2 Internet Verbindung getrennt verwalten
-
Guten Tag
Allo ich Erzähle mal was ich Schon alles Eingerichtet habe, und zwar
Internet (2 Verbindungen) - Router (2 Stück) - Firewall - Server
Router
1: 192.168.0.1
2: 192.168.5.1Firewall
192.168.1.1Server
192.168.1.101
192.168.0.90
192.168.5.56Ich kann Von dem Server Alle Geräte die hinter dem Server sind alle An pingen und auch zugreifen, Aber ich kann Von der Firewall nicht auf die 2 Netzwerkkarte Pingen die in dem Server sind. Und ich kann auch nicht Von einem Client Rechner der am Server Verbunden ist Auf einen der Router Richtig zu verbinden, "Was heist hier nicht richtig Verbinden" Da meine ich Wenn ich Mit meinen Client mich an 192.168.0.90 Verbinde und dann bekomme ich ja auch eine IP raus für mein Client die heist dann z.B 192.168.0.101 kann aber trozdem nicht mich bin dem Router 192.168.0.1 Verbinden aber mit dem 192.168.5.1 kann ich mich Verbinden oder An pingen. Und das Gleich auch anders Herum wenn ich mich an den Netzwerkkarte verbinde wo die IP hat 192.168.5.1 kann ich auf 192.168.0.9 mich verbinden.
Das ist Mein Problem Was ich haben Will oder was ich eigentlich einrichten Will ist das ich mit 2 Unterschiedliche Internet Leitungen zum Router verbinden dann von beiden Routern an Die Firewall und von der Firewall geht dann ein Kabel an den Server und Von dem Server will ich dann raus geben einmal 192.168.0 und einmal 192.168.5 und Wenn ich mich dann einstecke an 192.168.0 Will ich über das Internet mit dem Router 192.168.0.9 dran ist und das Gleich beim 192.168.5. Ich Will aber nicht Multiwan das man beide Internetverbindung zusammen nutzt Nein ich Weil Getrennt Verwalten und nutzen.
Funktioniert das Oder habe ich da Einen Denkfehler
Server:
Windows Server 2008 R2
Mit einer Netzwerkkarte die 4 Slots hat
prozessor und Ram sind nicht so Neu aber die tun auch noch.
Internet:
Wenn einer Meint Stecke Das internet Direkt an die Firewall kann gleich Vergessen es sind 2 Kable internet ohne Modem allso kann man Diese Idee vergessen.
2 x 100k Leitungen sind es.
Mit Freundlichen Grüßen
Kira1989
-
Oh man. Schwer zu verstehen wo das Problem ist und wie ich dir helfen kann.
Tu mir bitte einen gefallen:
Kontrolliere die groß und klein Schreibung. Wieso sind hier Wörter mal groß und mal klein?Und bitte setze Kommas und Punkte…
Deine kompletten Absätze sind jeweils ohne Punkt und fast ohne Komma.Wenn ich es dann ohne Probleme und Kopfschmerzen lesen kann, werde ich versuchen dir zu helfen.
-
Hallo Kira,
Da muss ich Marv leider recht geben, dein Text ist sehr schwer verständlich, nicht nur wegen der Schreibweise oder Grammatik (obwohl das schon schwer genug ist), sondern auch weil mir nicht klar ist, was du wo wie versuchst eigentlich zu bauen. Vielleicht kannst du entweder ein in ASCII (siehe Diagramme hier: https://forum.pfsense.org/index.php?topic=20279.0) oder ein Bild mit einem kleinen Netzdiagramm einfügen, was du wo wie bauen möchtest und was dabei nicht klappt.
Warum du also bspw. 2 Router hast ist klar, weil du 2 Leitungen von Kabel-Anbietern hast, die einen Router brauchen. Dass du dahinter die pfSense packen willst ist auch OK. Warum dann aber ein Server vor, hinter oder sonstwo Clients hat und warum der dann auch noch in den Netzen IPs hat, die eigentlich den Kabel-Modems zugehörig sind, ist komplett unklar.
