Routing einrichten
-
Hallo Leute,
irgendwie stehe ich im Moment auf dem Schlau und brauche mal einen schnipserFolgendes Netz:
Office 1 (10.1.115.0/24) --- eth0(10.1.115.250) |pfsense 2.0| eth1 --- IPSec VPN --- eth1|pfsense 1.2.3| eth0(10.1.116.250) --- Office 2 (10.1.116.0/24) | + eth2(172.16.116.250) ----- SubOffice (172.16.116.0/24)Was ich möchte: Das jeder aus "Office 1" + "Office 2" Zugriff hat ins "SubOffice"
Was geht: Office 2 > SubOffice
Problem: Office 1 kann nicht auf SubOffice zugreifenMeine Versuche: Routing von Office 1 nach Office 2/SubOffice, ich scheitere jedoch immer wieder an den Gateway Einstellungen im Office 1.
Hat jemand eine Idee oder ist der Aufbau von Grund auf schon falsch?
Danke schon im vorhinein,
PD
-
Hi PacDemon,
mal eine kurze Zwischenfrage.
Statische IP-Vergabe oder DHCP-Netze ?
Wenn das hier…eth0(10.1.115.250) die LAN-IP des Routers ist, kann mich irgendwie an Reservierung für Broadcast erinnern.
Vielleicht hau ich da was durcheinander und es hat auch nichts damit zu tun, aber müsste nicht die xxx.xxx.xxx.250 für Broadcast reserviert sein ?Gruß orcape
-
Hi PacDemon,
mal eine kurze Zwischenfrage.
Statische IP-Vergabe oder DHCP-Netze ?
Wenn das hier…eth0(10.1.115.250) die LAN-IP des Routers ist, kann mich irgendwie an Reservierung für Broadcast erinnern.
Vielleicht hau ich da was durcheinander und es hat auch nichts damit zu tun, aber müsste nicht die xxx.xxx.xxx.250 für Broadcast reserviert sein ?Gruß orcape
Das ist Quatsch. Die Broadcastadresse ist die letzte Adresse in einem Netz. bei einem /24 Netz wäre das die .255
@PacDemon
Ich kenne mich mit IPsec nicht aus, aber deine Router müssten folgende Routinginformationen haben:pfsense2.0 muss wissen, dass über eth1 der pfsense1.2.3 (gateway) folgende netze zu erreichen sind:
10.1.116.0/24
172.16.116.0/24pfsense1.2.3 muss wissen, dass über eth1 der pfsense2.0 (gateway) folgendes Netz zu erreichen ist:
10.1.115.0/24pfsense1.2.3 muss wissen, wie das suboffice zu erreichen ist. du hast keinen router zwischen Office2 und suboffice eingezeichnet. wenn es dort einen dritten router gibt, dann ist das der gateway der pfsense1.2.3 für das netz 172.16.116.0/24
umgekehrt muss dieser router3 die netze "links von ihm in der zeichnung" kennen.
Bei den firewall regeln darauf achten, dass IP verbindungen "Ende-zu-Ende" Verbindungen sind, das heisst "Source-Netz zu Ziel-Netz". Enstprechend muss die Firewall diesen Verkehr erlauben.
-
Hi PacDemon,
mal eine kurze Zwischenfrage.
Statische IP-Vergabe oder DHCP-Netze ?
Wenn das hier…eth0(10.1.115.250) die LAN-IP des Routers ist, kann mich irgendwie an Reservierung für Broadcast erinnern.
Vielleicht hau ich da was durcheinander und es hat auch nichts damit zu tun, aber müsste nicht die xxx.xxx.xxx.250 für Broadcast reserviert sein ?Gruß orcape
Oh mein Fehler zu sagen das dies die Interne IP Adresse der FW ist. Aber ansonsten ist die Broadcast immer .255
PD
-
Hi PacDemon,
mal eine kurze Zwischenfrage.
