[solved] Erreichbarkeit, zwischen mehreren Interfaces
-
Guten Tag zusammen,
ich versuche gerade ein Endgeräte (Cacheserver) von mehreren Interfaces für ein oder mehrere Gerät(e) aus einem anderen Interface erreichbar zu machen.Geplant ist ein Cachserver (welcher z.B. über INT37-INT39 an der PfSense hängt) für alle Endgeräte aus den anderen Interfaces z.B. LAN-INT4 erreichbar zu machen.
Damit nicht jedes Interface bzw. alle Clients im jeweiligen Interface die Internetleitung belasten sobald z.B. ein Windows-Update, Spiele-Update, Apple-Update usw. zur Verfügung steht, sondern das Update direkt vom Cacheserver gezogen wird.
Habe eine Pfsense (10.50.0.254) mit mehreren Interfaces
LAN: 10.50.0.254/24
INT1: 10.50.1.254/24
INT2: 10.50.2.254/24
INT3: 10.50.3.254/24
INT4: 10.50.4.254/24
[...]
INT37: 10.50.37.254/24 (Cacheserver)
INT38: 10.50.38.254/24
INT39: 10.50.39.254/24Würde eigtl. behaupten, dass meine Firewall-Regeln korrekt sind (ich mein ist ja aktuell offen für alles), komme aber einfach nicht weiter.
Hoffe der ein oder andere kann mir hier bisschen unter die Arme greifen und mir zeigen wo mein Fehler liegt.
Hier mal noch paar Bilder von meinen Einstellungen
Interface Einstellungen
Einstellungen Firewall-Regeln
PING s
LAN-Client (10.50.0.200)
PfSense (10.50.0.254)
CacheServer bzw. Proxmox (10.50.37.1)
LAN-Client 10.50.0.200 > PfSense 10.50.0.254 = erreichbar
LAN-Client 10.50.0.200 > Cachserver / Proxmox 10.50.37.1 = 100% loss
LAN- Client 10.50.0.200 > 10.50.37.254 = 100% loss
PfSense 10.50.0.254 > LAN-Client 10.50.0.200 = erreichbar
PfSense 10.50.0.254 > Cacheserver 10.50.37.1 = erreichbar
PfSense 10.50.0.254 > 10.50.37.254 = erreichbar
Cache-Server 10.50.37.1 > LAN-Client 10.50.0.200 = erreichbar
Cache-Server 10.50.37.1 > PfSense 10.50.0.254 = erreichbar
Cache-Server 10.50.37.1 > 10.50.37.254 = erreichbarDas komische ist, vor etwa 3h hat noch alles funktioniert habe mit dem LAN-Client den Cacheserver erreicht und war gerade dabei diesen einzurichten, als ich plötzlich die Verbindung zu diesem verloren habe
-
@fwalser Erstmal falscher Bereich ;) Das ist ja pfSense Thema und kein Allgemein Talk.
- Hat der Cache Server nur ein Interface im 37er Netz? Liegt der auf der .1 und sonst nichts?
- Wie ist das 37er Interface konfiguriert?
- Wie sind die Regeln auf dem 37er IF
- Warum ist auf dem LAN nicht die default-antilockout Regel? Anderes Interface?
- Routingtabelle bitte mal zeigen
- Gibt es Floating Rules oder Gruppenregeln?
Cheers
-
@jegr hmm danke für die Info hab ich mir beim erstellen schon fast gedacht, hatte aber irgendwie nur die Möglichkeit das "Allgemeine Forum" oder die "pfsense German User Group" auszuwählen. Oder meinst du ich hätte im Englischen Hauptbereich posten sollen ?
Hat der Cache Server nur ein Interface im 37er Netz? Liegt der auf der .1 und sonst nichts?
aktuell ja, später soll er noch zusätzlich über INT38+INT39 angeschlossen werden, aber sollte doch eigtl. an der Logik nichts ändern ?Wie ist das 37er Interface konfiguriert?
Das 37er Interface ist so konfiguriert wie das LAN Interface, welches im Screen gezeigt ist nur eben mit der IPv4 Address 10.50.37.254Wie sind die Regeln auf dem 37er IF
Die Regel siehst du in dem Screen die ANY to ANY Regel ist auf jedem INT aktiv.Warum ist auf dem LAN nicht die default-antilockout Regel? Anderes Interface?
Korrekt, ist glaub ein Screen vom 37er IF.
*** LAN Address 443, 80, 22 ** Anti-Lockout Rule ist schon vorhanden und aktivRoutingtabelle bitte mal zeigen
Gibt es Floating Rules oder Gruppenregeln?
Nein, nichts vorhanden.Hatte in der Zwischenzeit wieder mal kurzfristig Zugriff nach einem Neustart... ich kanns mir einfach nicht erklären
-
@fwalser said in Erreichbarkeit, zwischen mehreren Interfaces:
@jegr hmm danke für die Info hab ich mir beim erstellen schon fast gedacht, hatte aber irgendwie nur die Möglichkeit das "Allgemeine Forum" oder die "pfsense German User Group" auszuwählen. Oder meinst du ich hätte im Englischen Hauptbereich posten sollen ?
