Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    LAN mit zwei Gateways

    Deutsch
    3
    8
    127
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nanu
      last edited by

      Mag jemand einem Anfänger helfen?

      Ich habe ein LAN mit zwei WAN-Gateways, beide über eine eigene pfsense appliance angeschlossen:

      Pfsense1 (192.168.1.1)
      Pfsense2 (192.168.1.2)

      Beide sind aus den Internet erreichbar und die Einwahl per OpenVPN klappt bei beiden.

      Außerdem gibt es zwei interne Webserver

      webserver1 (192.168.1.100) hat als Gateway Pfsense1 (192.168.1.1)
      webserver2 (192.168.1.200) hat als Gateway Pfsense2 (192.168.1.2)

      Wenn ich aus dem Internet mit OpenVPN über Pfsense1 (192.168.1.1) einwähle komme ich eine http Verbindung zu webserver1 (192.168.1.100) und auch auf das Webinterface von Pfsense2 (192.168.1.2) kann ich aufrufen.

      Ich bekomme aber keine http Verbindung zu webserver2 (192.168.1.200). Per ping ist der Server erreichbar.

      Umgekehrt ist es vergleichbar. Also Einwahl über Pfsense2 erreichbar per http sind webserver2 und Pfsense1 aber nicht webserver1.

      Was fehlt hier?

      Danke und viele Grüße
      Richard

      Bob.DigB V 2 Replies Last reply Reply Quote 0
      • Bob.DigB
        Bob.Dig LAYER 8 @nanu
        last edited by

        @nanu Warum sind deine WAN-Gateways auf dem LAN? Die gehören auf separate WANs.

        1 Reply Last reply Reply Quote 0
        • V
          viragomann @nanu
          last edited by

          @nanu
          Hallo,

          grundsätzlich sendet jeder Host sein Antwortpakete auf Anfragen von außerhalb des eigenen Subnetzes auf sein Standardgateway.

          Dieses Verhalten lässt sich nur mit statischen Routen ändern.
          Also angenommen Host 1 hat pfSense 1 als Standardgateway, so müsstest du für das VPN Subnetz von pfSense 2 eine statische Route hinzufügen (am Host 1) und dieses auf pfSense 2 routen.

          Diese Lösung ist eben sehr statisch, für VPN Subnetze wäre es allerdings machbar. Für weitergeleitete Verbindungen aus dem Internet wäre das schwieriger.

          Eine Lösung, die alle fälle abdeckt, wäre die Quell-IP auf die LAN-IP zu natten. Das geht mit eine Outbound NAT Regel und könnte über einen Alias nur auf die Ziel beschränkt werden, die die jeweilige pfSense nicht als Default Gateway haben.
          Damit kommen die Pakete vom lokalen Subnetz und der Host sendet seine Antwort eben an diese IP zurück.

          N 1 Reply Last reply Reply Quote 0
          • N
            nanu @viragomann
            last edited by

            @viragomann Danke für die schnelle Antwort.

            So hatte ich das auch gedacht und auf Pfsense2 (192.168.1.2) habe ich folgende statische Route eingetragen:

            Network 192.168.101.0/24 
Gateway 192.168.1.1 (also pfsense1)

            Trotzdem kann ich von meinem Rechner, der über Pfsense1 (192.168.1.1) eingewählt ist und dort 192.168.101.7 zugewiesen bekommen hat, webserver2 (192.168.1.200) zwar per ping, aber nicht per http erreichen.

            Danke und viele Grüße
            Richard

            P.S.: @Bob.Dig das WAN hängt natürlich am WAN Port, da habe ich mir nicht klar genug ausgedrückt. Ich sehe das Problem beim Routing im LAN und habe ich WAN Seite mal ausgeblendet und nur die LAN-IPs erwähnt, denn die Einwahl per VPN klappt ja über beide WAN Anschlüsse.

            V 1 Reply Last reply Reply Quote 0
            • V
              viragomann @nanu
              last edited by viragomann

              @nanu said in LAN mit zwei Gateways:

              So hatte ich das auch gedacht und auf Pfsense2 (192.168.1.2) habe ich folgende statische Route eingetragen:

              Ich hatte geschrieben, die Route muss am Zielhost hinzugefügt werden.

              Am Gateway hilft sie nicht. Das führt zu asymmetrischem Routing. pfSense 2 erwartet kein Antwort-Paket für das sie keine Anfrage gesehen hat und verwirft es.

              Edit;
              Ich bin aufgrund von Empfehlungen hier dazu übergegangen, auch Server-IPs per DHCP zuzuweisen. Damit lassen sich dann auch Routen verteilen.

              N Bob.DigB 2 Replies Last reply Reply Quote 0
              • N
                nanu @viragomann
                last edited by

                @viragomann

                klappt, vielen Dank für Deine Geduld.
                Richard

                1 Reply Last reply Reply Quote 0
                • Bob.DigB
                  Bob.Dig LAYER 8 @viragomann
                  last edited by

                  @viragomann said in LAN mit zwei Gateways:

                  Damit lassen sich dann auch Routen verteilen.

                  Worauf bezieht sich das?

                  V 1 Reply Last reply Reply Quote 0
                  • V
                    viragomann @Bob.Dig
                    last edited by

                    @Bob-Dig
                    Auf DHCP Server.
                    Der weist den Clients ja die Netzwerk-Einstellungen zu. Typischerweise sind das IP, Subnetzmaske, DNS. Der kann aber auch weitere Netzwerkparameter zuweisen, so bspw. statische Routen.

                    Mit den auf pfSense verfügbaren DHCP Servern habe ich das allerdings noch nicht gemacht, aber meines Wissens kann ISC das auch.

                    1 Reply Last reply Reply Quote 1
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.