Zugriff Lan1 auf Lan2 Einstellungen



  • Hallo,
    ich habe folgende Einstellungen:

    Wan
    Interface1 (em0)  dhcp-server (mehrere pc's)
    Interface2 (em1)  nur ein Gerät mit fester ip

    Alle Geräte sind im gleichen Subnet 192.168.0.xxx .Ich schaffe es nicht von em0 nach em1 zu pingen oder eine Verbindung aufzubauen.
    Ich habe bereits eine Regel any-any eingerichtet und das interface2 testweise auf none, static oder sogar dhcp eingestellt…

    Egal was ich versuche, ich kann nicht von em0 auf em1 zugreifen. Was mache ich falsch?


  • Moderator

    Alle Geräte haben das gleiche Subnetz? Egal ob em0 oder em1? Dann liegt hier genau dein Problem. Du kannst nicht auf em0 & em1 das gleiche 192.168.x.x Subnetz auflegen. Pfsense wüsste nie, wann es bitte routen soll und wann nicht. Das eine Gerät mit fester IP in ein anderes Subnetz 192.168.y.x und die pfSense entsprechend konfigurieren, dann klappt es auch. Ansonsten die pfSense im transparenten Modus vor das eine Gerät schalten, dann solltest du aber ein drittes Interface nutzen, damit du die pfSense administrieren kannst.

    Grüße



  • Ist von der Grundidee ja erstmal eine klassische DMZ, wenn man den Verkehr nur in eine Richtung zulässt.
    Netz Rot :  WAN = öffentliche IP
    Netz grün: (emo) LAN 192.168.0.0/24
    Netz Orange:(em1) LAN 192.168.1.0/24
    Vergiss nicht die Netze in der Firewall freizuschalten, dann kannst du auch Pingen.



  • Hallo !

    Danke erstmal für die Hilfem leider klappt es immer noch nicht.
    Ich habe jetz jeweils die Einstellungen so gemacht:

    Netz grün: (emo) LAN 192.168.0.0/24
    Netz Orange:(em1) LAN 192.168.1.0/24

    unter Firewall -> Rules habe ich für em0/emo1 jeweils "IP4/IP6 any any" eingestellt.
    unter DHCP habe ich jeweils einen DHCP Server eingerichtet.
    unter Firewall -> habe ich auf manuell umgestellt und eine Regel Source Network 192.168.0.0/24 –> Destination  Network 192.168.0.1/24 any any eingestellt.

    Trotzdem geht kein ping von 192.168.0.5 (PC) nach 192.168.1.72 durch...
    Habe ich irgendwas vergessen???



  • Schau doch als erstes bitte mal ob unter:

    Status: System logs: Firewall

    Ob der Ping geblockt wird wenn ja kannst du es mit dem grünen dreieck an dem ein + ist freigeben.!?


  • Moderator

    "Habe ich irgendwas vergessen???"

    Ja mehreres. Firewall -> NAT ist unnötig. Du willst hier nirgends hin-NAT-ten, denn du hast 2 interne Interfaces. Da muss nichts übersetzt werden. Also NAT raus zwischen LAN1 und LAN2.
    Dann bitte bei den LAN Interfaces die Häkchen checken, ob private Netzwerke geblockt werden (per default), denn das sind beides private.
    Dann die Logfiles für die Firewall checken.

    Wenn immer noch nichts geht: poste Screenshots deiner Interfaces LAN1/2, Firewallregeln LAN1/2, schauen, dass Firewall/NAT leer ist, bis auf Regeln die von LAN->WAN gehen (die werden benötigt wenns ins Internet geht) und dann lasse einen PING (dauerhaft) von LAN1->LAN2 laufen und poste ggf. einen Screen der Firewall Logs . Wird der PING geblockt, muss er dort auftauchen, sonst hast du ein anderes Problem.

    Gruß



  • Hallo,
    ich habe alles gecheckt, leider ohne Erfolg.  :(

    • NAT ist nun alles wieder auf Automatik
    • private Netzwerke werden nicht geblockt
    • kein Eintrag im Log während des Ping
    • LAN 1&2 sind staticIP 192.168.x.0 (x=0 und 1) und DHCP Range jeweils außerhalb der festen IP's)

    (ich habe ein Switch mit IP 192.168.1.72 an Lan2 hängen. pc im Lan1 hat feste IP 192.168.0.5)

    Muss ich die Gateway Adresse vielleicht noch irgendwo anders einstellen?










  • Teil 2 der Einstellungen…










  • Poste doch noch deine Routingtabelle.
    Ein Switch mit IP?
    Von wo nach wo pingst du?
    Teste doch auch mal einen Ping aus der Sense zu den Clienten, nicht das der Client den Ping nicht beantwortet sondern verwirft.
    Ist dein Lan 1 Netz auch ein /24 (255.255.255.0) ?
    Sehen deine Firewallrules für beide Lannetze so aus wie auf dem Bild das ich anhänge!?




