Eine Frage des Routings… oder subnetting at its best



  • Hallo zusammen,

    ich habe mit dem Setup von pfsense als Traffic Shaper folgendes Problem:

    Bisher ist ein Routing Switch für die LAN clients der default gateway, also 10.24.232.132/22. Diese IP soll das LAn niterface bekommen und das Routing vom Switch übernehmen. Die Routingtabelle des Switches sieht so aus:

    ip route 10.24.0.0 255.255.0.0 10.24.232.3
    ip route 0.0.0.0 0.0.0.0 10.24.232.1
    ip route 172.29.64.0 255.255.224.0 10.24.232.3
    ip route 172.29.128.0 255.255.224.0 10.24.232.3
    ip route 172.29.192.0 255.255.224.0 10.24.232.3
    ip route 10.24.236.0 255.255.254.0 10.24.232.1
    ip route 192.168.21.0 255.255.255.0 10.24.232.1
    ip route 192.168.22.0 255.255.255.0 10.24.232.1
    ip route 10.24.238.0 255.255.254.0 10.24.232.1

    Wie man sieht sind hier 2 Gateways am Start, die .1 und die .3 beide auch mit der Subnetzmaske /22. Wenn ich einfach hingehe und dem WAN interface z.Bsp. die .133/22 gebe, funktioniert es nicht, weil beide Interfaces im gleichen Netz liegen - dank an hoba!

    Nun, nach diesem doch sehr offensichtlichen Fehler, die Frage, ob die IP .6/29 für das WAN interface in Frage kommt.

    Die beiden IP´s .1 und .3 liegen in diesem Subnetz und das Routing auf der pfsense box schnallt es jetzt auch, weil nach Adam Riese ja die Route mit den meisten Überinstimmungen in der Subnetzmaske genommen wird. Klar müsste man sicherstellen, dass alle weiteren IP´s dieses Netzes auch über WAN interface zu erreichen sein müssen ( ich rede gerade über .1, .2, bis .5 ).

    Um das ganze so transparent wie möglich zu machen, gibts bestimmt auch noch ein Paar Tipps von Euch, oder?

    Vielen Dank für alle Lösungsvorschläge!

    Grüße
    mrt_ok

    PS: ganz transparent wäre mir am liebsten (bridged), aber da geht ja der TrafficShaper nicht, oder doch?



  • Hallo zusammen,

    kann mir denn wirklich niemand helfen - oder kämpft der hoba alleinauf weiter Flur?

    grüße
    mrt_ok



  • Hallo zusammen,

    also wie es scheint - ist das eine gute Idee. Ich habe jetzt hier zuhause ein ähnliches setup gefahren und das
    traffic shaping läuft supi - eine frage: muss ich stets zwei regeln generieren wie es der Wizard macht?

    grüße
    mrt_ok

    PS: hoba, ich nehme auch eine Antwort von Dir ;-) Weil sonst ja eh keiner antwortet…

    hier mal die config.xml und noch die frage, ob ich advanced outbound nat brauche??
    <sorry für="" das="" nicht-pretty="" printing!="">- <pfsense><version>2.3</version>
      <lastchange><theme>metallic</theme>

    • <system><optimization>normal</optimization>
        <hostname>pfsense</hostname>
        <domain>local</domain>
        <username>admin</username>
        <password>$1$dSJImFph$GvZ7.1UbuWu.Yb8etC0re.</password>
        <timezone>Etc/UTC</timezone>
        <time-update-interval>300</time-update-interval>
        <timeservers>pool.ntp.org</timeservers>
    • <webgui><protocol>http</protocol>
        <certificate><private-key></private-key></certificate></webgui>
        <enablesshd>yes</enablesshd>

    <maximumstates><polling><dnsserver>10.0.0.254</dnsserver></polling></maximumstates></system>

    • <interfaces>- <lan><if>em0</if>
        <ipaddr>10.0.0.250</ipaddr>
        <subnet>24</subnet>
        <media><mediaopt><bandwidth>100</bandwidth>
        <bandwidthtype>Mb</bandwidthtype></mediaopt></media></lan>

    • <wan><if>em1</if>
        <mtu><media><mediaopt><bandwidth>100</bandwidth>
        <bandwidthtype>Mb</bandwidthtype>
        <spoofmac><disableftpproxy><ipaddr>10.0.0.253</ipaddr>
        <subnet>28</subnet>
        <gateway>10.0.0.254</gateway></disableftpproxy></spoofmac></mediaopt></media></mtu></wan></interfaces>
        <staticroutes><pppoe><pptp><bigpond>- <dyndns><type>dyndns</type>
        <username><password></password></username></dyndns>

