Pfsense routing?
-
Hallo,
ich bin noch relativ unerfahren mit der pfsense und erhoffe mir hier Hilfe.Ich habe 2 Netzwerke, das eine wird über einen Router gesteuert und hat eine 192.168.100.x ip, das andere wird über die pfsense gesteuert 172.16.x.x .
sie gehen beide von dem gleichen Router aus. Das eine geht dann ins wan interface der pfsense, das andere geht auf einen extra switch, auf dem sich dann die Clients dieses Netzes befinden.
Nun hab ich das Problem, das ich aus dem Netzwerk, das über die pfsense läuft in das andere Netz pingen kann, andersherum ist das jedoch nicht möglich.
Wie schaffe ich das nun, dass sie in beide richtungen kommunizieren können ?
danke
-
sehe ich das richtig das auf dem WAN Interface der PfSense dann das 192.168.100.x Netz ist? Noch ist es mir nicht so ganz klar.
wenn es geht vielleicht auch eine kleine Zeichnung wie es aufgebaut ist. -
Hallo Lilly,
Ich habe 2 Netzwerke, das eine wird über einen Router gesteuert und hat eine 192.168.100.x ip, das andere wird über die pfsense gesteuert 172.16.x.x .
Was meinst du hier mit gesteuert?
sie gehen beide von dem gleichen Router aus. Das eine geht dann ins wan interface der pfsense, das andere geht auf einen extra switch, auf dem sich dann die Clients dieses Netzes befinden.
Wie ist das zu verstehen, wenn du doch zwei unterschiedliche Router und Netze hast?
Könntest du versuchen das ggf. etwas zu skizzieren?(siehe https://forum.pfsense.org/index.php?topic=20279.0)
Wie schaffe ich das nun, dass sie in beide richtungen kommunizieren können ?
Da ich die Verkabelung noch nicht recht verstanden habe, ist das schwer zu sagen, es hört sich aber danach an, als würdest du das fremde Netz auf der pfSense nicht reinlassen und deshalb geht der Rückweg nicht. Vielleicht ist es einfacher wenn du das skizziert hast :)
Grüße
-
Hallo,
bei so einem Aufbau kommt in uns immer die Frage hoch: "Warum macht man so etwas?". Routen kann die pfSense auch, da braucht es keinen 2. Router. Aber ich sage mal, du wirst deine Gründe haben und frage nicht weiter.
So wie ich das verstehe, liegt das 192.168.100.x Netz "hinter" der pfSense, also an deren LAN Interface. Ich nehme an, die pfSense ist nicht gebridged, d.h. die WAN-IP der pfSense ist dann in irgendeinem anderen Subnetz, das du uns nicht genannt hast.
Wenn das so ist, muss du auf deinem Router eine statische Route zu dem Netz hinter der pfSense setzen und die WAN-IP als Gateway angeben.
Darüber hinaus müssen die Zugriffe auf der pfSense über Regeln erlaubt werden. Standardmäßig ist am WAN einkommend nichts erlaubt, also muss die entsprechende Regel manuell eingerichtet werden.
Grüße
-
So also vom Router (ein speedport) geht es aus dem Lan Port 1 auf einen Switch, dieses ist das 192.168.100.x Netz, hier sitzen meine Server.
Über einen weiteren Ausgang des Routers geht es zum wan Interface der pf Sense, also hat das wan eine 192.168.100.x ip. Von der pfsense aus geht dann das lan Interface 172.16.x.x, dies ist das Nutzer netz, wo sich die Clients und die Vms befinden.
Ziel der ganzen Sache ist das wir 2 physikalisch abgetrennte Netze haben ,jedoch ergab sich nun das Problem das einige Funktionen meiner vms, wie z.b. Nagios per nrpe keine Antwort bekommen .
Daraufhin ist mir aufgefallen, das das Nutzer netz das Admin Netz mit den Server anpingen kann,
Jedoch kann ich von den Server aus das Nutzer netz nicht anpingen.Eine statische Route auf dem Speedport einzurichten scheint nicht möglich…
-
Eine statische Route auf dem Speedport einzurichten scheint nicht möglich…
Geht leider wirklich nicht so weit ich weiß aber genau das brauchst du aber.
