Mehrere IP-Adressen an der WAN-Schnittstelle
-
Hallo,
aktuell möchte ich eine weitere IP-Adresse an der WAN-Schnittstelle meiner pfSense verwenden. Nun habe ich sie per V-IP an das WAN gehängt. Allerdings vermisse ich nun die Möglichkeit "Rules" dafür zu erstellen. Habe ich das falsch verstanden?
Ziel ist, diese IP mit dem auf der pfSense installierten OpenVPN zu nutzen. Habe auch gelesen, dass man die IP direkt von OpenVPN nutzen lassen kann. Unter VPN -> OpenVPN -> Interface habe ich dann die neue V-IP gebunden.
Kann ich nicht irgendwie eine virtuelle Schnittstelle generieren und dort die IP binden, um dann Regeln erstellen zu können?
Danke im Voraus und lieben Gruß
-
Hallo,
die Regeln dafür sind am WAN Interface zu erstellen. Das ist ja nur eine zusätzliche IP auf dem bestehenden WAN Interface und kein zusätzliches (virtuelles) Interface.
Einfach bei Destination für die VPN-Regel die VIP anstatt "WAN address" auswählen.
Grüße
-
Danke für deine Antwort.
Bin wie folgt vorgegangen:
- Firewall -> Virtual IPs - Add -> eine neue V-IP angelegt als IP-Alias und dann bei Address die neue IP eingesetzt. SNM natürlich auch die vom Provider gegebene /29 genommen.
- Firewall -> Rules -> WAN -> Add -> eine neue Rule angelegt. Interface: WAN gewählt und im Dropdownmenü bei Destination geschaut, aber da taucht die IP nicht auf. Da steht nur Any, Single Host or Alias, ...[bis]... Lan Net, Lan Address.
Fehlt mir da ein Schritt?
-
Nein, hast Recht, da hatte ich Funktion der NAT-Regel-Einrichtung im Kopf.
Na, dann "Single host or aliases" und die IP daneben eingeben sollte zum Ziel führen.
-
Danke für den Hinweis. Hatte mich nicht so recht getraut da "einfach so" nur die IP einzutragen. Kam mir zu einfach vor um wahr zu sein. :-)
-
Noch eine Frage.
Kann man eine virtuelle Schnittstelle einrichten und die V-IP darauf legen, dass für diese Schnittstelle ein eigenes Ruleset zur Verfügung steht? -
@asmodii77
Ich sehe dafür weder eine vernünftige Möglichkeit noch eine Notwendigkeit.
Eine virtuelle Schnittstelle auf einem bereits konfigurierten Netzwerkadapter lässt sich nur über VLAN realisieren, das setzt aber ein zweites Gerät voraus, auf welchem der andere Endpunkt des Netzes eingerichtet ist, bspw. ein Switch. Wenn diese spezielle IP aber Teil eines Subntzes ist, kannst du sie nicht so einfach herauslösen. Es würde dann das Gateway in dem Subnetz fehlen und die pfSense hätte keine Möglichkeit zu routen.
Ein eigenes Regelwerk für eine virtuelle IP lässt sich auch auf einem gemeinsamen Interface verwirklichen. Regeln, die diese IP als Ziel haben, gelten auch nur für diese, welche die ein anderes Ziel haben, treffen nicht zu.
Zur optischen Trennung der unterschiedlichen Regel-Zuständigkeiten lassen sich die Separatoren einsetzen. -
@viragomann said in Mehrere IP-Adressen an der WAN-Schnittstelle:
Zur optischen Trennung der unterschiedlichen Regel-Zuständigkeiten lassen sich die Separatoren einsetzen.
Letzten Endes ging es mir darum. Danke dir für deine ausführliche Erklärung.