Ich hoffe du kannst hier noch etwas Einsicht und Ordnung reinbringen damit wir dir helfen können :)
Grüße
-
Ich Habe Leichte Rechtschreibe Probleme, Ich Versuche Immer viel zu schreiben, Daher nimmt es mir bitte nicht Böse.
also das mit der Rechtschreibung tut mir sehr leid das die so unverständlich ist ich versuche es nochmal leichter zu erklären.
ich habe 2 Internet Verbindungen und 2 Router und die Firewall und einen Server.
ich will gerne das ich die 2 Internet Verbindungen mit den Router verbinden und dann mit der PFsense verbinden, das funktioniert auch schon alles nun kommt mein Problem Wenn ich nun ein Ethernet Kabel von der PFsense an den Server verbinde, kann ich alle IP-Adressen sehen und mich auch verbinden mit dem Server.
Aber nun nehme ich ein Ethernet Kabel von dem Server (hat 4 Netzwerkkarten) an mein Laptop dran Sehe ich Nur den Server, die Firewall und den 2. Router wo eigentlich nicht sein darf. Weil ich ja am Server es so haben will und zwar, habe ich Am Server 4 Netzwerkkarten und habe die Belegt mit 192.168.0.90 und 192.168.5.56
Un Hier oben habe ich mich mit mein Laptop an 192.168.0.90 verbunden und habe von Dort den Router 192.168.5.1 gesehen aber nicht den 192.168.0.1.
Ist das Verständlicher.
PS: ich werde noch ein Plan Zeigen oder ein ASCII Diagramm erstellen.
-
WAN WAN2 : : :Cabelprovider :Cabelprovider : : .---+---. Router .---+---. WAN | Technicolor| |Fritzbox | WAN2 '---+---' '---+---' 192.168.0.1/24 | | 192.168.5.1/24 | | | 192.168.1.1/24 | | .----+----. | +------| pfSense | -----+ '----+----' | 192.168.1.101 | .----+----. | Server | 192.168.0.90/24 '-+-----+-' 192.168.5.56/24 | | ...--+-----+--... (Clients/Servers)
-
Hallo Kira,
das nimmt dir keiner krumm, wenns mit der Rechtschreibung hapert, aber es macht es auch viel schwerer deinen Text zu lesen. Wenn du dich aber beim Schreiben anstrengst, dann fällt es uns leichter dich zu verstehen und wir können uns anstrengen, wie wir dein Problem lösen :)
Deine Zeichnung allerdings verstehe ich nicht, denn sie macht keinen Sinn:
- die pfSense hat beide Internet-Anschlüsse und soll darüber routen. Verstanden. Funktioniert auch so wie dus gezeichnet hast OK.
- Der Server hintendran macht überhaupt keinen Sinn. Er hängt am LAN der pfSense, hatt dann aber wieder 2 Interfaces, die auch noch exakt das gleiche Netz nutzen, wie vorne die Transfernetze zu den Internetanschlüssen.
- Mir ist unklar, warum der Server überhaupt zwischen das LAN der pfSense und die Clients/Server geschaltet ist - was soll das?
Grüße
-
Ok also
1. Das Mit der IP Adresse habe ich mir schon Gedacht das man die Auf jedenfal Ändern sollte ich habe mir schon Überlegt 172er zu nehmen.
2. Warum der Server nach der PFsense ist, weil ich Auf dem Server ein Drucksystem habe und ich würde es gerne so einstellen das beide Netze ihn nutzen kann, und ich will es auch so Einrichten das man mit einer IP Adresse eine Internetleitung nutzen kann z.B 172.16.1.1 soll Wan 1 Nutzen soll und 172.16.2.1 soll Wan 2 Nutzen.
