Pfsense routing?
-
Hallo, ich schon wieder, diese Lösung ist nicht die gewünschte, also muss ich nun wohl doch die routen auf den Servern eintragen, was muss ich da beachten? Es sind übrigens Linux Server.
Wie müssen die Regeln in der pfsense lauten oder muss ich dort eine statische Route erstellen?…
Hilfe :-[ -
Zuerst musst du auf dem WAN Interface den Hacken bei block private networks rausnehmen.
Dann entsprechend auf dem WAN interface eine Allow Regel für den Server bzw eben das ganze Netz einrichten dann sollte es gehen.Eine Route musst du da nicht erstellen die PfSense kennt ja nun schon beide Netze.
-
Wie müsste die Regel lauten? bin grade verwirrt…
Und die route vom Server geht die in das 172.16.0.0/24 netzwerk oder direkt auf die pfsense? -
die route in das Netz geht über die pfsense
sollet so sein unter linux
route add -net 172.16.0.0 netmask 255.255.255.0 gw <pfsense wan="" ip="">und die Regeln können zum testen auf der PfSense auf dem WAN interface mal allow any to any sein</pfsense> -
So jetzt kann ich vom Server aus das andere Netz anpingen, jedoch zieht Nagios noch nicht die richtigen infos …
-
was meinst du denn damit das er nicht die richtigen Infos zieht?
-
Nagios arbeitet mit einem NRPE service, der bestimmte Sachen des Servers überwacht, meine einstellungen sind dort richtig, da es ja als ich beide Netze über die pfsense laufen lies lief.
Jetzt jedoch streikt der Service noch …kann es sein das ich vielleicht auf der Vm auf der Nagios und somit auch dieser Service laufen vielleicht auch eine route hinzufügen muss?... -
wenn Nagios in deinem speedport Netz ist und Server im PfSense Netz überwachen soll ja dann muss auch da die route rein.
Immer wenn etwas vom Speedport Netz in das PfSense Netz will brauch man hier eine Route auf dem Server im Speedport Netz. Andersrum kennt die PfSense ja beide Netze. Und wenn dann die Regel passen auf der Pfsense dann sollte das auch klappen -
Nagios ist im Nutzernetz. Also brauche ich da keine route.. dann muss ja irgentwas an meinen pfsense regeln falsch sein…
ich habe auf dem Wan interface die allow any regel aktuell drin.
Wo brauche ich noch regeln und was für welche?..
Danke ;) -
Und auf dem Server den du überwachen willst ist da die Route drin?
Kannst du in beide Richtungen Pingen?
Gibt es noch eine Firewall auf Nagios bzw dem zu überwachenden Server?
Auf den Lan sollte auch Allow any sein zum Testen ob es dann geht. Immer dran denke von oben nach unten werden die Regeln abgearbeitet diese Any to Any Regel solle also ganz oben sitzen. -
Ja der Server hat die Route.
Ja ich kann in beide Richtungen pingen.
Nein Nagios und die Server haben keine Firewall.
Auf dem Wan befindet sich eine allow any rule und auch auf dem lan, natürlich oben plaziert.. aber nichts passiert -
Ich nutze auch NRPE da muss man glaube ich auch noch erlauben wer darauf zugreifen darf vielleicht stimmt da was nicht?
Kannst du denn andere Dienste auf dem Server erreichen (z.B. wenn vorhanden http oder so was)
ansonsten scheint es von der PfSense zu passen sofern du bei der Allow Regel im Protokollfeld auch alles erlaubt hast und nicht nur ICMP.
-
Dort ist der Zugriff von Nagios auch erlaubt…
ne ich hab wirklich alles erlaubt...
Wo auch immer der Fehler oder das Problem liegt.-.- -
dann ist das Ganze echt seltsam. Nochmal prüfen ob die Routen auch wirklich stimmen bzw. Die Regeln. Ansonsten wüsste ich jetzt so auch erstmal nix.
-
Jetzt funktioniert es..
aber so könne die firewall rules ja nicht stehen bleiben ich erlaube ja alles.. wie richte ich diese nun ordentlich ein?;)Achja das Problem lag daran, das ich in der nrpe config unter allowed _host nicht nur die nagios, sondern auch die wan ip benötigte
-
Stimmt weil die PfSense auf dem WAN NAT macht und daher kommt diese Adresse.
Nun ja du musst du wissen wer soll was dürfen. Wo hin ping bzw. welcher Port wird wo genutzt dann kannst du diese erlauben und den Rest verbieten.
-
Zumal es vielleicht gar keinen Sinn macht, dass die pfSense NAT macht? Ich habe zwar das Konzept noch nicht ganz verstanden, aber wenn auf beiden Seiten private Netze anliegen und nicht direkt ins Internet geroutet wird, muss ggf. gar kein NAT konfiguriert sein (womit dann Nagios klar gekommen wäre)?