Routingprobleme



  • Hallo Zusammen.

    Ich bin neu mit pfSense und versuche nun seit 2 Tagen zwei Subnetze zu routen, dass die Geräte aus dem einen Subnetz das andere erreichen können. Zu meinem Aufbau. pfSense ist bei mir mit KVM auf einem Debian Host virtualisiert. Über Hardwarevirtualisierung wird eine Intel Quad Netzwerkkarte direkt an die VM durchgereicht. Der WAN Port ist eine Bridge mit der Netzwerkkarte vom Mainboard. Nun habe ich die vier Ports der Quad Netzwerkkarte zu einer Bridge zusammengefasst und diese Bridge befindet sich im Netzwerk 192.168.22.1/24. Die Clients werden über DHCP mit IP Adressen versorgt. Auch die Firewall Einträge sind für alle Interfaces inklusive Bridge Testweise auf allow all eingestellt. Die Kommunikation zwischen den Netzwerkgeräten innerhalb ihres Subnetzes funktioniert auch. Mein zweites Netz ist ein Virtuelles Netzwerk von KVM. Dieses hat die IP 192.168.100.2/24. Der Host hat die IP 192.168.100.1 wobei alle weiteren VMs die IP Adressen über DHCP von der PFSense VM erhalten. Auch die VMs können in ihrem Subnetz miteinander kommunizieren. Leider bekomm ich es nicht hin, dass ich von meinem LAN Netzwerk Geräte im VM Netzwerk erreiche. Kann mir hier vielleicht jemand helfen?



  • Hallo,

    ich muss gestehen, ganz verständlich ist das, was du da schreibst, für mich nicht. Aber ich denke, die pfSense betreffend ist es auch nicht unbedingt relevant.

    Von der pfSense aus gesehen reicht es für ein funktionierendes Routing, wenn sie in jedem der betreffenden Netze ein Interface hat und die Geräte, die über die pfSense miteinander kommunizieren wollen, die Interface-IP der pfSense als Standard-Gateway eingestellt und das Netzwerk (Maske) richtig konfiguriert haben. Anderenfalls müssten auf den Geräten selbst Routen gesetzt werden.

    Die Firewall-Regeln auf der pfSense auf den jeweiligen Interfaces müssen die Kommunikation natürlich auch erlauben.

    Bedenke auch, dass Betriebssystem-Firewalls oder sonstige auf den Geräten laufenden SW-FWs auch gerne den Zugriff von anderen Subnetzen blockieren.

    Grüße



  • Hallo Danke für deine Antwort. Das mit dem Gateway setzen hab ich bereits Versucht leider war dann die Internetverbindung weg da aktuell das WAN als Gateway eingestellt ist. Dies war Standard. Anbei ein Diagramm dass meinen Aufbau vllt verdeutlicht

    WAN / Internet
                :
                :
                :
          .–---+-----.
          |  Gateway  |  (TCom Router)
          '-----+-----'
                |
            WAN
                |
          .-----+-----.  LAN              .-------------------------.-----ETH0
          |  pfSense  +-------------+ Bridge 192.168.22.1 |----ETH1
          '-----+-----' 192.168.22.0 '-------------------------'----ETH2
                |                                                                ----ETH3
            VMs| 192.168.100.0/24
                |
          .-----+----------------------.
          | VM Inf 192.168.100.2 |
          '-----+----------------------'------------------------192.168.100.1 Host
                |
              Virtual Machine 192.168.100.10



  • Fürs Routing ist es aber die einfachste Lösung, wenn pfSense das Standard-Gateway ist.
    Das sollte bei deinem Aufbau auch hinzubekommen sein.

    Du hast nichts von deinem WAN-Netz der pfSense geschrieben, aber vermutlich ist das ein eigener Netzwerkbereich. Damit machst du dann also 2 NAT, am TCom Router und auf der pfSense.
    Auf der pfSense ist einfach nur der Router als Default Gateway zu setzen, dann sollte es eigentlich schon funktionieren, wenn du sonst nicht verstellt hast.
    D.h. wenn das Outbound NAT im Auto Modus arbeitet, setzt es eine Regel, die die Quelladresse ins WAN gehender Pakete auf pfSense WAN Adresse umsetzt.