Auf 2 NIC WEBIF der PFsense ermöglichen



  • Hallo,
    ich brauhe hier die Möglichkeit, auf 2 NICs das Webinterface der PFsense zu haben.

    Hier habe ich beschrieben, wie das Netzwerk aktuell bei uns ist:

    WAN-KabelD–----IPFIRE--192.168.1.1--SERVER--172.16.0.0/16-----LAN---------
                                                                                                        |
                                                                                                      |172.16.0.99
                                                                                                    PFSENSE
                                                                                                      |
                                                                                                  2xDSL

    Nun ist es so, das die IPFIRE weg soll, und nur noch die neue HW-PFsense das erledigen soll. Einmal soll sie für den Server das zentrale Gateway sein und (fast) alles soll darüber laufen, zum Anderen sollen einige Clients aber als Gateway die jetzige PFsense mit der 172.16.0.99 haben und dort über die DSLler ins Netz.
    Die  neuen PF habe ich an OPT1 die 172.16.0.99 gegeben, und LAN soll dann die 192.168.1.1 werden.
    Kann die überhaupt an beiden Schnittstellen per WEBif verfügbar sein.
    Kann der Traffic dann so auch überhaupt über das eine Gerät laufen?
    Auf dem Server ist es z.Zt. ja so, das der über die 1.1 gehen soll, und per DHCP vom Server ist definiert, WER über die 172.16.0.99 gehen soll.
    Also entweder habe ich gerdae einen Knoten im Kopf und muss erst einmal darüber schlafen, oder irgendwas läuft hier komplett schief.
    Die 172.16.0.99 sollte doch zumindest jetzt schon da sein…. der ping geht ja (und die alte PF ist off)...
    Bis morgen....


  • Moderator

    Kann die überhaupt an beiden Schnittstellen per WEBif verfügbar sein.

    Das WebUI läuft per default überall. Wo es aufrufbar ist oder nicht entscheiden lediglich die entsprechenden Firewallregeln.

    Der Rest von deinem Netz ist allerdings ein wenig unverständlich, denn ich verstehe das 192.168.x und 127.16.x Konstrukt nicht, vor allem nicht warum am Server nochmal ein LAN hängen soll? Warum sind das nicht einfach schlicht 2 Interfaces auf der pfSense? Oder verstehe ich die Skizze falsch?

    Grüße



  • Hi, sorry das ich mich erst jetzt melde.
    Das habe ich mittlweile hinbekommen. Ich komme auf meine 192.er IP drauf.

    Weiter möchte ich gerne folgendes: wie sind hier eine Schule. Über den 192.er ipbereich geht im Prinzip der "normale" schulische Verkehr. Es wird am Server , der auch wiederrum als GW läuft, bestimmt, welche Seiten die SuS ansurfen dürfen und welche nicht. Dafür haben wir ja extra unseren Schulserver.
    Die andere IP, die 172.16.0.99 ist bei OPT1 eingetragen und soll als GW für die Kollegen dienen, die hier mit Ihren Privatgeräten kommen und surfen möchten. Das ist so auf unserem zentralen Server eingetragen, das für bestimmte dhcp-bereiche die option "router" auf 172.16.0.99 gesetzt ist.
    Dieses GW also, (OPT1 =172.16.0.99) soll dann auf den einen DSLer OPT2 weiterleiten. Natürlich mit FW regeln, squid usw.
    Wie kann ich das machen?



  • Du zäumst das Pferd von hinten auf!

    Wie kommen denn alle Rechner, also SuS und Lehrer, ins Netzwerk und bis zum Server - in den meisten Fällen sicherlich per WLAN, oder? Wird da schon (zB durch verschiedene SSIDs) unterteilt wer was ist und das Gerät in entsprechende Subnetze geleitet oder liegen die da alle noch zusammen in einem großen IP Bereich?



  • @jahonix:

    Du zäumst das Pferd von hinten auf!

    Wie kommen denn alle Rechner, also SuS und Lehrer, ins Netzwerk und bis zum Server - in den meisten Fällen sicherlich per WLAN, oder? Wird da schon (zB durch verschiedene SSIDs) unterteilt wer was ist und das Gerät in entsprechende Subnetze geleitet oder liegen die da alle noch zusammen in einem großen IP Bereich?

    Hi, jupp, da liegen alle zusammen in einem Bereich. Bisher gab es keine Probleme.
    Aber ins WLAN kommen mir erst nur die Kollegen. SuS sind leider aussen vor. So lang, bis ich für meine Hardware die updates bezahlen kann. Aber das ist ein anders Thema.

