Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Rules für Routing funktioniert nicht

    Scheduled Pinned Locked Moved Deutsch
    14 Posts 4 Posters 1.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Syosse
      last edited by

      Hallo Zusammen:)

      Aktuell habe ich folgende Konsultation:

      Pfsense 2.4.5 verbunden via Trunk am Cisco SGH300-28 Switch. Von dort aus sind die Ports tagged, aktuell nur an 2 PCs.
      Die Pfsense ist virtualisiert mit Vmware und auf der vSwitch sind die VLAN IDs eingerichtet.
      Das Problem liegt denk ich eher an der Pfsense Einstellung. Subnetting, DHCP, VLANs, Portforwarding funktioniert einwandfrei.

      Nur meine Routing Rules wollen nicht so wirklich.
      Wenn ich z.b vom (VLAN70=192.168.1.0/24) zu (VLAN10=10.10.10.0/24 route geht gar nichts, keine Verbindung wie Ping etc.. Das Routing funktioniert nur wenn ich bei Source any und Destination any auswähle. Bei Wireshark sehe ich das es die Meldung anzeigt: no response found!
      Ich habe dann noch einen Rule erstellt mit ICMP echo request erlaubt, doch leider ohne Erfolg.
      Was ich explizit brauche ist das V70 nur ins WAN darf und in keine andere Netze, was eben nur mit der Einstellung Source: any und Destination: any funktioniert. Dann kann aber ins jedes Netz.

      f58c5ad3-59de-414a-9bcb-9785093e3363-grafik.png

      58628339-991b-46fb-af17-389798217a89-grafik.png

      4af816ae-1665-4223-b875-46c60c324cb3-grafik.png

      Vielen Dank für eure Hilfe!
      Gruss Syosse

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @Syosse
        last edited by

        Hallo!

        @Syosse said in Rules für Routing funktioniert nicht:

        Nur meine Routing Rules wollen nicht so wirklich.
        Wenn ich z.b vom (VLAN70=192.168.1.0/24) zu (VLAN10=10.10.10.0/24 route geht gar nichts, keine Verbindung wie Ping etc.

        Was du da in den Firewall Regeln machst, ist kein Routen, sondern ein Erlauben von Paketen / Zugriffen. Zwischen zwei an der pfSense anliegenden Netzen musst du auch nix routen, der Router weiß selbst, wo die Pakete hingehören.

        Schau mal, ob das Zielgerät in 10.10.10.0/24 überhaupt auf Requests vom anderen Subnetz antwortet.
        Du kannst dazu das pfSense Ping Tool aus dem Diagnostic Menü verwenden.

        Und was den Upstream Traffic betrifft, funktioniert vermutlich die Namensauflösung nicht. Wie den Capture zeigt, fragt der Rechner 192.168.1.50 die pfSense zur Namensauflösung ab. Diesen Zugriff musst du auch erlauben, falls du alles andere auf dem Interface auf interne IPs verbietest.

        1 Reply Last reply Reply Quote 0
        • S
          Syosse
          last edited by

          Vielen Dank für die Info.

          Habe jetzt die 2 Interfaces als Test verwendet:

          VLAN20 = 10.10.20.0/24
          Vmware = 10.10.20.10

          VLAN10 = 10.10.10.0/24
          PC = 10.10.10.20

          Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen. Umgekehrt geht es (Siehe unten)

          111de307-70c7-4e79-b15b-d80bc2bcf55e-grafik.png

          99368dbb-1745-4a14-8097-aa6c0694330b-grafik.png

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @Syosse
            last edited by

            @Syosse said in Rules für Routing funktioniert nicht:

            Ping Tool ist erfolglos,.Vom Netz 10.10.20.0 kann ich nicht auf 10.10.10.20 pingen.

            D.h. genau erstmal, das Zielgerät antwortet nicht.
            Dafür fallen mir 2 mögliche Ursachen ein:

            • das Zielgerät blockiert Pings (und vermutlich auch andere Netzwerkzugriffe) aus vermutlich jedem als dem anderen als dem eigenen Subnetz. Das ist Standardeinstellung auf den Systemfirewalls.
            • das Zielgerät verwendet ein anderes Gateway als die pfSense.
            1 Reply Last reply Reply Quote 0
            • S
              Syosse
              last edited by Syosse

              Der PC hatt das Gateway 10.10.10.1 (die gleiche Pfsense)
              Die Vmware hatt das Gateway 10.10.20.1 (die gleiche Pfsense)

              Und bei beiden interfaces VLAN20 und VLAN10 ist source und destination auf any eingestellt.

              Beim Ping habe ich den Rule noch eingetragen:

              5f3d2b4b-1293-464d-ada2-f04ba7db7a2a-grafik.png

              Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Wie gesagt, für das in #3 genannte Phänomen gibt es fast nur die in #4 genannten Erklärungen. Wenn die zweite nicht zutrifft, überprüfe die erste.
                Eine weitere Möglichkeit wäre noch, dass es durch eine Floating Rule auf Outbound Traffic auf der pfSense blockiert würde. Ich nehme aber nicht an, dass du eine derartige Regel gesetzt hast.

                @Syosse said in Rules für Routing funktioniert nicht:

                Was mich aber neugierig macht ist, wie kann ich nun einrichten das VLAN70 zb. nur ins Internet darf ?