Woher sollen die Server im 100er Netz denn wissen das es hinter der PfSense noch etwas gibt? Die haben den Speedport als Default Gateway und der kennt dein 172er Netz gar nicht.
Da müsstest du auf allen Servern eine statische Route Richtung PfSense von Hand eintragen und auf der PfSense die entsprechenden Reglen. Zusätzlich musst du private Netze auf dem WAN Interface erlauben die werden da von Haus aus normal geblockt.Ich würde es allerdings anders machen.
Speedport an WAN von PfSense und dann auf der PfSense zwei Interfaces eingerichtet eins für Server eins für Clients dann kennt die PfSense alle Netze und kann bequem zwischen diesen routen. Ins internet kommen die Netze dann über das WAN Bein über den Speedport.noch schöner wäre es wenn die PfSense direkt an einem Modem hängt und die Einwahl selber macht dann hast du kein doppeltes NAT aber das hängt von deinem Anschluss ab.
-
Okay das dachte ich mir schon und habe das nun auch vor…
Wie kommunizieren die netze dann miteinander ?
Ich muss es halt hinbekommen, das nicht alle Clients im Nutzer Netz zugriff auf die clients im Admin Netz haben, sondern nur bestimmte.
Das heisst ein normaler Nutzer Pc soll die Server im Admin Netz nicht erreichen, die Vms die sich im Nutzer Netz befinden schon . -
Wenn beide Netze auf der PfSense sind kennt diese ja alle Netze und alle Clients in diesem Netz und kann daher die Verbindung herstellen.
Über Firewallregeln kannst du dann bestimme welche IP auf welche IP im jeweils andere Netz darf. Das selbe geht auch mir Ports. So kannst du den Zugriff regeln.
Denk aber bitte dran solltest du das so machen entweder dein 100er Netz anzupassen oder dem Speedport ein anderes Netz geben. Ansonsten hast hast du auf dem WAN und auf dem LAN das selbe Netz und das geht nicht. Wird oft leider vergessen ;)
-
So, nachdem ichs versucht hatte war erstmal das internet weg :D…aber du hast die Lösung ja gleich geliefert, nun befindet sich der router auf der 192.168.200.x.
Nun gehen beide Netze von der Pfsense aus.Bezüglich der Firewallregeln, ich kenn mich da komplett nicht aus und habe nun keine Ahnung, wie ich das einrichten soll. Hilfe ! ;)
Aktuell können sich die Clients aus dem Nutzer netz und dem admin netz wieder nur in die eine Richtung unterhalten, das nutzer netz kann das admin Netz pingen, mehr aber nicht, wie lege ich nun die Regeln fest, sodass sich das Admin Netz in Beide richtungen nur mit bestimmten Clients des Nutzer Netzes unterhalten kann?
-
Unter Firewall-> Rules solltest du nun drei Interface haben WAN LAN und noch ein Netz
Hier kannst du Regeln anlegen. Block und Reject verweigern dann den Zugriff anhand von Filter wie Quell- und ZielIP bzw Port.
Allow lassen der Verkehr durch.
Die Firewall arbeitet von Oben nach unten und nach first Match. Also wenn eine Regel greift geht die Firewall nicht weiter.
Alles was nicht definiert ist wird automatisch geblockt.Wenn die PfSense ganz neu ist hat sie auf dem LAN interface eine Regel die alles erlaubt. Legt man ein neues Inteface an sind dort keine Regeln und das bedeutet es wird alles geblockt.
Du solltest nun auf dem neuen Interface ein paar Regeln angelgen. Achte hier auch auf das Protokoll. Standardmässig ist hier TCP ausgewählt. Das heißt z.B. http geht durch aber ein Ping eben nicht der baut auf ICMP.Hier musst du dich einfach mal ein bissel mit beschäftigen dann wird das schon :)
-
Hallo!