    Aber wie geschrieben, ich habe eine Schnittstelle "OPT1" und die soll den Traffic intern nach "OPT2" leiten, sozusagen als Gateway.
    Das GW OPT2 ist ja im Bereich System/Routing/Gateways drin, aber ich dachte ich stelle das dann bei Interfaces dem NIC dann ein?



  • Was ist das denn für ein Server (iServ?) und welche Funktionen hat er?
    Dein Routing erschließt sich mir noch nicht.

    Hosts via WLAN –---- |SERVER|

    ------ |LAN  pfSense  WAN| ------ 
      ------ |OPT      ?-?      OPT| ------

    ---Kabel
      ---DSL1
      ---DSL2

    Und nun bitte so verbinden, wie's später werden soll (aber nicht mit HB auf dem Bildschirm  ;-)))



  • @jahonix:

    Was ist das denn für ein Server (iServ?) und welche Funktionen hat er?
    Dein Routing erschließt sich mir noch nicht.

    Hosts via WLAN –---- |SERVER|

    ------ |LAN  pfSense  WAN| ------ 
      ------ |OPT      ?-?      OPT| ------

    ---Kabel
      ---DSL1
      ---DSL2

    Und nun bitte so verbinden, wie's später werden soll (aber nicht mit HB auf dem Bildschirm  ;-)))

    Hi , sorry das ich mich erst jetzt melde, war im Urlaub…
    Ne, das ist ein OSS.

    Hosts via WLAN ------ |SERVER|------
                                                          |
      ---------------------------------------
      |
      |------ |LAN  pfSense  WAN| ------  Kabel Deutschland
      |------ |OPT 1    pfSense    OPT2| ------ DSL1

    ---Kabel
      ---DSL1
      ---DSL2

    So ist es zur Zeit angeklemmt. Also das was bei OPT1 mit der IP 172.16.0.99 ankommt, soll dann auf den OPT2 gehen.
    Ist das so verständlich?
    Gruß Sebastian



  • Was meinst Du mit "soll dann auf den Opt2 gehen"?

    Und LAN sowie Opt1 willst Du jetzt nicht wirklich parallel legen, oder? …

    Was macht der "Server" zwischen WLAN und pfSense alles genau?



  • Ne, das ist auch nicht parallel. Nur der Server kann auf LAN zugreifen und OPT1 ist im Netzwerk verfügbar. Die WLAN-Geräte selber spielen erstmal keine Rolle, das könnten ja auch andere Geräte sein.
    Die Frage ist ja dann eher grundsätzlich, wie ich den Traffic von einem NIC zum anderen leiten kann.



  • @simpsonetti:

    Nur der Server kann auf LAN zugreifen und OPT1 ist im Netzwerk verfügbar.

    Du sprichst in Rätseln.
    Mache doch einfach eine Zeichnung, aus der hervorgeht, wie es einmal werden soll, ja?



  • @jahonix:

    @simpsonetti:

    Nur der Server kann auf LAN zugreifen und OPT1 ist im Netzwerk verfügbar.

    Du sprichst in Rätseln.
    Mache doch einfach eine Zeichnung, aus der hervorgeht, wie es einmal werden soll, ja?

    Ja, das stimmt. Im Nachgang schwer zu verstehen.
    Im Anhang ist eine mit DIA erstellte Zeichnung, die einen Teil des Netzwerks darstellt und wo die neue pfSense mit dem Server und einem modularen switch gezeigt wird.
    Ich hoffe das ist so nun verständlicher. Mein Ziel ist es, der Traffic, der auf 172.16.0.99 ankommt, soll zuerst auf den DSL1 (OPT2) laufen. Es gibt eigentlich noch den DSL2 (OPT3), aber der scheint z.Zt. "unkown" zu sein. Was da nun los ist weiß ich nicht. Ggf hat der Schulträger den gekündigt.
    Das wäre nun vorrangig mein anliegen.

    Mein weiteres Ziel ist es aber, den Traffic "dynamisch", also nach meinen Einstellungen laufen zu lassen. So haben wir zwar einen Kabel Deutschland Anschluss an "WAN", aber der ist nicht wirklich stabil. Und wenn dieser mal ausfallen sollte, würde ich ebenfalls gerne dann anders routen können.




