Multi LAN für Anfänger
-
Hallo,
heute wurde meine neue Internetleitung geschalten. Leider schafft meine vorhandene FritzBox 7490 den erforderlichen NAT-Durchsatz nicht.
Ich habe nun also eine WAN Verbindung mit 1000Mbit/s zu 50Mbit/s.
Mein "Router" ist eine virtualisierte PfSense mit einer komplett durchgereichten Quad-Port Gigabit Karte von Intel. Diese wird erkannt und läuft.
Ich nutze gerade WAN und LAN. Die beiden Interfaces Opt1 und Opt2 sollen allerdings exakt wie LAN funtionieren. Ich möchte also 1x WAN und 3x LAN haben.
Mein Plan ist dann meine vorhandene FritzBox 7490 an LAN1 anzuschließen und mein QNAP und PC an LAN2 und LAN3.
Könnt ihr mir dabei helfen? Ich habe bereits mit Bridges und Gruppen rumprobiert, leider hab ich damit immer meine PfSense zerlegt.
Danke!
-
Wieso Bridges und Gruppen? Wenn du eh alles auf Layer 2 haben willst am besten einen Switch nehmen und gut ist es. :-)
Ansonsten einfach auf jedes Interface ein eigenes Subnet legen, Firewall Regeln einrichten, fertig.
Was genau hast du denn eigentlich vor? Vielleicht kann man dann besser helfen.-Rico
-
@rico Danke für die schnelle Antwort.
Stimmt einfach an einen Switch hängen bringt wohl das gleiche. Allerdings mag ich die Ports eigentlich nutzen ;-)
Ich möchte meine vorhandene FritzBox mein QNAP und Meinen Rechner direkt mit der PfSense verbinden. Somit müssten die Interfaces OPT1 und OPT2 eigentlich zu LAN 2 und LAN 3 werden. ;-) Anders kann ich es nicht erklären ;-)
-
+--------------------------------------------+ | | | | |Gateway, Router von Vodafone im Bridge-Modus| | | | | +--------------------------------------------+ | | | | | | | | |WAN | +-------------------------------------+ | | | PFSense Router | | | | | | LAN OPT1 OPT2 | +-------------------------------------+ | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | +---------+ | | | FB7490 | | | +-----------+ | | | +------------| PC | +---------+ | | | +-------------------------------+ | | | | | | | | | | | | +-----------+ | |++-------------+ | | | | weiteres Netzwerkzeugs |++---------------+ | +-------+ | |+------------------+ | | +-------------------------------+ | QNAP | | | +-------+Das wäre mein Wunschaufbau
-
Ganz ehrlich, das bringt dir überhaupt keinen Nutzen, dann kannst du auch alles an die LAN Ports der Fritzbox anschließen, das hat dann genau den selben Effekt.
Wieso nicht die Ports separieren, dann kannst du auf Layer 3 auch den Traffic mit der pfSense filtern/kontrollieren?
Also z.B.
LAN 192.168.11.0/24 für deine PCs
OPT1 192.168.12.0/24 für dein QNAP
OPT2 192.168.13.0/24 für deine FritzBox als WLAN Access Point
Jetzt kannst du z.B. sagen nur zwei der fünf Rechner aus dem LAN 192.168.11.0/24 Netz dürfen auf das QNAP zugreifen, alle anderen nicht.
Das OPT2 192.168.13.0/24 Netz mit dem Fritzbox AP darf nur ins Internet, auf keine anderen Internen Geräte im Netzwerk zugreifen.
OPT1 192.168.12.0/24 darf gar nichts, nicht auf interne Geräte und nicht ins Internet.Alles nur mal als Beispiel welchen Vorteil Layer 3 zu der Layer 2 Bridge hat die du machen willst.
-Rico
-
Ja ich denke du hast Recht. Wird wohl mehr Sinn machen. Ich weise also den übrigen Ports (OPT1 und OPT2) andere Adressräume zu.
Wie gebe ich denn einen einzigen Port auf ein bestimmtes Gerät frei (QNAP) möchte nach außen den Port 21 freigeben.
Also ich meine bei einer FritzBox muss man ja zuerst bei dem Gerät das Häckchen setzen "Gerät immer die selbe IP zuweisen" UND DANN die Portweiterleitung machen. Habe eine solche Einstellung bisher nicht gefunden. Oder ist es wirklich so einfach und ich lege nur eine Regel an?
-
Du meinst jetzt aus Richtung Internet in das interne Netz? Unter Firewall -> NAT -> Port Forwarding
Hier mal einlesen dazu: https://www.netgate.com/docs/pfsense/nat/forwarding-ports-with-pfsense.html
Im internen Netz von einer anderen Schnittstelle aus reicht eine Firewall Regel.
