Virtuelles Netz - Gateway und Rounting



  • Hallo zusammen

    Ich habe folgendes Problem und zwar:
    Ich habe zwei Netze. Ein normales Netz mit der IP 192.168.0.0/24 und ein Management Netz mit der IP 10.10.10.0/24, welche aber physisch ein Netz sind. Dies mache ich, da mir die IP-Adressen im Client Netz nicht ausreichen und ich die Subnetzmaske nicht ändern möchte.
    Nun möchte ich, dass die Netze untereinander geroutet werden, sodass ich mit einem Gerät aus dem management Netz ohne zusätzliche IP in das Client Netz komme und umgekehrt. Zusätzlich sollte mein Management Netz auch einen Gateway haben, damit der Internet Zugriff gewährleistet ist.

    Aktuell sieht es so aus:

    Was ich erreichen möchte ich das hier:

    Dazu habe ich auch schon ein Tutorial gelesen:
    http://www.nullpointer.at/2011/08/10/pfsense-virtuelle-ip-adressen/

    Jedoch möchte ich nicht einen manuellen NAT Outbound konfigurieren. Gibt es hier eine Möglichkeit mit VLANs zu arbeiten?

    Leider stehe ich etwas auf dem Schlauch, ich würde mich über eure Vorschläge freuen.

    Vielen Dank und liebe Grüsse

    Lars



  • Je nach Hardware der PfSense und Switche kannst du natürlich auch mit VLAN's arbeiten.
    Hier solltest du dich entsprechend mit Tagging auskennen.



  • Hallo flix

    Vielen Dank für deine Antwort. Grundsätzlich kenne ich mich mit VLAN aus, nur ist es so, dass ich nicht pro Port am Switch eine IP habe. Zum Teil sind es IPs von Integrated Lights-Out Oberflächen etc. welche über ein Blade Enclosure mit nur einem Netzwerkkabel verbunden sind, jedoch trotzdem eine mehrere eigene IPs besitzen.
    Falls nicht genau klar sein sollte was ich meine, würde ich es auch gerne nochmals ausführlich erklären.

    Besten Dank und liebe Grüsse

    Lars



  • Meistens kann am auch für die ILO's VLAN's setzen.
    Ansonsten heißt die Methode ja Sharde Network und daher eben geteiltes netzwerk.
    Mann könnte natürlich auch mehrere IP Bereiche in einem Logischen Netzwerk verweden. Empfelen würde ich das aber nicht.
    Schau mal ob man das trennen kann sei es mit physikalischen Ports oder eben mit VLAN's



  • @MisterDeeds:

    Vielen Dank für deine Antwort. Grundsätzlich kenne ich mich mit VLAN aus, nur ist es so, dass ich nicht pro Port am Switch eine IP habe. Zum Teil sind es IPs von Integrated Lights-Out Oberflächen etc. welche über ein Blade Enclosure mit nur einem Netzwerkkabel verbunden sind, jedoch trotzdem eine mehrere eigene IPs besitzen.
    Falls nicht genau klar sein sollte was ich meine, würde ich es auch gerne nochmals ausführlich erklären.

    Ich habe etwas ähnliches mit dedizierten VLANs realisiert. Ist zwar kein ILO Board, aber etwas ganz ähnliches.
    Ich musste die beiden Ports an dem die Systeme hängen auf untagged setzten, auf der pfSense Box habe ich es einfach als zusätzliches Interface etabliert.
    Das erschien mir am einfachsten und vor allem an sichersten, denn dort will ich aus dem Intranet keinen Zugriff ohne über die pfSense Box zu gehen. Und mit einem VLAN Interface kann ich die Zugriffe absichern :)

    Für dein ILO ist das dann einfach ein Netz, vom VLAN kriegt das ja nichts mit.



  • Hallo zusammen und vielen Dank für eure Antworten.

    Das sieht schon einmal vielversprechend aus. Nun ich kenne mich zwar mit VLAN ein bisschen aus, bin jetzt aber nicht der Profi. Deshalb habe ich noch einige Fragen.
    Ich habe nun meine zwei VLANs erstellt und ein erstes ILO mit meinem Management VLAN Tag (10) versehen. Leider erreiche ich das Interface von meinem PC nun nicht mehr. Kann ich überhaupt ein physisches Netz (LAN2) in ein VLAN routen um es zu erreichen? Dazu habe ich folgende Konfiguration getätigt.

    Nun das Problem ist auch noch, dass wir zwei pfSense Firewalls im gleichen Netz haben. Dies deshalb weil wir 6 Internetleitungen haben. Jede Firewall hat 6 Ethernet Schnittstellen (3x LAN / 3x WAN) für die Verbindungen. Die LAN IP-Adressen sind alle im gleichen Netz. Je nachdem welche IP als Gateway angegeben wird, kommt der Client über eine andere Verbindung ins Internet. Müsste ich nun die VLANs auf beiden pfSense Firewall erstellen, damit auch Clients, welche einen Gateway von der anderen Firewall haben, in die VLANs kommen?