  • Urgs, wie soll sich denn ein Host, der am Switch hängt, entscheiden
    a) von wo er per DHCP eine IP, Gateway und DNS Server bezieht (172.16.0.x oder 192.168.1.y)
    b) ob er links herum oder rechts herum routen soll
    c) und was macht dieser OSS Server, durch den der Verkehr zuerst durch muss (und warum).

    Eigentlich ist die Lösung ganz einfach:
    Du kreierst Dir eine Gatewaygruppe mit Failover.
    Zusätzlich kannst Du mit policy based routing pro Host bestimmen, durch welchen Anschluss der Verkehr nach außen läuft.

    https://doc.pfsense.org/index.php/What_about_using_multiple_WAN_connections
    https://doc.pfsense.org/index.php/Multi-WAN
    https://doc.pfsense.org/index.php/What_is_policy_routing

    Viel Erfolg!



  • @jahonix:

    Urgs, wie soll sich denn ein Host, der am Switch hängt, entscheiden
    a) von wo er per DHCP eine IP, Gateway und DNS Server bezieht (172.16.0.x oder 192.168.1.y)

    Grundsätzlich bekommt jeder die 0.2 als DNS und GW. Nur in einzelnen DHCP-Pools ist die 0.99 als GW eingetragen. DNS ist weiter die 0.2

    b) ob er links herum oder rechts herum routen soll

    Verstehe ich nicht? Aber sollte aus meiner Antwort oben heruas kommen.

    c) und was macht dieser OSS Server, durch den der Verkehr zuerst durch muss (und warum).

    Grundsätzlich alles, aber für uns wichtig, die Schüler in ihren klassen nur dann mit "Internet" (Proxy) zu versorgen, wenn es benötigt wird. Das funktioniert sogar sehr gut. Daran soll auch sich nichts ändern. Der andere Internetzugang ist für die Kollegen da, die mit ihren Geräten kommen. Die habe ich dann auf die 0.99 geschickt (mit damals den 2 FWs) und so sollte es auch wieder sein.
    Ich werde mir deine Links mal anschauen. Evtl kann ich ja daraus mir schon eine Lösung basteln.

    Danke Sebastian

    Eigentlich ist die Lösung ganz einfach:
    Du kreierst Dir eine Gatewaygruppe mit Failover.
    Zusätzlich kannst Du mit policy based routing pro Host bestimmen, durch welchen Anschluss der Verkehr nach außen läuft.

    https://doc.pfsense.org/index.php/What_about_using_multiple_WAN_connections
    https://doc.pfsense.org/index.php/Multi-WAN
    https://doc.pfsense.org/index.php/What_is_policy_routing

    Viel Erfolg!



  • Hi, also so ganz scheint das nicht zu klappen. So wie ich die Anleitung verstehe, geht es da um entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere, sondern Traffic, der an OPT1 ankommt, soll über den DSLer (OPT2) nach aussen geleitet werden.
    Das lese ich darauf nirgends?! Oder habe ich mich verlesen?



  • ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??



  • @simpsonetti:

    ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??

    jetzt kommst Du langsam dahin…

    Du hast einen Switch beschrieben, der sowohl an 172.16.0.2 als auch an 172.16.0.99 hängt, wobei die erste Verbindung ein Transit-Netzwerk hinter dem OSS Dings 192.168.1.0 hat.
    Welche IP und welches GW bekommen denn die Clients am Switch hängend und vor allem: von wem?

    Kannst Du das OPT1 Interface von pfSense aus pingen? Und den Switch?

    @simpsonetti:

    … entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere

    Sagtest Du nicht, dass, wenn das eine nicht geht, das andere genutzt werden soll? Zumindest für die Lehrer? Das wäre ein Failover.

    Ansonsten musst Du nur in der Regel für die alternativen User eintragen, dass das Gateway nicht default, also * ist, sondern eben das von OPT2.
    Und wenn Du Dir eine Gateway-Gruppe mit Failover zusammenbaust, dann trage die als GW für die Auserwählten ein und nicht OPT2.

    https://doc.pfsense.org/index.php/What_is_policy_routing (s.o.)
    What is policy routing
    Policy routing in pfSense refers to the capability of routing traffic by matching it to specific firewall rules. Each firewall rule allows selection of a gateway.  …

    Ich habe immer noch nicht verstanden wie Du die Hosts aus der 172.16.0.0 Wolke in SuS und Andere unterteilst und ihnen unterschiedliche GWs, Nameserver etc. zuweist.
    Da ich das ganze Gebilde noch nicht verstanden habe muss ich immer Stückwerk frickeln. :(