Hoffentlich ist es jetzt wider Deutlicher :)
-
Also Mit einer Andere IP-Adresse Funktioniert es Jetzt Erstmal schon mal, Ich kann Die IP Adresse des Router verbinden das ging vorher noch nicht. ok dann wehre das 1. Problem Gelöst und das war nur DIE IP-Adresse schuld XD Ich depp.
Aber das 2. Problem ist Wie kann ich nun mit 172.16.0.1 und 172.16.1.1 einzeln die Internetleitung nutzen z.B
172.16.0.1 soll 192.168.0.1 nutzen und 172.16.1.1 soll 192.168.5.1 nutzen Ich will Kein Multiwan nutzen also Nicht das man Beide Internetverbindung zusammen nutzen das will ich nicht sondern nur einzeln.
-
Das geht dann über sog. Policy Based Routing. Sprich auf der pfSense werden Filterregeln auf dem LAN Interface erstellt, die den Traffic von bspw. Netz_1 (.0.1) nach any (Internet) erlauben, allerdings wird hier noch der Zusatz unter "advanced" gesetzt, dass er das Gateway von WAN1 benutzen soll.
Gleiches wird dann mit einer Regel für Netz_2 (.1.1) gemacht, bei dem dann unter advanced das Gateway von WAN2 eingestellt wird.Geht jetzt ein Gerät von Netz_1 ins Internet matched die Regel für Netz_1 und zwingt den Traffic über WAN1, gleiches dann für Netz_2.
Grüße
-
Geniallll :D
Danke :) Nun muss ich das nun so einrichten in der PFsense, Muss ich dies nur beim Lan so einrichten oder muss ich das bei beiden Wan Verbindung in der Pfsense einrichten.
-
Da du die Verbindungen vom LAN ins Internet über WAN1/2 abzweigen willst natürlich auf dem LAN Interface. Der Rückweg geschieht dann über die NAT Regeln automatisch (IP der NAT, stateful connections, etc.)
Prinzipiell bei Regeln in der pfSense immer drüber nachdenken, WO die Verbindung die du freigeben/blocken willst in die pfSense HINEIN geht und auf diesem Interface wird die Regel dann angelegt.
Randnotiz genereller Art (kannst du getrost ignorieren damit es dich nicht verwirrt): Der verwendete Paketfilter benötigt eigentlich immer zwei Regeln, denn PF sieht die Firewall als geschlossene Box an. Es muss also erlaubt werden, dass etwas hineingeht, genauso wie etwas herauszulassen. Deshalb musste man - wenn man PF Regeln direkt schreibt - immer überlegen, WO geht es REIN und WO geht es RAUS. Alles was bspw. mit einem "pass in em0" auf dem WAN heineingelassen wird, muss mit "pass out em2" auch ins interne LAN gelassen werden. Damit das aber nicht zu kompliziert wird, erstellt pfSense die OUT Regeln automatisch.
Deshalb ist es immer gut, sich die pfSense als geschlossene Burg vorzustellen, die mehrere Tore ins Land hat und bewacht. Alles was irgendwo rein kommt, muss auch irgendwo wieder raus, es sei denn, es ist für einen Dienst auf der Firewall selbst bestimmt, was eher selten der Fall ist ;)
Grüße
-
Ok ich schreibe es mall Gleich hier rein wie ich es machen würde ok :)
Und Danke Für deine Hilfe und deine Information, Ich kenne mich Schon gut aus und weiß wie mann was einstellt nur ab und zu Muss ich selber auch noch andere Fragen ob es wirklich so richtig ist.
-
IPv4 TCP LAN net 80 (HTTP) WAN net 80 - 443 WAN_DHCP none
So wird es dann bei mir stehen wenn ich das richtig verstanden habe.
-
Nein, das wäre falsch.
