Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Statische Route im Konflikt mit LAN, wie reagiert pfsense

    Deutsch
    4
    8
    1.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DarkMasta
      last edited by

      Hallo Zusammen
      Ich brĂ€uchte Hilfe um Herauszufinden wie die pfSense reagiert. 🙄
      Vorgaben:
      Mir wurde das Subnetz 10.108.36.128 /25 zur VerfĂŒgung gestellt und zwar von der Firma welche das Subnetz 10.0.0.0 /8 verwaltet.

      Der Router 10.108.36.130 leitet jeglichen Traffic fĂŒr 10.0.0.0 /8 weiter und Subnetzte welche ihn nicht betreffen, werden an die pfsense weitergeleitet. GerĂ€te mit einem fixen Gateway wie Server gehen direkt auf die pfSense, diese hat wiederum eine statische Route welche Traffic fĂŒr z.B. 10.252.120.0 /21 an 10.108.36.130 weiterleitet.

      Frage:
      Ich muss aber jetzt einige mehr Subnetze abrufen können und wĂŒrde gerne 10.0.0.0 /8 als statische Route hinterlegen.
      Wie reagiert die pfSense, wenn eine statische Route existiert aber ein Interface Subnetz von ihr ebenfalls darin liegt?

      Statische Route: 10.0.0.0 /8
      Lokales Interface 10.106.36.128 /25

      a3d872c4-995b-4012-beb2-01e9c77951a6-image.png

      Plan B
      Jegliche Gateways auf 10.108.36.130, wĂŒrde aber bei einem Absturz auch das Internet kappen.

      Vielen Dank fĂŒr eure Hilfe

      Gruss

      JeGrJ 1 Reply Last reply Reply Quote 0
      • N
        NOCling
        last edited by

        Route eintragen, fertig.

        Optimal wÀre ein Transfernetz zwischen den beiden, wo nichts anderes drin ist als die beiden Gateways.
        Dann gibt es keine Probleme asymmetrischem Routing.

        Netgate 6100 & Netgate 2100

        1 Reply Last reply Reply Quote 1
        • JeGrJ
          JeGr LAYER 8 Moderator @DarkMasta
          last edited by

          @darkmasta said in Statische Route im Konflikt mit LAN, wie reagiert pfsense:

          Statische Route: 10.0.0.0 /8
          Lokales Interface 10.106.36.128 /25

          @darkmasta said in Statische Route im Konflikt mit LAN, wie reagiert pfsense:

          Wie reagiert die pfSense, wenn eine statische Route existiert aber ein Interface Subnetz von ihr ebenfalls darin liegt?

          Gar nicht. Es gibt keine "Reaktion", es gibt hier nur korrektes Routing. Und Routing definiert schlicht, dass prÀzisere Routen weniger prÀzise stechen. Also je genauer die Definition umso höher steht sie in der Abarbeitung ganz oben. Somit stehen Hostrouten (/32) an der Spitze der Nahrungsketten und je weiter die CIDR Maske aufgelockert wird (/31... /30...) werden die PrioritÀten kleiner.

          Somit sticht eine /25 Route natĂŒrlich problemlos eine /8er. Dazu kommt dann noch, dass ein direkt bedientes Netz GANZ oben in der Nahrungskette steht. Da die pfSense also selbst im /25er Subnetz liegt, gibt es da ĂŒberhaupt keine Diskussionen, ob deine Hosts noch gefunden werden, das versteht sich hier von selbst, da sie sonst selbst in ihrem eigenen Netz kein Stimmrecht mehr hĂ€tte 😉

          Ein recht unspezifisches Netz wie /8 ist somit so weit gefasst, dass man da problemlos noch spezifischere Routen wie /16 oder /24 definieren kann, die man woanders hinroutet. Also selbst wenn du intern noch 10.123.45.0/24 am Start hĂ€ttest, könntest du das nach wie vor erreichen. Zum Einen weil es spezifischer ist und zum anderen wenn es ein direktes Interface gibt hĂ€tte es eh Vorrang im Routing 😄

          Somit kein großes Problem an der Front :)

          ABER: ich wĂŒrde wenns geht den Router der Firma in ein anderes Subnetz packen und das dann direkt mit der pfSense verbinden statt den Router direkt in das /25er Netz von dir zu hĂ€ngen. Allerdings nur dann wenn du nicht nur Arbeits-GerĂ€te im /25er Subnetz stehen hast. Also den typischen Fall dass da noch anderer Klamauk drin rumkullert außer Arbeitsrechner/laptop o.Ă€. sondern eben auch noch privater Kram.

          Warum: Zweierlei Punkte

          1. asymmetrisches Routing. Wenn du Kram Richtung Firma absetzt, dann redest du mit der Sense, die dich zum Router schickt, es geht ĂŒbers VPN und die Antwort kommt zurĂŒck. Aber die Antwort geht dann nicht mehr zur Sense, sondern direkt zu dir weil dein Rechner und der Router zusammen im Netz stehen. Somit bekommt der Rechner Antwort vom Router, die er aber an die Sense geschickt hat und manche Tools, Apps oder sonstiger Kram kann damit gar nicht gut umgehen. Wir hatten da schon PhĂ€nomene wie abbrechende Downloads, Lags, Latenzen etc. etc.