    • <dhcpd>- <lan>- <range><from>10.24.232.10</from>
        <to>10.24.232.245</to></range></lan></dhcpd>

    • <pptpd><mode><redir><localip></localip></redir></mode></pptpd>
        <ovpn>- <dnsmasq><enable></enable></dnsmasq>

    • <snmpd><syslocation><syscontact><rocommunity>public</rocommunity></syscontact></syslocation></snmpd>

    • <diag><ipv6nat></ipv6nat></diag>
        <bridge><syslog>- <nat>- <ipsecpassthru><enable></enable></ipsecpassthru>
        <advancedoutbound></advancedoutbound></nat>

    • <filter>- <rule><type>pass</type>
        <interface>wan</interface>
        <max-src-nodes><max-src-states><statetimeout><statetype>keep state</statetype>
        <os>- <source>
        <any>- <destination><any></any></destination></any></os></statetimeout></max-src-states></max-src-nodes></rule>

    • <rule><type>pass</type>
        <interface>lan</interface>
        <max-src-nodes><max-src-states><statetimeout><statetype>keep state</statetype>
        <os>- <source>
        <any>- <destination><any></any></destination>
        <descr>Default LAN -> any</descr></any></os></statetimeout></max-src-states></max-src-nodes></rule></filter>

    • <ipsec><preferredoldsa></preferredoldsa></ipsec>
        <aliases><proxyarp><wol><installedpackages>- <revision><description>/firewall_shaper_queues.php made unknown change</description>
        <time>1160430114</time></revision>

    • <shaper><schedulertype>hfsc</schedulertype>

    • <queue><name>qwanRoot</name>
        <associatedrule>0</associatedrule>
        <priority>0</priority>
        <parentqueue>on</parentqueue>
        <bandwidth>96</bandwidth>
        <bandwidthtype>Kb</bandwidthtype></queue>

    • <queue><name>qlanRoot</name>
        <associatedrule>0</associatedrule>
        <priority>0</priority>
        <parentqueue>on</parentqueue>
        <bandwidth>448</bandwidth>
        <bandwidthtype>Kb</bandwidthtype></queue>

    • <queue><name>qwandef</name>
        <attachtoqueue>qwanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <defaultqueue>true</defaultqueue>
        <priority>3</priority>
        <realtime>on</realtime>
        <realtime3>1%</realtime3>
        <bandwidth>1</bandwidth>
        <bandwidthtype>%</bandwidthtype>
        <qlimit>500</qlimit></queue>

    • <queue><name>qlandef</name>
        <priority>3</priority>
        <attachtoqueue>qlanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <defaultqueue>true</defaultqueue>
        <realtime>on</realtime>
        <realtime3>1%</realtime3>
        <bandwidth>1</bandwidth>
        <bandwidthtype>%</bandwidthtype>
        <qlimit>500</qlimit></queue>

    • <queue><name>qwanacks</name>
        <ack><attachtoqueue>qwanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>7</priority>
        <realtime>on</realtime>
        <realtime3>10%</realtime3>
        <bandwidth>5</bandwidth>
        <bandwidthtype>%</bandwidthtype></ack></queue>

    • <queue><name>qlanacks</name>
        <ack><attachtoqueue>qlanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>7</priority>
        <realtime>on</realtime>
        <realtime3>10%</realtime3>
        <bandwidth>5</bandwidth>
        <bandwidthtype>%</bandwidthtype></ack></queue>

    • <queue><name>qVOIPUp</name>
        <attachtoqueue>qwanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>7</priority>
        <realtime>on</realtime>
        <realtime3>32Kb</realtime3>
        <bandwidth>1</bandwidth>
        <bandwidthtype>%</bandwidthtype></queue>

    • <queue><name>qVOIPDown</name>
        <attachtoqueue>qlanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>7</priority>
        <realtime>on</realtime>
        <realtime3>32Kb</realtime3>
        <bandwidth>1</bandwidth>
        <bandwidthtype>%</bandwidthtype></queue>

    • <queue><name>qP2PUp</name>
        <attachtoqueue>qwanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>1</priority>
        <red>on</red>
        <ecn>on</ecn>
        <realtime>on</realtime>
        <realtime3>1Kb</realtime3>
        <bandwidth>1</bandwidth>
        <bandwidthtype>%</bandwidthtype>
        <qlimit>500</qlimit></queue>

