Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Wie richtig routen?

    Deutsch
    2
    9
    123
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tpf last edited by tpf

      Servus,
      drei Subnetze an der pfS. In einem Subnetz (192.168.0.1/24 ) befindet sich ein fremder GW (192.168.0.254), welcher sich um 172.16.0.0/12 kümmert. Clients haben die pfS als GW eingetragen.

      Nun müssen aber für manche Dienste die Clients über den GW.254 raus. Ich habe ihn in der pfS als GW bekannt gemacht und in meiner Verzweiflung eine Route auf der pfS mitsamt FW-Rule gesetzt, die jeden Verkehr nach 172.16.0.0/12 (genauer bekomme ich es leider nicht) an GW.254 schickt.

      Das Konstrukt ist Mist. Ich kann am GW.254 genau gar nix machen. Meine jetzige Lösung führt aber durchaus zu asymmetrischem Routing.

      Jemand ne Idee?

      Danke und Grüße

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @tpf last edited by

        Hallo.

        @tpf said in Wie richtig routen?:

        drei Subnetze an der pfS. In einem Subnetz (192.168.0.1/24 ) befindet sich ein fremder GW (192.168.0.254), welcher sich um 172.16.0.0/12 kümmert. Clients haben die pfS als GW eingetragen.
        Nun müssen aber für manche Dienste die Clients über den GW.254 raus.
        Das Konstrukt ist Mist.

        Wie wahr.

        Damit du das ordentlich hin bekommst, benötigst du zwischen der pfSense und dem anderen Gateway ein separates Netzwerk (Transit-Netz). Dann können die Clients in 192.168.0.1/24 ganz normal die pfSense als GW nutzen und die speziellen Dienste kannst du auf dieser zur Transit-Netz IP des anderen Routers schicken, wenn es komplexere Anforderungen sind, auch per Policy Routing anstatt statischer Route.
        Auf dem Fremd-Router benötigst du wiederum eine statische Route für 192.168.0.1/24 die auf die Transit-Netz IP der pfSense zeigt.

        Das Transit-Netz kann einfach nur ein VLAN sein, das dieselbe Leitung nutzt, wie das 192.168.0.1/24.

        Grüße

        1 Reply Last reply Reply Quote 0
        • T
          tpf last edited by

          Ja, mit einem Transfernetz wäre das alles kein Problem. Nur leider akzeptiert, das hatte ich vergessen zu erwähnen, der Router nur Verkehr aus 192.168.0.0/24.

          Das Einzige, was mir dazu noch einfallen würde: 192.168.0.0 in mehrere Subnetze auftrennen und eines davon als /30-Transfernetz nutzen.

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @tpf last edited by

            @tpf said in Wie richtig routen?:

            Nur leider akzeptiert, das hatte ich vergessen zu erwähnen, der Router nur Verkehr aus 192.168.0.0/24.

            Das hatte ich schon befürchtet.

            Wenn die Quell-IP der Clients auf den Zielrechnern nicht benötigt wird (was aufgrund deiner Idee mit dem Splitten des Netzes zutreffen müsste), könntest du einfach ein Masquerading mittel Outbound NAT machen.
            Mit dem Aufsplitten des Netzes wird es ohne Masquerading auch nicht gehen, wenn Clients und Router in einem L2 Netz liegen.

            1 Reply Last reply Reply Quote 0
            • T
              tpf last edited by tpf

              Moin,

              so?

              outbound_nat.png

              1 Reply Last reply Reply Quote 0
              • V
                viragomann last edited by viragomann

                Edit:
                Nein, Ziel sollte passen, aber als Translation "Interface Address" angeben.

                Es ist auch ratsam, die Quelle auf das LAN zu beschränken.

                1 Reply Last reply Reply Quote 1
                • T
                  tpf last edited by tpf

                  Danke! Ich teste das und melde mich. Kann aber etwas dauern.

                  1 Reply Last reply Reply Quote 0
                  • T
                    tpf last edited by

                    Also soweit ich das beurteilen kann: läuft! :-) Gleichzeitig habe ich die Option: Bypass firewall rules for traffic on the same interface aktiviert.

                    Werde das weiter testen.

                    V 1 Reply Last reply Reply Quote 0
                    • V
                      viragomann @tpf last edited by

                      @tpf said in Wie richtig routen?:

                      Also soweit ich das beurteilen kann: läuft! :-)

                      Freut mich.

                      @tpf said in Wie richtig routen?:

                      Gleichzeitig habe ich die Option: Bypass firewall rules for traffic on the same interface aktiviert.

                      Du könntest den Traffic auch mittels Regeln kontrollieren, wenn gewünscht.
                      Dieser Bypass betrifft eben jenen Verkehr, der von Clients im Netz des Routers 192.168.0.0/24 kommt und Richtung Router geschickt wird, also ins Netz 172.16.0.0/12. Alles andere geht eh auf anderen Interfaces raus.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post

                      Products

                      • Platform Overview
                      • TNSR
                      • pfSense Plus
                      • Appliances

                      Services

                      • Training
                      • Professional Services

                      Support

                      • Subscription Plans
                      • Contact Support
                      • Product Lifecycle
                      • Documentation

                      News

                      • Media Coverage
                      • Press
                      • Events

                      Resources

                      • Blog
                      • FAQ
                      • Find a Partner
                      • Resource Library
                      • Security Information

                      Company

                      • About Us
                      • Careers
                      • Partners
                      • Contact Us
                      • Legal
                      Our Mission

                      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                      Subscribe to our Newsletter

                      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                      © 2021 Rubicon Communications, LLC | Privacy Policy