                Ich lege mir für solche Zwecke einen RFC1918 Alias an, dem ich eben sämtliche RFC1918 Netze hinzufüge.
                In der Pass-Regel am Interface verwende ich diesen als Ziel zusammen mit "invert" angehakt (negiert das Ziel).
                Das bewirkt dann, dass Sämtliches erlaubt ist, was nicht RFC1918 Netze als Ziel hat.
                Voraussetzung ist natürlich, dass du ausschließlich RFC1918 Netze intern verwendest. Alles andere wäre ohnehin Blödsinn.
                Diese Regel passt auch dann noch, wenn du Netzwerke hinzufügst oder welche änderst.

                Alternativ kannst du auch eine Block-Regel mit Ziel RFC1918 erstellen und hinterher dann alles oder nur bestimmtes erlauben.

                Aber wie in meinem ersten Post bereits hingewiesen, du musst den DNS-Zugriff auf die pfSense noch in einer zusätzlichen Regel erlauben, sonst können deine Clients keine Namen auflösen, was ein ähnliches Fehlerbild ergibt, eben dass einfach nichts geht.
                Ich mache das meist mit einer Floating-Rule, weil ich (faul bin) diese gleich für mehrere Interfaces aktivieren kann.

                S 1 Reply Last reply Reply Quote 0
                • S
                  Syosse @viragomann
                  last edited by Syosse

                  @viragomann

                  So, ich habe nun eine Regel erstellt für DNS :

                  d18f6901-9731-4b1a-8ae8-8edaed66bd7e-grafik.png

                  62ec8b61-ec1d-4d10-86b4-c62bee85c711-grafik.png

                  Sowie ein Alias mit dem RFC1918 Inhalt:

                  59131aeb-c4ca-4635-aca4-e24a08127714-grafik.png

                  Funktioniert einwandfrei:) Ich kann nun vom VLAN70 Netz nicht mehr in die andere Netze zugreifen sondern nur noch ins Internet. Umgekehrt kann ich aber z.B vom VLAN10 Netz auf die VLAN70 Netz zugreifen.

                  Genau so wie ich es wollte, das mit dem Pingen schau ich mir dann noch wieso das nicht klappt, an beiden Geräten ist die Firewall ausgeschaltet sowie eine Regel erstellt für ICMP.

                  Hier ist noch der Auszug vom Wireshark:

                  589c758a-eea4-47c8-af67-2e632b7839d3-grafik.png

                  Herzlichen Dank!

                  Gruss

                  V JeGrJ 2 Replies Last reply Reply Quote 0
                  • Bob.DigB
                    Bob.Dig LAYER 8
                    last edited by Bob.Dig

                    So sähe das bei mir aus, als mögliche Inspiration für deine Konsultation. 😉

                    fw.JPG

                    1 Reply Last reply Reply Quote 0
                    • V
                      viragomann @Syosse
                      last edited by

                      @Syosse
                      Das 10.0.0.0er Netz sollte "/8" als Maske haben.

                      Ein falsch konfiguriertes Netzwerkinterface auf einer Seite käme auch noch für das Ping Problem in Frage.
                      Wenn du das Packet Capture Tool der pfSense zur Analyse einsetzt, und du siehst da die Request-Pakete rausgehen aber keine Antworten, dann antwortet das Gerät eben nicht, jedenfalls nicht Richtung pfSense, da gibt es sonst nichts.
                      Wenn die pfSense das Standardgateway auf dem Gerät ist und die Netzwerkinterfaces richtig konfiguriert sind, müssen die Response-Pakete zur pfSense zurückkommen, ausgenommen der Request kam von einem anderen Gerät aus dem eigenen Subnetz.

                      Grüße

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator @Syosse
                        last edited by

                        @Syosse said in Rules für Routing funktioniert nicht:

                        Hier ist noch der Auszug vom Wireshark:

                        Ich sehe nur einen Ping im Bild und der ging an die 8.8.8.8 und kam zurück?

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        V 1 Reply Last reply Reply Quote 0
                        • V
                          viragomann @JeGr
                          last edited by

                          @JeGr
                          Das Problem hatten wir weiter oben diskutiert: https://forum.netgate.com/topic/157091/rules-f%C3%BCr-routing-funktioniert-nicht/3?_=1601037194518

                          1 Reply Last reply Reply Quote 0
                          • JeGrJ
                            JeGr LAYER 8 Moderator
                            last edited by

                            Ich dachte das war der Grund für den Wireshark Auszug. Aber OK :)

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            V 1 Reply Last reply Reply Quote 0
                            • V
                              viragomann @JeGr
                              last edited by

                              @JeGr said in Rules für Routing funktioniert nicht:

                              Ich dachte das war der Grund für den Wireshark Auszug.

                              Mir erging es ebenso. 😉

                              1 Reply Last reply Reply Quote 0
                              • S
                                Syosse
                                last edited by

                                @Bob-Dig

                                Vielen Dank für die Info:)

                                @viragomann

                                Netz habe ich soeben geändert auf /8. Ich werde das nacher nochmal tracern und so versuchen.

                                @JeGr

                                Ops, mein fehler habe ich wohl das falsche Bild hochgeladen, hab den überblick verloren von den ganzen Printscreens xD.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.