_ | IPv4 TCP | LAN net | * | !LAN net | P_web | WAN_DHCP | none | _ | Regel für LAN http(s) via WAN(1)
Grund: Ausgehend von dem, dass du damit eine Regel erstellen willst, damit die Teilnehmer von LAN net im Web surfen können sollen:
- LAN net kannst du machen, ich hatte das aber so verstanden, dass du einen Teil des LANs über WAN1 und einen anderen Teil über WAN2 routen willst? Dann müsste hier statt dessen entweder das Netz welches du routen willst (172.16.0.0/24 bzw. 172.16.1.0/24) oder ein Alias für dieses eingetragen werden (ich empfehle Aliase, damit lässt sich später leichter was ändern oder hinzufügen)
- Quellport bei HTTP/S Verbindungen ist NIE 80, sondern ein zufälliger Port >1023. Deshalb hier * (du könntest aber auch >1023 eintragen)
- !LAN net als Destination verbietet lediglich nochmal den Adressbereich des LANs als Zieladresse um irgendwelche krummen Routings abzublocken. Im Endeffekt ist das somit "any". WAN net würde nichts bringen, da hier der IP Range des WAN interfaces der pfSense gmeint wäre, das heißt die Teilnehmer des LANs dürften in das Transfernetz zwischen pfSense und WAN1 Router -> bringt nichts und da haben sie im Normalfall auch nix zu suchen ;) Besser hier wäre noch ein Alias zu machen, welches die Netze zwischen pfSense und den WAN Routern sowie die LANs selbst enthält und diese zu verneinen (also Haken bei "not" rein und dann dieses Alias auswählen). Grund dafür: Das LAN sollte eh nie an der pfSense aufschlagen, denn die sehen sich alle gegenseitig und sollen direkt miteinander reden und nicht über die Firewall routen. Und in den WAN/WAN2 Transfernetzen hin zu den Gateways der Kabelleitung haben sie auch nix verloren. Damit düften sie dann "nur" ins Internet, aber lokal keinen Schaden anrichten.
- 80-443 -> wird so nicht gehen, deshalb ein Aliasvorschlag: P_web (kurz für Ports_Webserver, welches die Ports 80 und 443 enthält, das ist einfacher als zwei getrennte Regeln für 80 und 443. 80 bis 443 enthält zu viele anderen Ports zwischen 80 und 443, die potentiell nichts gutes sind, und sollten nicht erlaubt werden.
- WAN_DHCP -> wenn das der Name für dein WAN Gateway ist, dann korrekt.
Ich hoffe das hilft weiter.
-
Ich Will ja das 172.16.0.0 in Wan 1 Rein kommen können und 172.16.1.0 soll in Wan 2 rein
Wollte nur nochmal Schreiben das wir auch Das gleiche meinen ;)
-
Dann nochmal die Frage ;)
Die sollen ÜBER WAN1 ins INTERNET kommen oder? NICHT IN das WAN1? Denn das ist genau das, was ich oben meinte. Im WAN1 Netz zwischen pfSense und dem Router von WAN1 haben die ja nix zu suchen. Du möchtest ja nicht, dass dir einer die Router-Oberfläche des Kabelmodems o.ä. abfragen kann. Sie sollen nur über den entsprechenden Zugang dann ins Internet kommen, richtig?
Dann gilt das was ich 2 Posts darüber schrieb: Genau überlegen WER, von WO, WOHIN (Ziel) kommen soll. Der Weg dahin ist nur dann wichtig, wenns eben über verschiedene Strecken ins Internet geht, und dass hier der Weg WAN1 oder WAN2 gegangen wird, entscheidet sich lediglich beim verwendeten Gateway. Das WOHIN (Ziel) ist aber bspw. Google oder Facebook oder eine x-beliebige Webseite. Deshalb "any" - oder besser "alles außer den internen Netzen". Denn in den Paketen, die die Firewall bekommt, steht auch nur drin, von wo sie kommen (WER) und wohin sie wollen (WOHNIN), die Strecke dazwischen ist dem Filter egal :)
Grüße
-
Ja so Will ich es Das die nur ins Internet Können sonst nichts.
