Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    2x pfSense mit je einem WAN in einem LAN Routing Frage [GELÖST/SOLVED]

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 2 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      JBBERLIN
      last edited by

      Hallo Fachleute,

      wir sind von einer Linuxlösung auf pfSense umgestiegen bloss irgendwie bekomme ich das Routing in unserer Config nicht hin.

      Folgendes haben zwei pfSense 192.168.1.1 und 192.168.1.2.

      Die 192.168.1.1 stellt alle OpenVPN N2N Tunnel her, im Subnetz ist bei allen Rechnern die 192.168.1.2 als Standard Gateway eingetragen.
      Als zusätzliches Router ist bei der 192.168.1.2 die 192.168.1.1 eingetragen und es ist auch eine statische Route zu einem entferneten Netz wie z.B. 172.16.100.0/24 eingetragen mit dem GW 192.168.1.1. Jedoch kommt kein Ping vom 172.16.100.0/24 Netz zum Router 192.168.1.1 geschweige einem Host 192.168.1.xxx.

      Fehlen irgendwelche Rules !?

      Viele Grüße
      JBBERLIN

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hi,

        Als zusätzliches Router ist bei der 192.168.1.2 die 192.168.1.1 eingetragen

        Wie und wo? Und für welche Netze?

        Jedoch kommt kein Ping vom 172.16.100.0/24 Netz zum Router 192.168.1.1 geschweige einem Host 192.168.1.xxx.

        Das betrifft aber die andere Seite? Kann es sein, dass die Gegenstelle(n) von der .1.1 die Netzrouten nicht gepusht bekommen und deshalb überhaupt nichts über den Tunnel senden?
        Zudem muss natürlich auf der .1.1 beim OVPN Tab Regeln existieren, damit Traffic von 172.x nach 192.x angenommen wird.

        Gruß

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • J
          JBBERLIN
          last edited by

          Sorry unglüglich und falsch formuliert.

          172.16.100.0/24
                      |
          OpenVPN N2N
                      |
          192.168.1.1 (ping von 172.16.100.xxx geht hierher.)

          192.168.1.2 (ping von 172.16.100.xxx geht hier nicht und auch nicht zu einem anderen 192.168.1.xxx)

          Auf 192.168.1.2 ist als zuätzlicher Router der 192.168.1.1 mit der Route 172.16.100.0/24 als Gateway eingetragen.

          Viele Grüße
          JBBERLIN

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Auf 192.168.1.2 ist als zuätzlicher Router der 192.168.1.1 mit der Route 172.16.100.0/24 als Gateway eingetragen.

            He? OK das wird echt dubios. Könntest du die entsprechenden Routen/Gateway Konfigs mal als Screenshot posten? Das fängt an keinen Sinn zu machen.

            Wenn der .1.2 dein Default Gateway ist weil Internet/WAN da drüber läuft, dann müsste .1.1 lediglich .1.2 als Default GW haben und sonst nichts. Ein weiteres GW oder Route ist hier eigentlich nicht nötig, die anderen Routen kommen via OpenVPN von allein. Lediglich .1.2 müsste eine Route für 172.16.100/24 auf die .1.1 haben. Und auf der .1.1 müsste natürlich auch im Regelset erlaubt werden, dass da Traffic hin wie her fließt.

            Du bekommst so eben ein ziemlich asymetrisches Routing was immer seine Probleme mit sich bringt. Ich verstehe an der Stelle nicht ganz, warum du mit 2 Routern rummachst, wo beide pfSense sind und du problemlos die Tunnel auf die .1.2 mit raufpacken könntest. Dann wäre da gar kein Problem mehr.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • J
              JBBERLIN
              last edited by

              Jep so hat es auch bei der alten Linuxlösung gefuntz.

              Das kommt davon weil haufenweisse Dienste laufen und mir auch bewusst ist das dass suboptimal ist. Aber GW .1.1 ist für die OpenVPN N2N Tunnel zuständig wärend .1.2 für alle IPSec RW und die Dienste wie OWA ect. abdecken muss. Also zwei weil wir Bandbreite brauchen.
              Die Lösung mit MultiWAN hat noch mehr Probleme gemacht deshalb die asymetrisch.

              Die Screens kommen leider nachher weil ich bin gerade im 172.16.100.0/24 Netz vor Ort und habe nur zugriff auf 192.168.1.1 auf 192.168.1.2 kann ich nur vom .1.1 aus pingen und nicht von 172.16.100.0/24

              Vielen Dank erstmal
              und viele Grüße
              JBBERLIN

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Also zwei weil wir Bandbreite brauchen.

                Bandbreite? Ist Gigabit an der Stelle nicht genug? :O

                Die Lösung mit MultiWAN hat noch mehr Probleme gemacht deshalb die asymetrisch.

                Da drängt sich die Frage auf, welches Problem einfacher gelöst gewesen wäre ;)

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • J
                  JBBERLIN
                  last edited by

                  Wieso Gigabit ? Es sind je einmal VDSL25. Jeder der beiden pfSense ist je an ein WAN angeschlossen.

                  Und es sind 19 N2N Tunnel auf .1.1 und ca. 50 gleichzeitige RW die auf internes VoIP und Wiki sowie PDF's von Owncloud abrufen auf .1.2 plus OWA und zwei kleine Webservices.
                  Deshalb.

                  Das ist keine interne Kaskade.

                  Viele Grüße
                  JBBERLIN

                  1 Reply Last reply Reply Quote 0
                  • J
                    JBBERLIN
                    last edited by

                    Also des Rätsels Lösung war:

                    auf dem 192.168.1.2 eine Rule eintragen:

                    Protocol:IPv4* Source:172.16.100.0/24 Port:* Destination:LAN net Port:* Gateway:(Name des lokalen GW auf .1.1)

                    Was jetzt im Nachhinein logisch ist.

                    Vielen Dank und viele Grüße
                    JBBERLIN

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.