Anfängerfrage Port freigeben (?)
-
Hi,
ich habe folgendes vor und zwar soll über der Firewall IP mittels Ports die jeweiligen Dienste der anderen Maschinen angesprochen werden.
So :
Firewall - feste IP : 10.10.10.1
interne Maschine
192.168.178.1 , Port 80
192.168.178.2 , Port 81Erreichbar : 10.10.10.1 : 80 , 10.10.10.1:81
Was muss ich hier genau machen?
Objekt anlegen dann Port freigeben? -
Das sollte recht einfach über NAT / PortForwarding funktionieren. Dort als Adresse <wan_address>auswählen, Port 80, Target 192.168.178.1, Target Port 80.
Gleiches für 81. Du kannst dann auch als Target Port 80 einstellen und somit 81 auf der 10er Adresse auf 80 auf 192.168.178.2 leiten, damit du dessen Webserver nicht umkonfigurieren musst.
Grüße</wan_address>
-
hi jegr,
das hat super funktioniert!
Jetzt habe ich noch eine andere Frage, :
Es gibt hier 2 Abteilungen und die sollen jeweils ein anderes Netz haben z. B.
192.168.178.1/24
192.168.179.1/24Wie kann ich derartiges bewerkstelligen? Danke!
-
Hi,
vorausgesetzt, die beiden Abteilungen haben auch getrennte Ethernet Leitungen / Switche und die Leitungen der beiden reichen bis zur pfSense und diese hat eine ausreichende Anzahl an Ethernet-Schnittstellen, also mindestens 3, dann schließe die Abteilung, die das 192.168.179.1/24 Netz bekommen soll an die andere Schnittstelle, aktiviere sie und richte das Netz darauf ein.
Wenn das Netz von der pfSense IP Adressen bekommen soll, musst du auch einen DHCP Server dafür konfigurieren.Zugriffe, der zwischen den beiden Netzen zugelassen werden soll, musst du dann über Firewall Regeln erlauben.
Grüße
-
hi,
eigentlicht sind die zwei Abteilungen nur virtuelle Maschinen.
Meine Überlegung wäre wie folgt :
VLAN anlegen auf LAN, und eigenes Netz für VLAN 1 und 2.
Geht sowas? Wenn ja müsste ich noch wissen wo ich hinfassen müsste.
-
Ja, geht, wenn du die VLANs vor den virtuellen Maschinen wieder auftrennen kannst.
Ich nehme an, dass diese am selben Host laufen. Auf einem Linux Host kann man VLANs einfach hinzufügen, bei Windows müsste es der Netzwerktreiber können.
-
D.h.,
ich erstelle auf vtnet1 (lan) ein VLAN mit dem Tag 1 und muss es dem Interface auch mit 1 angeben oder?
Aber wie erstelle ich hier ein zweites Netz?PS: Und irgendwie ist meine Geschwindigkeit im LAN relativ langsam, Download 0,09MBit/s Upload fast gleich. An was liegt das?
-
ich erstelle auf vtnet1 (lan) ein VLAN mit dem Tag 1 und muss es dem Interface auch mit 1 angeben oder?
Aber wie erstelle ich hier ein zweites Netz?Verstehe die Fragen nicht.
Du gehst auf Interfaces > assign > VLANs und definierst da die benötigten virtuellen Netze. Dabei ist auch ein "Parent interface" zuzuweisen, das ist bei dir die wohl vtnet1, also der LAN Port.
Anschließend musst du am Tab "Interface assignments" für beide ein neues Interface hinzufügen und diese aktivieren und konfigurieren und jeweils das entsprechende zuvor definierte VLAN als Port auswählen.PS: Und irgendwie ist meine Geschwindigkeit im LAN relativ langsam, Download 0,09MBit/s Upload fast gleich. An was liegt das?
Da hat's was.
Hast du das auch auf einem physichen Gerät getestet? Und mit welchem Ziel? LAN <> WAN?
Habe zwar gelesen, dass double-NAT die Performance hemmt, aber wohl nicht in diesem Ausmaß.
