Auf 2 NIC WEBIF der PFsense ermöglichen
-
Du zäumst das Pferd von hinten auf!
Wie kommen denn alle Rechner, also SuS und Lehrer, ins Netzwerk und bis zum Server - in den meisten Fällen sicherlich per WLAN, oder? Wird da schon (zB durch verschiedene SSIDs) unterteilt wer was ist und das Gerät in entsprechende Subnetze geleitet oder liegen die da alle noch zusammen in einem großen IP Bereich?
Hi, jupp, da liegen alle zusammen in einem Bereich. Bisher gab es keine Probleme.
Aber ins WLAN kommen mir erst nur die Kollegen. SuS sind leider aussen vor. So lang, bis ich für meine Hardware die updates bezahlen kann. Aber das ist ein anders Thema.Aber wie geschrieben, ich habe eine Schnittstelle "OPT1" und die soll den Traffic intern nach "OPT2" leiten, sozusagen als Gateway.
Das GW OPT2 ist ja im Bereich System/Routing/Gateways drin, aber ich dachte ich stelle das dann bei Interfaces dem NIC dann ein? -
Was ist das denn für ein Server (iServ?) und welche Funktionen hat er?
Dein Routing erschließt sich mir noch nicht.Hosts via WLAN –---- |SERVER|
------ |LAN pfSense WAN| ------
------ |OPT ?-? OPT| ---------Kabel
---DSL1
---DSL2Und nun bitte so verbinden, wie's später werden soll (aber nicht mit HB auf dem Bildschirm ;-)))
-
Was ist das denn für ein Server (iServ?) und welche Funktionen hat er?
Dein Routing erschließt sich mir noch nicht.Hosts via WLAN –---- |SERVER|
------ |LAN pfSense WAN| ------
------ |OPT ?-? OPT| ---------Kabel
---DSL1
---DSL2Und nun bitte so verbinden, wie's später werden soll (aber nicht mit HB auf dem Bildschirm ;-)))
Hi , sorry das ich mich erst jetzt melde, war im Urlaub…
Ne, das ist ein OSS.Hosts via WLAN ------ |SERVER|------
|
---------------------------------------
|
|------ |LAN pfSense WAN| ------ Kabel Deutschland
|------ |OPT 1 pfSense OPT2| ------ DSL1---Kabel
---DSL1
---DSL2So ist es zur Zeit angeklemmt. Also das was bei OPT1 mit der IP 172.16.0.99 ankommt, soll dann auf den OPT2 gehen.
Ist das so verständlich?
Gruß Sebastian -
Was meinst Du mit "soll dann auf den Opt2 gehen"?
Und LAN sowie Opt1 willst Du jetzt nicht wirklich parallel legen, oder? …
Was macht der "Server" zwischen WLAN und pfSense alles genau?
-
Ne, das ist auch nicht parallel. Nur der Server kann auf LAN zugreifen und OPT1 ist im Netzwerk verfügbar. Die WLAN-Geräte selber spielen erstmal keine Rolle, das könnten ja auch andere Geräte sein.
Die Frage ist ja dann eher grundsätzlich, wie ich den Traffic von einem NIC zum anderen leiten kann. -
Nur der Server kann auf LAN zugreifen und OPT1 ist im Netzwerk verfügbar.
Du sprichst in Rätseln.
Mache doch einfach eine Zeichnung, aus der hervorgeht, wie es einmal werden soll, ja? -
Nur der Server kann auf LAN zugreifen und OPT1 ist im Netzwerk verfügbar.
Du sprichst in Rätseln.
Mache doch einfach eine Zeichnung, aus der hervorgeht, wie es einmal werden soll, ja?Ja, das stimmt. Im Nachgang schwer zu verstehen.
Im Anhang ist eine mit DIA erstellte Zeichnung, die einen Teil des Netzwerks darstellt und wo die neue pfSense mit dem Server und einem modularen switch gezeigt wird.
Ich hoffe das ist so nun verständlicher. Mein Ziel ist es, der Traffic, der auf 172.16.0.99 ankommt, soll zuerst auf den DSL1 (OPT2) laufen. Es gibt eigentlich noch den DSL2 (OPT3), aber der scheint z.Zt. "unkown" zu sein. Was da nun los ist weiß ich nicht. Ggf hat der Schulträger den gekündigt.
