Traffic zwischen 2 LAN Devices

gtrdriver

Hallo

ich habe hier ne pfsense installation mit 2x Wan und 2xLAN (Wan2 ist derzeit deaktiviert)

Lan1: 192.168.10.x
Lan2: 192.168.40.x

Problem: ich komm von Lan1 nicht auf Lan2 und umgekehrt....

Hardware technisch funktioniert aber alles denn zum einen kann ich von pfsense aus Geräte in Lan1 und Lan2 Pingen:
0_1543313040646_ba4a3e41-8976-4b22-9fa1-9fde0dd168ed-image.png
0_1543313065240_3525d2fa-60ae-431f-8fb5-fe196998d86d-image.png

Weiterhin komme ich über OpenVPN (auf dem pfsense läuft ein OpenVPN Server auf beide LAN Netze drauf:

z.B:
0_1543313160449_c2ed2a82-1e0a-4bbe-b018-a344caa40aaf-image.png

(In den OpenVPN Client einstellungen ist hinterlegt dass über diesen OpenVPN Tunnel beide Subnetze zu erreichen sind.

Aber ich komme ums verrecken weder lokal von einem an LAN1 angeschlossenen Client auf Lan2 und umgekehrt.

Für Lan2 habe ich diese Regel erstellt:

0_1543313263422_1aa19e19-6f8a-4f95-a23c-f6b352f66c19-image.png

Für Lan1 ist diese Regel nur angepasst worden:

0_1543313289712_af01022f-74d5-4a03-a83f-3450ae1b102d-image.png

Beispiel Linux Client an Lan1:

0_1543313357862_94502503-7c95-4cd0-a3c9-c2be15393f9c-image.png

Oder WIN Client an Lan1:
0_1543313389464_7ed874a8-eef8-4075-967d-0bf535301a9e-image.png

Ich blick aktuell nicht mehr durch was hier noch falsch sein könnte ...

Hatte auch in einer Virtualisierten PFSENSE Umgebung sowas schon gemacht ohne Probleme - diese PFSENSE ist Bare Metal...

CU
GTR

gtrdriver

Update:

Ich habe gerade festgestellt dass das ganze doch funktioniert - aber nur in eine Richtung und zwar von LAN2 nach LAN1:

0_1543318273509_7da659db-449b-4a1d-bd45-69de09e9cc97-image.png

Vom Client 192.168.10.237 aus jedoch in Richtung 192.168.40.24 jedoch nicht:
0_1543318324194_dd63e42d-53d0-404e-86af-f0492d89692c-image.png

Ich hoffe jemand hat eine Idee woran das liegen kann ?!?

viragomann

Hi,

okay, dass LAN1 > LAN2 nicht funktioniert ist mir klar, umgekehrt hätte ich keinen Fehler gesehen.

Du darfst in der Firewall Regel kein externes Gateway angeben. Damit erlaubst du nur Traffic über dieses.

Grüße

gtrdriver

Hi

ok - danke - das scheint es gewesen zu sein ...

Wie spezifiziere ich dann bei mehreren WAN´s über welches GW er dann raus gehen soll ?

jma791187

@gtrdriver HI,
Du brauchst einfach nur zwei Regeln.
Eine für die Verbindung auf das andere LAN (ohne Gateway) und eine zweite für die Verbindung nach draußen.
Viele Grüße,
Jörg

viragomann

Du möchtest also, dass LAN1 nur über ein bestimmtes Gateway rausgeht.
Dann brauchst du das Gateway in der Regel und muss eine zusätzliche Regel für den internen Zugriff (Source = LAN1 net, dest. = LAN2 net) einrichten und diese oberhalb positionieren.

Möglicherweise benötigt LAN1 auch Zugriff auf die pfSense selbst (Bsp. DNS), dann ist auch dafür eine Regel erforderlich, oder du fügst alle Ziele zu eine Alias hinzu und verwendest diesen.

gtrdriver

Hallo

Perfekt - vielen Dank - das hat genau so geklappt

2 Regeln pro Interface ...