Wichtig ist es für einen Neuling zu wissen, dass Regeln immer an jenem Interface anzulegen sind, an welchem der Traffic in die Firewall reinkommt.
Wenn also ein Client (172.16.2.56) aus dem Nutzer-Netz, angenommen 172.16.0.0/16, vollen Zugriff auf sämtliche Rechner im Admin-Netz (192.168.100.0/24) haben soll, gehst auf das Tab des Nutzer-Netzes in Firewall > Rules und legst dort die Regel an:ID Proto Source Port Destination Port Gateway Queue Schedule Description * 172.16.2.56 * 192.168.100.0/24 * * noneWenn das Interface des Admin-Netz mit 192.168.100.0/24 eingerichtet ist, hält pfSense dafür auch eine Variable vor, die du in der Regel verwenden kannst, je nach dem, wie du das Interface benannt hast.
Um die Zugriffe auf gewisse Dienste einzuschränken, kannst du beim Protokoll anstatt any ein bestimmtes wählen und bei Destination Port ebenso einen bestimmten.
Wenn du mehrere Hosts (IPs) oder Ports zusammenfassen möchtest, bspw. soll die Source IP 5 Adressen beinhalten, kannst du dir erst "Aliases" anlegen: Firewall > Aliases. Diese können dann in der Regel anstatt Source- od. Destination-IP od. -Ports verwendet werden.
-
Hallo Leute, es klappte so das beide Interfaces über die pfsense laufen richtig gut, jedoch besteht mein auftraggeber darauf, das das adminnetz nicht über die pfsense laufen soll.
Nun wurde oben erwähnt, das man mein Ziel, das sich beide Netze kennen auch über das eintragen von statischen routen auf den servern erreichen kann. kann mir jemand erklären wie das geht? Wirklich Schritt für Schritt, denn ich bin absolute anfängerin..:D -
auf dem Server (ich gehe mal von Windows aus)
CMD auf machen und dann
route add <netzwerk>mask <netzmaske><gateway>-p
z.B.
route add 172.16.0.0 mask 255.255.255.0 192.168.100.10 -p
mit dem -p ist das Ganze auch Neustartsicher.
Aber wie gesagt auf dem WAN Interface wird alles Private geblockt. Muss man dann eben erlauben.
Wirklich schön ist es nicht. Aber wenn es nicht anders geht ist das eben so.</gateway></netzmaske></netzwerk> -
So habe es nun anders gelöst, in dem ich dem Server, welcher mehrere Schnittstellen besitzt (lediglich eth0 im Adminnetz) eine statische IP aus dem Nutzernetz gegeben habe und diese nun von Nagios überwachen lasse. ;)
Also viel zu kompliziert gedacht ;)
Danke für die Mühe :) -
Hallo, ich schon wieder, diese Lösung ist nicht die gewünschte, also muss ich nun wohl doch die routen auf den Servern eintragen, was muss ich da beachten? Es sind übrigens Linux Server.
Wie müssen die Regeln in der pfsense lauten oder muss ich dort eine statische Route erstellen?…
Hilfe :-[ -
Zuerst musst du auf dem WAN Interface den Hacken bei block private networks rausnehmen.
Dann entsprechend auf dem WAN interface eine Allow Regel für den Server bzw eben das ganze Netz einrichten dann sollte es gehen.Eine Route musst du da nicht erstellen die PfSense kennt ja nun schon beide Netze.
-
Wie müsste die Regel lauten? bin grade verwirrt…
Und die route vom Server geht die in das 172.16.0.0/24 netzwerk oder direkt auf die pfsense? -
die route in das Netz geht über die pfsense
sollet so sein unter linux
route add -net 172.16.0.0 netmask 255.255.255.0 gw <pfsense wan="" ip="">und die Regeln können zum testen auf der PfSense auf dem WAN interface mal allow any to any sein</pfsense> -
So jetzt kann ich vom Server aus das andere Netz anpingen, jedoch zieht Nagios noch nicht die richtigen infos …
-
was meinst du denn damit das er nicht die richtigen Infos zieht?
