Hallo Jens,
danke Dir für Deine Rückantwort!
Vorweg erst noch einmal zur Präzisierung, hatte ich gestern vergessen: Alle Adressen sind statisch definiert. Nirgendwo läuft DHCP.
Ich möchte auf der pfsense1 so wenig wie möglich Traffic haben, daher die Trennung und ein separater WLAN-Router. Dann können die WLAN-Geräte untereinander "ungestört" über "ihren" AP kommunizieren.
Jetzt zu Deinen Fragen:
Dazu ist in der pfsense1 eine weitere Neztwerkkarte installiert (192.168.15.10). An dieser Karte hängt eine zweite pfsense (räumlich weit getrennt, pfsense2).
Was für eine Netzwerkkarte? WLAN? LAN? Wie ist die zweite pfSense angebunden?
Die pfsense2 ist über ein normales LAN-Kabel mit pfsense1 verbunden. Die "weitere Netzwerkkarte" in pfsense1 ist eine ganz normale LAN-Karte (OPT1). Gegenstück auf pfsense2 ist das WAN-Interface.
Die WLAN-Schnittstelle ath0 hat die 192.168.13.10.
Wo ist diese denn verbaut? Pfsense 2?
Genau! In der pfsense2 ist OPT1 als ath0-Schnittstelle (das WLAN) eingerichtet. Funktionierte auf Anhieb, die Einrichte-Maske ist sehr gut gemacht!
Zur pfsense1 führt die oben beschriebene LAN-Verbindung über das WAN-Interface.
Das LAN-Interface in der pfsense2 ist auch vorhanden, wird aber derzeit nicht genutzt (hatte es zur ersten Einrichtung genutzt, wer weiß, wozu ich es später mal noch brauchen kann….)
Nunja letzteres ist aber nicht unbedingt ein Grund das komplette Feature abzuschalten. Man kann die WLAN Geräte ja durchaus untereinander kommunizieren lassen (doch häufig eher: warum?) und frei von WLAN -> WAN zugreifen lassen (WLAN to any Regel), ohne das gleich abzuschalten.
Stimmt. Ehrlich gesagt habe ich mir gedacht, ich schalte das mal ab zur Komplexitätsreduktion bei der Fehlersuche. Klar kann man auch da eine Firewall aktiv lassen. Ggf. kann man sich dadurch auch einen Hauch Performanceverlust einsparen? Das ist aber eher nebensächlich.
Da hier einige Notebooks werkeln, kann es durchaus mal sinnvoll sein, dass die Geräte über sftp/ssh untereinander kommunizieren können, und sei es nur für "primitiven" Datenaustausch.
Auf pfsense2: ist dort auf dem "WAN" also dem Uplink im 15er Netz zur pfSense 1 denn eine Regel für einkommenden Verkehr angelegt, dass Verkehr vom Netz/Interface der pfSense 1 überhaupt rein darf?
Hm, erziele ich das nicht durch Abschalten der Firewall? Falls nein, habe ich jetzt die Regel entsprechend eingerichtet und alles erlaubt.
ist auf pfSense 1 denn eine Regel angelegt, dass Verkehr vom Link Interface zu pfSense 2 denn überhaupt rein/raus darf?
Asche auf mein Haupt, nein. Ich dachte, für OPT gelten die gleichen Regeln wie für LAN, bei dem das ja standardmäßig erlaubt ist. Dazu gelernt: Dem ist nicht so. Habe ich also nachgepflegt. Aber auch hier: Wenn die Firewall deaktiviert ist....??
Fazit nach erneutem Versuch mit den eingetragenen Regeln: Trotz entsprechender Regeln keine Veränderung. Von den WLAN-Clients kein Zugriff auf pfsense1 und von pfsense1 kein Zugriff auf die WLAN-Clients.
Also tatsächlich eine Routing-Frage, die ich dann wohl unter "Routing" klären müsste? Nur wie? Es gibt bereits eine Regel auf pfsense1 die das Netzwerk 192.168.13.0 über das Gateway 192.168.15.11 (also WAN-Interface von pfsense2) erreichbar machen sollte. Sie muss demzufolge falsch oder unvollständig sein? Oder es fehlt an anderer Stelle etwas Grundsätzliches?
Wo ist mein Denkfehler?
Danke und Grüße,
Matthias