Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VIP Adressen und ihre Probleme

    Deutsch
    2
    6
    2.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fjixess.net
      last edited by

      Komme mit den VIP's nicht weiter!
      PFsense 2.02 mit 2 Nic's, ich will im LAN zwei zusätzliche IP Pools zum laufen bringen, die müssen nicht einmal zugriff aus Internet haben, ich verwende die beiden Pools als Trägernetz in einem Wlan Netz mit 65 Clienten!
      Die VIP habe ich an der Lan Seite eingetragen und im Outbound und NAT hinzugefügt, ich kann aber keine der VIP anpingen! Meine Ifconfig sieht so aus:

      ifconfig
      em0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
      options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 90:e2:ba:21:c8:4d
      inet 176.xxx.xxx.xxx netmask 0xffffffe0 broadcast 176.xxx.xxx.xxx
      inet6 fe80::xxx%em0 prefixlen 64 scopeid 0x1
      nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)
      status: active
      em1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
      options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 90:e2:ba:21:c8:87
      inet 192.168.6.1 netmask 0xffffff00 broadcast 192.168.6.255
      inet6 fe80::92e2:baff:fe21:c887%em1 prefixlen 64 scopeid 0x2
      inet 192.169.0.152 netmask 0xffffff00 broadcast 192.169.0.255
      nd6 options=43 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
      status: active
      pfsync0: flags=0<> metric 0 mtu 1460
      syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
      pflog0: flags=100 <promisc>metric 0 mtu 33200
      enc0: flags=0<> metric 0 mtu 1536
      lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
      options=3 <rxcsum,txcsum>inet 127.0.0.1 netmask 0xff000000
      inet6 ::1 prefixlen 128
      inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
      nd6 options=43 <performnud,accept_rtadv>Was mach ich falsch? Vielleicht übersehe ich was?

      Ins Internet über das 192.168.6.0 er Netz komme ich aber!
      Danke und Liebe Grüße</performnud,accept_rtadv></rxcsum,txcsum></up,loopback,running,multicast></promisc></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast>

      1 Reply Last reply Reply Quote 0
      • F
        fjixess.net
        last edited by

        So, problem gelöst! ::)

        Es reicht nicht wie bei so manchen anderen Firewalls, nur die IP in der Netzwerkkarte des Client PC´s einzutragen.
        Für PF muß man den Gateway in diesem Fall die VIP eintragen, ansonsten kommt beim Ping nie eine Antwort.
        lg Franz

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Mir ist zwar nicht ganz klar was du meinst, aber irgendwie kommt es mir falsch vor ;)

          Wenn interne Subnetze hinter der sense am LAN eh keinen Zugriff aufs Internet brauchen - warum soll ich sie dann überhaupt auf dem Gateway auflegen? Gut, wenn man Dienste wie DNS etc. auf der sense mitbenutzen will, macht das vielleicht Sinn. Dann genügt aber auch die alternative LAN IP mittels Virtual IP (Alias IP) hinzuzufügen (auf dem LAN natürlich) und auch auf dem LAN eine entsprechende Firewall Regel zu erstellen die das neue Subnetz an die sense ran lässt (LAN subnet reicht dann NICHT mehr, denn zum LAN subnet zählt keine Alias IP oder alternatives Netz dazu).

          Aber irgendwo als Gateway irgendeine VIP eintragen hört sich für mich jetzt erstmal falsch an. Das hört sich eher an wie "Ich hab eine Firewall Regel vergessen und hab statt das Routing verbogen - jetzt gehts!" ;)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • F
            fjixess.net
            last edited by

            :o Du hast vermutlich nicht ganz unrecht!
            Nur kurz zur Aufklärung meiner Netzstruktur:

            Wir haben ein bestehendes Wlan Netz, mit 6 WlanAP's und ca 65 Clienten. Diese Clienten haben jeweils einen Wlan Empfänger am Haus. Die Wlan Komonenten befinden sich in einem sogenannten Trägernetz (z.b. 192.169.0.0).
            Die PF befindet sich jetzt in 192.168.6.1. Um die Empfänger zu Administrieren muß ich jetzt auf das 169er Netz zugreifen. Unter Fli4l habe ich der Lan Nic eine zweite IP verpasst und gut wars, PF verhält sich da ganz anders.
            Div. Anleitungen mit VIP Adressen am LAN schlagen fehl. Wie sollte hier die richtige config aussehen?

            1 Reply Last reply Reply Quote 0
            • F
              fjixess.net
              last edited by

              Also Problem gelöst!

              Ich war mit den VIP's auf dem Holzweg ???, vielleicht doch etwas verwöhnt von anderen Linux Firewalls, wo diese dinge einfach leicht zum Nachtragen sind.
              Mit Vlan war die Sache recht schnell bewerkstelligt. Vlan eingerichtet, die beiden Nic's gebridged , Rules aufgemacht, und noch eine Route zum Gateway des neuen Netzes gelegt! Nat Outbound Regel erstellt somit darf diese Netz auch ins Internet!
              Ja, im nachhinein stellt sich heraus das die PFsense doch profesionell gemacht und durchdacht ist :o!
              Aber trotzdem Danke!

              Liebe Grüße aus Österreich!

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Sorry dass ich nach so langer Zeit das Topic nochmal aufmache, aber ich wollte noch auf 3 Dinge hinweisen.

                1. IP Aliase sind genauso wie in Linux administrierbar (VIP Typ Alias IP), was aber nicht wirklich dein Problem war
                2. VLANs sind eigentlich dazu gedacht, dass man dazwischen ordentlich routet. Das jetzt zu bridgen ist … irgendwie falsch. Auf einem seltsamen Level ;)
                3. Hast du noch ein ganz anderes Problem, denn egal ob die pfSense oder FLi4L das 192.169er Netz auflegen lassen: Das intern zu benutzen ist definitiv falsch. 192.169.x.x ist KEIN privates Netz mehr sondern ein routbarer gültiger öffentlicher IP Range, der nichts inhouse als Transfernetz oder Auflegenetz zu suchen hat. Da könntest du auch 9.x.x.x nutzen, bis sich Leute wundern, warum sie nicht mehr auf IBM Seiten kommen ;) Also bitte nicht machen :)

                Grüße

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.