Was die pfSense betrifft, habe ich da augenblicklich keine Idee. -
Noch ein kleiner Hinweis, der Dir vielleicht ein wenig Zeit beim Fehlersuchen erspart:
Benutzte nicht VLAN1! Nie.
Diese VLAN ID wird oft intern in Switchen etc. genutzt und kann zum Teil auch nicht geändert werden. Nutze nur VLAN IDs >=2. -
hi,
also ich habe jetzt auf vtnet1 , ein VLAN angelegt mit dem Tag 55.
Eine andere IP Range wie auf vtnet1 zugewiesen und das beim Windows System hinterlegt. -> Folge, kein Netz, kein Internet.Muss ich bei der Netzwerkkarte bei Windows noch den Tag hinterlegen? Oder was fehlt hier?
-
Wir wissen leider nicht, welche Funktion das genannte "Windows" in deinem Netzwerk einnimmt. Das hast du ja bislang nicht anklingen lassen.
Fakt ist: Wenn du VLANs verwendest, müssen sämtliche Geräte, die damit in Berührung kommen, also an dem Kabel hängen, auch damit umgehen können.
Wenn am anderen Ende des LAN-Kabels ein Windows Rechner sitzt, der in das VLAN sollte, musst du auf dieser Netzwerkschnittstelle natürlich auch das VLAN konfigurieren. Wenn ein Switch das VLAN terminieren soll, ist es da einzurichten, dann kommen weitere Geräte mit VLAN-Tags gar nicht mehr in Berührung.
Wenn das genannte Windows eine VM ist, muss der Host, auf dem diese läuft, erstmal VLAN beherrschen und es muss an dessen Schnittstelle konfiguriert werden.Was du mit "beim Windows System hinterlegt" meinst, ist mir leider auch nicht klar.
Sorry, aber ein bisschen mehr Infos musst du uns schon zukommen lassen. -
-
Die Firewall ist eine VM???! Und die Ziel-VMs sind vermutlich am selben VM-Host?
Warum dann, um Himmels Willen, raufst du dich mit VLANs ab???
Füge doch einfach zwei virtuelle Netze am VM-Host hinzu, belasse WAN der FW in der Bridge (Internet) und die anderen beiden Schnittstellen verbinde mit den neuen Netzen, an die du auch jeweils eine VM hängst. Du kannst eines der Netze auch mit eth1 des VM-Hosts bridgen, damit der auch hinter der pfSense hängt.Ist doch wesentlich simpler, wo du ja wohl nicht mal weißt, ob die VLAN-Tags überhaupt über das virtuelle Netz des Hosts drüberkommen. Ich schätze mal, nein, weil das anders einfacher zu lösen ist.
-
Hi,
nein es sind VMs auf dem selben Host,aber diese nicht. Allerdings aber am selbigen Switch.
Geht dies dann trotzdem?
D.h. ich füge eine virtuelle Netzwerkkarte der Firewall zu und adressiere die interne IP mit der anderen VM?
-
Du bemühst dich in deinen Postings nicht gerade um eine klare Ausdrucksweise!
Was heißt denn in dem Teil
@Fiddler:nein es sind VMs auf dem selben Host,aber diese nicht. Allerdings aber am selbigen Switch.
nun "aber diese nicht"? Hast du nun 2 Virtualisierungsserver, oder doch nur einen, auf dem alle 3 VM laufen?
Wenn alle VMs auf einem gemeinsamen Host laufen, kannst du 2 zusätzliche virtuelle Netze hinzufügen, um eine saubere Trennung zu bekommen, so wie vmbr0 ein virtuelles Netz (eigentl. die Bridge im Netz) ist. Diese erfüllen dieselben Zwecke wie die geplanten VLANs.
Diese beiden Netze müssen "isoliert" sein, dürfen natürlich nicht mit eth0 gebrückt werden, sonst stehen die VMs im WAN.Wenn die Firewall auf einem anderen physischen Host läuft, kommst du um VLANs für dieses Vorhaben nicht herum.
-
Es sind 2 Virtualisierungsserver.