Nein hier in Deutsch :) Hier gibts genauso "Neues Topic" wie in den Unterforen:
aktuell ja, später soll er noch zusätzlich über INT38+INT39 angeschlossen werden, aber sollte doch eigtl. an der Logik nichts ändern ?
Doch, weil das nicht schön ist. Du hast dann ein System, das in 3 Netzen steht und da als Brücke dienen kann während du eigentlich die VLANs getrennt hast. Du umgehst damit die Firewall und wenn das System fällt oder anfängt zumzuspinnen sind alle 3 VLANs ebenfalls platt. Zudem wirds dann lustig, mit welcher Adresse das System an der Firewall dann ankommt. Das hat schon mehr als einen Admin zum Weinen gebracht.
Das 37er Interface ist so konfiguriert wie das LAN Interface, welches im Screen gezeigt ist nur eben mit der IPv4 Address 10.50.37.254
Alle mit /24? Schleicht sich ja gern mal irgendwo nen Tippfehler/Dropdown Fehler ein
Korrekt, ist glaub ein Screen vom 37er IF.
Da wärs aber sinnvoll mal wirklich den kompletten Shot vom IF zu sehen auch wenns beides Mal gleich sein sollte. So hab ich keinen Reiter/nix gesehen und weiß es halt nicht. Zudem sieht man nicht, ob vornedran die States oder Traffic mal getriggert wurden oder nicht.
Routingtabelle
OK laut Tabelle liegen .1 und .37 auch sauber mit /24 an und haben lokale Interfaces.
Sehe aber keinen Use? Neugestartet?
Die vielen Interfaces wären auch entweder ne sehr reichhaltige Hardware ;) oder virtualisiert? Warum nicht ein großes IF mit VLANs drauf?Insgesamt klingt das für mich nach Etwas, was ggf. vorgelagert schon schiefgeht. Also evtl wenn virtualisiert im Hypervisor, Switch Tagging, oder sonstwas, dass da was weggefressen wird.
Wenn die eine Richtung Ping geht und die andere nicht, müsste man das in der Firewall mit tcpdump/packet capture eigentlich mitlesen können. Es kann dann (bei Windows) höchstens noch die Firewall sein, da der Ping aus einem Fremdnetz kommt und Windows Firewall das per default gern auf das Interface Netz eingrenzt. Also ggf. Win Firewall mal abschalten/aufmachen. Aber wenn sonst was auf einem IF geht und auf dem anderen nicht, kann das nur noch entweder Routing, IPsec oder Hardware (Switch o.ä.) davor sein. Sonst wirds merkwürdig :)
Cheers
\jens -
Nein hier in Deutsch :) Hier gibts genauso "Neues Topic" wie in den Unterforen:
mein Fehler, werde versuchen das nächste mal bisschen besser darauf zu achten.
Alle mit /24? Schleicht sich ja gern mal irgendwo nen Tippfehler/Dropdown Fehler ein
Leider nein hab nochmal (zum wahrscheinlich 242mal nachgeschaut)
Insgesamt klingt das für mich nach Etwas, was ggf. vorgelagert schon schiefgeht. Also evtl wenn virtualisiert im Hypervisor, Switch Tagging, oder sonstwas, dass da was weggefressen wird.
Leider nichts davon am Start
[...] Also ggf. Win Firewall mal abschalten/aufmachen.
War bei der Ersteinrichtung tatsächlich der Fall... hatte die Win Firewall tatsächlich vergessen gehabt auf dem einen System. (aber bevor ich es hier gepostet habe wars gefixt).
SOLVED
meine Lösung... wenn man es als Lösung bezeichnen kann / will.
Nach einem Neustart schien es öfter mal sporadisch für wenige Stunden zu funktionieren.
Habe die komplette Festplatte mal platt gemacht und wollte alles neu aufspielen.
Dabei ist mir aufgefallen, dass bei der Installation immer wieder ein komischer Fehler auftaucht.
Neue SSD rein und voila bis jetzt scheint alles zu funtzen.Vielen dank für die Hilfe und Unterstützung @ JeGr
**edit:... wie kann ich den Hauptpost auf gelöst setzen ?
erhalte immer die Meldung
"You are only allowed to edit posts for 3600 second(s) after posting" -
@fwalser Autsch, also wirklich nur ne defekte Platte aktuell? Das ist natürlich hart :/
Aber du meintest auch "nix davon vorhanden" - du hast doch da keine Hardware laufen die 30+ IGB Interfaces hat?
-
-
@fwalser Okidok, wieder was dazu gelernt. Hab ich nur selten gesehen, weil es dann oft doch eher via 10G oder 25/40G Uplink und VLANs gemacht wird, statt so viele Gigabit Ports einzeln zu haben. Aber dann ist das natürlich was Anderes :D
-
man nimmt was man eben an hardware hat