Ich habe es Genau so Eingerichtet wie du es Erklärt hast aber ich Gehe immer noch mit 172.16.1.0 in Wan 1 aber nicht in WAN 2
-
Wenn ich Irgendwas lade oder ein Speedtest mache dann sehe ich wie es am WAN 1 sich was bewegt aber nicht WAN 2 das finde ich halt komisch, ich denke grade darüber nach ob ich vielleicht am Server noch was ändern müsste das die wissen was vor ein netz es sein soll.
-
Puh, um das jetzt zu diagnostizieren, bräuchte ich schon Screenshots, wie du die Regeln angelegt hast, wie deine Gateways sind und Konfig von den WANs. Wenn du das als Screenshots hochladen kannst (ohne wichtige Infos zu verraten, ggf. verpixeln), wäre das schon sehr hilfreich.
-
Ok Dann werde ich es mall beschreiben.
-
So Habe sie Alle Hochgeladen, Und zur info ich habe Schon Versucht Block private networks An und aus Gesachaltet und Funktioniert nicht. Und Wan1 und Wan1-2 Sind auch so eingestellt wie Wan 2.
![Firewall Regeln.JPG](/public/imported_attachments/1/Firewall Regeln.JPG)
![Firewall Regeln.JPG_thumb](/public/imported_attachments/1/Firewall Regeln.JPG_thumb)
-
Ich Muss ja Am Server dann das so Einstellen das 172.16.1.1 auf Gateway von 192.168.5.1 Verbindet und 172.16.0.1 auf 192.168.0.1 Das stimmt ja aber nur wie ich es hin bekomme, Weil wenn ich das an der Netzwerkkarte einstelle Heist es das Dies IP nicht in der Richtige Subnet ist, und Das weiß ich ja Das sowas man nicht machen soll. Nur wie ich das hin bekommen kann muss ich Schon Grade ganze zeit Überlegen.
Ich habe ja Windows Server 2008 R2 SP1 und Ich weiß das Mit der Version das Funktionieren muss Das man 2 Internet Verbindungen Nutzen kann.
Ich Habe schon Routing Tabellen Erstellt und wider Gelöscht weil das nichts Geholfen hat, Ich Weiß wie mann Routet und ich Kenne die Regeln jetzt wider besser Weil du mir das Letztens Geschrieben hast Wegen der Firewall.
Aber das bringt mich Grade zur Weißglut XD das ich es nicht hin bekomme.
Grüße Kira
-
Erste doofe Frage: Warum ist dein WAN2 Gateway down? Funktioniert die 2. Leitung gerade nicht (siehe Screenshots)
Was mir immer noch nicht klar ist: auf dem Ursprungsbild hast du den Server direkt hinter der pfSense eingezeichnet (mit einem Interface) und DAHINTER dann noch zwei Interfaces mit den beiden LANs. Ist da so richtig? Also wirklich:
WAN1/2 === pfSense –- Server === LAN 1/2
(die = sollen die beiden WANs bzw. LANs symbolisieren)
Wenn ja - warum? Du drückst ja dann jeden Traffic unnötig durch den Server durch, auch den, den er eigentlich überhaupt nicht wissen muss?
Grüße
Jens -
Die erste Doofe Frage kann ich Beantworten, und zwar war das Lan-Kabel nicht richtig drin.
Und zu der Andere Frage will ich auch noch antworten.
Ich Will WAN1/2==pfSense–Server==LAN1/2
Und Im Server sind Netzwerkkarten drin.
Ich Will Das es so Funktioniert, Das beide Internet durch die pfSense rein geht dann raus in den Server und von Server dann verteilt werden zu 172.16.1.1 und 172.16.0.1 und Ich Brauche den Server als Drucksystem und als Datenbank und noch andere Sachen.
