Routingprobleme



  • Hallo !

    Ich hab mal wieder eine Problem. Ich hab pfSense als Multiwan-Router. Als Internetleitungen hab ich WAN und OPT1. mein Netzwerk ist LAN. Ich habe vor jedem WAN ein Router um Loadblancing zu machen.

    Internet -> Router ->192.168.10.0/24 -> WAN –|
                                                                      ------> LAN 192.168.2.0/24
    Internet -> Router ->192.168.1.0/24 -> OPT1  -

    Jetzt hab ich die Situation, dass in dem Netzwerk von OPT1 noch ein Server steht der erreichbar sein muss für das LAN. Seine Adresse lautet 192.168.1.199 . Also hab ich eine Rule erstellt im LAN:

    Proto  Source  Port  Destination          Port  Gateway  Description 
      *   LAN net   *   192.168.1.199       *     *           Zugriff auf F-Server

    und eine im OPT1

    Proto      Source  Port  Destination  Port  Gateway 
    TCP/UDP OPT1 net *   LAN net         *       *

    das anpingen funktioniert wunderbar. Allerdings mein die Anmeldung an den Dienst an dem Server, dass er nicht da sei. gibt es eine möglichkeit eine Virtuelle IP zu erstellen (192.168.2.199) welche dann alle anfragen an diese ip an die eigentliche ip umleitet 192.168.1.199?

    den server kann ich übrigens nicht umstellen, da es eine Telefonanlagenserver ist und diese Umstellung geld kostet. mal ganz zu schweigen, dass dann alle telefone (IP-Telefone) umgestellt werden müssen.



  • Da es sich um einen Telefonanlagenserver handelt und vmtl. SIP beteiligt ist würde ich versuchen am OPT1 kein NAT zu machen, zumindest nicht für diese IPs.  In welchem Subnet befinden sich die Telefone? Im LAN oder im OPT1 direkt? Wenn's im OPT1 ist wäre es ja egal, solange keine VoIP-Clients sich auch im LAN befinden.

    Da interessanterweise das Anpingen funktioniert frage ich mich an welcher Stelle Deine Regeln stehen. Sind die bereits ganz oben in der jeweiligen Liste?



  • hallo!

    also die telefone sind komplett in dem netzwerk 192.168.1.0/24 . das war auch der sinn. ich wollte die telefone von den rechnern trennen. jedenfalls im netzwerk.

    Router: 192.168.1.1
    Teefonanlage F-Server: 192.168.1.199
    Telefone: 192.168.1.100 - 150
    pfSense OPT1: 192.168.1.222

    Warum das so blöd ist, liegt an der konfiguration von meinem vorgänger. ich hab das kaos sozusagen übernommen.
    den router 192.168.1.1 kann ich IP-Technisch nicht ändern. dieser router wird vom provider gestellt und eine umstellung kostet ein haufen geld. die telfonanlage kann ich ebenfalls nicht ändern, da ich kein adminpasswort habe (hat nur T-Com). und die rechner musste aus dem netzwerk da ich wegen internetproblemen eine zweite leitung gemietet habe und loadbalancing mache. ich weis ich weis. die lösung ist nicht befriedigend, aber ändern tut sich das erst wenn die firma in einem jahr umzieht. solange muss ich eine notlösung finden.

    Internet 1 -> Router -> 192.168.1.0/24          ->        pfSense WAN–-|
                                    (Telefonserver+IP-Telfone)
                                                                                                    |---> pfSense LAN ->192.168.2.0/24

    Internet 2 -> Router -> 192.168.10.0/24        ->          pfSense OPT1-|
                                    (Computer + Server)

    Das Problem scheint aber an der Software zu liegen. Ich kann auf die Freigabe des Telfonservers zugreifen und mit der Adminsoftware kann ich die anlage auch auslesen. nur die agentensoftware will nicht. warum weiss ich nicht.



