PFSense auf Hyper-V
-
@njord Ohne VLANs brauchst Du schon zwei external NICs, wenn die Firewall aktiv ist und NAT macht, eine fürs WAN und eine fürs LAN.
-
Hab jetzt dem LAN port nen external Switch zugeordnet aber ich bekomme trotzdem keinen WebGUI Zugriff.
Anbei mal nen Bild von der Hyper-Switch Einstellung und der pfsense.
Der Sophos WAN ist in der Sense auch der WAN und pfsenseLAN ist halt eigentlich als LAN Interface deklariert.
Sind jetzt beide auf external geschaltet. Der WAN läuft auf meiner physischen Netzwerkkarte und der LAN auf meiner WLAN Karte. -
@njord Wozu willst Du pfSense überhaupt einsetzen?
-
@njord
Die beiden Netzwerkschnittstellen dürfen nicht im selben Subnetz sein.
Das macht je überhaupt keinen Sinn. Wenn du 2 IPs im selben Subnetz haben möchtest, was doch sinnvoll sein könnte, wären beide derselben Schnittstelle zuzuweisen.Mit beiden NICs im selben Subnetz kannst du ohnehin nichts routen. Also wofür das Ganze?
Wenn du die pfSense sinnvoll am HyperV betreiben möchtest, musst du das interne Netz trennen (eigenes virtuelles Netz, eigenes Subnetz). Dann kannst du am LAN weitere VMs anbinden oder auch den Windows Host selbst.
Wenn du über die Firewall Geräte außerhalb ans Netz / Internet anbinden möchtest, benötigst du ein vom WAN getrenntes Netzwerk nach außen. Also wenn dein Host nur eine NIC hat, musst du VLANs einsetzen und einen VLAN-fähigen Switch dranhängen, wie @Bob-Dig schon angemerkt hat. -
Das ganze ist erstmal dazu gedacht mich mit der PFSense vertraut zu machen.
Aktuell hab ich von Unifi ein USG-3P im Einsatz würde das aber gerne auf Dauer gegen ne Opensense/PFSsense oder Sophos XG Home Edition auf entsprechender Hardware austauschen.
Um aber entscheiden zu können welches System das richtige für mich ist würd ich die PFSsense gerne erstmal nur lokal aufm Hyper-V laufen lassen und mir alles anschauen.
-
@njord
Da spricht nichts dagegen. Doch ein Router braucht immer zumindest 2 Subnetze, ansonsten gibt es kein Routen, wie oben schon erwähnt.
Das betrifft natürlich auch die anderen Kandidaten.Sinnvolle Szenarien eines Einsatzes virtualisiert am PC habe ich schon erwähnt.
Eine Möglichkeit fällt mir da noch ein: du kannst das LAN als VLAN am WAN Interface konfigurieren und dieses VLAN auch direkt auf einem Gerät außerhalb einrichten (wenn kein VLAN-Switch vorhanden ist). Damit erreichst du auch, dass dieses Gerät logisch "hinter" der pfSense sitzt.
Kann ich nicht für den normalen Betrieb empfehlen, aber zum Testen und Kennenlernen des Routers ist es allenfalls geeignet. -
So ganz verstehe ich das aber nicht. Die beiden Schnittstellen die ich der PFSense bereitstelle würden in einem richtigen Einsatz ja einmal das Standbein ins Internet stellen und einmal das Standbein in ein dahinter befindliches privates Netzwerk.
Die WebGUI kann ja, ohne Anpassungen, erstmal nur von der LAN Seite aus aufgerufen werden.
Wenn ich jetzt herkomme und der pfsense LAN seitig eine IP aus meinem Subnetz in dem ich mich befinde zuweise musss Sie doch darüber erreichbar sein egal ob die WAN Schnittstelle im selben Subnet hängt oder nicht.
Bzw. auch wenn ich herkomme und der PFSense sage : WAN = WLAN (175...) LAN = (10.10.20.200) dann habe ich ja eine Trennung der beiden und trotzdem ist die Sense dann nicht über die 200 erreichbar obwohl ich mit meinem PC im gleichen Subnet hänge.
Oder hab ich jetzt einfach nen Gedanklichen kompletten Fehlschlag? :D
-
@njord bei dir doch eine richtige testrumgebung z. b.
┌───────────────┐ ┌──────────────────┐ ┌──────────────────┐ │ │ │ Virtuelle │ │ Virtuelles Linux │ │ WAN ├──────────┤ pfSense/OPNsense ├────────┤ oder WinDOOF │ │ │ │ │ │ Client │ └───────────────┘ └──────────────────┘ └──────────────────┘ Created with Monodrawhier habe in proxmox meine testumgebung
-
@njord said in PFSense auf Hyper-V:
So ganz verstehe ich das aber nicht. Die beiden Schnittstellen die ich der PFSense bereitstelle würden in einem richtigen Einsatz ja einmal das Standbein ins Internet stellen und einmal das Standbein in ein dahinter befindliches privates Netzwerk.
Doch befinden sich die beiden Schnittstellen dann in verschiedenen Netzwerksegmenten.
Bzw. auch wenn ich herkomme und der PFSense sage : WAN = WLAN (175...) LAN = (10.10.20.200) dann habe ich ja eine Trennung der beiden und trotzdem ist die Sense dann nicht über die 200 erreichbar obwohl ich mit meinem PC im gleichen Subnet hänge.
Du meinst ein VLAN mit völlig anderem Subnetz. Doch, das sollte gehen.
Kannst ja mal versuchen, das WAN muss dafür nicht mal in einem VLAN sein, einfach nur ein anderes Subnetz darauf einrichten, wie 10.12.12.2. Ist zwar nutzlos, aber dann sollte das LAN erreichbar sein. -
@micneu
Nicht ganz die pfsense läuft zwar auf Hyper-V aber ich will vom Hyper-V Host direkt auf WebGUI zugreifen@viragomann genau da hängt es aktuell leider.
