Mehrere Subnetze auf LAN Interface ohne Virtual IP möglich?
-
Hallo,
wir haben bei uns 2 Subnetze mit öffentlichen IPs. Diese möchte ich nun auf dem LAN Interface eintragen. Mit einem Subnetz kein Problem, das LAN IF braucht ja sowie eine IP. Das 2. Subnetz habe ich aber nur über eine Virtual IP eingerichtet bekommen. Dabei geht aber leider auch eine IP des Subnetzes drauf. Gibt es eine Möglichkeit ein 2. Subnetz auf ein Interface zu legen ohne eine IP dafür zu "verschwenden"? Beide Subnetze liegen auf dem gleichen physischen Port.
Gruß,
Tom -
Hallo Tom,
mir ist nicht ganz klar, warum du die externen IPs auf dem LAN einträgst? Gibts da einen Grund für?
Ansonsten ist die Frage, wie du diese Netze bekommst, je nachdem wie die geroutet werden, brauchst du eine IP oder nicht. :) Kannst du da etwas Licht hinein bringen?Grüße
Jens -
Hallo Jens,
ich versuchs mal aufzumalen ;)
WAN / Internet
:
: Provider (irgendeine externe IP)
:
.–---+-----.
| Gateway | <– Router vom Provider
'–---+-----'
|
WAN | 192.168.0.0/24
|
.–---+-----.
| pfSense |
'–---+-----'
|
LAN | a.b.c.0/29 und d.e.f.0/29 <–- das ist meine DMZ
|
.–---+------.
| Back-FW |
'–---+------'
|
LANpfSense hat also am WAN eine 192.168.x.y Adresse, am LAN hängt die DMZ (mit einer Adresse aus a.b.c.0/29 also z.B. a.b.c.1).
Diese DMZ hat 2 x /29 Subnetze. Das LAN-IF hat eine IP aus einem der beiden Subnetze, muss das 2. aber auch routen bzw. das 2. ist eben über das gleiche Interface direkt erreichbar, weil es dafür kein eigenes Gateway gibt (das Subnetz liegt physikalisch auf dem gleichen Port/Kabel).
Hoffe das hilft :)
Grüße,
Tom -
Hallo Tom,
ist wohl ein "Hochsicherheitsszenario" ? ;D
Was Du hier so schön aufgemalt hast, ist eine Routerkaskade, man könnte auch sagen, eine DMZ für Leute mit Billigroutern.
Wenn Du Dich damit unnötigerweise ausbremst, Ok, aber was soll dann die 2 Netz Strategie nach der pfSense.
Diese hat die besten Vorraussetzungen um eine richtige DMZ einzurichten, es bedarf nur einer weiteren NIC mit separaten physischen Netz.
Ob das sinnvoll ist, was Du da versuchst zu verwirklichen, möchte ich doch mehr als stark bezweifeln.
Ist Dir denn die pfSense Firewall noch zu unsicher, weil Du noch eine Back-FW einsetzen willst.
Gruß orcape -
wir haben bei uns 2 Subnetze mit öffentlichen IPs. Diese möchte ich nun auf dem LAN Interface eintragen. Mit einem Subnetz kein Problem, das LAN IF braucht ja sowie eine IP. Das 2. Subnetz habe ich aber nur über eine Virtual IP eingerichtet bekommen. Dabei geht aber leider auch eine IP des Subnetzes drauf. Gibt es eine Möglichkeit ein 2. Subnetz auf ein Interface zu legen ohne eine IP dafür zu "verschwenden"? Beide Subnetze liegen auf dem gleichen physischen Port.
Hallo!
Ungeachtet der Sinnhaftigkeit deines Aufbaus, so etwas löst man normalerweise sauber mit VLANs. Das müssen aber alle betroffenen Komponenten unterstützen.
Aber wenn schon diese Lösung, warum frisst dir ein über Virtual IP eingerichtetes Subnetz eine IP weg?
Ich habe auch an einem WAN Interface 3 Subnetze, weil das Ding einfach gewachsen ist. Da sind alle IPs nutzbar, also bei einem /29er 5.
Du gehst auf Virtual IPs und richtest einen "IP Alias" ein, wählst das IF, Adresse und Maske aus und das Subnetz ist konfiguriert.Grüße
-
Hi,
das ganze ist so gewachsen und jetzt soll nur die FW erneuert werden. Die Back-FW ist auch nicht so einfach wie oben gemalt, da hängen noch andere Netze dran und die macht auch noch mehr, was aber für die pfSense nicht relevant ist.
In einem /29er Subnetz gibt 6 nutzbare IPs; nicht nur 5, i.d.R. geht davon eine für einen Router/Gateway drauf, das ist richtig.
Bei 2 logischen Subnetzen auf einem physikalischen Strang kann man aber vom 2. Subnetz auch alle 6 IPs nutzen.