Ich möchte jetzt nicht nach und nach alle deine Wünsche zerstören...aber FTP aus dem Internet solltest du aus mehreren Gründen nicht freigeben.
Zum einen ist der FTP Traffic komplett unverschlüsselt, zum anderen musst du dich da mit passive Ports und solchen Geschichten rumärgern.
Am besten wäre dafür ein VPN einzurichten, pfSense hat dazu alles schon dabei, z.B. OpenVPN.
Alternativ wenn VPN aus irgendeinem Grund nicht geht wäre noch SSH (sollte die QNAP ja können?), dann kannst du über SCP zumindest verschlüsselt Daten kopieren und benötigst nur den Port 22.-Rico
-
@rico Danke das habe ich gesucht. Ich meine natürlich sFTP und SSH ;-)
Toll jetzt häng ich daran dem OPT1 einen eigenen Adressraum zuzuordnen. Da klemmts ja schon wieder augenroll
OPT1 ist aktiviert und ich habe bei den Konfigurationstypen auf DHCP und DHCP6 gestellt. Unter Dienste -> DHCP-Server zeigt er mir nur einen Tab mit LAN. Wo kann ich denn das nun wieder konfigurieren :-)
Sorry, danach bin ich fertig mit blöden Anfängerfragen.
-
OPT1 Interface aktiviert unter Interfaces -> OPT1 -> Enable interface ?
-Rico
-
@rico Jupp. Ist aktiviert. Ich darf bei OPT1 aber nicht auf DHCP stellen sondern auf statische IP. Dann taucht auch OPT1 unter den DHCP Settings auf.
Ok, ich denke leider noch "andersrum". Jetzt hab ich es geschafft.
DANKE!!
-
Wenn du der pfSense sagst dass sie auf einem Interface die IP per DHCP bekommt lässt sie keinen eigenen DHCP Server auf diesem Interface zu...mehrere DHCP Server innerhalb eines Netzwerk ist i.d.R. nicht so gut. ;-)
-Rico
-
@rico Habs gemerkt. Dachte damit ist gemeint "Mach da DHCP" und nicht "Hier bekommst du DHCP".
Ich habe jetzt
LAN1 10.0.0.x - 10.0.0.254
LAN2 20.0.0.x - 20.0.0.254
LAN3 30.0.0.x - 30.0.0.254Und die LAN1,2, und 3 dürfen zu jedem Ziel "telefonieren" Also habe ich gerade einen "Switch" gebaut. Zwar mit unterschiedlichen IP´s an den Interfaces. Aber da die Geräte überall hin dürfen ist es das was ich ganz am Anfang vorhatte. Hoffe das ist jetzt kein Problem weil du meintest mehrere DHCP Server in "einem Netz" sind nicht gut. ?!?
-
Du hast jetzt einen Router gebaut und keinen Switch.
Jedes Segment (LAN1, LAN2, LAN3) kann ohne Probleme JEWEILS einen DHCP Server haben, das ist kein Problem. An den Port an den du die Fritzbox hängst solltest du DHCP in der Fritz dann aber abschalten, sonst hast du in diesem Netzbereich dann zwei.-Rico
-
@rico Haste auch wieder Recht. So ist es eben als nicht "Netzwerkprofi" Ich fummel mich so zurecht ;-)
Genau die Fritte wollte ich dann als IP-Client degradieren. Also die soll nur WLAN und SIP-> Dect machen.
-
Ich sehe gerade, dass du teilweise sehr "ungeschickte" Netzbereiche gewählt hast. Ungeschickt deshalb, da sie nicht als private Adressräume spezifiziert sind (RFC 1918).
Das solltest du auf jeden Fall ändern, um später nicht ziemlich komische Probleme zu bekommen. Hier zum Nachlesen: https://de.wikipedia.org/wiki/Private_IP-Adresse
Du kannst es z.B. so machen
LAN1 10.0.1.0/24
LAN2 10.0.2.0/24
LAN3 10.0.3.0/24
Dann bist du innerhalb der Spezifikation und bekommst keine Probleme.-Rico
-
@rico Danke! Das werd ich gleich noch anpassen.
Nimmst du Trinkgeld via Paypal entgegen?
-
Ich bin gerne hier zum Helfen. :-)
Du kannst aber gerne an die FreeBSD Foundation etwas spenden: https://www.freebsdfoundation.org/donate/
Denn ohne FreeBSD würde es pfSense nicht geben.-Rico
-
@rico Schön gesagt. Ohne dich hätte ich aber stundenlang gesucht und wäre mehrfach verzweifelt.
Das werd ich machen. Die Jungs haben sich das auch verdient! Danke nochmal und ich wünsch einen schönen Abend! Ich hab jetzt genug ;-)
-
Gerne, dir auch schönen Abend.
-Rico
