Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Verbindung zwischen zwei internen Netzen

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 3 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sandipom2004
      last edited by

      Hallo zusammen!

      Szenario:

      Zwei interne Netze sollen miteinander verbunden werden.

      Pfsense:
      LAN1 – 10.20.1.30 / 24
      OPT1 – 10.30.1.30 / 16
      Default Gateway: 10.20.1.17

      Netz1
      Client: 10.20.1.251 / 24  Gateway:  10.20.1.17
      Gateway: 10.20.1.17 – Route eingetragen 10.30.0.0 über 10.20.1.30

      Netz2
      Client: 10.30.1.251 / 16 Gateway: 10.30.1.4
      Gateway: 10.30.1.4 – Route eingetragen 10.20.1.0 über 10.30.1.30
      Gateway ist MS TMG Server. Berechtigungen für ping in beide Richtungen eingetragen.

      Client aus Netz1 kann Gateway aus Netz2 anpingen, aber Client aus Netz2 nicht.
      Client aus Netz2 kann Gateway und Client aus Netz1 anpingen.

      Wird bei Client aus Netz2 das Gateway von 10.30.1.4 auf 10.30.1.30 geändert, kann Client aus Netz1 auch Client aus Netz2 anpingen.

      Was läuft hier falsch? Wie kann der pfsense beigebracht werden, dass die Kommunikation ins 10.30.0.0 Netz von der 10.30.1.30 an die 10.30.1.4 weitergeleitet wird, obwohl diese im gleichen Subnet ist?

      LG sandipom2004

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        OK irgendwie verstehe ich dein Szenario noch nicht. Du hast in beiden Netzen ein (externes) Gateway, das nicht die pfSense ist. Korrekt?
        Die pfSense ist in jedem Netz die .30 und hat als Default das Gateway in 10.20.

        Jetzt sollen Clients aus 10.20 nach 10.30 und von 10.30 nach 10.20 kommen? Ist das richtig? Aber keins der Netze hat die pfSense als Default Gateway?

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • S
          sandipom2004
          last edited by

          Ja, beide Netze gehen jeweils über deren Standard-Gateway ins Internet. Die Pfsense dient nur dazu, beide Netze miteinander zu verbinden. In der pfsense ist das Default Gateway gesetzt, damit man Updates und Packages der Pfsense installieren kann. Die Clients in den jeweiligen Netzen müssen also deren Standard-Gateway eingetragen behalten.

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            In dieser Konstellation bekommen deine Gateways die Pakete für das jeweils andere Netz und müssen diese am selben Interface raus schicken, an dem sie reinkommen. Keine Ahnung, was deine Gateway sind, aber diese Funktion ist nicht unbedingt Standard und unterliegt auch etwaigen Firewall-Regeln.

            Soll ein derartiger Traffic nicht gefiltert werden, bietet pfSense hierfür die Einstellung "Bypass firewall rules for traffic on the same interface" in System > Advanced > Firewall & NAT. Was Ähnliches gibt es möglicherweise auch auf deinen Gateways oder du kannst den Traffic per Regel erlauben.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Die Clients in den jeweiligen Netzen müssen also deren Standard-Gateway eingetragen behalten.

              Dann müssen auch gerade diese beiden Standard Gateways eine zusätzliche Route bekommen so wie du schreibst.

              Zur Diagnose was geht und was nicht, wäre es sicher sinnvoll erstmal auf beiden Interfaces eine any-any allow Regel zu machen und diese loggen zu lassen damit man sieht, dass es klappt.

              Zusätzlich hast du - so oder so - asynchrones Routing, was ggf. auf denen Gateways zu Problemen führen könnte. Dein Beispiel aufgreifend:

              Client aus Netz1 kann Gateway aus Netz2 anpingen, aber Client aus Netz2 nicht.

              Ein Client aus Netz1 kann also keinen Client in Netz2 erreichen. Wie läuft das Paket?

              Client#1 –> GW#1 -Route_definiert_pfSense-> pfSense#1--pfsense#2 --> Client#2

              Das ist der Hinweg. Aber das Antwortpaket?

              Client#2 --> GW#2 -Route_definiert_pfsense-> pfSense#2--pfSense#1 --> Client#1

              Du siehst: asynchron, denn beim Hinweg laufen die Pakete über GW#1, treffen dann aber den Client#2 direkt, die Antwort von Client#2 läuft aber über GW#2 zurück und trifft dann den Client#1 wieder direkt.
              Das ist schon ziemlich fehleranfällig.

              Evtl. sollte man überprüfen, ob die GW#1/#2 vielleicht mit lokalen Firewallregeln verbieten (bspw. Windows) dass Pakete aus anderen Netzen außer lokalen geroutet werden, das vergisst man gerne. Ansonsten kann man auch ganz gut auf der pfSense mit tcpdump den Traffic mitschneiden und schauen ob überhaupt Antwortpakete zurückkommen und wohin.

              Edit: Gerade viragos Post gesehen und stimme zu. Das kommt an der Stelle noch dazu (gleiches Interface etc.). Da du aber auch meintest, eine Kiste ist Windows, würde ich auch dort mal in die Firewall schauen, dort ist nämlich "lokal" gerne mit "lokales Netz/Domainnetz etc." konfiguriert und erlaubt keine Pakete aus anderen Subnetzen, die die Kiste nicht kennt.

              Grüße

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • S
                sandipom2004
                last edited by

                Dann ist es glaube ich einfacher, ich gebe den Clients über die DHCP Optionen eine statische Route mit - dann läuft der entsprechende Verkehr direkt an die pfsense und die Probleme dürften nicht mehr auftreten.

                1 Reply Last reply Reply Quote 0
                • V
                  viragomann
                  last edited by

                  Vom Routing her wäre das jedenfalls sauberer und bei DHCP ist es auch kein großer Aufwand.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.