Das wäre nun vorrangig mein anliegen.Mein weiteres Ziel ist es aber, den Traffic "dynamisch", also nach meinen Einstellungen laufen zu lassen. So haben wir zwar einen Kabel Deutschland Anschluss an "WAN", aber der ist nicht wirklich stabil. Und wenn dieser mal ausfallen sollte, würde ich ebenfalls gerne dann anders routen können.
-
Urgs, wie soll sich denn ein Host, der am Switch hängt, entscheiden
a) von wo er per DHCP eine IP, Gateway und DNS Server bezieht (172.16.0.x oder 192.168.1.y)
b) ob er links herum oder rechts herum routen soll
c) und was macht dieser OSS Server, durch den der Verkehr zuerst durch muss (und warum).Eigentlich ist die Lösung ganz einfach:
Du kreierst Dir eine Gatewaygruppe mit Failover.
Zusätzlich kannst Du mit policy based routing pro Host bestimmen, durch welchen Anschluss der Verkehr nach außen läuft.https://doc.pfsense.org/index.php/What_about_using_multiple_WAN_connections
https://doc.pfsense.org/index.php/Multi-WAN
https://doc.pfsense.org/index.php/What_is_policy_routingViel Erfolg!
-
Urgs, wie soll sich denn ein Host, der am Switch hängt, entscheiden
a) von wo er per DHCP eine IP, Gateway und DNS Server bezieht (172.16.0.x oder 192.168.1.y)Grundsätzlich bekommt jeder die 0.2 als DNS und GW. Nur in einzelnen DHCP-Pools ist die 0.99 als GW eingetragen. DNS ist weiter die 0.2
b) ob er links herum oder rechts herum routen soll
Verstehe ich nicht? Aber sollte aus meiner Antwort oben heruas kommen.
c) und was macht dieser OSS Server, durch den der Verkehr zuerst durch muss (und warum).
Grundsätzlich alles, aber für uns wichtig, die Schüler in ihren klassen nur dann mit "Internet" (Proxy) zu versorgen, wenn es benötigt wird. Das funktioniert sogar sehr gut. Daran soll auch sich nichts ändern. Der andere Internetzugang ist für die Kollegen da, die mit ihren Geräten kommen. Die habe ich dann auf die 0.99 geschickt (mit damals den 2 FWs) und so sollte es auch wieder sein.
Ich werde mir deine Links mal anschauen. Evtl kann ich ja daraus mir schon eine Lösung basteln.Danke Sebastian
Eigentlich ist die Lösung ganz einfach:
Du kreierst Dir eine Gatewaygruppe mit Failover.
Zusätzlich kannst Du mit policy based routing pro Host bestimmen, durch welchen Anschluss der Verkehr nach außen läuft.https://doc.pfsense.org/index.php/What_about_using_multiple_WAN_connections
https://doc.pfsense.org/index.php/Multi-WAN
https://doc.pfsense.org/index.php/What_is_policy_routingViel Erfolg!
-
Hi, also so ganz scheint das nicht zu klappen. So wie ich die Anleitung verstehe, geht es da um entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere, sondern Traffic, der an OPT1 ankommt, soll über den DSLer (OPT2) nach aussen geleitet werden.
Das lese ich darauf nirgends?! Oder habe ich mich verlesen? -
ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??
-
ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??
jetzt kommst Du langsam dahin…
Du hast einen Switch beschrieben, der sowohl an 172.16.0.2 als auch an 172.16.0.99 hängt, wobei die erste Verbindung ein Transit-Netzwerk hinter dem OSS Dings 192.168.1.0 hat.
Welche IP und welches GW bekommen denn die Clients am Switch hängend und vor allem: von wem?Kannst Du das OPT1 Interface von pfSense aus pingen? Und den Switch?
… entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere
Sagtest Du nicht, dass, wenn das eine nicht geht, das andere genutzt werden soll? Zumindest für die Lehrer? Das wäre ein Failover.
Ansonsten musst Du nur in der Regel für die alternativen User eintragen, dass das Gateway nicht default, also * ist, sondern eben das von OPT2.
Und wenn Du Dir eine Gateway-Gruppe mit Failover zusammenbaust, dann trage die als GW für die Auserwählten ein und nicht OPT2.https://doc.pfsense.org/index.php/What_is_policy_routing (s.o.)
