Wie komme ich zum Ziel?
-
Suche einen Weg um von einem LAN-Interface (an der pfSense) auf einen EIB-Server zu kommen, der wiederum an einer FB hängt und diese FB hängt an OPT3 der pfSense.
Auf der FB (xx.2.10) läuft ein dhcp-Server. Schalte ich OPT3 auf dhcp dann erreiche ich den EIB-Server (x.2.106);
Welche Alternative gibt es, wenn ich OPT3 (xx.2.200) auf Static (im IP-Segment der FB) setze?
Gruss hsrtreml
-
Wozu hängt den die fb zwischen pfsense und Server an opt3?
Oder ist opt3 das WAN? -
Wozu hängt den die fb zwischen pfsense und Server an opt3?
Oder ist opt3 das WAN?Die fb spannt ein separates Netz auf und hat einen eigenen WAN-Zugang.
-
Hi,
auf der pfSense eine Route erstellen, Gateway WAN-Fritte, Firewallregeln nicht vergessen.
Portforwarding auf der Fritte, Destination Server.
Gruß orcape -
Hi,
auf der pfSense eine Route erstellen, Gateway WAN-Fritte, Firewallregeln nicht vergessen.
Portforwarding auf der Fritte, Destination Server.
Gruß orcapeDanke, werde ich gleich testen…
-
Try and Error - leider habe ich noch nicht die Lösung.
Auf der FB (192.168.10.2x) habe ich die Portweiterleitung (TCP 4504 und UDP 3702) auf den EIB-Server (192.168.10.1xx) definiert.
Auf der PF zunächst dem OPT3 die IP 192.168.22.1x/24 zugeordnet (ist physisch mit FB verbunden).
Weiterhin auf PF:- ein Gateway "EIB" eingerichtet mit Interface OPT3 (22.1x), Gateway FB (10.2x)
- eine Static Route mit Destination Network FB (192.168.10.2x/24) und Gateway "EIB" (192.168.22.1x)
- eine Firewall Rule auf LAN IP4 TCP/UDP Source LAN; Port *; Destination OPT3; Port *; Gateway *
… geht aber nicht? Was ist daran falsch?
LG hsrteml
-
Mach mal bitte eine kleine Zeichnung mit IP-Belegung der Interfaces und der Hardware. Ist alles etwas "diffus" kommentiert…. ;) ...Zumindest für jemand der da nicht vor Ort ist.
Gruß orcape -
Hier die Zeichnung, wie bereits geschrieben, wenn ich OPT3 auf dhcp von FB stelle, funktioniert es…
WAN / Internet
:
: Cable-Provider Unity
|
WAN | FIX-IP
|
.-----+-----. LAN (dhcp).------------.
| pfSense +---------------+ Switch |---WLAN-AP: App mit TCP/UDP 4504/3702
| | .0.0/24 '------------'
| | Rules: IP4 TCP/UDP Source LAN; Port 4504/3702; Destination OPT3; Port ; Gateway *
| |
| (SG- |
| 4860U | OPT1 CP1 .------------.
| +----------------+ Switch |
| | .11.0/24 '------------'
| |
| | OPT2 CP2 .------------.
| +---------------+ Switch |
| | .12.0/24 '------------'
'-----+-----'
|
OPT3 | .22.1/24; Rules: IP4 Source OPT3; Port *; Destination *; Port *; Gateway *
|
|
LAN-2
|
.-----+------.
| FB .2.10 |
| .2.0/24 | WAN-DSL
| +----------------1u1
| | dhcp
| |
| PortForw | LAN-1 .------------------------------------------.
| TCP/UDP +----------------+ EIB-Server mit TCP 4504/ UDP 3702 |
| | .2.107 '------------------------------------------'
'-------------'sowie
Auf der PF zunächst dem OPT3 die IP .22.1/24 zugeordnet (ist physisch mit FB verbunden).
