Pfsense routing?



  • Hallo,
    ich bin noch relativ unerfahren mit der pfsense und erhoffe mir hier Hilfe.

    Ich habe 2 Netzwerke, das eine wird über einen Router gesteuert und hat eine 192.168.100.x ip, das andere wird über die pfsense gesteuert 172.16.x.x .

    sie gehen beide von dem gleichen Router aus. Das eine geht dann ins wan interface der pfsense, das andere geht auf einen extra switch, auf dem sich dann die Clients dieses Netzes befinden.

    Nun hab ich das Problem, das ich aus dem Netzwerk, das über die pfsense läuft in das andere Netz pingen kann, andersherum ist das jedoch nicht möglich.

    Wie schaffe ich das nun, dass sie in beide richtungen kommunizieren können ?

    danke



  • sehe ich das richtig das auf dem WAN Interface der PfSense dann das 192.168.100.x Netz ist? Noch ist es mir nicht so ganz klar.
    wenn es geht vielleicht auch eine kleine Zeichnung wie es aufgebaut ist.


  • LAYER 8 Moderator

    Hallo Lilly,

    Ich habe 2 Netzwerke, das eine wird über einen Router gesteuert und hat eine 192.168.100.x ip, das andere wird über die pfsense gesteuert 172.16.x.x .

    Was meinst du hier mit gesteuert?

    sie gehen beide von dem gleichen Router aus. Das eine geht dann ins wan interface der pfsense, das andere geht auf einen extra switch, auf dem sich dann die Clients dieses Netzes befinden.

    Wie ist das zu verstehen, wenn du doch zwei unterschiedliche Router und Netze hast?
    Könntest du versuchen das ggf. etwas zu skizzieren?

    (siehe https://forum.pfsense.org/index.php?topic=20279.0)

    Wie schaffe ich das nun, dass sie in beide richtungen kommunizieren können ?

    Da ich die Verkabelung noch nicht recht verstanden habe, ist das schwer zu sagen, es hört sich aber danach an, als würdest du das fremde Netz auf der pfSense nicht reinlassen und deshalb geht der Rückweg nicht. Vielleicht ist es einfacher wenn du das skizziert hast :)

    Grüße



  • Hallo,

    bei so einem Aufbau kommt in uns immer die Frage hoch: "Warum macht man so etwas?". Routen kann die pfSense auch, da braucht es keinen 2. Router. Aber ich sage mal, du wirst deine Gründe haben und frage nicht weiter.

    So wie ich das verstehe, liegt das 192.168.100.x Netz "hinter" der pfSense, also an deren LAN Interface. Ich nehme an, die pfSense ist nicht gebridged, d.h. die WAN-IP der pfSense ist dann in irgendeinem anderen Subnetz, das du uns nicht genannt hast.

    Wenn das so ist, muss du auf deinem Router eine statische Route zu dem Netz hinter der pfSense setzen und die WAN-IP als Gateway angeben.

    Darüber hinaus müssen die Zugriffe auf der pfSense über Regeln erlaubt werden. Standardmäßig ist am WAN einkommend nichts erlaubt, also muss die entsprechende Regel manuell eingerichtet werden.

    Grüße



  • So also vom Router (ein speedport) geht es aus dem Lan Port 1 auf einen Switch, dieses ist das 192.168.100.x Netz, hier sitzen meine Server.

    Über einen weiteren Ausgang des Routers geht es zum wan Interface der pf Sense, also hat das wan eine 192.168.100.x ip. Von der pfsense aus geht dann das lan Interface 172.16.x.x, dies ist das Nutzer netz, wo sich die Clients und die Vms befinden.

    Ziel der ganzen Sache ist das wir 2 physikalisch abgetrennte Netze haben ,jedoch ergab sich nun das Problem das einige Funktionen meiner vms, wie z.b. Nagios per nrpe keine Antwort bekommen .
    Daraufhin ist mir aufgefallen, das das Nutzer netz das Admin Netz mit den Server anpingen kann,
    Jedoch kann ich von den Server aus das Nutzer netz nicht anpingen.

