Auf 2 NIC WEBIF der PFsense ermöglichen
-
Hi, also so ganz scheint das nicht zu klappen. So wie ich die Anleitung verstehe, geht es da um entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere, sondern Traffic, der an OPT1 ankommt, soll über den DSLer (OPT2) nach aussen geleitet werden.
Das lese ich darauf nirgends?! Oder habe ich mich verlesen? -
ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??
-
ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??
jetzt kommst Du langsam dahin…
Du hast einen Switch beschrieben, der sowohl an 172.16.0.2 als auch an 172.16.0.99 hängt, wobei die erste Verbindung ein Transit-Netzwerk hinter dem OSS Dings 192.168.1.0 hat.
Welche IP und welches GW bekommen denn die Clients am Switch hängend und vor allem: von wem?Kannst Du das OPT1 Interface von pfSense aus pingen? Und den Switch?
… entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere
Sagtest Du nicht, dass, wenn das eine nicht geht, das andere genutzt werden soll? Zumindest für die Lehrer? Das wäre ein Failover.
Ansonsten musst Du nur in der Regel für die alternativen User eintragen, dass das Gateway nicht default, also * ist, sondern eben das von OPT2.
Und wenn Du Dir eine Gateway-Gruppe mit Failover zusammenbaust, dann trage die als GW für die Auserwählten ein und nicht OPT2.https://doc.pfsense.org/index.php/What_is_policy_routing (s.o.)
What is policy routing
Policy routing in pfSense refers to the capability of routing traffic by matching it to specific firewall rules. Each firewall rule allows selection of a gateway. …Ich habe immer noch nicht verstanden wie Du die Hosts aus der 172.16.0.0 Wolke in SuS und Andere unterteilst und ihnen unterschiedliche GWs, Nameserver etc. zuweist.
Da ich das ganze Gebilde noch nicht verstanden habe muss ich immer Stückwerk frickeln. :(Es ergibt sich dann evtl., dass Du gar kein zweites GW für die Kollegen brauchst sondern das über Regeln auf dem LAN zu den beiden GWs verteilen kannst. Mittels Policy-based-routing. Aber mir fehlt wie gesagt der Überblick und die Funktionen des OSS, außer dass es ein OSS ist. Was immer OSS ist (Open Source Software?) ;)
-
ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??
jetzt kommst Du langsam dahin…
Du hast einen Switch beschrieben, der sowohl an 172.16.0.2 als auch an 172.16.0.99 hängt, wobei die erste Verbindung ein Transit-Netzwerk hinter dem OSS Dings 192.168.1.0 hat.
Welche IP und welches GW bekommen denn die Clients am Switch hängend und vor allem: von wem?Also per Default ist eingestellt, das als dhcp-option für die pools gw und dns 172.16.0.2 ist. Für manche Pools habe ich das gw geändert auf eben 172.16.0.99.
GW 172.16.0.2 nutzt für sich wiederum als GW die 192.168.1.1.Kannst Du das OPT1 Interface von pfSense aus pingen? Und den Switch?
Von der pfSense aus kann ich OPT1 pingen, aber nicht den SW!? Hmm, das ist ja komisch. Da muss ich wohl noch mal schauen, warum das nicht möglich ist. Ich bin per ssh auf der pfSense drauf und auf der Übersichtsseite zeigt er mir:
WAN (wan) -> igb3 -> v4/DHCP4: IP-ADRESSE
LAN (lan) -> igb0 -> v4: 192.168.1.1/24
OPT1 (opt1) -> igb1 -> v4: 172.16.0.99/32
OPT2 (opt2) -> pppoe4 -> v4/PPPoE: IP-ADRESSE
OPT3 (opt3) -> pppoe5 ->Ich schaue noch mal ob OPT1 auch auf igb1 liegt (falls ich das irgendwie herausfinden kann).
… entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere
Sagtest Du nicht, dass, wenn das eine nicht geht, das andere genutzt werden soll? Zumindest für die Lehrer? Das wäre ein Failover.
Ansonsten musst Du nur in der Regel für die alternativen User eintragen, dass das Gateway nicht default, also * ist, sondern eben das von OPT2.
Und wenn Du Dir eine Gateway-Gruppe mit Failover zusammenbaust, dann trage die als GW für die Auserwählten ein und nicht OPT2.https://doc.pfsense.org/index.php/What_is_policy_routing (s.o.)
What is policy routing
Policy routing in pfSense refers to the capability of routing traffic by matching it to specific firewall rules. Each firewall rule allows selection of a gateway. …Ich habe immer noch nicht verstanden wie Du die Hosts aus der 172.16.0.0 Wolke in SuS und Andere unterteilst und ihnen unterschiedliche GWs, Nameserver etc. zuweist.
Da ich das ganze Gebilde noch nicht verstanden habe muss ich immer Stückwerk frickeln. :(Also per LDAP sind hier KLassen angelegt. Darin enthalten sind unsere stationären PC. Diese bekommen wie oben beschrieben die default Einstellungen per DHCP mit (DNS,GW, IP, Subnetzmaske usw.).