Somit benötige ich VLANs,…gibt es hier eine grobe Vorgehensweise? Das Interface wie oben beschrieben vlanX auf vtnet0 ist bereits erstellt. Nun muss dieses doch zugewiesen werden oder nicht? Muss dieser Tag in der VM der Netzwerkkarte geschehen oder wo?
-
Also das aus der Nase ziehen von Informationen ist bei dir wirklich stark ausgeprägt. Lass doch mal die Hosen runter, wie der ganze Kram aussieht, dann kann man auch komplett helfen und nicht immer nur 2 Meter weit.
Hast du bspw. VMware als Hypervisor, dann läuft der ganze Netzwerkrempel über vSwitche bzw. distributed Switche. Dann müssen sowohl die vSwtiche/dSwitche als auch die physikalischen Switche an denen die Hypervisoren mit ihren Karten dran hängen das VLAN kennen und entsprechend konfiguriert haben. Wenn das sauber erledigt ist, muss auch die VM selbst (also das OS INNERHALB der VM) nicht mit VLAN Tags rumkaspern, da das dann über die d/vSwitche und normalen Switche schon ordentlich getaggt wird. Ist das nicht der Fall und alles nur ganz plump und platt gebridget, dann muss das OS in der VM selbst eben Taggen. Allerdings möchte man das eigentlich sinnvollerweise vermeiden, denn sonst ist es nicht wirklich komfortabel möglich, ne VM von einem VLAN ins andere zu hängen und man muss noch zusätzlich am Tagging rumfummeln anstatt nur neue IPs zu vergeben.
Grüße
-
OK…kapiert.
Jetzt meine Frage :
Ich möchte das die Interface untereinander nicht kommunizieren,aber jedes mal eine Regel zu erstellen wie Bsp.
Block IPv4 * OPT1 net * LAN * * none
und umgekehrt pro Interface ist ja relativ lästig.
Kann man nicht sagen,dass jedes Interface nur WAN darf und nie mit anderen Interface kommunizieren darf?
Die Regel habe ich schon angepasst,dann funktioniert aber irgendwie kein Internet mehr. :-\
-
Kann man nicht sagen,dass jedes Interface nur WAN darf und nie mit anderen Interface kommunizieren darf?
Doch, genau mit solchen Regeln. Was für dich "halt einfach nur WAN" ist, ist bei anderen eben leider komplizierter, weil sie bspw. mehrere WANs haben, mehrere LANs und man nicht so ohne weiteres nen Knopf bauen kann, dass niemand nichts machen darf.Anyway du kannst ja trotzdem hergehen und alle lokalen Netze in ein einziges Alias packen und dann überall die gleiche Regel reinpacken. Kommt ein Netz dazu musst du nur das Alias anpassen und gut. Da Pakete vom gleichen Netz ins gleiche Netz nie über die Firewall laufen sollten, sollte es auch kein Problem darstellen, alle LANs ins gleiche Alias zu packen.
Und dann einfach eine Regel "Block alles from <if_network>to DeinAlias * * none".
Andere Alternative wäre ein Alias mit allen/einem großen Netzsegment zu definieren und das generell zu blocken. Wenn alle Deine Netze bspw. aus dem Bereichn 10.x.y.0/24 sind, dann blockst du eben obendrüber einmal 10/8 und gut.
Man kann also schon den Großteil mit einer einzigen Regel abdecken, man muss eben wissen+definieren, was man eigentlich will.
Grüße
Jens</if_network> -
Seh ich genauso.
Man muss eh jedes Interface anpacken, da Diese per default nix dürfen (Ausser LAN).
Ich hab mir ein Alias "Private Networks" erstellt und habe somit mit einer Rule pro Interface meine Netze untereinander getrennt.Aber moment mal. Es gibt doch noch unter Interfaces den Punkt "Block private networks" wenn du den auf die jeweilige Lan Interfaces setzt, sparst du dir die Regel. Nur ändern oder verschieben lassen sich diese dann nicht mehr, solltest du irgendwann doch was Freischalten wollen.