[Gelöst] Problem mit virtualisierter pfSense 2.1.4



  • Hallo Community,

    ich migriere gerade eine kommerzielle Linux-based Firewall zu pfSense. Dazu hab ich jetzt über Monate eine virtuelle 'mitlaufen' lassen, die Zug um Zug diverse VPN Tunnel (OVPN und IPSEC) bekommen hat. Davor hängt ein Layer 3 Switch, der für meine Teilnehmer am Standort das Gateway ist. Dort sind die Routen zu den Standorten hinterlegt, die aktuell auf die pfSense zeigen. Weiterhin ist dort auch die Standartroute hinterlegt, die noch auf die alte Linux-Firewall zeigt. Bis gestern wurden die Migrationsarbeiten abgeschlossen und die pfSense hatte alle meine Außenstellen 'angebunden' - funktionsfähig! Anschließend habe ich dann auch das Gateway auf die pfSense umgestellt. Und hier beginnt das Drama:

    Das Produktivnetz (192.168.200.0) wird nach meinem daführhalten nicht genattet. Die Firewall sagt zwar dass das Paket angenommen wurde aber auf der anderen Seite kommt nichts an. Ein weiteres Netz (192.168.203.0) dass über ein anderes VLAN angebunden ist, kommt raus. Die Standortvernetzung von und zum Produktivnetz funktioniert. Auch ein nachgelagertes Netz hinter einem zweiten Router (Layer 3 Switch) funktioniert - nur eben das originäre erste LAN Segment nicht. Irgendwas, dass ich hier prüfen kann?

    Was hab ich schon gemacht:

    Ping von pfSense nach Google DNS geht.
    Ping von Host in 192.168.200.x mit der Kette Gateway Switch > Switch Gateway pfSense > zu Google DNS geht nicht
    Ping von Host in 192.168.200.x mit Gateway pfSense direkt > zu Google DNS geht nicht

    Ping von Host in 192.168.201.x mit der Kette Gateway Switch > Switch Gateway pfSense > zu Google DNS geht!
    Ping von Host in 192.168.203.x mit Gateway pfSense direkt > zu Google DNS geht!

    Aktuell Route ich die Standardroute wieder über ein Drittgerät - Ziel soll es aber sein. Die pfSense hier einzusetzen.

    Hier mal ne rudimentäre Übersicht.. bei Bedarf bastel ich gerne auch was ausagekräftigeres.

    WAN / Internet
                :
                :
                :
          .–---+-----.
          |  Gateway  |  (Telekom T-Interconnect)
          '-----+-----'
                | public/29
            WAN |
                | public/29
          .-----:------.
          |  pfS:ense  +-------.
          |  (Br:dge)  |      |
          '-----:------'      |
                |192.168.200.0/24    | 192.168.203.0/24
            LAN | geht nicht              2tes Netz | geht!
                |              |
          .-----+------.      |
          | LAN-Switch +-------'
          '-----+------'
                |
        ...-----+------... (Clients/Servers)

    EDIT 2014-07-31 15:56
    Soo nachdem ich von einem Fehler in der pfSense ausgegangen bin, der vielleicht durch alte Konfiguration, durch deinstallierte Pakete oder Updates herbeigeführt wurde, habe ich jetzt auf einer Physik pfSense neu installiert. Alle Konfiguration nachgezogen, wie sie im Original auch besteht... und siehe...

    der Fehler ist immer noch da! Es muss als ein falsches/richtiges Verhalten sein, dass irgendwie mit meiner Konfiguration zu tun hat.

    EDIT 2014-07-31 16:16
    Mist .. ich hatte recht.. Paketmitschnitt sagt folgendes:
    auf der WAN Schnittstelle:
    16:14:42.999494 IP 192.168.200.159 > 8.8.8.8: ICMP echo request, id 1, seq 47, length 40
    bedeutet er nattet nicht..

    Wie kann ich das jetzt einschalten?



  • Das Problem war, dass die pfSense dann NICHT nattet, wenn ein Gateway eingetragen ist. Für meine nachgelagerten Netze habe ich ein Gateway gebraucht und das bei der LAN Schnittstelle angelegt - dadurch wird es auch ausgewählt und dann nattet er nicht.

    Ich hab mal ein Bild der betreffenden Stelle angefügt.

    ![pfsense fehler.JPG](/public/imported_attachments/1/pfsense fehler.JPG)
    ![pfsense fehler.JPG_thumb](/public/imported_attachments/1/pfsense fehler.JPG_thumb)