  • Was für eine VoIP-Software ist das denn? Netphone?

    Welche clients sind jetzt eigentlich im pfSense LAN? Ich verstehe das Setup immer noch nicht so ganz.



  • hallo !

    ja, genau. ich hab die setup auch nicht gleich verstanden.  ???

    also wir haben eine t-octopus telefonanlage mit einem sogenannten F-Server500 . das zeugs ist von siemens. dort ist ein multiplexanschluss und eine normale isdn angeschlossen nach aussen.
    im gebäude 1 wo auch die anlage steht, sind die telefone normal über die telefonverkabelung an die anlage angeschlossen. also der klassiker. da zum nebengebäude aus einem mir unerdenklichen grund, aber kein kupferkabel gezogen wurde, sondern nur ein optisches datenkabel, hat mein chef sich entschlossen die telefonie im nebengebäude mit VoIP-Telefonen zu machen. dazu ist in der telefonanlage eine baugruppe eingebaut, die die IP-Telefonie wieder aufs ISDN umsetzt und die telefone (F31 übrigens) sind im nebengebäude ganz normal am switch drann welcher über das optische kabel mit dem switch verbunden ist, der im gebäude 1 steht.

    jetzt wird vom selben anbieter auch sdsl geliefert und die haben gleich einen router neben die anlage gestellt wo die ipadresse des routers eben 192.168.1.1 war und dann haben sie gesagt, das die telefone und die telefonanlage im selben netz sein müssen, damit die per fernwartung (pcanyware lach) die anlage steuern können.
    mein vorgänger hat nur im laufe der zeit jeden weiteren rechner einfach in das gleiche netz gefummelt. rechner für rechner für rechner. da die firma sehr schnell gewachsen ist, haben wir jetzt in etwa 50 rechner und ein haufen IP-Telefone. Die switche sind "nur" 100mbit und alle IP´s waren bis letzte woche noch alle per hand vergeben. natürlich ohne konzept und schlecht gepflegter dokumentation.

    so das ist die ausgangslage.

    wegen häufiger netzausfälle haben wir einen adsl-anschluss zusätzlich genommen. dieser ist allerdings im nebengebäude und das macht es etwas schwieriger. weil ich die IP des alten routers (192.168.1.1) nicht ändern kann und darf muss ich die rechner in ein anders netz bringen um multiwan zu realisieren. deshalb hab ich pfSense auf einen rechner installiert und den adsl anschluss ans OPT1 gehangen und WAN einfach an den switch angeschlossen wo jetzt noch alle rechner in dem netzwerk 192.168.1.0/24 agierten. dann hab ich den dhcp konfiguriert und danach die rechner auf dhcp gestellt die jetzt im netz 192.168.2.0/24 sind. es ist nicht die eleganteste lösung, aber weil alles schnell gehen musste und kaum geld da ist für sowas …...... naja kennt jeder.

    jetzt kommt das eigentliche problem. die callcentermitarbeiter haben ein programm auf dem rechner. es ist ein agentensoftware mit dem sich jeder "agent" am telefonserver (der noch im netzwerk 192.168.1.0 steht) anmelden kann. mit dieser software kann er sich an und abmelden, in nachbearbeitung gehen und solche dinge. das macht nun ärger. ich habe eine rule für das lan und eine rule für das opt1 erstellt (siehe oben) was eigentlich den verkehr freigibt. und ich muss sagen, das funktioniert auch im grunde. ich kann jetzt auf die windowsfreigaben des telefonservers zugreifen, ich kann mit der adminsoftware die telefonanlage auslesen und konfigurieren und ich kann sogar mit dieser agentensoftware mich anmelden. aber das wars. anmelden geht, aber dann bleiben alle funktionen deaktiviert. wenn ich in den settings dieser software den server suche (kann man ip einstellen), dann findet der den einfach nicht. die verbindung läuft über tcp port 8422 glaub ich, aber der findet den nicht. inzwischen glaub ich, das es tatsächlich ein fehler an der software ist. die kommt irgendwie nicht damit klar das der server im anderen netzwerk steht.
    ich werde mir heute in einer freien minute aber mal den netzwerkverkehr mit nem sniffer ansehen und schauen was die software da macht und sucht.