    • <queue><schedulertype><bandwidth>1</bandwidth>
        <bandwidthtype>%</bandwidthtype>
        <priority>1</priority>
        <name>qP2PDown</name>
        <borrow><linkshare><linkshare3><linkshare2><linkshare1><realtime>on</realtime>
        <realtime3>1Kb</realtime3>
        <realtime2><realtime1><upperlimit>on</upperlimit>
        <upperlimit3>16Kb</upperlimit3>
        <upperlimit2><upperlimit1><parentqueue><attachtoqueue>qlanRoot</attachtoqueue>
        <associatedrule><rio><red>on</red>
        <ecn>on</ecn>
        <defaultqueue></defaultqueue></rio></associatedrule></parentqueue></upperlimit1></upperlimit2></realtime1></realtime2></linkshare1></linkshare2></linkshare3></linkshare></borrow></schedulertype></queue>

    • <queue><name>qGamesUp</name>
        <attachtoqueue>qwanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>5</priority>
        <realtime>on</realtime>
        <realtime3>1Kb</realtime3>
        <bandwidth>5</bandwidth>
        <bandwidthtype>%</bandwidthtype></queue>

    • <queue><name>qGamesDown</name>
        <attachtoqueue>qlanRoot</attachtoqueue>
        <associatedrule>0</associatedrule>
        <priority>5</priority>
        <realtime>on</realtime>
        <realtime3>1Kb</realtime3>
        <bandwidth>5</bandwidth>
        <bandwidthtype>%</bandwidthtype></queue>

    • <rule><descr>DiffServ/Lowdelay/Upload</descr>
        <inqueue>qVOIPDown</inqueue>
        <outqueue>qVOIPUp</outqueue>
        <in-interface>lan</in-interface>
        <out-interface>wan</out-interface>

    • <source>
        <network>lan</network>

    • <destination><any></any></destination>
        <iptos>lowdelay</iptos></rule>

    • <rule><descr>DiffServ/Lowdelay/Download</descr>
        <inqueue>qVOIPUp</inqueue>
        <outqueue>qVOIPDown</outqueue>
        <in-interface>wan</in-interface>
        <out-interface>lan</out-interface>

    • <source>
        <any>- <destination><network>lan</network></destination>
        <iptos>lowdelay</iptos></any></rule>

    • <rule><inqueue>qGamesUp</inqueue>
        <outqueue>qGamesDown</outqueue>
        <in-interface>wan</in-interface>
        <out-interface>lan</out-interface>

    • <source>
        <any>- <destination><network>lan</network>
        <port>1200-1200</port></destination>
        <descr>m_Game HL2-2 inbound</descr>
        <protocol>udp</protocol></any></rule>

    • <rule><inqueue>qGamesUp</inqueue>
        <outqueue>qGamesDown</outqueue>
        <in-interface>wan</in-interface>
        <out-interface>lan</out-interface>

    • <source>
        <any>- <destination><network>lan</network>
        <port>27000-27015</port></destination>
        <descr>m_Game HL2-3 inbound</descr>
        <protocol>udp</protocol></any></rule>

    • <rule><inqueue>qGamesDown</inqueue>
        <outqueue>qGamesUp</outqueue>
        <in-interface>lan</in-interface>
        <out-interface>wan</out-interface>

    • <source>
        <network>lan</network>

    • <destination><any><port>1200-1200</port></any></destination>
        <descr>m_Game HL2-2 outbound</descr>
        <protocol>udp</protocol></rule>

    • <rule><inqueue>qGamesDown</inqueue>
        <outqueue>qGamesUp</outqueue>
        <in-interface>lan</in-interface>
        <out-interface>wan</out-interface>

    • <source>
        <network>lan</network>

    • <destination><any><port>27000-27015</port></any></destination>
        <descr>m_Game HL2-3 outbound</descr>
        <protocol>udp</protocol></rule>

    • <rule><inqueue>qGamesDown</inqueue>
        <outqueue>qGamesUp</outqueue>
        <in-interface>lan</in-interface>
        <out-interface>wan</out-interface>

    • <source>
        <network>lan</network>

    • <destination><any><port>27020-27050</port></any></destination>
        <descr>m_Game HL2-1 outbound</descr>
        <protocol>tcp</protocol></rule>