  • Kann dieser Switch Pings beantworten, sieht ja so aus als wenn du vom Pc versuchst den Switch zu erreichen, ist der managed?



  • Ah war mal wieder zu schnell.
    Also änder die IP in
    Lan1 zu: 192.168.0.1 /24
    und in
    Lan 2 zu: 192.168.1.1 /24

    du hast bei Lan 2 das Subnet als IP eingetragen.



  • Hallo dkst,

    ich werde das mal ausprobieren und die IP's ändern.
    Was mir nicht ganz klar ist,

    -darf ich keine 192.168.x.0 Adresse als Static IP eintragen?
    -wofür brauche ich die IP Adresse des LAN Interface? Muss ich die irgendwo noch eintragen? Gateway? Routing?
    -Im LAN1 habe ich einen PC 192.168.0.5, was muss ich denn für eine Netmask eintragen um Geräte aus LAN2 (z.b. 192.168.1.100) zu erreichen? 255.255.255.0 oder 255.255.0.0?



  • Nein du darfst keine 192.168.x.0 eintragen das ist ja keine IP sondern das Subnet.
    Also der IP Bereich 192.168.x.1 - 192.168.x.254.
    Nein du brauchst keinen zusätzlichen Gateway eintragen.
    Dein Client 192.168.0.5 bekommt vom DHCP server als Gateway die IP des Laninterface also 192.168.0.1 und das Interface nimmt dann den Standartgateway deiner PFSENSE als bei Interface auf (none) stehen lassen.
    Du musst eine 24 netmaske nehmen also 255.255.255.0 bei einer 16 Netmaske also 255.255.0.0 hättest du wieder nur ein Subnet und den gleichen Fehler wie am Anfang.
    Der IP Bereich bei einer 16 Maske geht in deinem Fall von 192.168.0.1 - 192.168.255.254.

    Siehs dir selbst an im http://www.heise.de/netze/tools/netzwerkrechner/.

    Nochmal ein Beispiel zum Verständniss:
    Netzadresse: 192.168.0.0  255.255.255.0  : Gibt nur das Netz an kann kein Gerät sein
    IP von 192.168.0.1
    bis IP 192.168.0.254                      : Es sind also 254 Geräte möglich
    Broadcast : 192.168.0.255
    –----------------------------------------------------------------------------------
    Das gleiche nur mit eine 16er Netzwerkmaske
    Netzadresse: 192.168.0.0  255.255.0.0  : Gibt nur das Netz an kann kein Gerät sein
    IP von 192.168.0.1
    bis IP 192.168.255.254                  : Es sind also 65534 Geräte möglich
    Broadcast :    192.168.255.255



  • Beispiel:
    (PC: 192.168.0.5/24) - (192.168.0.1/24 PFSENSE 192.168.1.1/24) - (anderes Gerät: 192.168.1.11/24)



  • Hi,
    danke für deine ausführliche Erklärung. Ich habe alles genau so eingestellt. Nur habe ich das Interface auf Lan1 auf 192.168.0.66 und nicht auf 192.168.0.1 gelassen.
    Auf Lan2 habe ich 192.168.1.1 eingestellt.

    Den Switch kann ich im Lan1 unter 192.168.0.72 wunderbar anpingen. wenn ich ihn dann auf 192.168.1.72 umstelle und ihn an LAN2 anschließe erreiche ich ihn leider immer noch nicht.
    Ich habe in der Firewall alle any-any Regeln eingestellt. Eine Routing Tabelle habe ich nicht gefunden? Wenn du NAT meinst, das habe ich immer noch auf "automatisch" stehen.

    Ich verstehe nicht, was daran so schwer ist, zwei (Sub)-Netze miteinander so verbinden. Ich sehe keinen Fehler. Was mache ich bloß falsch?????
    Als Netmask habe ich überall nur 255.255.255.0 eingestellt.

    Im Firewall log taucht überhaupt keine Anfrage aus LAN1 oder LAN2 auf, nur WAN…












  • Nimm in der Firewall Lan2 Source mal raus also auf any.
    Du erlaubst für Lan2 die Quelle Lan2. aber nicht die Quelle Lan1.



  • Der Ping auf  192.168.0.66 und auf 192.168.1.1 klappt ?

    Achja die Routingtabelle findest du unter Diagnostic:Routes:update



  • Du regelst jeweils immer nur die Regeln für das eine Interface in der Firewall wenn du es einschränken willst brauchst du in beiden Interfaces jeweils 2 Regeln.

    Source Lan1 Destination Lan2
    Destination Lan2 Source Lan1.