    ich hab gedacht, dass eventuell jemand schon solch einen fehler hatte. die telfonanlage ist ja recht weit verbreitet.

    dank dir



  • Also ich würde mir ein Wochenede nehmen und das alles "begradigen" (also jetzt nicht ich persönlich ;D ). Mit dem Setup wirst Du vmtl nicht besonders froh werden. Das Problem liegt übrigens vmtl. an Folgendem: Durch das Loadbalancing wird von LAN nach OPT1 genattet, d.h. alle Clients sehen für den Telefonserver aus als wäre es die gleiche IP (nämlich die OPT1 IP der pfSense). Das kannst Du wieder Geradebiegen indem Du unter firewall>nat, outbound advanced outbound nat aktivierst und die Regeln manuell schreibst. Du hast dort auch die Möglichkeit eine Regel zu erstellen, die "no nat", also kein NAT durchführt. Erstelle für das WAN und für das OPT1 die normalen NAT regeln (wird für dich für das WAN automatisch bereits angelegt, wenn Du advanced outbound nat aktivierst). Die kopiere rüber mit entsprechend geänderten OPT1 Settings, damit er auch am OPT1 NAT macht. Dann erstelle eine "no nat"-Regel über der normalen NAT-Regel für OPT1, damit zwischen OPT1 und LAN nicht mehr genattet wird, wenn er ins OPT1-Subnet rein will. Denke das müßte dann gehen.



  • Hallo !

    Ja das klingt alles sehr logisch. Die normalen Regeln für OPT1 und WAN mit NAT hatte ich ja schon drinn für das Loadbalancing. ich hab jetzt die no-nat regel drüber gestellt für OPT1.

    Interface  Source  Source Port  Destination  Destination Port  NAT Address  NAT Port  Static Port
    OPT1  192.168.2.0/24      *       192.168.1.0/24     *                    *                 *             NO

    leider funktioniert da was noch nicht ganz. eine rule gibts auch schon das der verkehr durchgelassen wird.



  • Ich glaube da hilft dann wirklich nur noch sniffen um zu sehen, was da wirklich passiert.

    Ahm, hat denn die TK-Anlage eine Route in das 192.168.2.x/24 Netz? Bzw. der Gateway, den die TK-Anlage benutzt? Sonst funktioniert ja die Rückroute überhaupt nicht.



  • hallo !

    ich glaube dort liegt das problem. der telefonserver hat keine route in das 192.168.2.0er netz. und leider hab ich keine rechte das zu erledigen, weil ich kein adminpasswort habe.



  • Aus servicerechtlichen Gründen musst Du dann wohl mal die Wartungsfirma anrufen, es sei denn Du willst das Adminkennwort "manuell" umsetzen (ist ein Windows System, richtig?). Sollte aber irgendwas danach nicht mehr gehen (weil z.B. irgendwelche Dienste als Administrator ausgeführt werden, warum auch immer), stehst Du halt blöd da. Abgesehen davon solltest Du vorher den Servicevertrag lesen, nicht, daß Du dann gegen irgendwas verstößt und die sich nicht mehr zuständig fühlen. Oder frage sie, ob sie Dir einen Adminaccount anlegen können. Du brauchst ihn um derartige Konfigurationen einszustellen.



  • hallo !

    wenn es ein servicevertrag geben würde …....
    tcha sowas war hier bisher immer zu teuer.

    ich werde wohl um eine kostenpflichtige umstellung nicht drumkommen. das letzte wort hat da aber der chef. ich kann ihm nur die fakten auf den tisch legen. Danke trotzdem für die hilfe


Locked