    Dazu habe ich auch noch eine Zeichnung erstellt:

    Falls jemand eine einfachere Lösung wüsste bin ich natürlich für neue Sachen offen :)

    Herzlichen Dank und liebe Grüsse

    Lars



  • bei dem VLAN_MGMT hast du eine Regel eingerichtet die es den Clients erlaubt ins Internet zu kommen über eines diese Internet Gatways. Das ist schon mal richtig.
    Aber über dieses kommst du natürlich nicht in dein LAN.
    Daher eine Regel vorne dran stellen die von dem MGMT zu Lan zeigt und das Gateway defaukt drin steht hat dann belässt die PfSense das auch intern.



  • Hallo Flix

    Das habe ich nun gemacht, jedoch komme ich leider vom LAN2 ins VLAN_MGMT noch umgekehrt, noch vom VLAN_MGMT ins Internet. Kann ich denn überhaupt vom physischen LAN2 in das VLAN_MGMT routen?

    Als erstes möchte ich natürlich wieder auf mein ILO kommen. Mein Client aus dem 192.168.0.0/24 (LAN2) via Gateway 192.168.0.250/32 auf das VLAN (10) mit der IP 10.10.10.62/32. Sollte es alleine mit dieser Regel funktionieren?

    
    Ping wird ausgeführt für 10.10.10.62 mit 32 Bytes Daten:
    Zeitüberschreitung der Anforderung.
    
    

    Könnt ihr mir weiterhelfen?

    Vielen Dank und liebe Grüsse

    Lars



  • Hast du denn auch am ILO das VLAN eingetragen. Bzw. den Switch entsprechen vorbereitet?
    Kannst du denn das MGMT Interface der PfSense pingen?
    Beachte auch hier brauchst du auf dem LAN intreface Regeln welche bei Netzen die auf dem Pfsense selber sind das Default Gateway nehmen und kein spezielles ins Internet.


  • Moderator

    Hallo MisterDeeds,

    der ganze Netzaufbau, den du in deiner Grafik skizziert hast macht für mich keinen Sinn. Du nutzt die Funktionen der pfSense nicht, sondern bastelst per Hand. Noch dazu gefährlich, da du mehrere physikalische Interfaces ins gleiche Subnetz legst, was per so schonmal ganz fiesen Mist ergibt.
    Dazu kommt dann auch noch, dass das weder ausfallsicher noch wirklich redundant aufgebaut ist. Das sollte man dringend mal komplett überarbeiten, das Management & Client VLAN sind dabei deine geringsten Sorgen! :)

    Grüße



  • Hallo zusammen und sorry für die verspätete Antwort.
    Wir haben pro Internetverbindung deshalb mehre Interfaces, da die Internetleitungen zum Teil die gleiche Performance wie die LAN Schnittstelle aufweisen. Sprich wenn ich jetzt nur ein LAN Interface hätte jedoch 6 WAN Interfaces… würde das einzige LAN Interface die Performance der WAN Schnittstellen drosseln.
    Allenfalls hätte ich gedacht, dass man pro Internetverbindung ein VLAN machen könnte. Wie gesagt, ich bin offen für neue Ansätze.

    @ JeGr
    @JeGr:

    Du nutzt die Funktionen der pfSense nicht, sondern bastelst per Hand. Noch dazu gefährlich, da du mehrere physikalische Interfaces ins gleiche Subnetz legst, was per so schonmal ganz fiesen Mist ergibt.

    Kannst du mir einen Vorschlag geben wie man das am besten lösen kann?

    Danke und liebe Grüsse

    Lars


  • Moderator

    Gerne :)

    Was du oben schreibst:

    Wir haben pro Internetverbindung deshalb mehre Interfaces, da die Internetleitungen zum Teil die gleiche Performance wie die LAN Schnittstelle aufweisen. Sprich wenn ich jetzt nur ein LAN Interface hätte jedoch 6 WAN Interfaces… würde das einzige LAN Interface die Performance der WAN Schnittstellen drosseln.

    stimmt so nicht ganz. Klar, wenn du an einer pfSense 3x Gigabit UpLinks hängen hast, wäre es (theoretisch) ein Bottleneck, wenn du nur einen Gigabit Link ins LAN hast.
    Ist allerdings nicht ganz korrekt, da

    • man selten einen Link komplett ausnutzt (your mileage may vary)
    • man die Uplinks selten parallel in voller Breite ausnutzt (denn dann würde sich eher die Frage stellen, warum nicht ein dickerer Upstream Link?)
    • das häufig dazu dient, Dienste auf verschiedene Links auszulagern damit sie sich im Extremfall nicht gegenseitig behindern

    Sollte man die Einzel-Links aus $Gründen tatsächlich brauchen, gäbe es sinnvolle Optionen, das mit einem LAN Link zu lösen:

    • LACP mit mehreren Links
    • 10GE Interface an Switch

    Damit wären dann auch interne Mechanismen wie LoadBalancing, Policy based Routing etc. ohne Probleme nutzbar und nicht auf irgendwelche Interfaces gebunden.

    Grüße