Weiterhin auf PF:
- ein Gateway "EIB" eingerichtet mit Interface OPT3 (.22.1), Gateway FB (.10.2)
- eine Static Route mit Destination Network FB (x.10.2/24) und Gateway "EIB" (x.22.1)
- eine Firewall Rule auf LAN IP4 TCP/UDP Source LAN; Port 4504/3702; Destination OPT3; Port *; Gateway *
-
Hier die Zeichnung, wie bereits geschrieben, wenn ich OPT3 auf dhcp von FB stelle, funktioniert es…
Und welche IP bekommt OPT3 dann? Vermutlich eine aus dem x.x.2.0/24er Netz.
Mit deiner manuellen Konfiguration sind ja die pfSense-OPT3 und FB-LAN2 nicht im selben Netz und wollen so auch nicht miteineander kommunizieren.Also gib OPT3 eine IP im x.x.2.0/24er Netz und als Gateway für den EIB muss die LAN2 IP der FB angegeben werden, nicht die eigene Schnittstellen-IP der pfSense.
-
Hier die Zeichnung, wie bereits geschrieben, wenn ich OPT3 auf dhcp von FB stelle, funktioniert es…
Und welche IP bekommt OPT3 dann? Vermutlich eine aus dem x.x.2.0/24er Netz.
Mit deiner manuellen Konfiguration sind ja die pfSense-OPT3 und FB-LAN2 nicht im selben Netz und wollen so auch nicht miteineander kommunizieren.Also gib OPT3 eine IP im x.x.2.0/24er Netz und als Gateway für den EIB muss die LAN2 IP der FB angegeben werden, nicht die eigene Schnittstellen-IP der pfSense.
So hatte ich es ursprünglich! Mit dem Hinweis, ich muss eine "static Route" definieren, habe ich die OPT3-IP geändert.
Jetzt habe ich im OPT3-Interface als Gateway die FB-IP eingetragen und keine Routing mehr definiert. Richtig? -
Das ist zwar nicht richtig, könnte aber auch funktionieren.
Das Gateway Feld in der Interface-Konfig ist für ein Upstream-Gateway gedacht, das steht auch dort und die FB ist kein Upstream-GW, jedenfalls willst du sie nicht als solches nutzen.Was anderes: Nach deiner bisherigen Beschreibung sind das LAN2 und das LAN1 Interface der FB im gleichen Netz, müssten also gebrückt sein. Demnach ist der EIB auch im gleichen Netz wie das OPT3 der pfSense.
Ist das tatsächlich so?
Habe Zweifel, denn dann müsste der Zugriff ohnehin problemlos funktionieren, ohne Route.
Wenn nicht, gib bitte die tatsächlichen Netze und IPs richtig an. -
Aktueller Stand ist nun:
WAN / Internet
:
: Cable-Provider Unity
|
WAN | FIX-IP
|
.–---+-----. LAN (dhcp).------------.
| pfSense +---------------+ Switch |---WLAN-AP: App mit TCP/UDP 4504/3702
| | .0.0/24 '------------'
| | Rules: IP4 TCP/UDP Source LAN; Port 4504/3702; Destination OPT3; Port ; Gateway *
| |
| (SG- |
| 4860U | OPT1 CP1 .------------.
| +----------------+ Switch |
| | .11.0/24 '------------'
| |
| | OPT2 CP2 .------------.
| +---------------+ Switch |
| | .12.0/24 '------------'
'-----+-----'
|
OPT3 | .2.200/24; Rules: IP4 Source OPT3; Port *; Destination *; Port *; Gateway *
|
|
LAN-2
|
.-----+------.
| FB .2.10 |
| .2.0/24 | WAN-DSL
| +----------------1u1
| | dhcp
| |
| PortForw | LAN-1 .------------------------------------------.
| TCP/UDP +----------------+ EIB-Server mit TCP 4504/ UDP 3702 |
| | .2.107 '------------------------------------------'
'-------------'
in der FB sind LAN1 und LAN2 im "switch"-modesowie
auf der PF zunächst dem OPT3 die IP .2.200/24 zugeordnet (ist physisch mit FB verbunden).
