2 Internet Verbindung getrennt verwalten
-
Ich nehme es dir Nicht Übel, Ich Hätte auch Lieber Gerne eine Linux Maschine Weil es dort Nicht so viele Probleme sind, Und Ich Weiß wie du es Meinst Der Server soll ja Nur Dafür Eigentlich da sein um zu Drucken und DB-System zu Managen Aber Ich Muss Auf jeden Fall das so hinbekommen Das ich die 2 Internet Verbindungen Getrennt haben das Müsste ja dann mit einen Gescheiten VLAN Router Funktionieren.
Weil Ich Will es Ja auch Gescheit einrichten, Das Heißt also das ich Noch einen VLAN Router Brauche den dann Vor den pfSense stecke und dann den Server auch noch an den Router Stecken.
-
Nein, das heißt, dass du einen Switch brauchst der VLANs kann. pfSense IST ein VLAN fähiger Router. Und der Switch mit den VLANs kommt HINTER die pfSense (betrachtet von WAN=vorne, dahinter pfSense als Router, dahinter Switch mit VLANs, dahinter dann LAN1/2/Server.
So wie ich es aufgezeichnet habe ist es genauso wie du es haben willst. LAN1 ist durch VLAN von LAN2 isoliert und der Server bekommt Zugang zu beiden VLANs und kann deshalb aus beiden erreicht werden. Die pfSense wird dann via VLAN Trunk (also beide VLANs für LAN1+2) angeschlossen und du musst lediglich auf der pfSense dann das Interface, auf dem jetzt der Server hängt für beide VLANs konfigurieren. Die VLANs tauchen dann in pfSense wie "echte" Interfaces als Reiter/Tabs in der Firewall Übersicht auf und damit kannst du dann auch genau die anfänglich erklärten Regeln anlegen, dass LAN1->WAN1 und LAN2->WAN2 geht.
Grüße
-
Die Neusten Switche müssen ja VLAN fähig sein oder irre ich mich da.
http://www.amazon.de/Netgear-GS105E-100PES-Switch-Gigabit-Ethernet/dp/B002U08F2S/ref=cm_cr_pr_pb_i
Der hier müsste ja reichen oder nicht JeGr
Grüße
-
Ja tust du (dich irren). Das hat nichts mit neu oder nicht zu tun, der Switch muss ein gewisses Feature Set beherrschen. Ein kleiner "dummer" 5Port Netgear kann das leider nicht.
Wenn es umbedingt klein und günstig sein soll, würde evtl. der hier gehen:
Kurzlink: http://www.amazon.de/dp/B009HQAFBW
-
Ich Meinte nicht jeden Switch und ich weiß das Die meisten ältere und auch die Neuesten dieses Features haben, Und ich Bin sehr Dankbar Das du mir dabei Hilfst, Es ist schon besser wenn es nicht zu teuer ist Weil für die ich das mache habe nicht viel. Also daher bin ich zu frieden wenn Der HP Switch das machen kann bin ich Froh und muss das nun Klären. Und ich weiß das Netgear nicht gut ist Habe ich auch gemeint :) Ich bin HP und cisco fan. Nur da habe ich den Günstigen nicht gefunden XD Aber Hey ich bin dir sehr Dankbar für deine Mühe.
Grüße
Kira
-
Dann wird der Switch http://www.reichelt.de/HP-1810-8GV2/3/index.html?&ACTION=3&LA=446&ARTICLE=132111&artnr=HP+1810-8GV2&SEARCH=HP+1810-8G Genommen und so Wie oben steht eingerichtet und dann in der pfsense die Regeln wie du es Schon erklärt hast. und dann Voilá Müsste es dann Funktionieren. Wenn das Funktioniert werde ich ein Tutorial machen.
-
Also Ich habe den Switch Und Die Firewall so eingerichtet das es Eigentlich funktionieren sollte, Habe im Switch 2 VLAN eingerichtet einmal 10 und einmal 20 und Diese 2 VLAN habe ich auch in der Firewall so eingerichtet, mit der ip 172.16.0.1 und 172.16.1.1 und habe den DHCP Server auch eingerichtet. Nun wenn ich mich aber mit meinen Client in den Switch verbinde bekomme ich nur die IP Adresse die normale von der Firewall und nicht von VLAN aber ich kann die unter 192.168.1.102 Anpingen mache ich wider was Falsch.
-
Also in Kürze:
Der Port der pfSense auf dem Switch sollte in keinem VLAN untagged sein, lediglich tagged in vlan 10 und 20. Sonst gibts Streueffekte.
Der Port an dem dann die Clients via Switch hängen muss entsprechend UNtagged 10 oder 20 haben, damit alle Pakete die darauf eingehen automatisch mit 10 oder 20 getaggt werden, da ja die Clients nicht alle lokal ein VLAN konfigurieren können/wollen/sollen.