Zumindest kann ich das bei Linux und sogar Windows so einrichten. Ich gehe davon aus das auch FreeBSD das kann, nur scheint pfSense nicht die Möglichkeit bieten das zu
konfigurieren.Edit: habs gerade mal auf der Console probiert: ein "route add d.e.f.0/29 a.b.c.1" führt zum gewünschten Ergebnis. FreeBSD kanns also wie erwartet. Ist wohl nur leider keine dauerhafte Lösung, es sein denn ich kann nach dem booten der pfSense irgendwie die Route automatisch hinzufügen?
Edit 2: ein "route add -net d.e.f.0/29 -iface xx" geht auch und fühlt sich für mich erstmal logischer an. Jetzt muss ich das nur noch über die shellcmds einbauen, dann sollte es auch nach einem Neustart gehen.
Grüße
-
das ganze ist so gewachsen und jetzt soll nur die FW erneuert werden.
[m] Standard, der: IT Ausrede für die oftmals leidige Faulheit (oftmals der Führungsetage) alteingesessene und unsaubere Strukturen endlich durch saubere neue Technik zu ersetzen, anstatt ewige Umleitungen zu bauen. Siehe: "Das-haben-wir-schon-immer-so-gemacht!" :D
div. Edits:
Und warum trägst du das ganze dann (sinnfrei) auf der Console ein und nicht in die Routingtabelle der pfSense wo es gespeichert wird? (System / Routing)
Ansonsten stimme ich meinen Vorrednern zu: das ist pure Faulheit (nicht unbedingt von dir, das ist mir klar) das Netz endlich ordentlich aufzuräumen und in Schwung zu bekommen, dass man solche Workaround reinzimmern muss und sowas sollte man nach bestem Wissen und Gewissen boykottieren und für notwendigen Umbau plädieren. Anstatt der sinnfreien weiterleiterei könnte hier schon vom Provider Router ggf. durch Bridging oder durch Routing die IP Netze direkt auf die pfSense geroutet werden. Diese bekommt noch ein zusätzliches Interface für ein "Dreibein" und macht dann auf IF2 die DMZ und IF3 das LAN. So ist das ein totaler Konfigurations- und Debugging-Alptraum den ich schon oft genug als Consultant bei Kunden wegfeuern musste, weil keiner mehr wusste, ob es vorne beim Provider, an Firewall 2, 3 oder an einem Router irgendwo ein Filter konfiguriert war. Das ist doch Banane ;)
Grüße
-
In einem /29er Subnetz gibt 6 nutzbare IPs; nicht nur 5, i.d.R. geht davon eine für einen Router/Gateway drauf, das ist richtig.
Das Gateway ist ein diesem Fall das Interface der pfSense, und das benötigt auch eine IP. Netzwerk- u. Broadcast-Adresse fallen auch weg. Bleiben noch 5.
Bei 2 logischen Subnetzen auf einem physikalischen Strang kann man aber vom 2. Subnetz auch alle 6 IPs nutzen.
Zumindest kann ich das bei Linux und sogar Windows so einrichten. Ich gehe davon aus das auch FreeBSD das kann, nur scheint pfSense nicht die Möglichkeit bieten das zu konfigurieren.Auch fürs 2. Netz wird ein Gateway (Alias IP am pfSense-Interface) nötig sein. Wie sonst sollen die Hosts darin wissen, wo sie die Post hinschicken sollen, wenn sie den Adressaten nicht selbst erreichen?
Und konfigurierbar ist es auf der pfSense. Du benötigst da sogar das Gateway, damit du sauber eine statische Route setzen kannst.
Grüße
-
Auch fürs 2. Netz wird ein Gateway (Alias IP am pfSense-Interface) nötig sein. Wie sonst sollen die Hosts darin wissen, wo sie die Post hinschicken sollen, wenn sie den Adressaten nicht selbst erreichen?
Nicht unbedingt. Das meine ich mit "es kommt darauf an, wie die externen IPs geroutet sind".Beispiel: habe ich extern ein /29er Transfernetz zu meinem Provider/Uplink und bekomme dann von diesem auf meine VIP noch ein zusätzliches Netz geroutet, kann ich dieses vollständig (auf der pfSense) nutzen (bspw. bei 1:1 NAT o.ä.) ohne dass ich eine einzige IP davon auflegen muss. Lege ich einen Teil/das ganze Netz auf einem zweiten Bein der pfSense auf um die Adressen zu routen, brauche ich klarer Weise eine IP für die pfSense die dann als Default GW für andere Hosts dieses Netzes gilt. Soweit so gut. Dito für ein zweites Netz (wenn ich das sauber mache).
-
Habs jetzt auch über die GUI hinbekommen. Ich war anfangs etwas verwirrt, da man für jede Route ein Gateway (das es für das 2. Subnetz so eigentlich nicht gibt) angeben muss. Für meinen Fall muss ich einfach ein zusätzliches Gateway mit der IP des LAN-IF definieren, das dann als GW für das 2. Subnetz ausgewählt wird. So bleiben alle 6 IPs des 2. Subnetzes frei.