Kein Routing zwischen 2 Netzten

medikopter

Hallo,

Ich habe ein Problem ;)

Also erstmal zu meiner Konfiguration,
Ich habe eine watchguard x700 mit dem aktuellen Pfsense drauf.
Am WAN netz habe ich eine 16000er Leitung über PPPoE, dies funktioniert.  Als Netzte habe ich, am ersten Anschluss das Netz 192.168.1.0 das kommt über das WAN Netz ins Internet. Am zweiten habe ich das Netz 192.168.0.0 dort gibt es einen Speedport der die Verbindung ins Internet herstellt , der Pfsense habe ich eine feste Ip gegeben und auf ihr DHCP aktiviert als Gateway und DNS ist die Speedport IP angegeben. ALs 3tes und letztes habe ich das Netz 192.168.3.0 dort steht eine NAS und später ein windows server.

Jetzt zu meinem Problem, wie sage ich den Geräten im Netz 0 das sie sich mit den anderen Netzen Verbinden sollen? Aus Netz 1 komme ich überall dran.

Wexxler

Guten Morgen,

als erstes musst du eine VPN Verbindung (ich bevorzuge IPSec) zwischen den Netzen herstellen.

LG

A Former User

VPN ? Ähm, ich denke eher hier wurde vergesse ndie entsprechende Regel in der firewall zu platzieren.

Wieviel Interfaces hast du ? Insgesammt 3 ?

medikopter

Hallo,

Ja ich habe 3 netzte

..1.0 wird über WAN mit Internet versorgt
..0.0 steht ein speedport mit der 0.1, die Pfsense versorgt das netz mit DHCP als Gateway habe ich hier die IP des Speedport eingegeben
..3.0 eine NAS mit IP ..3.3 und später ein win2012 server

Vom Netz 1 komme ich überall hin, vom Netz 0.0 nur ins 0

Ich nehme mal an das ich einen Fehler beim DHCP-Server einstellen gemacht habe, da die Gateway Adresse ja auf den Speedport zeigt und das Netz 3.3 ja an der Pfsense liegt. Der Speedport kann leider kein Routing daher kann ich ihm nicht sagen das die Netzte an der Pfsense hängen. Nur weiß ich nicht wie ich die Pfsense konfigurieren muss damit sie das Internet von Netz 0 an den Speedport weiterreicht. Ich hoffe ihr habt in etwa verstanden wie ich das meine

Wexxler

Was denn nun genau? Wie sieht denn deine Verbindung aus? Sind die Netze alle am selben Standort oder an verschiedenen?

192.168.0.0/24 -> WAN <- 192.168.1.0/24
                                ^                 
                                |
                      192.168.3.0/24

Oder wie? Mal doch mal :)

medikopter

Es leigt alles im selben Haus.
Hier gibt es zwei Internetanschlüsse der eine ist über das WAN Interface mit PPPoE angebunden und streamt in Netz1, das würd über einen Speedport geroutet dies liegt im Netz 0.

Ich habe da mal was gemalt, ich hoffe ihr könnt damit was anfangen.

Liebe grüße

und Danke


A Former User

Zeig mal bitte deine Firewall regeln

medikopter

Hier

Wexxler

Guten Morgen,

versuche doch mal an einem Client aus dem Netz 0 folgendes auszuführen

Admin CMD ->

route add 192.168.3.0 mask 255.255.255.0 192.168.0.4

und schau mal ob du dann in dein drittes netz kommst mit einem ping. Der Rückweg muss aus dem 3er Netz natürlich auch stimmen.

falls das klappt kannst du mit dem parameter -p diese Route an Windowsclients dauerhaft aktivieren - ansonsten sind sie nach einem Reboot weg
LG

medikopter

Das hatte ich mir auch schon überlegt, ich dachte nur es gibt irgendwie eine möglickeit dies über die pfsense zu machen.

Aber ich werde das nun so machen, danke schön :) sind ja jetzt nicht soviele Rechner im Netz 0

Wexxler

Schau mal hier -

https://ercpe.de/blog/advanced-dhcp-options-pushing-static-routes-to-clients

keine Garantie das es funktioniert.

LG
Chris

medikopter

Danke, hat aber leider nicht geklappt. Habe jetzt erstmal Routen hinzugefügt über CMD.

Gibt es eine andere möglichkeiten sowas einzurichten? ohne in Windows was eintragen zu müssen?

Wexxler

Nein, am eigenen Gateway halt aber der Speedport wird das nicht können/kennen. Obwohl es da auch wohl tricks gibt um an erweiterte Einstellungen ranzukommen, vielleicht ist ja dann was dabei.

Tausch den Speedport gegen ne sense ;-)

Wieso können denn die Clients aus dem 0.0/24 Netz nicht auch über die sense ins Internet?

medikopter

Weil ich nicht weiß wie ich das einstellen kann. Das netz 0 hat ja einen eigenen internet anschluss das soll ja auch so bleiben. Wenn es eine Möglichkeit gibt die sense so zu konfigurieren das sie auch das internet für Netz0 routet dann könnte man das machen.

eSpezi

Servus Medikopter,

da hast Du ja was tollkühnes zusammengebastelt ;-)
Damit bekommst Du kurz- bis mittelfristig nur Ärger

Ich würde folgendes vorschlagen:
Du hast ja bereits alle LANs an der pfSense.
Nun lass diese auch ihre Arbeit tun und richte sie bei allen LANs als Default Gateway ein.
Die beiden WANs (1x PPoE Modem, 1x Speed Port) richtest Du als 2 WANs auf der pfSense ein. (ich würde evtl. auch versuchen den ollen Speedport durch ein einfaches DSL Modem zu ersetzen - das erspart Dir wahrscheinlich später noch Ärger).
Nun bist Du erstmal Chef im Netz und kannst alles nach Belieben über die pfS steuern, ohne an Clients Änderungen machen zu müssen.

