Zwei lokale Netze über ein CARP-IF
-
Hi,
ich habe hier ein zweites lokales Netz hinter meiner pfSense-HA-Lösung dazu bekommen.
Das soll 1:1 wie das bisherige funktioneren/genutzt werden.Ich habe jetzt "einfach" auf das CARP-IF fürs lokale Netz eine virtuelle IP für das zweite Netz konfiguriert und ein, zwei FW-Rules dazu gebaut.
Generell scheint auch alles zu klappen - inkl. Fallbackszenarien.Trotzdem die Frage, ob das die "state of the art" Lösung für die Problemstellung ist, oder ob man das anders/besser machen kann?
Und: Wenn das die Lösung ist, wo muss ich dieses Netz wirklich eintragen? Brauche ich überhaupt FW-Rules, wenn ich überall die <carp>.address verwende (könnte ich auch testen, aber wie immer musste es schnell gehen)?Danke schon mal.
Ciao.
Michael.</carp> -
Hallo,
heißt das, du hast auf einem Netzwerk-Interface nun 2 separate Subnetze konfiguriert?
-
Ich habe zwei Netze - 192.168.1.0/24 und 192.168.129.0/24.
Die beiden pfSensen haben auf dem LAN-IF die 192.168.1.102 und .203, das CARP-IF hat die IP 192.168.1.1.
Und auf diese CARP-IF habe ich nun noch eine virtuelle IP 192.168.129.5 konfiguriert.Die internen Rechner aus dem jewieligen Netz haben dann entweder die 1.1 oder die 129.5 Adresse als Default Gateway.
-
Zwei Netze auf demselben Interface ist von Grund her nicht ganz optimal, also nicht "state of the art". Besser wäre es, die beiden Netze als vLANs einzurichten, wenn nur eine Schnittstelle dafür auf der pfSense zur Verfügung steht und die Netze auf einem Switch zu separieren, aber ja, für Verbindungen ins Internet sollte es auch so funktionieren.
Die IP des zusätzlichen Netzes als IP Alias mit der entsprechenden Subnetzmaske auf die CARP-IP setzen.Zusätzlich wirst du auch noch eine Outbound NAT Regel für dieses Netz benötigen, damit die Geräte Verbindungen ins Internet herstellen können.
-
Ich bin mir bei den pfSensen nicht ganz sicher, wie das behandelt wird.
Bei unserem vorherigen Linux-Gateway habe ich ein eth0:1 mit der zweiten IP angelegt. Das war kein Problem.
Bei pfSense, das ja auf BSD basiert, wird die IP direkt auf das Interface gelegt, also ohne ein :1 Interface anzulegen.
Ist das intern denoch dasselbe? Wenn ja, wäre es für meinen Anwendungsfall ok, auch wenn es nicht "state of the art" ist.Wie meinst du das mit dem Switch? Vor den pfSensen steht schon ein großer Switch, aber ich hab ja trotzdem nur ein Interface zur Verfügung.
Damit kann ich aus dem Switch ja auch nur eine Verbindung zu den pfSensen legen - also sowas wie Trunks am Switch würde da ja nicht helfen. -
Die zusätzliche IP Alias + Maske auf der pfSense ist im Grunde dasselbe.
Du hast so auf dem pfSense Interface zwei Netze. Ein Routen oder filtern ist so natürlich nicht möglich. Internetverbindungen sollten kein Problem sein, ich weiß aber jetzt nicht, ob du von einem Netz auf das andere kommst. Und wenn, dann eben ungefiltert.
Wenn das für deinen Anwendungszweck in Ordnung ist, ist das auch die Lösung für dich.Trunk? Ja, natürlich. Wenn dein Switch vLAN-fähig ist, kannst du ihn entsprechend konfigurieren, so dass zwischen diesem und dem pfSense Interface der Trunk liegt, über das beide vLANs getaggt laufen, die pfSense hätte für jedes ein virtuelles Interface und könnte so den Verkehr zwischen den beiden Netzen filtern.
-
Alles klar.
Danke für deine Antowrten!