Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Rules für Routing funktioniert nicht

    Scheduled Pinned Locked Moved Deutsch
    14 Posts 4 Posters 1.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      viragomann @Syosse
      last edited by

      @Syosse said in Rules für Routing funktioniert nicht:

      Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen.

      D.h. genau erstmal, das Zielgerät antwortet nicht.
      Dafür fallen mir 2 mögliche Ursachen ein:

      • das Zielgerät blockiert Pings (und vermutlich auch andere Netzwerkzugriffe) aus vermutlich jedem als dem anderen als dem eigenen Subnetz. Das ist Standardeinstellung auf den Systemfirewalls.
      • das Zielgerät verwendet ein anderes Gateway als die pfSense.
      1 Reply Last reply Reply Quote 0
      • S
        Syosse
        last edited by Syosse

        Der PC hatt das Gateway 10.10.10.1 (die gleiche Pfsense)
        Die Vmware hatt das Gateway 10.10.20.1 (die gleiche Pfsense)

        Und bei beiden interfaces VLAN20 und VLAN10 ist source und destination auf any eingestellt.

        Beim Ping habe ich den Rule noch eingetragen:

        5f3d2b4b-1293-464d-ada2-f04ba7db7a2a-grafik.png

        Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?

        1 Reply Last reply Reply Quote 0
        • V
          viragomann
          last edited by

          Wie gesagt, für das in #3 genannte Phänomen gibt es fast nur die in #4 genannten Erklärungen. Wenn die zweite nicht zutrifft, überprüfe die erste.
          Eine weitere Möglichkeit wäre noch, dass es durch eine Floating Rule auf Outbound Traffic auf der pfSense blockiert würde. Ich nehme aber nicht an, dass du eine derartige Regel gesetzt hast.

          @Syosse said in Rules für Routing funktioniert nicht:

          Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?

          Ich lege mir für solche Zwecke einen RFC1918 Alias an, dem ich eben sämtliche RFC1918 Netze hinzufüge.
          In der Pass-Regel am Interface verwende ich diesen als Ziel zusammen mit "invert" angehakt (negiert das Ziel).
          Das bewirkt dann, dass Sämtliches erlaubt ist, was nicht RFC1918 Netze als Ziel hat.
          Voraussetzung ist natürlich, dass du ausschließlich RFC1918 Netze intern verwendest. Alles andere wäre ohnehin Blödsinn.
          Diese Regel passt auch dann noch, wenn du Netzwerke hinzufügst oder welche änderst.

          Alternativ kannst du auch eine Block-Regel mit Ziel RFC1918 erstellen und hinterher dann alles oder nur bestimmtes erlauben.

          Aber wie in meinem ersten Post bereits hingewiesen, du musst den DNS-Zugriff auf die pfSense noch in einer zusätzlichen Regel erlauben, sonst können deine Clients keine Namen auflösen, was ein ähnliches Fehlerbild ergibt, eben dass einfach nichts geht.
          Ich mache das meist mit einer Floating-Rule, weil ich (faul bin) diese gleich für mehrere Interfaces aktivieren kann.

          S 1 Reply Last reply Reply Quote 0
          • S
            Syosse @viragomann
            last edited by Syosse

            @viragomann

            So, ich habe nun eine Regel erstellt für DNS :

            d18f6901-9731-4b1a-8ae8-8edaed66bd7e-grafik.png

            62ec8b61-ec1d-4d10-86b4-c62bee85c711-grafik.png

            Sowie ein Alias mit dem RFC1918 Inhalt:

            59131aeb-c4ca-4635-aca4-e24a08127714-grafik.png

            Funktioniert einwandfrei:) Ich kann nun vom VLAN70 Netz nicht mehr in die andere Netze zugreifen sondern nur noch ins Internet. Umgekehrt kann ich aber z.B vom VLAN10 Netz auf die VLAN70 Netz zugreifen.

            Genau so wie ich es wollte, das mit dem Pingen schau ich mir dann noch wieso das nicht klappt, an beiden Geräten ist die Firewall ausgeschaltet sowie eine Regel erstellt für ICMP.

            Hier ist noch der Auszug vom Wireshark:

            589c758a-eea4-47c8-af67-2e632b7839d3-grafik.png

            Herzlichen Dank!

            Gruss

            V JeGrJ 2 Replies Last reply Reply Quote 0
            • Bob.DigB
              Bob.Dig LAYER 8
              last edited by Bob.Dig

              So sähe das bei mir aus, als mögliche Inspiration für deine Konsultation. 😉

              fw.JPG

              1 Reply Last reply Reply Quote 0
              • V
                viragomann @Syosse
                last edited by

                @Syosse
                Das 10.0.0.0er Netz sollte "/8" als Maske haben.

                Ein falsch konfiguriertes Netzwerkinterface auf einer Seite käme auch noch für das Ping Problem in Frage.
                Wenn du das Packet Capture Tool der pfSense zur Analyse einsetzt, und du siehst da die Request-Pakete rausgehen aber keine Antworten, dann antwortet das Gerät eben nicht, jedenfalls nicht Richtung pfSense, da gibt es sonst nichts.
                Wenn die pfSense das Standardgateway auf dem Gerät ist und die Netzwerkinterfaces richtig konfiguriert sind, müssen die Response-Pakete zur pfSense zurückkommen, ausgenommen der Request kam von einem anderen Gerät aus dem eigenen Subnetz.

                Grüße

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator @Syosse
                  last edited by

                  @Syosse said in Rules für Routing funktioniert nicht:

                  Hier ist noch der Auszug vom Wireshark:

                  Ich sehe nur einen Ping im Bild und der ging an die 8.8.8.8 und kam zurück?

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  V 1 Reply Last reply Reply Quote 0
                  • V
                    viragomann @JeGr
                    last edited by

                    @JeGr
                    Das Problem hatten wir weiter oben diskutiert: https://forum.netgate.com/topic/157091/rules-f%C3%BCr-routing-funktioniert-nicht/3?_=1601037194518

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Ich dachte das war der Grund für den Wireshark Auszug. Aber OK :)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      V 1 Reply Last reply Reply Quote 0
                      • V
                        viragomann @JeGr
                        last edited by

                        @JeGr said in Rules für Routing funktioniert nicht:

                        Ich dachte das war der Grund für den Wireshark Auszug.

                        Mir erging es ebenso. 😉

                        1 Reply Last reply Reply Quote 0
                        • S
                          Syosse
                          last edited by

                          @Bob-Dig

                          Vielen Dank für die Info:)

                          @viragomann

                          Netz habe ich soeben geändert auf /8. Ich werde das nacher nochmal tracern und so versuchen.

                          @JeGr

                          Ops, mein fehler habe ich wohl das falsche Bild hochgeladen, hab den überblick verloren von den ganzen Printscreens xD.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.