    Eine statische Route auf dem Speedport einzurichten scheint nicht möglich…



  • @lilly2301:

    Eine statische Route auf dem Speedport einzurichten scheint nicht möglich…

    Geht leider wirklich nicht so weit ich weiß aber genau das brauchst du aber.
    Woher sollen die Server im 100er Netz denn wissen das es hinter der PfSense noch etwas gibt? Die haben den Speedport als Default Gateway und der kennt dein 172er Netz gar nicht.
    Da müsstest du auf allen Servern eine statische Route Richtung PfSense von Hand eintragen und auf der PfSense die entsprechenden Reglen. Zusätzlich musst du private Netze auf dem WAN Interface erlauben die werden da von Haus aus normal geblockt.

    Ich würde es allerdings anders machen.
    Speedport an WAN von PfSense und dann auf der PfSense zwei Interfaces eingerichtet eins für Server eins für Clients dann kennt die PfSense alle Netze und kann bequem zwischen diesen routen. Ins internet kommen die Netze dann über das WAN Bein über den Speedport.

    noch schöner wäre es wenn die PfSense direkt an einem Modem hängt und die Einwahl selber macht dann hast du kein doppeltes NAT aber das hängt von deinem Anschluss ab.



  • Okay das dachte ich mir schon und habe das nun auch vor…
    Wie kommunizieren die netze dann miteinander ?
    Ich muss es halt hinbekommen, das nicht alle Clients im Nutzer Netz zugriff auf die clients im Admin Netz haben, sondern nur bestimmte.
    Das heisst ein normaler Nutzer Pc soll die Server im Admin Netz nicht erreichen, die Vms die sich im Nutzer Netz befinden schon .



  • Wenn beide Netze auf der PfSense sind kennt diese ja alle Netze und alle Clients in diesem Netz und kann daher die Verbindung herstellen.

    Über Firewallregeln kannst du dann bestimme welche IP auf welche IP im jeweils andere Netz darf. Das selbe geht auch mir Ports. So kannst du den Zugriff regeln.

    Denk aber bitte dran solltest du das so machen entweder dein 100er Netz anzupassen oder dem Speedport ein anderes Netz geben. Ansonsten hast hast du auf dem WAN und auf dem LAN das selbe Netz und das geht nicht. Wird oft leider vergessen  ;)



  • So, nachdem ichs versucht hatte war erstmal das internet weg :D…aber du hast die Lösung ja gleich geliefert, nun befindet sich der router auf der 192.168.200.x.
    Nun gehen beide Netze von der Pfsense aus.

    Bezüglich der Firewallregeln, ich kenn mich da komplett nicht aus und habe nun keine Ahnung, wie ich das einrichten soll. Hilfe ! ;)

    Aktuell können sich die Clients aus dem Nutzer netz und dem admin netz wieder nur in die eine Richtung unterhalten, das nutzer netz kann das admin Netz pingen, mehr aber nicht, wie lege ich nun die Regeln fest, sodass sich das Admin Netz in Beide richtungen nur mit bestimmten Clients des Nutzer Netzes unterhalten kann?



  • Unter Firewall-> Rules solltest du nun drei Interface haben WAN LAN und noch ein Netz
    Hier kannst du Regeln anlegen. Block und Reject verweigern dann den Zugriff anhand von Filter wie Quell- und ZielIP bzw Port.
    Allow lassen der Verkehr durch.
    Die Firewall arbeitet von Oben nach unten und nach first Match. Also wenn eine Regel greift geht die Firewall nicht weiter.
    Alles was nicht definiert ist wird automatisch geblockt.

    Wenn die PfSense ganz neu ist hat sie auf dem LAN interface eine Regel die alles erlaubt. Legt man ein neues Inteface an sind dort keine Regeln und das bedeutet es wird alles geblockt.
    Du solltest nun auf dem neuen Interface ein paar Regeln angelgen. Achte hier auch auf das Protokoll. Standardmässig ist hier TCP ausgewählt. Das heißt z.B. http geht durch aber ein Ping eben nicht der baut auf ICMP.