Für manche dieser Klassen oder auch Gruppen mit den darin enthaltenen Geräten der Kollegen habe ich eben andere DHCP-optionen gesetzt wie eben die option "router=172.16.0.99" . Das hat mit den zwei physiklalischen FWs sehr gut geklappt.Es ergibt sich dann evtl., dass Du gar kein zweites GW für die Kollegen brauchst sondern das über Regeln auf dem LAN zu den beiden GWs verteilen kannst. Mittels Policy-based-routing. Aber mir fehlt wie gesagt der Überblick und die Funktionen des OSS, außer dass es ein OSS ist. Was immer OSS ist (Open Source Software?) ;)
www.openschoolserver.net ein SLES basierter Schulserver mit vorkonfigurierten Programmen der auf den Schuleinsatz ausgelegt ist. Da sind wie schon mal beschrieben programme wie squid, eine autoinstallationsumgebung, webserver, anmeldeserver, ldapserver usw. drauf. Recht viel was man so halt in einer größeren Schule braucht.
EDIT ich habe mich eben noch mal an die FW begeben. Da ist das Kabel in igb1 (OPT1) drin, direkt neben igb0 (LAN) und beide scheinen mit 1Ggbit Up zu sein und blinken auch auf der anderen Statusled. Vom HP Switch, ein 5406 (von insgesamt 7, neben 10 anderen HP 2848) mit 3 Modulen ist das Kabel, was in OPT1 (igb1) reingeht mit der IP 172.16.0.99 versehen, im Switch in Modul C drin und dort in C2. Hier ist kein anders VLAN oder sonst eine sperre drauf, die darauf schliessen lassen könnte, das hier etwas blockiert wird. Vom Switch aus wollte ich die 172.16.0.99 pingen, was nicht geht (100%Packetloss)…..
-
WAN (wan) -> igb3 -> v4/DHCP4: IP-ADRESSE
LAN (lan) -> igb0 -> v4: 192.168.1.1/24
OPT1 (opt1) -> igb1 -> v4: 172.16.0.99**/32**
OPT2 (opt2) -> pppoe4 -> v4/PPPoE: IP-ADRESSE
OPT3 (opt3) -> pppoe5 ->das war jetzt leicht…
-
WAN (wan) -> igb3 -> v4/DHCP4: IP-ADRESSE
LAN (lan) -> igb0 -> v4: 192.168.1.1/24
OPT1 (opt1) -> igb1 -> v4: 172.16.0.99**/32**
OPT2 (opt2) -> pppoe4 -> v4/PPPoE: IP-ADRESSE
OPT3 (opt3) -> pppoe5 ->das war jetzt leicht…
Oh man, ja. Da sieht man manchmal den Wald vor lauter Bäumen nicht. Gleich geändert und schon kann ich den pingen…
Danke dir ! :)EDIT
aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht? -
aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?
Das ist nun auch nicht mehr schwierig:
Du hast bereits unter System: Routing: Gateways zwei Einträge (1x Kabel, 1x DSL)?
Hast Du bereits Regeln für OPT1 erstellt?
Trage dort (in jeder outbound-Regel) als Gateway nicht * ein sondern das OPT2 GW. Schon läuft der gesamte Traffic darüber. -
aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?
Das ist nun auch nicht mehr schwierig:
Du hast bereits unter System: Routing: Gateways zwei Einträge (1x Kabel, 1x DSL)?
Hast Du bereits Regeln für OPT1 erstellt?
Trage dort (in jeder outbound-Regel) als Gateway nicht * ein sondern das OPT2 GW. Schon läuft der gesamte Traffic darüber.Hi, zwar etwas mit zeitverzug, aber leider läuft das immer noch nicht. Meine Gateways sind grundsätzlich drin. In Firewall->Rules habe ich bei OPT1 das so eingestellt, dass das Ziel OPT2 Adress ist und das GW OPT2 ist. die Source ist "adress" 172.16.0.0/16. Siehe Anhang.
Siehst du auf Anhoeb, wo der Fehler sein könnte.
In Firewall-YNAT ist bei Outbound Hybrid Outbound NAT… eingestellt.
-
… dass das Ziel OPT2 Adress ist …
Die zweite Regel greift doch nur dann, wenn jemand zur PPPoE Adresse des Opt2 Interfaces surfen will.
Aber wer will das schon? :P
In die Destination muss ein * rein, den Rest macht der Gateway-Eintrag. -
… dass das Ziel OPT2 Adress ist …
Die zweite Regel greift doch nur dann, wenn jemand zur PPPoE Adresse des Opt2 Interfaces surfen will.
Aber wer will das schon? :P
In die Destination muss ein * rein, den Rest macht der Gateway-Eintrag.Sauber klappt.
Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen? -
Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen?
Scheint so, oder?
Ping nutzt als Protokoll ICMP, da würde ich mal schauen.