Die WAN Schnittstelle ist ja jetzt erstmal vollkommen egal.
Bin hergekommen und hab der LAN Schnittstelle gesagt 10.10.20.200 soll deine IP sein.Danach hat der WebConfigurator sein werk getan und sagt mir:
http://10.10.20.200 im Browser tippen und gut ist.
Mach ich das aber passiert halt nichts bzw. ich bekomme nen Error_connection_timeout -
@njord ich habe das gefühl das du im bereich netzwerke und virtualisierung NICHT viel erfahrung hast. habe dir doch ein beispiel gegeben wie du dir einen testaufbau machen kann (in hyper-v kann ich dir nicht helfen) aber einfach eine virtuelle netzwerkschnitstelle/switch und eine vm für ein client bs wie in meiner zeichnung.
so hast du die sense als router und eine vm als client und kannst testen.PS: mach doch mal einen grafischen netzwerkplan wie dein netzwerk aufgebaut ist. ich hänge dir mal meinen als beispiel an.
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩════════════════════════════╗ ┌────────────────┐ ┌────────────────┐ ║ pfSense 2.5.2║ ╔ ═ ═ ═ ═ ═ ═ ═ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ Stand: ║ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.1/24║ ║27.11.2021 │ │ │ │ ║ Gäste LAN (VLAN33): 192.168.33.1/24║ ═ ═ ═ ═ ═ ═ ═ ╝ └────────────────┘ └───────┬─────┬──┘ ║ VPN's:║ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ ┌────────────────┐ │ │ ║ 1 x OpenVPN Road Warrior║ │ Fritzbox 7490 │ │ │ ║ (172.16.3.0/24)║ │ (Nur VoIP) ├───────────┤ │ ║ 1 x WireGuard Road Warrior║ │ │ │ │ ║ (172.16.33.0/24)║ └────────────────┘ │ │ ╚════════════════════════════════════╝ │ │ ┌────────────────┐ │ │ ┌────────────────┐ ┌────────────────┐ │ UBNT │ │ │ │ Switch │ │ 1 x UBNT │ │UniFi Cloud Key ├───────────┤ └───────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ │ │ │ │ │ │ │ └────────────────┘ │ └────────┬───────┘ └────────────────┘ │ │ ┌────────────────┐ │ ┌────────┴───────┐ │ 2 x UBNT │ │ │ │ │UniFI AP AC Pro ├───────────┘ │ Clients │ │ │ │ │ └────────────────┘ └────────────────┘ Created with Monodraw -
@njord
Und WAN ist anderen Subnetz oder deaktiviert?Auch Browser Cache geleert?
Am virtuell Switch hängt auch dein PC, mit dem du darauf zugreifen möchtest?
Von HyperV habe ich ebenfalls Null Ahnung und dein Screenshot oben zeigt auch nichts Hilfreiches.
Ist ein Rechner mit dem LAN der pfSense verbunden, solltest du die auch anpingen können.
-
@micneu
Ah sorry dann hatte ich dein Bild falsch interpretiert. Ja natürlich könnte ich auch aufm Hyper-V nen Client hochziehen und den mit der Sense verbinden aber ich wollte es eigentlich direkt vom PC aus machen. Würde ich jetzt auch dann so machen wenns gar nicht klappt aber es leuchtet mir halt nicht ein warum ich da nicht draufzugreifen kann.
Und ja ich habe Erfahrungen mit Netzwerk und Virtualisierungen, hab dieses Jahr meine Ausbildung als Sysadmin abgeschlossen aber es fehlt halt noch viel Wissen und dazu wollte ich dieses Projekt dann natürlich auch nutzen.Hier noch ne schnelle Übersicht zu meinem Netzwerk
@viragomann WAN ist aktuell im erwähnten 175er Netz.
Ja Cache geleert und auch anderen Browser getestet immer die gleiche Meldung.
Der virtuelle Switch wird ja auf meinem PC bereitgestellt also der Zugriff dahin wäre möglich.Hatte gestern auch von Sophos die XG Home Edition aufm Hyper-V hochgezogen und da konnte ich direkt problemlos von meinem Browser aus zugreifen.
-
@njord wie schon gesagt, bei hyper-v kann ich dir nicht helfen, da habe ich 0 ahnung.
-
@njord said in PFSense auf Hyper-V:
Und ja ich habe Erfahrungen mit Netzwerk und Virtualisierungen
Dann kannst du uns ja verraten, wie das in HyperV technisch angebunden ist. So wie in deinem Netzplan dargestellt - ich nehme an, der HyperV läuft auf dem PC, müssten beide ja mit einem Switch oder einer Bridge verbunden sein.
Dann müsste auch ein Zugriff vom PC möglich sein.Haben die virtuellen Netzwerkkarten auch ein MAC Adresse? Also verrät HyperV diese auch?
Wenn ja, überprüfe mal, ob du das LAN am richtigen Interface konfiguriert hast, falls noch nicht gemacht. Mit dem arp Befehl kannst du auf der pfSense die MAC abfragen, wird aber, glaube ich jetzt, auch beim Zuweisen der NICs im Setup angezeigt.Hatte gestern auch von Sophos die XG Home Edition aufm Hyper-V hochgezogen
Ich würde die Testkandidaten zum Vergleichen nebeneinander installieren, aber getrennt starten, und alle auf dieselben vSwitche hängen.
Wenn alles okay ist, versuch doch einfach eine Neuinstallation. Beim Zugriff aufs LAN darf es eigentlich keine Probleme geben, wenn die Netzwerkkonfiguration in Ordnung ist.