          2. Es können so auch GerÀte ins Fremd/Firmennetz gelangen, die da vllt. nichts zu suchen haben.

          Gerade wegen dieser Punkte wĂŒrde ich das /25er als Transfernetz zur pfSense nutzen. Wenns ein separates Arbeitslaptop/-Rechner gibt, dann kann man den dort mit dazuhĂ€ngen und hat dann trotzdem auf alles Zugriff. Alles andere kann man dann in ein privates LAN hĂ€ngen was ein eigenes (V)LAN auf der Sense hat, was ein komplett anderes Netzsegment sein kann und entsprechende Regeln hat. Und selbst wenn man aus irgendwelchen GrĂŒnden das ArbeitsgerĂ€t im eigenen LAN haben will/muss (oder es kein ArbeitsgerĂ€t gibt und man am HeimgerĂ€t arbeitet), dann kann man das entsprechend policy-routen oder 1:1 NATten, so dass nur dieses eine GerĂ€t dann ins Firmennetz kommt. 😄

          Cheers

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          D 1 Reply Last reply Reply Quote 1
          • D
            DarkMasta @JeGr
            last edited by DarkMasta

            @NOCling @JeGr
            Vielen Dank fĂŒr eure Antworten

            Habe jetzt die ganzen Routen auf der pfSense hinterlegt und es lĂ€uft. 👍

            Das 10.108.36.128 /25 Netzwerk, wo Clients und Server drin liegen, wurde dazumal von einer externen Firma zugeteilt.
            Der Grund ist das noch andere Firmen mit ihrem Netzwerken kommunizieren mĂŒssen und sie das ganze Routing ĂŒbernehmen, so kann jeder mit jedem reden.

            Wenn ich das mit dem asymmentrischen Routing angehen möchte und euch richtig verstehe, mĂŒsste ich wohl ein 2. Netzwerk auf der pfSene hochfahren und Server, Clients, Drucker in dieses Netzwerk verschieben.
            So wÀre danach nur noch Firmen Router und pfsense in diesem zugeteilten 10.108.36.128 /25 Netzwerk, korrekt?

            @JeGr Du hast etwas von PhÀnomene erwÀhnt.
            Ich wollte vor ein paar Wochen, das die DHCP Clients ebenfalls als Default Gateway die pfsense haben und nicht direkt an den 10.108.36.130 Router gehen. Aus irgendeinem Grund wurde die Citrix Verbindung welche im 10.0.0.0 /8 Netzwerk war, nach 1min abgebrochen. 🙄

            HeimgerÀt, NATten....HAHA...das bringt mich nÀmlich gerade zu meiner nÀchsten Frage.
            OpenVPN welcher im Layer 3 Tun Modus ist (192.168.10.0/24) erreicht dieses 10.0.0.0 /8 Subnetz nicht.
            Nehme an das liegt daran das die Clients aus dem 192.168.10.0/24 die Anfrage an die pfSense schickt, diese wiederum die Anfrage an den 10.108.36.130 Router weiterleitet er aber nicht Antwortet weil er nicht weiss wo er 192.168.10.0/24 findet.
            Gibt es eine Möglickeit den Traffic von OpenVPN zu NATten?

            Vielen Dank

            Gruss

            1 Reply Last reply Reply Quote 0
            • N
              NOCling
              last edited by

              Du kannst Outbound NAT auf jedes Interface nach belieben setzen, musst aber in den hybrid oder manuellen Modus wechseln.

              Netgate 6100 & Netgate 2100

              D 1 Reply Last reply Reply Quote 0
              • D
                DarkMasta @NOCling
                last edited by

                @nocling
                Der Modus ist jetzt auf manuell und mir wurden folgende Regeln hinterlegt:

                92eb72bf-13ef-4a60-9f9e-4d2d099d4c42-image.png

                Muss die 2. Regel angepasst werden oder brĂ€uchte es eine 3. Regel wo gezielt fĂŒr die Static Routen erstellt wird?
                Etwa so?

                ebc0c44f-fa7c-4ae9-aade-5714d6c6d186-image.png

                Vielleicht kannst du mir weiterhelfen wie ich das genau konfigurieren muss.

                Gruss und Danke

                V 1 Reply Last reply Reply Quote 0
                • V
                  viragomann @DarkMasta
                  last edited by

                  @darkmasta
                  Die Regel muss auf jenem Interface eingerichtet werden, das mit dem Router verbunden ist.
                  Welches das ist, geht aus deiner Zeichnung nicht hervor. Wenn es WAN ist, sollte es mit der automatischen Regel schon funktionieren.
                  Wenn es nicht WAN ist, einfach die Regel ohne static Port kopieren (Copy-Symbol rechts) und das Interface Àndern und speichern.
                  Translation address muss die Interface address sein.

                  BTW: Es gibt nur wenige FĂ€lle, in welchen der manuelle Modus sinnvoll ist.

                  D 1 Reply Last reply Reply Quote 0
                  • D
                    DarkMasta @viragomann
                    last edited by DarkMasta

                    @viragomann
                    Hat eiwandfrei funktioniert.

                    d12aa5c0-abd0-4e10-8b73-9bc442a1838b-image.png

                    Hatte noch Probleme, dass die DNS Auflösung trotz push "route 10.0.0.0 255.0.0.0" im OpenVPN nicht funktionierte.
                    Trotz eingetragenem DNS Server wurden die Anfragen fĂŒr das 10.0.0.0 /8 von meinem lokalen DNS Zuhause entgegen genommen statt an den DNS Server im VPN Netzwerk. Zu meinem Erstaunen hat es geholfen, als ich die Einstellung "DNS Default Domain" im OpenVPN entfernt habe.

                    Werde das nochmals ausgiebig durchtesten.

                    Aber schonmal vielen Dank an alle

                    Gruss

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.