    • <rule><inqueue>qGamesUp</inqueue>
        <outqueue>qGamesDown</outqueue>
        <in-interface>wan</in-interface>
        <out-interface>lan</out-interface>

    • <source>
        <any>- <destination><network>lan</network>
        <port>27020-27050</port></destination>
        <descr>m_Game HL2-1 inbound</descr>
        <protocol>tcp</protocol></any></rule>

    • <rule><in-interface>lan</in-interface>
        <out-interface>wan</out-interface>
        <protocol>tcp</protocol>

    • <source>
        <network>lan</network>

    • <destination><address>xxx.xxx.xx.x/24</address>

    <port>80</port></destination>
      <direction><iptos><tcpflags><descr>m_P2P BitTorrent outbound AMO</descr>
      <inqueue>qP2PDown</inqueue>
      <outqueue>qP2PUp</outqueue></tcpflags></iptos></direction></rule>

    • <rule><in-interface>wan</in-interface>
        <out-interface>lan</out-interface>
        <protocol>tcp</protocol>
    • <source>

    <address>xxx.xxx.xx.x/24</address>

    <port>80</port>

    • <destination><network>lan</network></destination>
        <direction><iptos><tcpflags><descr>m_P2P BitTorrent inbound AMO Netz</descr>
        <inqueue>qP2PUp</inqueue>
        <outqueue>qP2PDown</outqueue></tcpflags></iptos></direction></rule>
        <enable></enable></shaper>
    • <ezshaper>- <step2><download>448</download>
        <upload>96</upload>
        <inside_int>lan</inside_int>
        <outside_int>wan</outside_int></step2>
    • <step3><provider>Generic</provider>

    <address>
      <bandwidth>32</bandwidth>
      <enable>on</enable>

    • <step6><msrdp><vnc><appleremotedesktop><pcanywhere><irc><jabber><icq><aolinstantmessenger><msnmessenger><teamspeak><pptp><ipsec><streamingmp3><rtsp><http><smtp><pop3><imap></imap></pop3></smtp></http></rtsp></streamingmp3></ipsec></pptp></teamspeak></msnmessenger></aolinstantmessenger></icq></jabber></irc></pcanywhere></appleremotedesktop></vnc></msrdp></step6>
    • <step4><enable>on</enable>
        <bittorrent>on</bittorrent></step4>
    • <step5><enable>on</enable>
        <halflife2>on</halflife2></step5>

    </address></step3></ezshaper></installedpackages></wol></proxyarp></aliases></syslog></bridge></ovpn></bigpond></pptp></pppoe></staticroutes></lastchange></pfsense></sorry>



  • Wir generieren NAT für subnetze, die über statische Routen erreichbar sind automatisch, d.h. Du brauchst nur Firewallregeln.

    Das Trafficshaping funktioniert immer ausgehend auf einem Interface, d.h. der Upstream ist ausgehender Traffic auf dem WAN Interface, der Downstream ist ausgehender Traffic auf dem LAN Interface. Das bedeutet, Du brauchst jeweils auf den beteiligten Interfaces Queues und auch Regeln, die den Traffic in diese Queues zuweisen.


  • LAYER 8 Moderator

    Und BTW: Antworten würde ich gerne, wenn ich dazu etwas wüsste. Allerdings gestehe ich auch gern ein, dass ich das Initialposting leicht verwirrend fand :) Da ich ein durchaus grafischer Mensch bin, komme ich einfacher mit einem kleinen schönen Plan zurecht als nur mit Routen und Masken ;)

    Wollte damit nur andeuten: Holger ist im deutschen Teil des Forums nicht allein, so ich meine bescheidenen Kenntnisse anbringen kann, werd ichs gerne tun :D



  • Hallo Ihr beiden,

    ja finde ich gut, dass Ihr dann dochmal gesagt habt, dass Ihr was nicht versteht - gerade mein Posting ist gemeint. ;-)

    Wie auch immer, um das jetzt klar zu haben:
    Advanced Outbound NAT brauche ich nur, falls ich Rechner auf LAN seite habe, die auch von WAN erreichen möchte.
    Seltsamerweise konnte ich mit obigem Setup den 10.0.0.254 nicht mehr pingen (vom LAN client). Ich gehe davon aus, dass es daran liegt, dass der client der Meinung ist ;-), dies ohne default gateway zu erreichen. Kann ich ihm nicht übel nehmen, da ich keine statische Route oder geänderte Netzmaske eingetragen habe, oder?

    danke für alles!


Log in to reply