Anfängerfrage Port freigeben (?)
-
Hi,
vorausgesetzt, die beiden Abteilungen haben auch getrennte Ethernet Leitungen / Switche und die Leitungen der beiden reichen bis zur pfSense und diese hat eine ausreichende Anzahl an Ethernet-Schnittstellen, also mindestens 3, dann schließe die Abteilung, die das 192.168.179.1/24 Netz bekommen soll an die andere Schnittstelle, aktiviere sie und richte das Netz darauf ein.
Wenn das Netz von der pfSense IP Adressen bekommen soll, musst du auch einen DHCP Server dafür konfigurieren.Zugriffe, der zwischen den beiden Netzen zugelassen werden soll, musst du dann über Firewall Regeln erlauben.
Grüße
-
hi,
eigentlicht sind die zwei Abteilungen nur virtuelle Maschinen.
Meine Überlegung wäre wie folgt :
VLAN anlegen auf LAN, und eigenes Netz für VLAN 1 und 2.
Geht sowas? Wenn ja müsste ich noch wissen wo ich hinfassen müsste.
-
Ja, geht, wenn du die VLANs vor den virtuellen Maschinen wieder auftrennen kannst.
Ich nehme an, dass diese am selben Host laufen. Auf einem Linux Host kann man VLANs einfach hinzufügen, bei Windows müsste es der Netzwerktreiber können.
-
D.h.,
ich erstelle auf vtnet1 (lan) ein VLAN mit dem Tag 1 und muss es dem Interface auch mit 1 angeben oder?
Aber wie erstelle ich hier ein zweites Netz?PS: Und irgendwie ist meine Geschwindigkeit im LAN relativ langsam, Download 0,09MBit/s Upload fast gleich. An was liegt das?
-
ich erstelle auf vtnet1 (lan) ein VLAN mit dem Tag 1 und muss es dem Interface auch mit 1 angeben oder?
Aber wie erstelle ich hier ein zweites Netz?Verstehe die Fragen nicht.
Du gehst auf Interfaces > assign > VLANs und definierst da die benötigten virtuellen Netze. Dabei ist auch ein "Parent interface" zuzuweisen, das ist bei dir die wohl vtnet1, also der LAN Port.
Anschließend musst du am Tab "Interface assignments" für beide ein neues Interface hinzufügen und diese aktivieren und konfigurieren und jeweils das entsprechende zuvor definierte VLAN als Port auswählen.PS: Und irgendwie ist meine Geschwindigkeit im LAN relativ langsam, Download 0,09MBit/s Upload fast gleich. An was liegt das?
Da hat's was.
Hast du das auch auf einem physichen Gerät getestet? Und mit welchem Ziel? LAN <> WAN?
Habe zwar gelesen, dass double-NAT die Performance hemmt, aber wohl nicht in diesem Ausmaß.
Was die pfSense betrifft, habe ich da augenblicklich keine Idee. -
Noch ein kleiner Hinweis, der Dir vielleicht ein wenig Zeit beim Fehlersuchen erspart:
Benutzte nicht VLAN1! Nie.
Diese VLAN ID wird oft intern in Switchen etc. genutzt und kann zum Teil auch nicht geändert werden. Nutze nur VLAN IDs >=2. -
hi,
also ich habe jetzt auf vtnet1 , ein VLAN angelegt mit dem Tag 55.
Eine andere IP Range wie auf vtnet1 zugewiesen und das beim Windows System hinterlegt. -> Folge, kein Netz, kein Internet.Muss ich bei der Netzwerkkarte bei Windows noch den Tag hinterlegen? Oder was fehlt hier?
-
Wir wissen leider nicht, welche Funktion das genannte "Windows" in deinem Netzwerk einnimmt. Das hast du ja bislang nicht anklingen lassen.
Fakt ist: Wenn du VLANs verwendest, müssen sämtliche Geräte, die damit in Berührung kommen, also an dem Kabel hängen, auch damit umgehen können.
Wenn am anderen Ende des LAN-Kabels ein Windows Rechner sitzt, der in das VLAN sollte, musst du auf dieser Netzwerkschnittstelle natürlich auch das VLAN konfigurieren. Wenn ein Switch das VLAN terminieren soll, ist es da einzurichten, dann kommen weitere Geräte mit VLAN-Tags gar nicht mehr in Berührung.