Statische IP-Vergabe oder DHCP-Netze ?
Wenn das hier…eth0(10.1.115.250) die LAN-IP des Routers ist, kann mich irgendwie an Reservierung für Broadcast erinnern.
Vielleicht hau ich da was durcheinander und es hat auch nichts damit zu tun, aber müsste nicht die xxx.xxx.xxx.250 für Broadcast reserviert sein ?Gruß orcape
Das ist Quatsch. Die Broadcastadresse ist die letzte Adresse in einem Netz. bei einem /24 Netz wäre das die .255
@PacDemon
Ich kenne mich mit IPsec nicht aus, aber deine Router müssten folgende Routinginformationen haben:pfsense2.0 muss wissen, dass über eth1 der pfsense1.2.3 (gateway) folgende netze zu erreichen sind:
10.1.116.0/24
172.16.116.0/24pfsense1.2.3 muss wissen, dass über eth1 der pfsense2.0 (gateway) folgendes Netz zu erreichen ist:
10.1.115.0/24pfsense1.2.3 muss wissen, wie das suboffice zu erreichen ist. du hast keinen router zwischen Office2 und suboffice eingezeichnet. wenn es dort einen dritten router gibt, dann ist das der gateway der pfsense1.2.3 für das netz 172.16.116.0/24
umgekehrt muss dieser router3 die netze "links von ihm in der zeichnung" kennen.
Bei den firewall regeln darauf achten, dass IP verbindungen "Ende-zu-Ende" Verbindungen sind, das heisst "Source-Netz zu Ziel-Netz". Enstprechend muss die Firewall diesen Verkehr erlauben.
Hi Nachtfalke,
so habe ich das auch alles im Kopf, meine theoretisch. Einen Router 3 habe ich nicht, aus Office 2 kann ich auch schon nach SubOffice zugreifen,.Genau bei der PFSense2.0 happert es mit dem Routing, ins 10.1.116.0/24 komme ich, da das Routing über das IPSec schon angestellt wird. Ich habe auch schon auf der 2.0 das gateway versucht am eth1 einzurichten um danach das Routing zu machen (hat sich ja verändert zur 1.2.3). Aber bei Gateway sagt er mir ja schon das es nicht in dasselbe Netz gehört.
Siehe attachment.
Gruß,
PD
 -
Ich kenne mich mit IPsec nicht aus, aber den Gateway musst du vermutlich im IPsec konfigurieren.
Bei OpenVPN ist es jedenfalls so, dass ich am OpenVPN Server die Routen konfiguriere und nicht unter System -> Routing.Weitehrin ist der Gateway nicht die Adresse IM nächsten Netz sondern die Adresse des Routers der den Weg ins nächste Netz KENNT.
-
Ich kenne mich mit IPsec nicht aus, aber den Gateway musst du vermutlich im IPsec konfigurieren.
Bei OpenVPN ist es jedenfalls so, dass ich am OpenVPN Server die Routen konfiguriere und nicht unter System -> Routing.Weitehrin ist der Gateway nicht die Adresse IM nächsten Netz sondern die Adresse des Routers der den Weg ins nächste Netz KENNT.
Danke schon mal,
in diesem Fall müßte ich ja 10.1.116.250 angeben, dieser kennt den Weg in das 172.16.116.0/24 Netz. Aber das lässt mich halt die pfSense
in Office 1 nicht einstellen wie im vorherigen Post schon geschrieben. Im IPSec kann ich keine weiteren Routen eintragen :(Hmm jetzt sitz ich etwas da. Vielleicht sollte ich mal die Frage in der englischen Sektion machen.
Gruß,
PD -
Ja, im englisch sprachigen Forum wirst du sicherlich mehr und vor allem kompetente Hilfe zum Thema IPsec und Routing bekommen ;)
Evtl. hilft auch ein etwas aussagekräftigeres Topic als auch eine bischen optimierte Netzwerkzeichnung.