    Es ergibt sich dann evtl., dass Du gar kein zweites GW für die Kollegen brauchst sondern das über Regeln auf dem LAN zu den beiden GWs verteilen kannst. Mittels Policy-based-routing. Aber mir fehlt wie gesagt der Überblick und die Funktionen des OSS, außer dass es ein OSS ist. Was immer OSS ist (Open Source Software?)  ;)



  • @jahonix:

    @simpsonetti:

    ähmmmm, was mir eben gerade erst aufgefallen ist, das mein OPT1 mit der IP 172.16.0.99 nicht gepingt werden kann, obwohl das interface "up" ist??

    jetzt kommst Du langsam dahin…

    Du hast einen Switch beschrieben, der sowohl an 172.16.0.2 als auch an 172.16.0.99 hängt, wobei die erste Verbindung ein Transit-Netzwerk hinter dem OSS Dings 192.168.1.0 hat.
    Welche IP und welches GW bekommen denn die Clients am Switch hängend und vor allem: von wem?

    Also per Default ist eingestellt, das als dhcp-option für die pools gw und dns 172.16.0.2 ist. Für manche Pools habe ich das gw geändert auf eben 172.16.0.99.
    GW 172.16.0.2 nutzt für sich wiederum als GW die 192.168.1.1.

    Kannst Du das OPT1 Interface von pfSense aus pingen? Und den Switch?

    Von der pfSense aus kann ich OPT1 pingen, aber nicht den SW!? Hmm, das ist ja komisch. Da muss ich wohl noch mal schauen, warum das nicht möglich ist. Ich bin per ssh auf der pfSense drauf und auf der Übersichtsseite zeigt er mir:

    WAN (wan)      -> igb3      -> v4/DHCP4: IP-ADRESSE
    LAN (lan)      -> igb0      -> v4: 192.168.1.1/24
    OPT1 (opt1)    -> igb1      -> v4: 172.16.0.99/32
    OPT2 (opt2)    -> pppoe4    -> v4/PPPoE: IP-ADRESSE
    OPT3 (opt3)    -> pppoe5    ->

    Ich schaue noch mal ob OPT1 auch auf igb1 liegt (falls ich das irgendwie herausfinden kann).

    @simpsonetti:

    … entweder Load Balance, oder Failover. Ich brauche weder das eine, noch das andere

    Sagtest Du nicht, dass, wenn das eine nicht geht, das andere genutzt werden soll? Zumindest für die Lehrer? Das wäre ein Failover.

    Ansonsten musst Du nur in der Regel für die alternativen User eintragen, dass das Gateway nicht default, also * ist, sondern eben das von OPT2.
    Und wenn Du Dir eine Gateway-Gruppe mit Failover zusammenbaust, dann trage die als GW für die Auserwählten ein und nicht OPT2.

    https://doc.pfsense.org/index.php/What_is_policy_routing (s.o.)
    What is policy routing
    Policy routing in pfSense refers to the capability of routing traffic by matching it to specific firewall rules. Each firewall rule allows selection of a gateway.  …

    Ich habe immer noch nicht verstanden wie Du die Hosts aus der 172.16.0.0 Wolke in SuS und Andere unterteilst und ihnen unterschiedliche GWs, Nameserver etc. zuweist.
    Da ich das ganze Gebilde noch nicht verstanden habe muss ich immer Stückwerk frickeln. :(

    Also per LDAP sind hier KLassen angelegt. Darin enthalten sind unsere stationären PC. Diese bekommen wie oben beschrieben die default Einstellungen per DHCP mit (DNS,GW, IP, Subnetzmaske usw.).
    Für manche dieser Klassen oder auch Gruppen mit den darin enthaltenen Geräten der Kollegen habe ich eben andere DHCP-optionen gesetzt wie eben die option "router=172.16.0.99" . Das hat mit den zwei physiklalischen FWs sehr gut geklappt.

    Es ergibt sich dann evtl., dass Du gar kein zweites GW für die Kollegen brauchst sondern das über Regeln auf dem LAN zu den beiden GWs verteilen kannst. Mittels Policy-based-routing. Aber mir fehlt wie gesagt der Überblick und die Funktionen des OSS, außer dass es ein OSS ist. Was immer OSS ist (Open Source Software?)  ;)

    www.openschoolserver.net ein SLES basierter Schulserver mit vorkonfigurierten Programmen der auf den Schuleinsatz ausgelegt ist. Da sind wie schon mal beschrieben programme wie squid, eine autoinstallationsumgebung, webserver, anmeldeserver, ldapserver usw. drauf. Recht viel was man so halt in einer größeren Schule braucht.