    Hier musst du dich einfach mal ein bissel mit beschäftigen dann wird das schon  :)



  • Hallo!

    Wichtig ist es für einen Neuling zu wissen, dass Regeln immer an jenem Interface anzulegen sind, an welchem der Traffic in die Firewall reinkommt.
    Wenn also ein Client (172.16.2.56) aus dem Nutzer-Netz, angenommen 172.16.0.0/16, vollen Zugriff auf sämtliche Rechner im Admin-Netz (192.168.100.0/24) haben soll, gehst auf das Tab des Nutzer-Netzes in Firewall > Rules und legst dort die Regel an:

    
    ID 	Proto     Source      Port     Destination     Port     Gateway     Queue     Schedule 	Description
            *     172.16.2.56     *     192.168.100.0/24      *     *     none
    
    

    Wenn das Interface des Admin-Netz mit 192.168.100.0/24 eingerichtet ist, hält pfSense dafür auch eine Variable vor, die du in der Regel verwenden kannst, je nach dem, wie du das Interface benannt hast.

    Um die Zugriffe auf gewisse Dienste einzuschränken, kannst du beim Protokoll anstatt any ein bestimmtes wählen und bei Destination Port ebenso einen bestimmten.

    Wenn du mehrere Hosts (IPs) oder Ports zusammenfassen möchtest, bspw. soll die Source IP 5 Adressen beinhalten, kannst du dir erst "Aliases" anlegen: Firewall > Aliases. Diese können dann in der Regel anstatt Source- od. Destination-IP od. -Ports verwendet werden.



  • Hallo Leute, es klappte so das beide Interfaces über die pfsense laufen richtig gut, jedoch besteht mein auftraggeber darauf, das das adminnetz nicht über die pfsense laufen soll.
    Nun wurde oben erwähnt, das man mein Ziel, das sich beide Netze kennen auch über das eintragen von statischen routen auf den servern erreichen kann. kann mir jemand erklären wie das geht? Wirklich Schritt für Schritt, denn ich bin absolute anfängerin..:D



  • auf dem Server (ich gehe mal von Windows aus)
    CMD auf machen und dann
    route add <netzwerk>mask <netzmaske><gateway>-p
    z.B.
    route add 172.16.0.0 mask 255.255.255.0 192.168.100.10 -p
    mit dem -p ist das Ganze auch Neustartsicher.
    Aber wie gesagt auf dem WAN Interface wird alles Private geblockt. Muss man dann eben erlauben.
    Wirklich schön ist es nicht. Aber wenn es nicht anders geht ist das eben so.</gateway></netzmaske></netzwerk>



  • So habe es nun anders gelöst, in dem ich dem Server, welcher mehrere Schnittstellen besitzt (lediglich eth0 im Adminnetz) eine statische IP aus dem Nutzernetz gegeben habe und diese nun von Nagios überwachen lasse. ;)
    Also viel zu kompliziert gedacht ;)
    Danke für die Mühe :)



  • Hallo, ich schon wieder, diese Lösung ist nicht die gewünschte, also muss ich nun wohl doch die routen auf den Servern eintragen, was muss ich da beachten? Es sind übrigens Linux Server.
    Wie müssen die Regeln in der pfsense lauten oder muss ich dort eine statische Route erstellen?…
    Hilfe  :-[



  • Zuerst musst du auf dem WAN Interface den Hacken bei block private networks rausnehmen.
    Dann entsprechend auf dem WAN interface eine Allow Regel für den Server bzw eben das ganze Netz einrichten dann sollte es gehen.

    Eine Route musst du da nicht erstellen die PfSense kennt ja nun schon beide Netze.



  • Wie müsste die Regel lauten? bin grade verwirrt…
    Und die route vom Server geht die in das 172.16.0.0/24 netzwerk oder direkt auf die pfsense?