Wie es jetzt weiter geht hängt davon ab, was gewünscht / gefordert ist.
Erstmal solltest Du die Firewall Regeln für die Netze anpassen (z.B. welches Netz darf auf ein anderes, usw.)
Für den Internetzugang könnte man z.B. die beiden WANs per Gateway Gruppen für Loadbalancing und/oder Failover konfigurieren.
Auch eine feste Zuweisung der einzelnen LANs zu einem bestimmten WAN ist durch die Zuweisung des entsprechenden Gateways in einer Firewall Regel des jeweiligen LAN Interfaces machbar.

Am besten vorher erst einmal ziemlich genau zu Papier bringen, was wie laufen soll, dann tut man sich beim Konfigurieren viel leichter und ist flotter - ist zumindest meine Erfahrung.

Viel Erfolg!
Harry

medikopter

Hallo Harry,

Das ist genau das was ich möchte.  Am besten soll die Pfsense alles machen. Nur weiß ich nicht wie ich das insoweit konfigurieren kann. Das mit dem Failover ist perfekt da eine Leitung oft rumspackt.

Dann müsste ich auch keine statischen routen setzten an den Clients.

Allerdings kann ich den Speedport nicht extra an ein Interface setzten, da ich nicht die Möglichkeit habe noch ein Kabel dahin zu ziehen. Wenn du mir verrätst wie ich das einrichte und wie ich Gateways eintragen und schalten muss wäre ich dir sehr dankbar. Den Speedport kann ich leider nicht ersetzten da er auch ISDN Telefonie macht.

Wexxler

Wenn es wirklich ISDN ist und kein VOIP kannst du den Speedport wohl ersetzen (deaktivieren) für das Internet.

Es gibt dort die Funktion das Internet zu deaktivieren und den Speedport als Modem zu nutzen. Dann erparst du dir auf jedenfall ein weiteres Routing und kannst die sense nutzen

medikopter

Man kann die Speedport auf jedenfall so deaktivieren das sie nur als Modem fungiert und trotzdem Telefonie geht, habe ich gerade nach gelesen. 
Allerdings kann ich sie trotzdem nicht an ein extra Interface an der sense schalten.

eSpezi

Servus Medikopter,

Du kannst zur Not auch den Speedport verwenden.

Es kann jedoch nur klappen, wenn Du alle WANs als Interfaces an der pfSense hast.
Die beste und stabilste Lösung wäre natürlich ein Kabel zwischen Speedport und pfSense.
Wenn das nicht geht könnte man z.B. ein vorhandenes CAT5 (oder besser) Kabel doppelt belegen. Dafür gibt es spezielle Adapter, die auf einer Seite einen RJ45 Stecker und auf der anderen 2 RJ45 Buchsen haben. Nachteil: mehr als 100MBit und/oder PoE gehen nicht über so eine Verbindung weil dafür die 4 Paare eines CAT Kabels in 2x2 (2 je Buchse) aufgeteilt werden.
Variante 2 wären 2 VLANs auf der Leitung. Die pfS könnte damit umgehen, auf der Speedport Seite müsstest Du einen Switch/NIC haben, der mit einem getaggten VLAN umgehen kann. Außerdem ist das nicht 100% sicher, weil u.U. zwischen den VLANs Daten durchsickern könnten.
Wenn CAT-Kabelmäßig überhaupt nichts geht gibt's nur noch den Versuch über HomeNet via 2-Draht oder Coax (Antenne), PowerLine, oder WLAN Bridge. Alles, bis auf erst genanntes, nicht sehr zuverlässig und mit nennenswerten Kosten verbunden.

Falls Du eine Verkabelungsmöglichkeit findest - so habe ich mehrere solcher Konfigurationen am laufen:
WAN Interfaces konfigurieren, z.B. WAN1 PPPoE, WAN2 Speedport
In System -> Routing -> Groups eine Gateway Gruppe für die WANs nach Wunsch anlegen
Weitere Infos hierzu: https://doc.pfsense.org/index.php/Multi-WAN_2.0

Damit die erstelle(n) Gateway Gruppen genutzt werden, müssen diese in den Firewall Regeln jedes LANs explizit als Gateway angegeben werden. Dabei ist zu beachten, dass sämtlicher Traffic bei einer Regel mit konfiguriertem Gateway sofort in dieses geschickt wird, wenn dieser nicht durch eine vorherige Regel behandelt wurde. Damit kann man sich schnell den Weg in andere interne LANs abschneiden.
Also erst einmal alle Regeln für die internen Netze erstellen, OHNE explizite Angabe des Gatewas und erst DARUNTER die Regeln ins Internet MIT Angabe des Gateways.

Gruß
Harry

medikopter

Das mit den Adapter hört sich gut an wusste nicht das es sowas gibt.  Hinter dem Speedport hängt noch ein switch reicht es wenn ich ab da die Adapter benutze oder muss ich direkt vom Speedport an extra gehen?