    EDIT ich habe mich eben noch mal an die FW begeben. Da ist das Kabel in igb1 (OPT1) drin, direkt neben igb0 (LAN) und beide scheinen mit 1Ggbit Up zu sein und blinken auch auf der anderen Statusled. Vom HP Switch, ein 5406 (von insgesamt 7, neben 10 anderen HP 2848) mit 3 Modulen ist das Kabel, was in  OPT1 (igb1) reingeht mit der IP 172.16.0.99 versehen, im Switch in Modul C drin und dort in C2. Hier ist kein anders VLAN oder sonst eine sperre drauf, die darauf schliessen lassen könnte, das hier etwas blockiert wird. Vom Switch aus wollte ich die 172.16.0.99 pingen, was nicht geht (100%Packetloss)…..



  • @simpsonetti:

    WAN (wan)      -> igb3      -> v4/DHCP4: IP-ADRESSE
    LAN (lan)      -> igb0      -> v4: 192.168.1.1/24
    OPT1 (opt1)    -> igb1      -> v4: 172.16.0.99**/32**
    OPT2 (opt2)    -> pppoe4    -> v4/PPPoE: IP-ADRESSE
    OPT3 (opt3)    -> pppoe5    ->

    das war jetzt leicht…



  • @jahonix:

    @simpsonetti:

    WAN (wan)      -> igb3      -> v4/DHCP4: IP-ADRESSE
    LAN (lan)      -> igb0      -> v4: 192.168.1.1/24
    OPT1 (opt1)    -> igb1      -> v4: 172.16.0.99**/32**
    OPT2 (opt2)    -> pppoe4    -> v4/PPPoE: IP-ADRESSE
    OPT3 (opt3)    -> pppoe5    ->

    das war jetzt leicht…

    Oh man, ja. Da sieht man manchmal den Wald vor lauter Bäumen nicht. Gleich geändert und schon kann ich den pingen…
    Danke dir !  :)

    EDIT
    aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?



  • @simpsonetti:

    aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?

    Das ist nun auch nicht mehr schwierig:

    Du hast bereits unter  System: Routing: Gateways  zwei Einträge (1x Kabel, 1x DSL)?
    Hast Du bereits Regeln für OPT1 erstellt?
    Trage dort (in jeder outbound-Regel) als Gateway nicht * ein sondern das OPT2 GW. Schon läuft der gesamte Traffic darüber.



  • @jahonix:

    @simpsonetti:

    aber nun muss ich das mit der "policie based routing" routing geschichte machen, damit der Traffic von OPT1 nach OPT2 geht?

    Das ist nun auch nicht mehr schwierig:

    Du hast bereits unter  System: Routing: Gateways  zwei Einträge (1x Kabel, 1x DSL)?
    Hast Du bereits Regeln für OPT1 erstellt?
    Trage dort (in jeder outbound-Regel) als Gateway nicht * ein sondern das OPT2 GW. Schon läuft der gesamte Traffic darüber.

    Hi, zwar etwas mit zeitverzug, aber leider läuft das immer noch nicht. Meine Gateways sind grundsätzlich drin. In Firewall->Rules habe ich bei OPT1 das so eingestellt, dass das Ziel OPT2 Adress ist und das GW OPT2 ist. die Source ist "adress" 172.16.0.0/16. Siehe Anhang.
    Siehst du auf Anhoeb, wo der Fehler sein könnte.
    In Firewall-YNAT ist bei Outbound Hybrid Outbound NAT… eingestellt.




  • @simpsonetti:

    … dass das Ziel OPT2 Adress ist …

    Die zweite Regel greift doch nur dann, wenn jemand zur PPPoE Adresse des Opt2 Interfaces surfen will.
    Aber wer will das schon?  :P
    In die Destination muss ein * rein, den Rest macht der Gateway-Eintrag.



  • @jahonix:

    @simpsonetti:

    … dass das Ziel OPT2 Adress ist …

    Die zweite Regel greift doch nur dann, wenn jemand zur PPPoE Adresse des Opt2 Interfaces surfen will.
    Aber wer will das schon?  :P
    In die Destination muss ein * rein, den Rest macht der Gateway-Eintrag.

    Sauber klappt.
    Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen?



  • @simpsonetti:

    Ein Ping geht aber noch nicht raus. Da muss ich noch eine weitere Regel einbauen?

    Scheint so, oder?
    Ping nutzt als Protokoll ICMP, da würde ich mal schauen.