2 WAN - 2 LAN Gatewayrouting
-
Hallo, irgendwie stehe ich auf dem Schlauch...
Ich habe zwei interne Netzsegmente, von einem (A) greife ich auf das andere (B) zu. Bei B habe ich via FW-Regel den Zugriff auf A gesperrt. Weiterhin habe ich zwei WAN C+D, mit Loadbalance (=bei A und B jeweils Default), Failover oder direkt konfiguriert. Der Zugriff von A nach B funktioniert, falls bei beiden FW-Regeln als Gateway "Default" (display advanced) steht.
Weshalb kann ich von A nicht mehr auf B zugreifen, wenn in der FW-Regel von A ein anderes WAN (display advanced) zuordne (also nicht mehr "default")? Also B geht weiterhin via "Default" auf das Loadbalance ins WAN und A geht direkt auf ein WAN-Gateway ins WAN. Selbst wenn ich das aktuelle gewählte WAN-Gateway (welches gerade in Loadbalance gewählt ist) auch für A auswähle, erhalte ich keine Zugriff auf B (von A aus).
so ist der Aufbau in etwa:
WAN WAN : : : CableProvider : DSL-Provider : : .---+---. .--+--. WAN | Cable | Modems | DSL | WAN2 '---+---' '--+--' | | FIX-IP C | | FIX-IP D | .---------. | +------| pfSense |------+ '---+--+--' | | LAN-A | | LAN-B | | -
Über deiner Policy Routing Regel im Netz A eine Regel anlegen für den Zugriff auf B und Gateway auf Default stehen lassen.
-Rico
-
@rico Vielen Dank für Rückmeldung;
LAN A ist bei mir igb0; und dieses Interface möchte ich bewußt über ein von mir festgelegtes WAN "senden lassen" und trotzdem soll der Zugriff von A nach B (igb3) gehen.
Bei "default" in beiden Interfaces A und B funktioniert der Zugriff - auch ohne Policy Regel, da ich alle Interface gegen die anderen per Regel mit Ausnahmen abschotte bzw. spezifisch öffne. Prinzip "erst alles zu dann spezifisch auf".
-
@hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:
Weshalb kann ich von A nicht mehr auf B zugreifen, wenn in der FW-Regel von A ein anderes WAN (display advanced) zuordne (also nicht mehr "default")?
Weil mit der Festlegung eines Gateways in der Regel Policy based Routing aktiviert wird, was bedeutet, dass der Traffic, auf dem die Regel zutrifft, gezielt auf das gewählte Gateway geroutet wird. Und dieses hat vermutlich keine Route in dein internes Netz, weswegen der Zugriff fehlschlägt.
@hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:
LAN A ist bei mir igb0; und dieses Interface möchte ich bewußt über ein von mir festgelegtes WAN "senden lassen" und trotzdem soll der Zugriff von A nach B (igb3) gehen.
Kannst du ja machen. Aber du musst die Regeln für internen und externen Traffic einfach trennen und bei denen, die den internen erlauben, "Default" als Gateway setzen.
Wenn du also am LAN A eine Regel setzt mit B als Ziel, trifft diese Regel ja nur auf Traffic von A nach B zu und erlaubt nichts anderes. In dieser Regel ist das Gateway auf "Default" zu setzen.
Unterhalb dieser fügst du eine weitere Regel hinzu, die "any" als Ziel hat und setzt das Gateway auf das gewünschte für den ausgehenden Traffic. -
@viragomann
ja, danke -- das war die Lösung. Hatte bisher keine "positiv"-Regeln innerhalb der eigenen Netzwerksegmente - sondern nur immer "block" und spezifisch "pass".... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen (immer "Any" von Anet nach Bnet, nach Enet und nach Fnet jeweils mit Gateway "default") sowei am Ende "default allow LAN to any rule" mit dem spezifischen Gateway WAN.
Danke nochmals für die Hilfe.
-
Genau das Selbe hatte ich doch auch schon geschrieben.
@hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:
... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen
Du kannst einen RFC1918 Alias anlegen der alle privaten Netzbereiche enthält und den dann in der Firewall Regel als Destination benutzen.
-Rico