Den Server kannst du entweder mit einem Port anbinden, dann genauso wie die pfSense und lokal dann 2 VLANs konfigurieren oder mittels 2 Ports die eben auch wieder einer in untagged10 und mit einem in untagged20 steckt. Dann kannst du den Server mit 2 Kabeln anbinden.Das sollte dann schon alles sein. Natürlich darf dann DHCP auf dem Server nicht mehr an sein damit der nicht stört.
-
Nun Funktioniert alles fast, nun muss ich noch die Regeln einstellen an der Firewall so das Ich wenn ich von VLAN10 ins internet gehe das ich dann Über WAN1 gehe und VLAN20 über wan2 und Muss die regeln so einstellen das ich von VLAN1 nicht VLAN2 anpingen und das gleiche Rückwärts.
-
Der Port für die pfSense müsste aber sowohl bei Anzeige 10/20 ein T haben (für Tagged), kein U oder E. Ansonsten würden die VLAN Interfaces auf der pfSense nicht funktionieren. Nur auf Client/Switch Seite darf U stehen, da die Geräte kein VLAN Tag mitsenden.
-
Das Habe ich schon geändert ich habe Vergessen es raus zu nehmen Weil die Bilder waren vor der Einstellung so :) .
Aber Was ich nun Noch MAchen muss ist die Firewall regel das ich VLAN10 bin nicht auf VLAN20 zugreifen kann und von VLAN20 nicht auf VLAN10.
Aber Ich Verstehe es nicht wie so es nicht Funktioniert, Ich habe Es So eingestelt das
IPv4TCP VLAN10 net * vlan20 * * None
So müsste es doch funktionieren.
-
Die Regel verstehe ich leider nicht. Kannst du mal kurz als Schema posten, was jetzt wohin darf/soll?
-
WAN1 ---+ +--- VLAN1 | | +--- pfSense --- Switch ---+=== DMZ/Server | | WAN2 ---+ +--- VLAN2So soll es Sein Ist auch so Aber ich Kann Von VLAN1 auf VLAN2 Pingen und auch Rückwärts und das soll nicht Sein.
Ich Muss es Ja in der VLAN Interface die Rules Schreiben oder in der LAN Rules
-
Dann post ggf. mal die Regeln von den LANs (VLANs) und wie die konfiguriert sind.
-
So das sind meine Konfiguration, Die 2 VLAN muss ich noch richtig Konfigurieren und nicht so offen lassen ich weiß aber ich will erst die 2 Probleme beseitigen.
 -
OK da hast du ein ganz anderes Problem. Kannst du noch deine Interface-Übersicht posten (Zuweisung von Hardware Interfaces auf Namen)?
Wenn du das LAN nämlich in VLANs splittest, solltest du kein normales "LAN" mehr haben, das macht wenig Sinn.
-
Wurde oben eingefügt.
Heißt das ich Mus WAN1 mit VLAN1 machen und WAN2 mit VLAN2 machen oder ist das dann auch falsch.
-
OK genau das dachte ich mir. Du musst die Zuordnung LAN -> vr0 löschen.
Da du auf dem HP Switch das Interface der pfSense LAN ja (hoffentlich) so eingerichtet hast, dass es NUR 10 und 20 mit T hat (also tagged), müssen auch getaggte Pakete versendet werden. Sprich die pfsense braucht die vr0_vlan10/20 interfaces, die du schon eingerichtet hast. Damit hast du zwei virtuelle Interfaces (LANs) auf einem Port. Dann solltest du aber den Port selbst (vr0) nicht mehr untagged eingebunden haben.
Jetzt brauchst du lediglich bei VLAN1/2 die Allow Regeln, die auf das entsprechende Gateway gehen (WAN/WAN2) so wie dus eingerichtet hast. Die Block Regel darunter ist eigentlich unnötig, denn du verbietest VLAN1 address (pfSense IP des VLAN1) auf genau das Gleiche (also VLAN1 IP auf VLAN1 IP).
Was du eigentlich willst, ist noch eine Block Regel:
- Block - IPv4 - VLAN1_network - * - VLAN2_network - * - * - none (auf VLAN1)
- Block - IPv4 - VLAN2_network - * - VLAN1_network - * - * - none (auf VLAN2)
Diese Regel muss dann VOR die allow Regel. Dann sollte auch der Traffic von VLAN1<->VLAN2 geblockt sein (wichtig ist network, nicht address und IPv4 any, nicht TCP only, sonst würde Ping oder UDP Traffic noch funktionieren).
Dann sollte es auch klappen wie gewollt.
-
So Funktioniert auch Die regeln, Nun habe ich wider ein Anderes Problem auch wenn mein 2. Internet erstmal ausgesteckt ist kann ich mit VLAN20 immer noch ins Internet wo eigentlich Offline sein sollte oder eine Fehlermeldung kommen müsste. Kann das sein wenn die 2. Internet Verbindung offline geht oder weg ist das er dann die 1. nimmt.
-
Wenn du es so eingerichtet hast, ja.