Wenn das genannte Windows eine VM ist, muss der Host, auf dem diese läuft, erstmal VLAN beherrschen und es muss an dessen Schnittstelle konfiguriert werden.Was du mit "beim Windows System hinterlegt" meinst, ist mir leider auch nicht klar.
Sorry, aber ein bisschen mehr Infos musst du uns schon zukommen lassen. -
-
Die Firewall ist eine VM???! Und die Ziel-VMs sind vermutlich am selben VM-Host?
Warum dann, um Himmels Willen, raufst du dich mit VLANs ab???
Füge doch einfach zwei virtuelle Netze am VM-Host hinzu, belasse WAN der FW in der Bridge (Internet) und die anderen beiden Schnittstellen verbinde mit den neuen Netzen, an die du auch jeweils eine VM hängst. Du kannst eines der Netze auch mit eth1 des VM-Hosts bridgen, damit der auch hinter der pfSense hängt.Ist doch wesentlich simpler, wo du ja wohl nicht mal weißt, ob die VLAN-Tags überhaupt über das virtuelle Netz des Hosts drüberkommen. Ich schätze mal, nein, weil das anders einfacher zu lösen ist.
-
Hi,
nein es sind VMs auf dem selben Host,aber diese nicht. Allerdings aber am selbigen Switch.
Geht dies dann trotzdem?
D.h. ich füge eine virtuelle Netzwerkkarte der Firewall zu und adressiere die interne IP mit der anderen VM?
-
Du bemühst dich in deinen Postings nicht gerade um eine klare Ausdrucksweise!
Was heißt denn in dem Teil
@Fiddler:nein es sind VMs auf dem selben Host,aber diese nicht. Allerdings aber am selbigen Switch.
nun "aber diese nicht"? Hast du nun 2 Virtualisierungsserver, oder doch nur einen, auf dem alle 3 VM laufen?
Wenn alle VMs auf einem gemeinsamen Host laufen, kannst du 2 zusätzliche virtuelle Netze hinzufügen, um eine saubere Trennung zu bekommen, so wie vmbr0 ein virtuelles Netz (eigentl. die Bridge im Netz) ist. Diese erfüllen dieselben Zwecke wie die geplanten VLANs.
Diese beiden Netze müssen "isoliert" sein, dürfen natürlich nicht mit eth0 gebrückt werden, sonst stehen die VMs im WAN.Wenn die Firewall auf einem anderen physischen Host läuft, kommst du um VLANs für dieses Vorhaben nicht herum.
-
Es sind 2 Virtualisierungsserver.
Somit benötige ich VLANs,…gibt es hier eine grobe Vorgehensweise? Das Interface wie oben beschrieben vlanX auf vtnet0 ist bereits erstellt. Nun muss dieses doch zugewiesen werden oder nicht? Muss dieser Tag in der VM der Netzwerkkarte geschehen oder wo?
-
Also das aus der Nase ziehen von Informationen ist bei dir wirklich stark ausgeprägt. Lass doch mal die Hosen runter, wie der ganze Kram aussieht, dann kann man auch komplett helfen und nicht immer nur 2 Meter weit.
Hast du bspw. VMware als Hypervisor, dann läuft der ganze Netzwerkrempel über vSwitche bzw. distributed Switche. Dann müssen sowohl die vSwtiche/dSwitche als auch die physikalischen Switche an denen die Hypervisoren mit ihren Karten dran hängen das VLAN kennen und entsprechend konfiguriert haben. Wenn das sauber erledigt ist, muss auch die VM selbst (also das OS INNERHALB der VM) nicht mit VLAN Tags rumkaspern, da das dann über die d/vSwitche und normalen Switche schon ordentlich getaggt wird. Ist das nicht der Fall und alles nur ganz plump und platt gebridget, dann muss das OS in der VM selbst eben Taggen. Allerdings möchte man das eigentlich sinnvollerweise vermeiden, denn sonst ist es nicht wirklich komfortabel möglich, ne VM von einem VLAN ins andere zu hängen und man muss noch zusätzlich am Tagging rumfummeln anstatt nur neue IPs zu vergeben.
Grüße
-
OK…kapiert.
Jetzt meine Frage :
Ich möchte das die Interface untereinander nicht kommunizieren,aber jedes mal eine Regel zu erstellen wie Bsp.
Block IPv4 * OPT1 net * LAN * * none
und umgekehrt pro Interface ist ja relativ lästig.
