Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Multiple LAN/WAN Interfaces jedoch Return nur auf LAN1

    Scheduled Pinned Locked Moved
    Deutsch
    3
    5
    960
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      MisterDeeds
      last edited by

      Hallo zusammen

      Ich nutze pfSense als Firewall für mehrere Internetleitungen. Dazu habe ich einen Server mit 3 Netzwerkkarten, welche je 2 Ethernet Anschlüsse besitzen.
      Ich habe es so aufgeteilt, dass es pro Internetleitung eine LAN und eine WAN Schnittstelle gibt. Grundsätzlich funktioniert auch alles, ausser dass der gesamte Traffic nicht über die jeweilige LAN Schnittstelle sondern nur immer über die erste LAN Schnittstelle zurückgegeben wird. Dies macht sich in der Interface Statistic bemerkbar, da nur auf dem LAN Interface 1 "Bytes Out" gezählt werden. Bei den anderen beiden LAN Interfaces steht immer "0 bytes".

      Wie kann ich konfigurieren, dass der Traffic welcher von einem Interface her stammt auf dem selbigen wieder zurückgegeben wird?

      Vielen Dank und liebe Grüsse

      Lars

      1 Reply Last reply Reply Quote 0
      • ?
        A Former User
        last edited by

        Dafür gibt es Firewall Regeln. Du musst für jedes LAN ein GW definieren per firewall regel. Das sollte dann passen.

        1 Reply Last reply Reply Quote 0
        • M
          MisterDeeds
          last edited by

          Hi und vielen Dank für deine Antwort.

          Dies habe ich auch gemacht. Raus gehen sie über den jeweiligen Gateway.

          Nun ist es aber so, dass der Traffic welcher zurückkommt nicht auf der jweiligen LAN Schnittstelle zurückgegeben wird, sondern immer nur auf dem Interface LAN1…

          Ich möchte aber das der Traffic welcher zurückkomt auch auf dem Interface zurückgegeben wird, welches der Client für die Verbindung-Initiierung verwendet hat.

          Danke und liebe Grüsse

          Lars

          1 Reply Last reply Reply Quote 0
          • E
            eSpezi
            last edited by

            Servus Lars,

            Du scheinst auf LAN 2 und 3 das gleiche Subnet 192.168.0.0/24  zu nutzen. Ich vermute daher, dass Du das auch bei LAN 1 so konfiguriert hast.

            Das ist nicht so dolle. Wenn ein Paket für z.B. 192.168.0.2 daher kommt, schickt die pfS dieses auf das erste Gateway welches laut ihrer Routing Tabelle zum Zielnetz 192.168.0.0/24 führt. Das ist, wenn meine obige Vermutung stimmt, immer das LAN 1. Somit kommt nie was bei den anderen Gateways an.

            Was kann man tun?
            Variante 1:
            Der meiner Meinung nach sauberste Weg ist jedem Interface einen eigenes, separates IP Netz zu geben, also z.B.
            LAN1 192.168.1.1/24
            LAN2 192.168.2.1/24
            LAN3 192.168.3.1/24

            Wenn Du aus irgend einem Grund alle LANs im gleichen IP Netz betreiben willst / musst gibt es 2 Möglichkeiten:
            Variante 2a:
            Die performanteste Lösung ist, Du hängst alle 3 LANs auf einen Switch und diesen wiederum an die pfS als ein einziges LAN 1. Nachteil ist, dass Du dann keine Trennung zwischen den Netzsegmenten hast.
            Variante 2b:
            Du lässt die Kabel so, wie bisher an der pfS und konfigurierst eine Bridge zwischen den Netzen. Der Einfachheit halber würde ich den Interfaces LAN 1 - 3 dann keine IP geben, sondern nur der Bridge. Damit bastelst Du Dir quasi die Variante 2a in der pfS nach. Vorteil: Du brauchst an der Verkabelung nichts ändern und auch keine zusätzliche Hardware. Außerdem kannst Du über die einzelnen LAN Firewall regeln die Maschinen in den Netzten sauber voneinander trennen. Für alles was aus dem lokalen Netz heraus geht (egal ob nach intern, oder extern) nimmst Du die Firewall Regel der Bridge. Nachteil: Die Durchsatzleistung der pfS begrenzt auch den internen Durchsatz zwischen Deinen LAN 1 - 3. Ein Switch kann sowas deutlich schneller (der macht ja auch nichts anderes).

            Noch ein zusätzlicher Tipp, der Dir das Leben leichter macht:
            Anstatt für jede Maschine eine identische Firewall Regel zu erstellen, lege Dir IP Aliase an. Dann brauchst Du die Regel nur einmal erstellen und wendest diese auf das Alias an. Damit bleiben die Regeln deutlich überschaubarer. Zudem viel einfacher zu warten: Wenn eine neue Maschine hinzu kommt einfach die IP in das Alias eintragen und fertig.

            Das war jetzt viel Input - ich hoffe Du kommst damit weiter.

            Viel Erfolg!
            Harry

            1 Reply Last reply Reply Quote 0
            • M
              MisterDeeds
              last edited by

              Hallo Harry

              Vielen Dank für deine ausführliche Antwort und die Inputs.
              Ich habe es aber nun relativ einfach gelöst, indem ich für die einzelnen Gateways Routen erstellt habe.
              Respektve habe ich die LAN Schnittstellen auch als Gateways definiert und dort unter "Routes" die einzelnen Clients definiert, welche über welche Schnittstelle wieder wieder zurück ins LAN kommen sollten.

              Herzlichen Dank nochmals und ein schönes Wochenende.

              Liebe Grüsse Lars

              1 Reply Last reply Reply Quote 0
              • First post
                Last post