant ist auch folgendes:

1) Wenn ich pflog0 sniffe (tcpdump -ni pflog0 auf openbsd 5.4) dann stimmt die abgehende IP, also es sieht aus als ob das NAT funktioniert. Sniffe ich em0(auf OpenBSD 5.4), also das Interface ist die abgehende IP noch immer die IP des Windows Systems.
2) Wenn ich auf dem Netzwerkrouter (FreeBSD) em2 sniffe bekomme ich auch die IP vom Windows System, also das NAT funktioniert nicht.

Irgendwie muss ich fundamental was falsch verstanden haben, ich sehe nicht warum das NAT nicht gehen sollte.
 
Wie sieht deine pf.conf jetzt aus? Zeig mal paar logs...
 

Ähnliche Themen

pf: interne Anfragen-Umleitung

Zurück
Oben