What is policy routing
Policy routing in pfSense refers to the capability of routing traffic by matching it to specific firewall rules. Each firewall rule allows selection of a gateway. …Ich habe immer noch nicht verstanden wie Du die Hosts aus der 172.16.0.0 Wolke in SuS und Andere unterteilst und ihnen unterschiedliche GWs, Nameserver etc. zuweist.
Da ich das ganze Gebilde noch nicht verstanden habe muss ich immer Stückwerk frickeln. :(Es ergibt sich dann evtl., dass Du gar kein zweites GW für die Kollegen brauchst sondern das über Regeln auf dem LAN zu den beiden GWs verteilen kannst. Mittels Policy-based-routing. Aber mir fehlt wie gesagt der Überblick und die Funktionen des OSS, außer dass es ein OSS ist. Was immer OSS ist (Open Source Software?) ;)
-
ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??
jetzt kommst Du langsam dahin…
Du hast einen Switch beschrieben, der sowohl an 172.16.0.2 als auch an 172.16.0.99 hängt, wobei die erste Verbindung ein Transit-Netzwerk hinter dem OSS Dings 192.168.1.0 hat.
Welche IP und welches GW bekommen denn die Clients am Switch hängend und vor allem: von wem?Also per Default ist eingestellt, das als dhcp-option für die pools gw und dns 172.16.0.2 ist. Für manche Pools habe ich das gw geändert auf eben 172.16.0.99.
GW 172.16.0.2 nutzt für sich wiederum als GW die 192.168.1.1.Kannst Du das OPT1 Interface von pfSense aus pingen? Und den Switch?
Von der pfSense aus kann ich OPT1 pingen, aber nicht den SW!? Hmm, das ist ja komisch. Da muss ich wohl noch mal schauen, warum das nicht möglich ist. Ich bin per ssh auf der pfSense drauf und auf der Übersichtsseite zeigt er mir:
WAN (wan) -> igb3 -> v4/DHCP4: IP-ADRESSE
LAN (lan) -> igb0 -> v4: 192.168.1.1/24
OPT1 (opt1) -> igb1 -> v4: 172.16.0.99/32
OPT2 (opt2) -> pppoe4 -> v4/PPPoE: IP-ADRESSE
OPT3 (opt3) -> pppoe5 ->Ich schaue noch mal ob OPT1 auch auf igb1 liegt (falls ich das irgendwie herausfinden kann).
… entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere
Sagtest Du nicht, dass, wenn das eine nicht geht, das andere genutzt werden soll? Zumindest für die Lehrer? Das wäre ein Failover.
Ansonsten musst Du nur in der Regel für die alternativen User eintragen, dass das Gateway nicht default, also * ist, sondern eben das von OPT2.
Und wenn Du Dir eine Gateway-Gruppe mit Failover zusammenbaust, dann trage die als GW für die Auserwählten ein und nicht OPT2.https://doc.pfsense.org/index.php/What_is_policy_routing (s.o.)
What is policy routing
Policy routing in pfSense refers to the capability of routing traffic by matching it to specific firewall rules. Each firewall rule allows selection of a gateway. …Ich habe immer noch nicht verstanden wie Du die Hosts aus der 172.16.0.0 Wolke in SuS und Andere unterteilst und ihnen unterschiedliche GWs, Nameserver etc. zuweist.
Da ich das ganze Gebilde noch nicht verstanden habe muss ich immer Stückwerk frickeln. :(Also per LDAP sind hier KLassen angelegt. Darin enthalten sind unsere stationären PC. Diese bekommen wie oben beschrieben die default Einstellungen per DHCP mit (DNS,GW, IP, Subnetzmaske usw.).
Für manche dieser Klassen oder auch Gruppen mit den darin enthaltenen Geräten der Kollegen habe ich eben andere DHCP-optionen gesetzt wie eben die option "router=172.16.0.99" . Das hat mit den zwei physiklalischen FWs sehr gut geklappt.Es ergibt sich dann evtl., dass Du gar kein zweites GW für die Kollegen brauchst sondern das über Regeln auf dem LAN zu den beiden GWs verteilen kannst. Mittels Policy-based-routing. Aber mir fehlt wie gesagt der Überblick und die Funktionen des OSS, außer dass es ein OSS ist. Was immer OSS ist (Open Source Software?) ;)
www.openschoolserver.net ein SLES basierter Schulserver mit vorkonfigurierten Programmen der auf den Schuleinsatz ausgelegt ist. Da sind wie schon mal beschrieben programme wie squid, eine autoinstallationsumgebung, webserver, anmeldeserver, ldapserver usw. drauf. Recht viel was man so halt in einer größeren Schule braucht.
