Zugriff Lan1 auf Lan2 Einstellungen

dkst

Schau doch als erstes bitte mal ob unter:

Status: System logs: Firewall

Ob der Ping geblockt wird wenn ja kannst du es mit dem grünen dreieck an dem ein + ist freigeben.!?

JeGr

"Habe ich irgendwas vergessen???"

Ja mehreres. Firewall -> NAT ist unnötig. Du willst hier nirgends hin-NAT-ten, denn du hast 2 interne Interfaces. Da muss nichts übersetzt werden. Also NAT raus zwischen LAN1 und LAN2.
Dann bitte bei den LAN Interfaces die Häkchen checken, ob private Netzwerke geblockt werden (per default), denn das sind beides private.
Dann die Logfiles für die Firewall checken.

Wenn immer noch nichts geht: poste Screenshots deiner Interfaces LAN1/2, Firewallregeln LAN1/2, schauen, dass Firewall/NAT leer ist, bis auf Regeln die von LAN->WAN gehen (die werden benötigt wenns ins Internet geht) und dann lasse einen PING (dauerhaft) von LAN1->LAN2 laufen und poste ggf. einen Screen der Firewall Logs . Wird der PING geblockt, muss er dort auftauchen, sonst hast du ein anderes Problem.

Gruß

Hawk78

Hallo,
ich habe alles gecheckt, leider ohne Erfolg. :(

NAT ist nun alles wieder auf Automatik
private Netzwerke werden nicht geblockt
kein Eintrag im Log während des Ping
LAN 1&2 sind staticIP 192.168.x.0 (x=0 und 1) und DHCP Range jeweils außerhalb der festen IP's)

(ich habe ein Switch mit IP 192.168.1.72 an Lan2 hängen. pc im Lan1 hat feste IP 192.168.0.5)

Muss ich die Gateway Adresse vielleicht noch irgendwo anders einstellen?

Lan1Interface.JPG_thumb

Lan2interface.JPG_thumb

Interfaces.JPG_thumb

Ping.JPG_thumb

Hawk78

Teil 2 der Einstellungen…

Lan1DHCP.JPG_thumb

Lan2DHCP.JPG_thumb

NAT.JPG_thumb

Firewall.JPG_thumb

dkst

Poste doch noch deine Routingtabelle.
Ein Switch mit IP?
Von wo nach wo pingst du?
Teste doch auch mal einen Ping aus der Sense zu den Clienten, nicht das der Client den Ping nicht beantwortet sondern verwirft.
Ist dein Lan 1 Netz auch ein /24 (255.255.255.0) ?
Sehen deine Firewallrules für beide Lannetze so aus wie auf dem Bild das ich anhänge!?

lan.PNG_thumb

dkst

Kann dieser Switch Pings beantworten, sieht ja so aus als wenn du vom Pc versuchst den Switch zu erreichen, ist der managed?

dkst

Ah war mal wieder zu schnell.
Also änder die IP in
Lan1 zu: 192.168.0.1 /24
und in
Lan 2 zu: 192.168.1.1 /24

du hast bei Lan 2 das Subnet als IP eingetragen.

Hawk78

Hallo dkst,

ich werde das mal ausprobieren und die IP's ändern.
Was mir nicht ganz klar ist,

-darf ich keine 192.168.x.0 Adresse als Static IP eintragen?
-wofür brauche ich die IP Adresse des LAN Interface? Muss ich die irgendwo noch eintragen? Gateway? Routing?
-Im LAN1 habe ich einen PC 192.168.0.5, was muss ich denn für eine Netmask eintragen um Geräte aus LAN2 (z.b. 192.168.1.100) zu erreichen? 255.255.255.0 oder 255.255.0.0?

dkst

Nein du darfst keine 192.168.x.0 eintragen das ist ja keine IP sondern das Subnet.
Also der IP Bereich 192.168.x.1 - 192.168.x.254.
Nein du brauchst keinen zusätzlichen Gateway eintragen.
Dein Client 192.168.0.5 bekommt vom DHCP server als Gateway die IP des Laninterface also 192.168.0.1 und das Interface nimmt dann den Standartgateway deiner PFSENSE als bei Interface auf (none) stehen lassen.
Du musst eine 24 netmaske nehmen also 255.255.255.0 bei einer 16 Netmaske also 255.255.0.0 hättest du wieder nur ein Subnet und den gleichen Fehler wie am Anfang.
Der IP Bereich bei einer 16 Maske geht in deinem Fall von 192.168.0.1 - 192.168.255.254.

Siehs dir selbst an im http://www.heise.de/netze/tools/netzwerkrechner/.

Nochmal ein Beispiel zum Verständniss:
Netzadresse: 192.168.0.0 255.255.255.0 : Gibt nur das Netz an kann kein Gerät sein
IP von 192.168.0.1
bis IP 192.168.0.254 : Es sind also 254 Geräte möglich
Broadcast : 192.168.0.255
–----------------------------------------------------------------------------------
Das gleiche nur mit eine 16er Netzwerkmaske
Netzadresse: 192.168.0.0 255.255.0.0 : Gibt nur das Netz an kann kein Gerät sein
IP von 192.168.0.1
bis IP 192.168.255.254 : Es sind also 65534 Geräte möglich
Broadcast : 192.168.255.255

dkst

Beispiel:
(PC: 192.168.0.5/24) - (192.168.0.1/24 PFSENSE 192.168.1.1/24) - (anderes Gerät: 192.168.1.11/24)

Hawk78

Hi,
danke für deine ausführliche Erklärung. Ich habe alles genau so eingestellt. Nur habe ich das Interface auf Lan1 auf 192.168.0.66 und nicht auf 192.168.0.1 gelassen.
Auf Lan2 habe ich 192.168.1.1 eingestellt.

Den Switch kann ich im Lan1 unter 192.168.0.72 wunderbar anpingen. wenn ich ihn dann auf 192.168.1.72 umstelle und ihn an LAN2 anschließe erreiche ich ihn leider immer noch nicht.
Ich habe in der Firewall alle any-any Regeln eingestellt. Eine Routing Tabelle habe ich nicht gefunden? Wenn du NAT meinst, das habe ich immer noch auf "automatisch" stehen.

Ich verstehe nicht, was daran so schwer ist, zwei (Sub)-Netze miteinander so verbinden. Ich sehe keinen Fehler. Was mache ich bloß falsch?????
Als Netmask habe ich überall nur 255.255.255.0 eingestellt.

Im Firewall log taucht überhaupt keine Anfrage aus LAN1 oder LAN2 auf, nur WAN…

Fw-Rules.PNG_thumb

Lan1Client.PNG_thumb

Lan1Int.PNG_thumb

Lan2Int.PNG_thumb

Switch.PNG_thumb

dkst

Nimm in der Firewall Lan2 Source mal raus also auf any.
Du erlaubst für Lan2 die Quelle Lan2. aber nicht die Quelle Lan1.

dkst

Der Ping auf 192.168.0.66 und auf 192.168.1.1 klappt ?

Achja die Routingtabelle findest du unter Diagnostic:Routes:update

dkst

Du regelst jeweils immer nur die Regeln für das eine Interface in der Firewall wenn du es einschränken willst brauchst du in beiden Interfaces jeweils 2 Regeln.

Source Lan1 Destination Lan2
Destination Lan2 Source Lan1.