Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ethernet Direct Connect Verbindung

    Scheduled Pinned Locked Moved
    Deutsch
    4
    5
    746
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      Olaf 0
      last edited by

      Hallo liebe Community,
      wir sind bei uns gerade eine pfsense zu installieren um uns im Bereich Firewall von einer Campuslösung, welche extern Administriert wird, zu lösen, da es immer wieder Problem mit der Reaktionszeit gibt.
      Jetzt sollen wir ebenfalls eine Ethernet Direct Connect Verbindung bekommen bzw. Kabel liegt bereits schon.
      im Bereich pfsense arbeite ich mich gerade ein was auch soweit gut klappt. Nur mit der Direkten Verbindung stehe ich noch auf dem Kriegsfuß.
      Meines Erachtens müssten unsere pfsense an einem Port auf jeder Seite eine IP aus einem 32'er Netz bekommen und das Routing auf jeder Seite eingestellt werden.
      Sprich
      Standort A = 10.10.10.0/24 (VLAN 100)
      Standort B = 10.10.20.0/24 kein VLAN
      Transportnetz Standort A = 10.10.100.10/32
      Transportnetz Standort B = 10.10.100.11/32

      Wie gesagt der Bereich ist mir noch soweit unverständlich und irgendwo bestimmt auch fehlerhaft so wie ich diesen Beschreibe.
      Hoffe aber das Licht in Dunkle kommt

      micneuM JeGrJ 2 Replies Last reply Reply Quote 0
      • micneuM
        micneu @Olaf 0
        last edited by micneu

        @olaf-0

        • bitte einen grafischen netzwerkplan
        • screenshot deines WAN konfiguration

        das hilft bei der lösung deines problems

        PS: bitte auch das beachten
        https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1

        Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
        Hardware: Netgate 6100
        ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator @Olaf 0
          last edited by

          @olaf-0 Das verstehe ich leider wie Mic auch nicht so ganz was hier geplant ist.
          Wofür ist der Direct Connect, was soll dieser später tun? Einfach Standort A mit B verbinden?
          Inwiefern/warum hat A ein VLAN aber B nicht? Und wo spielt das VLAN eine Rolle zumal die Standorte ja getrennt sind?
          Ein "Transportnetz" ist nicht /32, mit /32 wird immer ein einzelner Host definiert. Wenn man ein Transfernetz definiert, dann müssen beide Seiten (und bei einem Cluster dann noch ggf. alle Teilnehmer) platz im Netz haben, also braucht man bei 2 Geräten (A und B Ende) mind. ein /30, bei Cluster auf beiden Seiten mind. ein /29er Netz für das Transfersetup. Auch passen .10 und .11 hier nicht in das CIDR Netzwerkschema. Ich würde hier 10.10.100.x nicht unbedingt als Transfernetz definieren, da ich hier generell die Netzwerkplanung von den Netzen in Frage stellen würde. 10.10.10 und 10.10.20 lassen sich schlecht mit einer ordentlichen /x Maske greifen und wenn man auf beiden Seiten mal mehr als ein einziges Netz braucht. Und Transfernetze werden dann oft in ganz andere Bereiche wie 192.168.y. oder 172.16-31.x. gelegt, damit jeder weiß dass es keine Produktivnetze sind.

          Um aber beim Beispiel zu bleiben, würde man dann eher 10.10.100.0/30 nutzen wobei 10.10.100.1 dann Seite A und 10.10.100.2 Seite B entspräche. alternativ 10.10.100.0/29, dann kann man .1 bis .6 vergeben. Wie gesagt würde ich hier aber eher ein artfremdes Netz nutzen.

          Cheers

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • O
            Olaf 0
            last edited by

            Erstmal danke für die entsprechenden Hinweise.
            Wie bereits erwähnt ist der Bereich Neuland für mich und verstehe das ganze erst nach und nach. Zum Netzwerkplan und WAN Anschluss wird derzeit schwierig, da ich erstmal außer Gefacht gesetzt bin.
            Das Standort B kein VLAN hat liegt daran das dort die Netze Hardwaretechnisch getrennt sind und bei mir halt nicht.
            Das mit den IP's wahr auch nur ein Beispiel, und wenn ich das richtig verstehe benötige ich ein entsprechendes Transportnetz was groß genug damit ich dann die entsprechende VLAN's damit ansteuern kann.
            Dann würde ich auf den Bereich 172.16.31.x zugreifen, da 192.168.y nicht genutzt werden darf/kann.

            1 Reply Last reply Reply Quote 0
            • N
              NOCling
              last edited by NOCling

              Als Transfernetz reicht ein kleines Netz aus wo z.B. 6 IPs rein passen, eine HA und 2 Device IPs pro Seite.

              Aber wenn das Kabel dein Grundstück verlässt und durch unbekannte Gefilde läuft, hier Daten im Bereich der DSGVO drüber laufen, solltest du das verschlüsseln.

              Das muss ja nicht über die pfSense sein, einige Switche können so etwas auch und das mit Line Speed.

              Und wenn du das alles noch nicht gemacht hast, packe dir einen Dienstleister ins Boot der unterstütz und weiß was er da tut.
              Der Schulungen anbietet und dann mehr und mehr in den Hintergrund tritt aber wenn es brennt zum löschen bereit steht.
              Denn so einen braucht es immer mal in der Hinterhand.

              Aber ja man kann sich mit dem nötigem Vorwissen auch so in ne Firewall einarbeiten, aber das scheint hier nicht vorhanden.
              Sonst würde gezielt Fragen aus dem HA Bereich kommen, nicht zum grundsätzlichem Design einer Standortkopplung.
              Also schaue mal bei Jens rum, da gibts von Einsteiger bis zum Hardcore User seit pfSense 1.0 noch was zu lernen.

              https://forum.netgate.com/topic/174335/pfsense-workshops

              Für deine beiden Standorte schaue mal mit einem Netzrechner nach /19 oder kleiner.
              Ich habe hier ein /59 für IPv6 und da passt ein /19 v4 perfekt dazu, beides sind 32 Netze.

              Reicht das nicht kannst auch 10.1.0.0/16 und 10.2.0.0/16 einsetzen.
              Im 10er Bereich hast auch genug Platz für Transfernetze.

              Aber auch hier gehts wieder mit NAT los wenn du dich mit anderen Firmen per S2S verbinden willst.
              Da braucht dann ggf. jeder ein NAT Netz auf seiner Seite.

              Netgate 6100 & Netgate 2100

              1 Reply Last reply Reply Quote 0
              • First post
                Last post