EDIT ich habe mich eben noch mal an die FW begeben. Da ist das Kabel in igb1 (OPT1) drin, direkt neben igb0 (LAN) und beide scheinen mit 1Ggbit Up zu sein und blinken auch auf der anderen Statusled. Vom HP Switch, ein 5406 (von insgesamt 7, neben 10 anderen HP 2848) mit 3 Modulen ist das Kabel, was in OPT1 (igb1) reingeht mit der IP 172.16.0.99 versehen, im Switch in Modul C drin und dort in C2. Hier ist kein anders VLAN oder sonst eine sperre drauf, die darauf schliessen lassen könnte, das hier etwas blockiert wird. Vom Switch aus wollte ich die 172.16.0.99 pingen, was nicht geht (100%Packetloss)…..
-
WAN (wan) -> igb3 -> v4/DHCP4: IP-ADRESSE
LAN (lan) -> igb0 -> v4: 192.168.1.1/24
OPT1 (opt1) -> igb1 -> v4: 172.16.0.99**/32**
OPT2 (opt2) -> pppoe4 -> v4/PPPoE: IP-ADRESSE
OPT3 (opt3) -> pppoe5 ->das war jetzt leicht…
-
WAN (wan) -> igb3 -> v4/DHCP4: IP-ADRESSE
LAN (lan) -> igb0 -> v4: 192.168.1.1/24
OPT1 (opt1) -> igb1 -> v4: 172.16.0.99**/32**
OPT2 (opt2) -> pppoe4 -> v4/PPPoE: IP-ADRESSE
OPT3 (opt3) -> pppoe5 ->das war jetzt leicht…
Oh man, ja. Da sieht man manchmal den Wald vor lauter Bäumen nicht. Gleich geändert und schon kann ich den pingen…
Danke dir ! :)EDIT
aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht? -
aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?
Das ist nun auch nicht mehr schwierig:
Du hast bereits unter System: Routing: Gateways zwei Einträge (1x Kabel, 1x DSL)?
Hast Du bereits Regeln für OPT1 erstellt?
Trage dort (in jeder outbound-Regel) als Gateway nicht * ein sondern das OPT2 GW. Schon läuft der gesamte Traffic darüber. -
aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?
Das ist nun auch nicht mehr schwierig:
Du hast bereits unter System: Routing: Gateways zwei Einträge (1x Kabel, 1x DSL)?
Hast Du bereits Regeln für OPT1 erstellt?
Trage dort (in jeder outbound-Regel) als Gateway nicht * ein sondern das OPT2 GW. Schon läuft der gesamte Traffic darüber.Hi, zwar etwas mit zeitverzug, aber leider läuft das immer noch nicht. Meine Gateways sind grundsätzlich drin. In Firewall->Rules habe ich bei OPT1 das so eingestellt, dass das Ziel OPT2 Adress ist und das GW OPT2 ist. die Source ist "adress" 172.16.0.0/16. Siehe Anhang.
Siehst du auf Anhoeb, wo der Fehler sein könnte.
In Firewall-YNAT ist bei Outbound Hybrid Outbound NAT… eingestellt.
-
… dass das Ziel OPT2 Adress ist …
Die zweite Regel greift doch nur dann, wenn jemand zur PPPoE Adresse des Opt2 Interfaces surfen will.
Aber wer will das schon? :P
In die Destination muss ein * rein, den Rest macht der Gateway-Eintrag. -
… dass das Ziel OPT2 Adress ist …
Die zweite Regel greift doch nur dann, wenn jemand zur PPPoE Adresse des Opt2 Interfaces surfen will.
Aber wer will das schon? :P
In die Destination muss ein * rein, den Rest macht der Gateway-Eintrag.Sauber klappt.
Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen? -
Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen?
Scheint so, oder?
Ping nutzt als Protokoll ICMP, da würde ich mal schauen.
