Rules für Routing funktioniert nicht
-
Der PC hatt das Gateway 10.10.10.1 (die gleiche Pfsense)
Die Vmware hatt das Gateway 10.10.20.1 (die gleiche Pfsense)Und bei beiden interfaces VLAN20 und VLAN10 ist source und destination auf any eingestellt.
Beim Ping habe ich den Rule noch eingetragen:
Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?
-
Wie gesagt, für das in #3 genannte Phänomen gibt es fast nur die in #4 genannten Erklärungen. Wenn die zweite nicht zutrifft, überprüfe die erste.
Eine weitere Möglichkeit wäre noch, dass es durch eine Floating Rule auf Outbound Traffic auf der pfSense blockiert würde. Ich nehme aber nicht an, dass du eine derartige Regel gesetzt hast.@Syosse said in Rules für Routing funktioniert nicht:
Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?
Ich lege mir für solche Zwecke einen RFC1918 Alias an, dem ich eben sämtliche RFC1918 Netze hinzufüge.
In der Pass-Regel am Interface verwende ich diesen als Ziel zusammen mit "invert" angehakt (negiert das Ziel).
Das bewirkt dann, dass Sämtliches erlaubt ist, was nicht RFC1918 Netze als Ziel hat.
Voraussetzung ist natürlich, dass du ausschließlich RFC1918 Netze intern verwendest. Alles andere wäre ohnehin Blödsinn.
Diese Regel passt auch dann noch, wenn du Netzwerke hinzufügst oder welche änderst.Alternativ kannst du auch eine Block-Regel mit Ziel RFC1918 erstellen und hinterher dann alles oder nur bestimmtes erlauben.
Aber wie in meinem ersten Post bereits hingewiesen, du musst den DNS-Zugriff auf die pfSense noch in einer zusätzlichen Regel erlauben, sonst können deine Clients keine Namen auflösen, was ein ähnliches Fehlerbild ergibt, eben dass einfach nichts geht.
Ich mache das meist mit einer Floating-Rule, weil ich (faul bin) diese gleich für mehrere Interfaces aktivieren kann. -
So, ich habe nun eine Regel erstellt für DNS :
Sowie ein Alias mit dem RFC1918 Inhalt:
Funktioniert einwandfrei:) Ich kann nun vom VLAN70 Netz nicht mehr in die andere Netze zugreifen sondern nur noch ins Internet. Umgekehrt kann ich aber z.B vom VLAN10 Netz auf die VLAN70 Netz zugreifen.
Genau so wie ich es wollte, das mit dem Pingen schau ich mir dann noch wieso das nicht klappt, an beiden Geräten ist die Firewall ausgeschaltet sowie eine Regel erstellt für ICMP.
Hier ist noch der Auszug vom Wireshark:
Herzlichen Dank!
Gruss
-
So sähe das bei mir aus, als mögliche Inspiration für deine Konsultation.
-
@Syosse
Das 10.0.0.0er Netz sollte "/8" als Maske haben.Ein falsch konfiguriertes Netzwerkinterface auf einer Seite käme auch noch für das Ping Problem in Frage.
Wenn du das Packet Capture Tool der pfSense zur Analyse einsetzt, und du siehst da die Request-Pakete rausgehen aber keine Antworten, dann antwortet das Gerät eben nicht, jedenfalls nicht Richtung pfSense, da gibt es sonst nichts.
Wenn die pfSense das Standardgateway auf dem Gerät ist und die Netzwerkinterfaces richtig konfiguriert sind, müssen die Response-Pakete zur pfSense zurückkommen, ausgenommen der Request kam von einem anderen Gerät aus dem eigenen Subnetz.Grüße
-
@Syosse said in Rules für Routing funktioniert nicht:
Hier ist noch der Auszug vom Wireshark:
Ich sehe nur einen Ping im Bild und der ging an die 8.8.8.8 und kam zurück?
-
@JeGr
Das Problem hatten wir weiter oben diskutiert: https://forum.netgate.com/topic/157091/rules-f%C3%BCr-routing-funktioniert-nicht/3?_=1601037194518 -
Ich dachte das war der Grund für den Wireshark Auszug. Aber OK :)
-
@JeGr said in Rules für Routing funktioniert nicht:
Ich dachte das war der Grund für den Wireshark Auszug.
Mir erging es ebenso.
-
Vielen Dank für die Info:)
Netz habe ich soeben geändert auf /8. Ich werde das nacher nochmal tracern und so versuchen.
Ops, mein fehler habe ich wohl das falsche Bild hochgeladen, hab den überblick verloren von den ganzen Printscreens xD.