Wenn du das Nicht Verstehst dann versuche ich noch was anderes.
2Internet - 2Router - Pfsense - Server - Clients
so will ich das haben Das ich am Server dann Das netz aufteilen kann weil die pfSense ja nur 3 LAN Slots haben.
-
Ja, die pfSense hat (bei dir) nur 3 LAN Ports. Das heißt aber ja nicht, dass ich den Server vor beide Netze reinschalten muss. Das ist in meinen Augen völliger Unsinn (nicht persönlich beziehen bitte, damit ist nur die Netzstruktur gemeint).
Es ist aus Sicht des Netzwerks völliger Nonsense, alle Traffic durch den Server zu pumpen, nur weil du diesen in beiden LANs als Drucker und DB benötigst. Dafür genügt ein guter Switch hinter die pfSense zu stellen der VLANs kann, die beiden LANs entsprechend in zwei VLANs zu kippen und an der pfSense beide VLANs zu konfigurieren und schwupps hast du quasi eine pfSense mit 4 LANs. Den Server hängst du ebenfalls an den Switch dran (ggf. wenn denn unbedingt nötig wegen Durchsatz sogar mit zwei der Interfaces, für jedes LAN eine) und konfigurierst den/die Switchports entsprechend (entweder einen Port der dann in beiden VLANs ist und dann dem Interface hier einfach 2 IPs geben oder eben 2 Interfaces, mit je einer IP für je ein LAN).
Was du damit erreichst ist folgendes:
1. es wird sofort dein LAN1/2 -> WAN1/2 ordentlich funktionieren
2. du wirst trotzdem deinen Druck- und DB-Server in LAN1/2 haben
3. du eliminierst ein Bottleneck (einen Flaschenhals) weil der "dumme" W2k8 Server nicht mehr jeden Traffic routen muss.Gerade 3 ist das, was ich oben mit totalem Unsinn meine: nur damit dein Server aus beiden LANs als Druck- und DB Dienst erreichbar ist, trommelst du JEDES dumme IP Paket durch seinen Netzwerkstack. Auch wenn er damit nichts zu tun hat. Was geht den Server bspw. Internet+Facebook oder Google+ Kommunikation an? Nichts. Warum muss ich 4GB Download von einem WindowsServer.iso durch den Windows-Server hindurchleiten?
Es macht schlichtweg keinen Sinn. Solche Wege oder Lösungen sind meist durch hysterisches Wachstum oder schlechte Planung entstanden (wiederum kein Vorwurf), aber man sollte sie erkennen und ggf. eliminieren. Dein ganzes (restliches) Problem besteht nämlich nun nur noch darin, dass dein Windows Server in einen Prozess eingeschleift ist, wo er verflixt nochmal nix zu suchen hat ;)
Ordentlich würde das Ganze z.B. so aussehen können:
WAN1 ---+ +--- LAN1 | | +--- pfSense --- Switch ---+=== DMZ/Server | | WAN2 ---+ +--- LAN2
Dann wäre es ordentlich aufgeräumt, Engpässe beseitigt und ordentlich managebar.
Sollte die Verbindung pfSense -> Switch zu klein für beide LANs + Server sein, kann man später die pfSense immer noch auf einer größeren Maschine/Appliance mit mehr Interfaces packen und dann ggf. 2-4 Interfaces zu einem LACP Bündel zusammenfassen. So etwas ist aber jetzt mit dem Klumpfuß des dahintergeschalteten Servers überhaupt nicht möglich.Grüße
-
Ich nehme es dir Nicht Übel, Ich Hätte auch Lieber Gerne eine Linux Maschine Weil es dort Nicht so viele Probleme sind, Und Ich Weiß wie du es Meinst Der Server soll ja Nur Dafür Eigentlich da sein um zu Drucken und DB-System zu Managen Aber Ich Muss Auf jeden Fall das so hinbekommen Das ich die 2 Internet Verbindungen Getrennt haben das Müsste ja dann mit einen Gescheiten VLAN Router Funktionieren.
