Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    2 WAN - 2 LAN Gatewayrouting

    Deutsch
    3
    6
    45
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hsrtreml last edited by

      Hallo, irgendwie stehe ich auf dem Schlauch...

      Ich habe zwei interne Netzsegmente, von einem (A) greife ich auf das andere (B) zu. Bei B habe ich via FW-Regel den Zugriff auf A gesperrt. Weiterhin habe ich zwei WAN C+D, mit Loadbalance (=bei A und B jeweils Default), Failover oder direkt konfiguriert. Der Zugriff von A nach B funktioniert, falls bei beiden FW-Regeln als Gateway "Default" (display advanced) steht.

      Weshalb kann ich von A nicht mehr auf B zugreifen, wenn in der FW-Regel von A ein anderes WAN (display advanced) zuordne (also nicht mehr "default")? Also B geht weiterhin via "Default" auf das Loadbalance ins WAN und A geht direkt auf ein WAN-Gateway ins WAN. Selbst wenn ich das aktuelle gewählte WAN-Gateway (welches gerade in Loadbalance gewählt ist) auch für A auswähle, erhalte ich keine Zugriff auf B (von A aus).

      so ist der Aufbau in etwa:

              WAN                     WAN
               :                       :
               : CableProvider         : DSL-Provider
               :                       :
           .---+---.                .--+--.
       WAN | Cable |     Modems     | DSL | WAN2
           '---+---'                '--+--'
               |                       |
      FIX-IP C |                       | FIX-IP D
               |      .---------.      |
               +------| pfSense |------+
                      '---+--+--'
                          |  |
                    LAN-A |  | LAN-B
                          |  |
      V 1 Reply Last reply Reply Quote 0
      • Rico
        Rico LAYER 8 Rebel Alliance last edited by

        Über deiner Policy Routing Regel im Netz A eine Regel anlegen für den Zugriff auf B und Gateway auf Default stehen lassen.

        -Rico

        H 1 Reply Last reply Reply Quote 0
        • H
          hsrtreml @Rico last edited by

          @rico Vielen Dank für Rückmeldung;

          LAN A ist bei mir igb0; und dieses Interface möchte ich bewußt über ein von mir festgelegtes WAN "senden lassen" und trotzdem soll der Zugriff von A nach B (igb3) gehen.

          Bei "default" in beiden Interfaces A und B funktioniert der Zugriff - auch ohne Policy Regel, da ich alle Interface gegen die anderen per Regel mit Ausnahmen abschotte bzw. spezifisch öffne. Prinzip "erst alles zu dann spezifisch auf".

          1 Reply Last reply Reply Quote 0
          • V
            viragomann @hsrtreml last edited by

            @hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:

            Weshalb kann ich von A nicht mehr auf B zugreifen, wenn in der FW-Regel von A ein anderes WAN (display advanced) zuordne (also nicht mehr "default")?

            Weil mit der Festlegung eines Gateways in der Regel Policy based Routing aktiviert wird, was bedeutet, dass der Traffic, auf dem die Regel zutrifft, gezielt auf das gewählte Gateway geroutet wird. Und dieses hat vermutlich keine Route in dein internes Netz, weswegen der Zugriff fehlschlägt.

            @hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:

            LAN A ist bei mir igb0; und dieses Interface möchte ich bewußt über ein von mir festgelegtes WAN "senden lassen" und trotzdem soll der Zugriff von A nach B (igb3) gehen.

            Kannst du ja machen. Aber du musst die Regeln für internen und externen Traffic einfach trennen und bei denen, die den internen erlauben, "Default" als Gateway setzen.

            Wenn du also am LAN A eine Regel setzt mit B als Ziel, trifft diese Regel ja nur auf Traffic von A nach B zu und erlaubt nichts anderes. In dieser Regel ist das Gateway auf "Default" zu setzen.
            Unterhalb dieser fügst du eine weitere Regel hinzu, die "any" als Ziel hat und setzt das Gateway auf das gewünschte für den ausgehenden Traffic.

            H 1 Reply Last reply Reply Quote 1
            • H
              hsrtreml @viragomann last edited by

              @viragomann
              ja, danke -- das war die Lösung. Hatte bisher keine "positiv"-Regeln innerhalb der eigenen Netzwerksegmente - sondern nur immer "block" und spezifisch "pass".

              ... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen (immer "Any" von Anet nach Bnet, nach Enet und nach Fnet jeweils mit Gateway "default") sowei am Ende "default allow LAN to any rule" mit dem spezifischen Gateway WAN.

              Danke nochmals für die Hilfe.👍

              1 Reply Last reply Reply Quote 0
              • Rico
                Rico LAYER 8 Rebel Alliance last edited by

                Genau das Selbe hatte ich doch auch schon geschrieben. 😬

                @hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:

                ... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen

                Du kannst einen RFC1918 Alias anlegen der alle privaten Netzbereiche enthält und den dann in der Firewall Regel als Destination benutzen.

                -Rico

                1 Reply Last reply Reply Quote 1
                • First post
                  Last post

                Products

                • Platform Overview
                • TNSR
                • pfSense
                • Appliances

                Services

                • Training
                • Professional Services

                Support

                • Subscription Plans
                • Contact Support
                • Product Lifecycle
                • Documentation

                News

                • Media Coverage
                • Press
                • Events

                Resources

                • Blog
                • FAQ
                • Find a Partner
                • Resource Library
                • Security Information

                Company

                • About Us
                • Careers
                • Partners
                • Contact Us
                • Legal
                Our Mission

                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                Subscribe to our Newsletter

                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                © 2021 Rubicon Communications, LLC | Privacy Policy