Kann man nicht sagen,dass jedes Interface nur WAN darf und nie mit anderen Interface kommunizieren darf?
Die Regel habe ich schon angepasst,dann funktioniert aber irgendwie kein Internet mehr. :-\
-
Kann man nicht sagen,dass jedes Interface nur WAN darf und nie mit anderen Interface kommunizieren darf?
Doch, genau mit solchen Regeln. Was für dich "halt einfach nur WAN" ist, ist bei anderen eben leider komplizierter, weil sie bspw. mehrere WANs haben, mehrere LANs und man nicht so ohne weiteres nen Knopf bauen kann, dass niemand nichts machen darf.Anyway du kannst ja trotzdem hergehen und alle lokalen Netze in ein einziges Alias packen und dann überall die gleiche Regel reinpacken. Kommt ein Netz dazu musst du nur das Alias anpassen und gut. Da Pakete vom gleichen Netz ins gleiche Netz nie über die Firewall laufen sollten, sollte es auch kein Problem darstellen, alle LANs ins gleiche Alias zu packen.
Und dann einfach eine Regel "Block alles from <if_network>to DeinAlias * * none".
Andere Alternative wäre ein Alias mit allen/einem großen Netzsegment zu definieren und das generell zu blocken. Wenn alle Deine Netze bspw. aus dem Bereichn 10.x.y.0/24 sind, dann blockst du eben obendrüber einmal 10/8 und gut.
Man kann also schon den Großteil mit einer einzigen Regel abdecken, man muss eben wissen+definieren, was man eigentlich will.
Grüße
Jens</if_network> -
Seh ich genauso.
Man muss eh jedes Interface anpacken, da Diese per default nix dürfen (Ausser LAN).
Ich hab mir ein Alias "Private Networks" erstellt und habe somit mit einer Rule pro Interface meine Netze untereinander getrennt.Aber moment mal. Es gibt doch noch unter Interfaces den Punkt "Block private networks" wenn du den auf die jeweilige Lan Interfaces setzt, sparst du dir die Regel. Nur ändern oder verschieben lassen sich diese dann nicht mehr, solltest du irgendwann doch was Freischalten wollen.
-
Ja, Zielsetzung ist einfach,dass alle Interface LAN,OPT1,OPT2 nie mit anderen in Berührung kommen sollen.
D.h. wenn ich bei jedem Interface "Block private networks" das setze,spare ich mir die Regel,da kein Zugriff auf das andere Interface besteht? -
So ist es. Aber bedenke, dass solange der Haken gesetzt ist, können keine Ausnahmen erstellt werden und alle Privaten IP-Ranges (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 u. 127.0.0.0/8) werden somit nicht mehr erreichbar sein.
Wenn diese Clients nur ins Internet sollen, sollte es jedenfalls funktionieren. -
Ich hab mir ein Alias "Private Networks" erstellt und habe somit mit einer Rule pro Interface meine Netze untereinander getrennt.
Blockt das dann nicht auch alle Geräte, die daran hängen und eine private IP haben? Dann würde gar nichts gehen. Ich hab das noch nicht getestet und die Haken bislang nur an der WAN gesetzt.
@Fiddler
Allen Interfaces den Zugang zum Internet zu gewähren und gleichzeitig gegenseitigen Traffic zu unterbinden stellt für eine Regel eine Herausforderung dar, weil der Adressbereich des WWW einen sehr großen Umfang hat. Also setzt man eine Pass-rule für "any". Den gegenseitigen Verkehr müsstest du dann mit Block-Regeln unterbinden.Wenn du nicht gerne Regeln konfigurierst, kannst du das Ganze aber auch mit einer einzigen lösen. Dazu musst du aber eine Floating rule setzen, in der du alle Interfaces auswählst, auf welchen sie gelten soll. Wenn du deine Netze nicht per Netzadresse und Maske definieren kannst, weil so verstreut, musst du dafür erst einen Alias anlegen, in dem alle eingetragen sind und diese in der Regel verwenden.
Die Regel könnte so aussehen:Proto Source Port Destination Port Gateway Queue Schedule Description
pass * * * !<deine nezte="">* * * none Allow WWWRegeln auf den Interfaces werden standardmäßig vorrangig behandelt! D.h. trifft eine zu werden die Floatings nicht mehr beachtet. Soll eine floating rule aber den Vorzug haben, muss die "Quick" Option gesetzt werden.</deine>