Weil Ich Will es Ja auch Gescheit einrichten, Das Heißt also das ich Noch einen VLAN Router Brauche den dann Vor den pfSense stecke und dann den Server auch noch an den Router Stecken.
-
Nein, das heißt, dass du einen Switch brauchst der VLANs kann. pfSense IST ein VLAN fähiger Router. Und der Switch mit den VLANs kommt HINTER die pfSense (betrachtet von WAN=vorne, dahinter pfSense als Router, dahinter Switch mit VLANs, dahinter dann LAN1/2/Server.
So wie ich es aufgezeichnet habe ist es genauso wie du es haben willst. LAN1 ist durch VLAN von LAN2 isoliert und der Server bekommt Zugang zu beiden VLANs und kann deshalb aus beiden erreicht werden. Die pfSense wird dann via VLAN Trunk (also beide VLANs für LAN1+2) angeschlossen und du musst lediglich auf der pfSense dann das Interface, auf dem jetzt der Server hängt für beide VLANs konfigurieren. Die VLANs tauchen dann in pfSense wie "echte" Interfaces als Reiter/Tabs in der Firewall Übersicht auf und damit kannst du dann auch genau die anfänglich erklärten Regeln anlegen, dass LAN1->WAN1 und LAN2->WAN2 geht.
Grüße
-
Die Neusten Switche müssen ja VLAN fähig sein oder irre ich mich da.
http://www.amazon.de/Netgear-GS105E-100PES-Switch-Gigabit-Ethernet/dp/B002U08F2S/ref=cm_cr_pr_pb_i
Der hier müsste ja reichen oder nicht JeGr
Grüße
-
Ja tust du (dich irren). Das hat nichts mit neu oder nicht zu tun, der Switch muss ein gewisses Feature Set beherrschen. Ein kleiner "dummer" 5Port Netgear kann das leider nicht.
Wenn es umbedingt klein und günstig sein soll, würde evtl. der hier gehen:
Kurzlink: http://www.amazon.de/dp/B009HQAFBW
-
Ich Meinte nicht jeden Switch und ich weiß das Die meisten ältere und auch die Neuesten dieses Features haben, Und ich Bin sehr Dankbar Das du mir dabei Hilfst, Es ist schon besser wenn es nicht zu teuer ist Weil für die ich das mache habe nicht viel. Also daher bin ich zu frieden wenn Der HP Switch das machen kann bin ich Froh und muss das nun Klären. Und ich weiß das Netgear nicht gut ist Habe ich auch gemeint :) Ich bin HP und cisco fan. Nur da habe ich den Günstigen nicht gefunden XD Aber Hey ich bin dir sehr Dankbar für deine Mühe.
Grüße
Kira
-
Dann wird der Switch http://www.reichelt.de/HP-1810-8GV2/3/index.html?&ACTION=3&LA=446&ARTICLE=132111&artnr=HP+1810-8GV2&SEARCH=HP+1810-8G Genommen und so Wie oben steht eingerichtet und dann in der pfsense die Regeln wie du es Schon erklärt hast. und dann Voilá Müsste es dann Funktionieren. Wenn das Funktioniert werde ich ein Tutorial machen.
-
Also Ich habe den Switch Und Die Firewall so eingerichtet das es Eigentlich funktionieren sollte, Habe im Switch 2 VLAN eingerichtet einmal 10 und einmal 20 und Diese 2 VLAN habe ich auch in der Firewall so eingerichtet, mit der ip 172.16.0.1 und 172.16.1.1 und habe den DHCP Server auch eingerichtet. Nun wenn ich mich aber mit meinen Client in den Switch verbinde bekomme ich nur die IP Adresse die normale von der Firewall und nicht von VLAN aber ich kann die unter 192.168.1.102 Anpingen mache ich wider was Falsch.
