Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    2.3.5-RELEASE (i386) und weiteres GW im LAN

    Deutsch
    2
    4
    319
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      teiln999
      last edited by teiln999

      Hallo zusammen,
      ich verstehe leider "die Welt" nciht mehr und bitte um Hilfe.

      Die alte pfSense (auf einem IGEL mit VLAN Switch) kann leider kein Wireguard, brauche ich aber. Es gibt auch leider kein neueres 32-Bit Release und ein Hareware Wechsel ist derzeit nicht möglich, damit kein Wireguard.

      Also habe ich im LAN der pfSense (10.0.5.254/24) auf einem kleinen gl-mt300n-v2 (10.0.5.180/24 LAN + 10.0.21.1/28 wg) mit neuer openwrt firmware (nicht die originale Firmware) Wireguard installiert. In der pfSense ist ein Gateway angelegt mit Schnittstelle LAN und als Route dann eingetragen 10.0.21.0/28 (subnetiertes Tranbsfernetz vom Wireguard) zu 10.0.5.180. Der Wireguard Client hat als WG Io 10.0.21.2 .

      Ich kann vom gesamten 10.0.5.0/24 LAN den PC mit wg IP 10.0.21.2/28 erreichen, von diesem PC auch alle Geräte im Netzwerk 10.0.5.0/24 pingen.
      Auch kann ich vom diesem PC die Website der pfSense mit https://10.0.5.254:Port erreichen, ebenso den wg Server mit 10.0.5.180.

      Mehr nicht! Keinen Drucker im LAN 10.0.5.xxx/24. Mache ich "tracert 10.0.21.2" von einem Test-PC (Standard GW ist die pfSense mit 10.0.5.254) im Netzwerk 10.0.5.xxx/24 sehe ich folgendes:

      Erste Route: pfSense mit 10.0.5.254
      dann zurück zu 10.0.5.180 (wg Server)
      dann zum Client 10.0.21.2

      Setze ich nun auf dem Windows Client eine extra Route mit
      route add 10.0.21.0 mask 255.255.255.240 10.0.5.180
      sieht dies Sache so aus:
      Erste Route direkt zu 10.0.5.180 (wg Server)
      dann zum Client 10.0.21.2

      Damit erreiche ich nun vom wg Client 10.0.21.2 alle Dienste auf dem Test-PC mit allen Protokollen (http,https,rdp, etc.

      Findet hier eine Filterung an der LAN Schnittstelle vor GW weiterleitung über die gleiche LAN Schnittstelle statt? Das kann doch garnicht sein?

      Helft mir bitte.
      Teiln999

      T 1 Reply Last reply Reply Quote 0
      • T
        teiln999 @teiln999
        last edited by

        @teiln999 said in 2.3.5-RELEASE (i386) und weiteres GW im LAN:

        Hallo zusammen,
        ich verstehe leider "die Welt" nciht mehr und bitte um Hilfe.

        Die alte pfSense (auf einem IGEL mit VLAN Switch) kann leider kein Wireguard, brauche ich aber. Es gibt auch leider kein neueres 32-Bit Release und ein Hareware Wechsel ist derzeit nicht möglich, damit kein Wireguard.

        Also habe ich im LAN der pfSense (10.0.5.254/24) auf einem kleinen gl-mt300n-v2 (10.0.5.180/24 LAN + 10.0.21.1/28 wg) mit neuer openwrt firmware (nicht die originale Firmware) Wireguard installiert. In der pfSense ist ein Gateway angelegt mit Schnittstelle LAN und als Route dann eingetragen 10.0.21.0/28 (subnetiertes Tranbsfernetz vom Wireguard) zu 10.0.5.180. Der Wireguard Client hat als WG Io 10.0.21.2 .

        Ich kann vom gesamten 10.0.5.0/24 LAN den PC mit wg IP 10.0.21.2/28 erreichen, von diesem PC auch alle Geräte im Netzwerk 10.0.5.0/24 pingen.
        Auch kann ich vom diesem PC die Website der pfSense mit https://10.0.5.254:Port erreichen, ebenso den wg Server mit 10.0.5.180.

        Mehr nicht! Keinen Drucker im LAN 10.0.5.xxx/24. Mache ich "tracert 10.0.21.2" von einem Test-PC (Standard GW ist die pfSense mit 10.0.5.254) im Netzwerk 10.0.5.xxx/24 sehe ich folgendes:

        Erste Route: pfSense mit 10.0.5.254
        dann zurück zu 10.0.5.180 (wg Server)
        dann zum Client 10.0.21.2

        Setze ich nun auf dem Windows Client eine extra Route mit
        route add 10.0.21.0 mask 255.255.255.240 10.0.5.180
        sieht dies Sache so aus:
        Erste Route direkt zu 10.0.5.180 (wg Server)
        dann zum Client 10.0.21.2

        Damit erreiche ich nun vom wg Client 10.0.21.2 alle Dienste auf dem Test-PC mit allen Protokollen (http,https,rdp, etc.

        Findet hier eine Filterung an der LAN Schnittstelle vor GW weiterleitung über die gleiche LAN Schnittstelle statt? Das kann doch garnicht sein?

        Helft mir bitte.
        Teiln999

        Ich habe es selbst gelöst. Ich bin in das Problem mit https://docs.netgate.com/pfsense/en/latest/routing/static.html#figure-asymmetric-routing getappt.

        Danke.

        1 Reply Last reply Reply Quote 0
        • N
          NOCling
          last edited by NOCling

          Gut, dass du es hinbekommen hast.
          Aber eine so alte Software auf einem sicherheitsrelevanten Teil wie einer Firewall einzusetzen ist schon kritisch.
          Zu Zeiten des Lockdowns könnte ich ja verstehen, dass man die Hardware wegen Zugangs- und Reisebeschränkungen sowie Lieferproblemen nicht einfach mal tauschen kann.

          Aber das ist vorbei und dann sollte man das jetzt anfangen zu planen, der Software Stand ist um die 4 Jahre alt.

          Es gibt auch gute gebrauchte Hardware, die nicht viel kostet, wenig Strom verbraucht und locker 1GBit Durchsatz auch im IPsec schafft.

          Netgate 6100 & Netgate 2100

          T 1 Reply Last reply Reply Quote 1
          • T
            teiln999 @NOCling
            last edited by

            @NOCling , ja da hast Du recht.

            Danke.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.