Routing und rules/filter
-
Hallo
wir haben da ein leidliches konstruckt das uns in manchen anwendungen probleme macht
da unser gesammter broadcast/gateway traffic erstmal über die standleitung muss ~10ms
Internet –- "echte IP" Firewall 192.168.1.1/24 -switch- .1.2/24 Router 172.16.1.1/16 -Standleitung(Layer1 ebene verhält sich wie ein Kabel)- 172.16.0.0/16 Netz (Hunderte Rechner)
daher mein plan pfsense auf unserer seite als zentralen router für unsere seite des netzes
Internet --- "echte IP" Firewall 192.168.1.1/24 -switch- .1.2/24 Router 10.0.0.1/24 -Standleitung- 10.0.0.2/24 Pfsense 172.16.1.1/16 --- 172.16.0.0/16 Netz
nun ist mir aufgefallen das ich wenn ich pfsense in den routermodus setze keine filter/rules mehr nutzen kann
was pfsense recht sinnlos macht da ich noch einige subnetz auf unsere seite für management komponenten einrichten möchte und dan zugrifbeschränkungen auf ip ebene
nating ist nich möglich da die firewall die echte ip der rechner sehen muss
also zur frage ist routing mit rules/filter möglich ?
-
Hi,
das Setup ist irgendwie unverständlich…
da unser gesammter broadcast/gateway traffic erstmal über die standleitung muss ~10ms
Heist dass, das jeder Request zwischen 2 Clients im Office über den ISP/Stanleitung gerouted wird? Wäre doch sehr verwunderlich ;)
Internet –- "echte IP" Firewall 192.168.1.1/24 -switch- .1.2/24 Router 172.16.1.1/16 -Standleitung(Layer1 ebene verhält sich wie ein Kabel)- 172.16.0.0/16 Netz (Hunderte Rechner)
daher mein plan pfsense auf unserer seite als zentralen router für unsere seite des netzes
Internet --- "echte IP" Firewall 192.168.1.1/24 -switch- .1.2/24 Router 10.0.0.1/24 -Standleitung- 10.0.0.2/24 Pfsense 172.16.1.1/16 --- 172.16.0.0/16 Netz
Also Du wolltest den Router 172.16.1.1/16 (was einem 172.16.xxx.xxx entspricht),
der über die Standleitung Layer1 mit dem 172.16.0.0/16 Netz (also ebenfalls 172.16.xxx.xxx) kommuniziert,
gegen eine Verbindung tauschen, in dem der Router 172.xxx auf der "1. Seite" das LAN geändert wird zu 10.xxx und auf dieser Seite soll dann die pfSense den Router-Part als 172.xxx übernehmen … und Standleitung und "2 Seite" LAN bleibt exakt gleich ?...... was soll die pfSense dort routen? ;) a.b.0.0/16 <=> a.b.1.0/16 sind das gleiche Netzwerk...
Ich rate mal, dass Du in etwa das möchtest...
172.16.1.1/24 mit 256-er Netz <=> pfsense <==standleitung==> pfsense <=> 172.16.1.0/24
beide pfSense haben ggf. eigenes WAN Interface und Standleitungs-Interface ?
-
Heist dass, das jeder Request zwischen 2 Clients im Office über den ISP/Stanleitung gerouted wird? Wäre doch sehr verwunderlich ;)
nein wie ich schrieb mein ich den broadcast/gateway traffic unsere switche sind ja nich so dumm wie ein HUB
Router 172.16.1.1/16 <= Standleitung(Layer1 ebene verhält sich wie ein Kabel) => Swich <==> 172.16.0.0/16 Netz (Hunderte Rechner)
Ich rate mal, dass Du in etwa das möchtest…
172.16.1.1/24 mit 256-er Netz <=> pfsense <==standleitung==> pfsense <=> 172.16.1.0/24
beide pfSense haben ggf. eigenes WAN Interface und Standleitungs-Interface ?
auch hier nein und nochmal stark vereinfacht
Router (10.0.0.1/24 interface 2) <= sehr Langes Kabel => (10.0.0.2/24 interafce 1) Pfsense (172.16.1.1/16 interface 2) <==> Switch <==> 172.16.0.0/16 Netz
-
mmh, dann kannst Du - zumindest innerhalb dieses Netzwerkes - doch gar nicht routen?
Du brauchst dann den Transparent/Bridge Modus der pfSense.
Hier gibt es ein paar Hinweise dazu - auch wenn nur 1-3 Punkte davon bei Dir nutzbar sind:
http://magiksys.blogspot.de/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.htmlDas hier passt ggf. besser:
http://forum.pfsense.org/index.php?topic=50711.0und in
https://doc.pfsense.org/index.php/Tutorials
gibt es einen Link zu
http://pfsense.trendchiller.com/transparent_firewall.pdf