Weiterhin auf PF:
- eine Firewall Rule auf LAN IP4 TCP/UDP Source LAN; Port 4504/3702; Destination OPT3; Port *; Gateway *
ERGEBNIS: Keine Verbindung!
Will als nächsten Schritt WLAN-AP in OPT3 aufbauen und dann von OPT3 aus testen…
-
Hi,
Rules: IP4 TCP/UDP Source LAN; Port 4504/3702; Destination OPT3; Port *; Gateway *
die Rule scheint falsch zu sein.
Rules: IP4 TCP/UDP Source LAN;Port * ; Destination OPT3; Port 4504/3702; Gateway *Normalerweise ist der Source-Port doch unbekannt und der Dest. Port bekannt
Gruß
pfadmin -
Danke zunächst für den Hinweis; habe mir nochmals die Konfig der FB angesehen:
WAN / Internet
:
: Cable-Provider Unity
|
WAN | FIX-IP
|
.–---+-----. LAN (dhcp).------------.
| pfSense +---------------+ Switch |---WLAN-AP: App mit TCP/UDP 4504/3702
| | .0.0/24 '------------'
| | Rules: IP4 * Source LAN; Port *; Destination OPT3; Port ; Gateway *
| |
| (SG- |
| 4860U | OPT1 CP1 .------------.
| +----------------+ Switch |
| | .11.0/24 '------------'
| |
| | OPT2 CP2 .------------.
| +---------------+ Switch |
| | .12.0/24 '------------'
'-----+-----'
|
OPT3 | .2.200/24; Rules: IP4 Source OPT3; Port *; Destination *; Port *; Gateway *
|
|
.------+------. .-----------------------------------------------.
| Switch +---------------------+ EIB-Server mit TCP 4504/ UDP 3702 |
'------+------' '-----------------------------------------------
| .2.107
LAN-1
|
.-----+------.
| FB .2.10 |
| .2.0/24 | WAN-DSL
| +----------------1u1
| | dhcp
| |
| PortForw |
| TCP/UDP |
| |
'--------------'Rules:
LAN: *; *; *; LAN-Adress; "Port von pfsense" "80"; *; * "anti lockout rule
LAN: IP4 * Source LAN; Port *; Destination OPT3; Port *; Gateway *OPT3: IP4* Source OPT3; Port *; Destination *; Port *; Gateway *
Mit den o.g. Regeln auf LAN und OPT3 müsste ich doch auf die FB (.2.10) kommen? Ping geht - Web-Interface der FB nicht!!
Wenn ich im OPT3-Interface dhcp einschalte habe ich vollen Zugriff und EIB-App geht auch!!…
-
Die FB kennt dein LAN Netz nicht und schickt die Antwort zum WAN 1u1 raus. -> Route eintragen
dhcp am OPT3 sollte nichts damit zu tun haben. Vermutlich macht es nur etwas richtig, was du händisch falsch machst…
Source und Dest OPT3 bzw. LAN sollte "OPT3 net" bzw "LAN net"sein, vermutlich ist es das auch.
Gruß
pfadmin -
Die FB kennt dein LAN Netz nicht und schickt die Antwort zum WAN 1u1 raus. -> Route eintragen
dhcp am OPT3 sollte nichts damit zu tun haben. Vermutlich macht es nur etwas richtig, was du händisch falsch machst…
Source und Dest OPT3 bzw. LAN sollte "OPT3 net" bzw "LAN net"sein, vermutlich ist es das auch.
Gruß
pfadminDanke, irgendwie ist es wie verhext: von LAN komme ich auf OPT3 (bspw. webIF der pfSense) aber nicht weiter…
du meinst?