-
Also in Kürze:
Der Port der pfSense auf dem Switch sollte in keinem VLAN untagged sein, lediglich tagged in vlan 10 und 20. Sonst gibts Streueffekte.
Der Port an dem dann die Clients via Switch hängen muss entsprechend UNtagged 10 oder 20 haben, damit alle Pakete die darauf eingehen automatisch mit 10 oder 20 getaggt werden, da ja die Clients nicht alle lokal ein VLAN konfigurieren können/wollen/sollen.
Den Server kannst du entweder mit einem Port anbinden, dann genauso wie die pfSense und lokal dann 2 VLANs konfigurieren oder mittels 2 Ports die eben auch wieder einer in untagged10 und mit einem in untagged20 steckt. Dann kannst du den Server mit 2 Kabeln anbinden.Das sollte dann schon alles sein. Natürlich darf dann DHCP auf dem Server nicht mehr an sein damit der nicht stört.
-
Nun Funktioniert alles fast, nun muss ich noch die Regeln einstellen an der Firewall so das Ich wenn ich von VLAN10 ins internet gehe das ich dann Über WAN1 gehe und VLAN20 über wan2 und Muss die regeln so einstellen das ich von VLAN1 nicht VLAN2 anpingen und das gleiche Rückwärts.
-
Der Port für die pfSense müsste aber sowohl bei Anzeige 10/20 ein T haben (für Tagged), kein U oder E. Ansonsten würden die VLAN Interfaces auf der pfSense nicht funktionieren. Nur auf Client/Switch Seite darf U stehen, da die Geräte kein VLAN Tag mitsenden.
-
Das Habe ich schon geändert ich habe Vergessen es raus zu nehmen Weil die Bilder waren vor der Einstellung so :) .
Aber Was ich nun Noch MAchen muss ist die Firewall regel das ich VLAN10 bin nicht auf VLAN20 zugreifen kann und von VLAN20 nicht auf VLAN10.
Aber Ich Verstehe es nicht wie so es nicht Funktioniert, Ich habe Es So eingestelt das
IPv4TCP VLAN10 net * vlan20 * * None
So müsste es doch funktionieren.
-
Die Regel verstehe ich leider nicht. Kannst du mal kurz als Schema posten, was jetzt wohin darf/soll?
-
WAN1 ---+ +--- VLAN1 | | +--- pfSense --- Switch ---+=== DMZ/Server | | WAN2 ---+ +--- VLAN2
So soll es Sein Ist auch so Aber ich Kann Von VLAN1 auf VLAN2 Pingen und auch Rückwärts und das soll nicht Sein.
Ich Muss es Ja in der VLAN Interface die Rules Schreiben oder in der LAN Rules
-
Dann post ggf. mal die Regeln von den LANs (VLANs) und wie die konfiguriert sind.
-
So das sind meine Konfiguration, Die 2 VLAN muss ich noch richtig Konfigurieren und nicht so offen lassen ich weiß aber ich will erst die 2 Probleme beseitigen.
![Bildschirmfoto 2014-07-10 um 16.40.00.png](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 16.40.00.png)
![Bildschirmfoto 2014-07-10 um 16.40.00.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 16.40.00.png_thumb)
![Bildschirmfoto 2014-07-10 um 16.40.13.png](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 16.40.13.png)
![Bildschirmfoto 2014-07-10 um 16.40.13.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 16.40.13.png_thumb)
![Bildschirmfoto 2014-07-10 um 16.40.22.png](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 16.40.22.png)
![Bildschirmfoto 2014-07-10 um 16.40.22.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 16.40.22.png_thumb)
![Bildschirmfoto 2014-07-10 um 17.09.13.png](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 17.09.13.png)
![Bildschirmfoto 2014-07-10 um 17.09.13.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2014-07-10 um 17.09.13.png_thumb)