# OPNsense 1:1 NAT: Exklusive öffentliche IPs für interne Hosts
TL;DR / Management Summary Während Port-Forwarding (Artikel 559) nur einzelne Ports teilt, ordnet 1:1 NAT (One-to-One NAT) eine komplette öffentliche IP-Adresse exklusiv einem internen Host zu. Alle Ports (TCP/UDP/ICMP) werden bidirektional gemappt. Für Senior Admins ist dies die bevorzugte Methode für DMZ-Server, die viele Dienste gleichzeitig anbieten (z.B. Mailserver, Web-Cluster), da sie das Regelwerk vereinfacht und asymmetrisches Routing verhindert.
# 1. Einführung & Konzepte
Eins-zu-Eins Mapping.
In einer 1:1 NAT Konfiguration agiert die OPNsense als transparenter Proxy für eine ganze IP.
- Incoming: Jedes Paket an die öffentliche IP
80.1.1.10wird an die interne IP10.0.50.10weitergeleitet. - Outgoing: Wenn
10.0.50.10ins Internet sendet, übersetzt die OPNsense die Quell-IP fest auf80.1.1.10(nicht auf die WAN-IP der Firewall!).
# Warum 1:1 NAT?
- Identität: Der Server ist nach außen hin eindeutig identifizierbar (Wichtig für Mailserver / SPF / PTR).
- Transparenz: Keine komplexen Port-Übersetzungen nötig.
- Sicherheit: Es ist kein DMZ-Bypass! Alle Pakete müssen weiterhin die regulären Firewall-Regeln (WAN-Rules) passieren.
# 2. Einrichtung in der Praxis
Mapping und Virtuelle IPs.
# Schritt 1: Virtual IP (VIP) anlegen
Damit OPNsense auf ARP-Anfragen für die zusätzliche öffentliche IP antwortet:
Interfaces -> Virtual IPs -> Settings.- Typ:
IP Alias(oderProxy ARP). - Address: Die zusätzliche öffentliche IP (z.B.
80.1.1.10/32). - Interface:
WAN.
# Schritt 2: 1:1 NAT Regel erstellen
Firewall -> NAT -> One-to-One.
- Interface: WAN.
- External subnet:
80.1.1.10(Die VIP). - Internal IP:
10.0.50.10(Der Server im LAN). - Destination:
Any(Mapping gilt für alle Ziele).
# Schritt 3: Firewall-Regeln am WAN
Nun müssen Sie die Ports explizit erlauben:
Firewall -> Rules -> WAN.
- Action: Pass.
- Destination:
10.0.50.10. - Port:
HTTPS(oder Any).
# 3. Deep Dive: Reflection & Binat
Interner Zugriff.
# NAT Reflection bei 1:1 NAT
Genau wie beim Port-Forwarding (Artikel 559) brauchen interne User Hilfe, um den DMZ-Server über seine öffentliche IP zu erreichen.
- Empfehlung: Nutzen Sie auch hier Split-Brain DNS. Es ist effizienter als 1:1 Reflection.
# Bi-Directional NAT (BINAT)
In OPNsense ist 1:1 NAT standardmäßig bidirektional. Das bedeutet, der Server nutzt für ausgehende Verbindungen immer seine zugeordnete öffentliche IP. Dies ist perfekt für SMTP-Versand.
# 4. Day-2 Operations: DMZ-Isolation
Die Grenze härten.
Ein Server mit 1:1 NAT steht “nackt” im Internet, wenn die Firewall-Regeln zu offen sind.
- Härtung: Nutzen Sie Limiters (QoS, Artikel 552), um die Bandbreite für den 1:1 Host zu begrenzen, damit ein DoS-Angriff auf diesen Host nicht die gesamte Internetleitung der Firma flutet.
# 5. Troubleshooting & “War Stories”
Wenn das Mapping versagt.
# Top 3 Fehlerbilder
-
Symptom: Server ist von außen nicht erreichbar.
- Ursache: Virtual IP (VIP) wurde nicht angelegt. Der ISP schickt das Paket, aber OPNsense fühlt sich nicht zuständig (antwortet nicht auf ARP).
- Lösung: VIP Typ
IP Aliasprüfen.
-
Symptom: Ausgehender Traffic nutzt die falsche IP.
- Ursache: Eine manuelle Outbound-NAT Regel (Artikel 559) hat eine höhere Priorität als die 1:1 NAT Regel.
- Lösung: 1:1 NAT Regeln werden vor Outbound-NAT verarbeitet, prüfen Sie jedoch auf “Hybrid” Modus Überlappungen.
-
Symptom: Ping auf die öffentliche IP geht, aber Dienste nicht.
- Lösung: Regeln am WAN-Interface prüfen. 1:1 NAT erlaubt nur den Traffic-Fluss, nicht den Zugriff!
# “War Story”: Der schweigende Mailserver
Ein Kunde bekam keine Mails mehr. Der MX-Record zeigte auf die korrekte IP, und der Server lief.
Die Entdeckung: Ein Admin hatte ein 1:1 NAT für einen neuen Web-Server eingerichtet und dabei versehentlich ein /24 Subnetz statt einer /32 IP gemappt.
Das Ergebnis: Die OPNsense versuchte, ein ganzes IP-Band auf eine einzige interne IP zu biegen. Alle anderen 1:1 Mappings (inklusive des Mailservers) wurden dadurch überschrieben.
Lehre: Nutzen Sie bei 1:1 NAT immer /32 (Single Host) Masken, außer Sie mappen wirklich zwei identische Netze 1-zu-1 aufeinander.
# 6. Monitoring & Reporting
Log-Analyse.
# NAT Session Tracking
In der Firewall -> Diagnostics -> States Liste können Sie nach der externen IP filtern. Sie sehen dort alle aktiven Sessions, die gerade über das 1:1 Mapping laufen.
# 7. Fazit & Empfehlung
1:1 NAT ist die sauberste Lösung für Server mit mehreren Diensten.
- Empfehlung: Nutzen Sie 1:1 NAT für Mailserver (SMTP) und VPN-Endpunkte.
- Wichtig: Dokumentieren Sie die IP-Mappings in einem zentralen Register, um Überschneidungen zu vermeiden.
# Anhang: Cheatsheet
| Aufgabe | Pfad |
|---|---|
| Virtual IPs verwalten | Interfaces -> Virtual IPs -> Settings |
| 1:1 NAT anlegen | Firewall -> NAT -> One-to-One |
| Status prüfen | Diagnostics -> Network -> States |
| ARP Check | Diagnostics -> Network -> ARP Table |