Rules:
1. LAN: IP4 * Source LAN; Port *; Destination LAN; Port *; Gateway *
2. OPT3: IP4 * Source OPT3; Port *; Destination OPT3; Port *; Gateway *oder
3. LAN: IP4 * Source LAN; Port *; Destination OPT3; Port *; Gateway *
4. OPT3: IP4 * Source OPT3; Port *; Destination LAN; Port *; Gateway *um auf die FB von LAN zu kommen.
Eine Route habe ich weder auf pf noch auf fb definiert.
Gruss hsrtreml
-
pfadmin meint, dass deine FRITZBOX die unten steht keine Ahnung von deinen anderen internen Netzen hat. Demzufolge ist es egal VON welchem Netz du kommst, sobald es in das Netz geht, in der die FB das default GW ist, wird danach alles über den WAN Uplink der Fritte rausgeschickt, weil diese keine Ahnung hat, wo die anderen internen Netze sonst hingeroutet werden sollen. Ergo müssen alle Netze, die du auf der pfSense definierst AUSSER dem auf OPT3 der Fritzbox bekannt sein -> Routen eintragen für diese Netze mit dem Ziel der IP der pfSense auf OPT3. Dann kommen die Pakete auch wieder zurück nach oben wo du sie haben willst. Andernfalls gehen die unten übers WAN und werden verworfen, weil RFC1918 eben nicht public geroutet wird.
-
Ich meine
LAN: IP4 * Source LAN net; Port *; Destination Opt3 net; Port *; Gateway *OPT3: IP4 * Source OPT3 net; Port *; Destination LAN net; Port *; Gateway *Wobei letztere Rule für deine Anwendung irrelevant ist. Der Client fordert vom Server etwas an und die Rückrichtung ist automatisch offen -> statefull
Welches default Gateway hat der EIB Server? Welches default Gateway hat die FB?
Der DHCP auf OPT3 teilt den Geräten in 2.0/24 sicher mit, dass das default Gateway für sie das OPT3 Interface ist. Somit findet der EIB-Server den Weg zum Clienten zurück. Die FB fordert aber sicherlich über ihren LAN Port keine IP Adresse an, sondern hat die 2.10 fest eingestellt. Intern dürfte die FB ihr eigenes WAN interface fest als default Gateway verdrahtet haben, evtl kannst du es aber einstellen. Läuft die FB als dhcp auf ihrem LAN Interface, so teilt sie den Geräten sich selbst als default Gateway mit und der EIB schickt alles was ins 0.0/24 müßte zur FB wo es dann im Nirvana landet. Somit benötigt wenigstens die FB eine Route, wo das 0.0/24 Netz zu finden ist.
Gruß
pfadmin@JeGr: genau
-
Danke für die ausführlichen, hilfreichen Erläuterungen - ich werde die Routen am Wochenende einrichten (da sind die CP nicht so in Betrieb) und dann hoffentlich "weißen" Rauch aufsteigen lassen 8).
Bis dann.
-
Hallo,
dank der Hilfe von pfadmin und JeGr habe ich nun eine Lösung:
1. Auf FB eine Route definieren mit Gateway pf-Interface von FB-Netz (static IP, OPT3) und Destination pf-Interface (an dem die App verbunden ist; LAN)
2. das TCP/UDP Portforwarding auf der FB auf den EIB-Server ist nicht notwendig
3. pf-Rules auf pf-interface der FB (OPT3): OPT3: IP4 * Source OPT3 net; Port *; Destination *; Port *; Gateway *
4. pf-Rules auf pf-interface (LAN): LAN: IP4 * Source LAN net; Port *; Destination "IP vom EIB-Server im FB-Netz"; Port *; Gateway *
ggf. weitere Einschränkungen bei Source "LAN net"; konkrete IP-Adressen der Nutzer (MAC geht ja nicht)5. kein Routing auf pf
… und "alles" ist gut. Danke!