  • die route in das Netz geht über die pfsense
    sollet so sein unter linux
    route add -net 172.16.0.0 netmask 255.255.255.0 gw <pfsense wan="" ip="">und die Regeln können zum testen auf der PfSense auf dem WAN interface mal allow any to any sein</pfsense>



  • So jetzt kann ich vom Server aus das andere Netz anpingen, jedoch zieht Nagios noch nicht die richtigen infos …



  • was meinst du denn damit das er nicht die richtigen Infos zieht?



  • Nagios arbeitet mit einem NRPE service, der bestimmte Sachen des Servers überwacht, meine einstellungen sind dort richtig, da es ja als ich beide Netze über die pfsense laufen lies lief.
    Jetzt jedoch streikt der Service noch …kann es sein das ich vielleicht auf der Vm auf der Nagios und somit auch dieser Service laufen vielleicht auch eine route hinzufügen muss?...



  • wenn Nagios in deinem speedport Netz ist und Server im PfSense Netz überwachen soll ja dann muss auch da die route rein.
    Immer wenn etwas vom Speedport Netz in das PfSense Netz will brauch man hier eine Route auf dem Server im Speedport Netz. Andersrum kennt die PfSense ja beide Netze. Und wenn dann die Regel passen auf der Pfsense dann sollte das auch klappen



  • Nagios ist im Nutzernetz. Also brauche ich da keine route.. dann muss ja irgentwas an meinen pfsense regeln falsch sein…
    ich habe auf dem Wan interface die allow any regel aktuell drin.
    Wo brauche ich noch regeln und was für welche?..
    Danke ;)



  • Und auf dem Server den du überwachen willst ist da die Route drin?
    Kannst du in beide Richtungen Pingen?
    Gibt es noch eine Firewall auf Nagios bzw dem zu überwachenden Server?
    Auf den Lan sollte auch Allow any sein zum Testen ob es dann geht. Immer dran denke von oben nach unten werden die Regeln abgearbeitet diese Any to Any Regel solle also ganz oben sitzen.



  • Ja der Server hat die Route.
    Ja ich kann in beide Richtungen pingen.
    Nein Nagios und die Server haben keine Firewall.
    Auf dem Wan befindet sich eine allow any rule und auch auf dem lan, natürlich oben plaziert.. aber nichts passiert



  • Ich nutze auch NRPE da muss man glaube ich auch noch erlauben wer darauf zugreifen darf vielleicht stimmt da was nicht?

    Kannst du denn andere Dienste auf dem Server erreichen (z.B. wenn vorhanden http oder so was)

    ansonsten scheint es von der PfSense zu passen sofern du bei der Allow Regel im Protokollfeld auch alles erlaubt hast und nicht nur ICMP.



  • Dort ist der Zugriff von Nagios auch erlaubt…
    ne ich hab wirklich alles erlaubt...
    Wo auch immer der Fehler oder das Problem liegt.-.-



  • dann ist das Ganze echt seltsam. Nochmal prüfen ob die Routen auch wirklich stimmen bzw. Die Regeln. Ansonsten wüsste ich jetzt so auch erstmal nix.



  • Jetzt funktioniert es..
    aber so könne die firewall rules ja nicht stehen bleiben ich erlaube ja alles.. wie richte ich diese nun ordentlich ein?;)

    Achja das Problem lag daran, das ich in der nrpe config unter allowed _host nicht nur die nagios, sondern auch die wan ip benötigte



  • Stimmt weil die PfSense auf dem WAN NAT macht und daher kommt diese Adresse.

    Nun ja du musst du wissen wer soll was dürfen. Wo hin ping bzw. welcher Port wird wo genutzt dann kannst du diese erlauben und den Rest verbieten.


  • LAYER 8 Moderator

    Zumal es vielleicht gar keinen Sinn macht, dass die pfSense NAT macht? Ich habe zwar das Konzept noch nicht ganz verstanden, aber wenn auf beiden Seiten private Netze anliegen und nicht direkt ins Internet geroutet wird, muss ggf. gar kein NAT konfiguriert sein (womit dann Nagios klar gekommen wäre)?


Log in to reply