HTTP/Telnet vom WAN-Gateway nicht erreichbar

mafi

Ich stelle gerade mein Netz etwas um. Zuvor hatte ich nur eine pfsense die am WAN-Port PPPoE hatte, am LAN Port das Netz 10.1.0.0/16

Nun habe ich einen DD-WRT Router aufgestellt. Dieser ist ab sofort für PPPoE und WLAN zuständig. Der Router hängt an der sense.

Mein Problem ist, dass ich aus dem 10.1.0.0/16 Netz zwar ins Internet komme, aber nicht auf die Managementoberfläche von DD-WRT im 10.2.0.0/29er Netz.

Aktuelle IP-Konfig:

pfsense:
LAN-IP: 10.1.100.1/16
WAN-IP: 10.2.0.1/29 (Static)

DD-WRT:
LAN-IP: 10.2.0.2/29
WAN-IP: PPPoE (DSL)

Physisch und logisch sind die Geräte also so miteinander verbunden:
[DSL] –PPPoE-- [DD-WRT] –10.2.0.0/29-- [PFSENSE] –10.1.0.0/16

Block private Networks auf dem WAN-Interface habe ich auch deaktiviert

Brauch ich hier ne Regel oder wie komme ich aus dem LAN-Netz 10.1.0.0/16 Netz in das WAN-Netz 10.2.0.0/29 ? Normalerweise müsste die pfsense diese Route doch automatisch kennen?

GruensFroeschli

Hast du NAT auf der pfSense deaktiviert?
In diesem Fall erreicht eine Anfrage von hinter der pfSense zwar den DD-WRT, der DD-WRT weiss dann aber nicht wohin antworten.
–> Du musst eine statische route auf dem DD-WRT auf die pfSense für das 10.1.0.0/16 subnet erzeugen.

mafi

Klingt logisch. Im DD-WRT ist nun auch folgende Route hinterlegt:

10.1.0.0     255.255.0.0     10.2.0.1     LAN & WLAN

NAT habe ich jetzt auf der sense nach dieser Anleitung hier abgestellt:

http://doc.pfsense.org/index.php/How_can_I_completely_disable_NAT%3F

Geht aber nochimmer nicht. Ich kann vom WAN-Netz aus nichtmal die 10.2.0.1/29 des pfsense WAN-Interfaces pingen (von einem Client mit 10.2.0.4/29)

mafi

Ich komme der Sache näher.

Ich habe AON aktiviert und noch eine Regel hinzugefügt die ertmal sämtlichen Traffic der am WAN-Interface ankommt in sämtliche Netze weiterleitet. Selbes auch vom LAN-Interface aus (logisch, ist ja per default drin).

Nun komme ich vom 10.2.0.0/29 ins 10.1.0.0/16 und kann dort auch alle Devices erreichen.

Vom 10.1.0.0/16 komme ich nachwievor auch in alle IP-Netze die über den Gateway 10.2.0.2/29 erreichbar sind. Andersrum klappts aber nochimmer nicht.

Ich komm nicht drauf… was fehlt jetzt noch? Die sense kennt doch die Route?
10.2.0.0/29 link#9 UC 0 0 1500 vlan1

GruensFroeschli

Du verwendest VLANs?
Hast du auch einen entsprechend konfigurierten VLAN switch?

mafi

Ja klar sonst würde der Router nicht laufen. Die sense läuft auf einem Laptop mit nur einer NIC (Ist nur ne Testumgebung).

vlan0 = LAN = ViD1
vlan1 = WAN = ViD7

Hat aber mit dem aktuellen Problem mMn eher wenig bis nichts zu tun.

Monoecus

vlan0 ist eigentlich normalerweise fuer nicht VLAN traffic reserviert.

mafi

Monoecus : pfsense lässt sich nur einrichten wenn 2 Interfaces konfiguriert sind. Da nur eine NIC in der Hardware steckt habe ich ganz einfach 2 VLANs definiert um sie mit dem default LAN und default WAN Interface zu belegen.
Ich könnte das LAN-Interface zwar auch direkt und ungetagged auf die NIC hängen aber logisch sollte es doch total egal sein ob der Traffic über ein virtuelles VLAN Interface fließt oder über ein physisches… pfsense bietet die Funktion und es funktioniert auch.

Wenn es daran liegen soll wäre ich dankbar wenn mir mal jemand erklären könnte waarum pfsense da intern einen Unterschied amchen soll - vor allem weil ja sonst alles geht!

Über weitere Antworten zum Routingproblem bin ich euch dankbar...