Statische Route



  • Hallo zusammen,

    ich habe hinter meiner pfSense (Netz: 192.168.178.0/24) eine Fritzbox(LAN-Adresse ist 192.168.178.144) hängen, die eine extra WLAN-Netz (192.168.2.0/24) hält.
    Wie kann ich auch dem LAN jetzt auf die MGM-IP der Fritzbox (192.168.2.1) zugreifen?
    Hierzu muss ich sicherlich eine statische Router eintragen. Wie genau mache ich das?

    Vielen Dank für die Hilfe.  :)

    Gruß



  • Unter System -> Routing legst du die Fritz Box mit der 192.168.178.144 als Gateway auf dem LAN Interface an.
    dann gehst du auf Routes und legst da eine Route in das Netz 192.168.2.0/24 über das vorher angelegte Gateway an.

    Dann sollte ein Ping gehen. Dies kann allerdings zu Probleme führen da du damit ein asymmetrisches Routing baust. Die Anfrage geht vom Absenderclient zur PfSense dann zur Fritzbox dann zum Zielclient. Die Antwort geht vom Zielclient zur Fritzbox zum Absenderclient direkt ohne über die PfSesen zu gehen.
    Das kann zu Problemen bei z.B. SSH führen.

    Das Problem kannst du mit einem Transfernetz (FritzBox an ein neues Interface der PfSense mit neuem Netz hängen) umgehen oder indem du auf den Clients im LAN direkt eine statische Route für das Netz 192.168.2.0/24 auf die FritzBox setzt.



  • Unter System -> Routing legst du die Fritz Box mit der 192.168.178.144 als Gateway auf dem LAN Interface an.
    dann gehst du auf Routes und legst da eine Route in das Netz 192.168.2.0/24 über das vorher angelegte Gateway an.

    Habe ich verstanden.

    Dann sollte ein Ping gehen. Dies kann allerdings zu Probleme führen da du damit ein asymmetrisches Routing baust. Die Anfrage geht vom Absenderclient zur PfSense dann zur Fritzbox dann zum Zielclient. Die Antwort geht vom Zielclient zur Fritzbox zum Absenderclient direkt ohne über die PfSesen zu gehen.
    Das kann zu Problemen bei z.B. SSH führen.

    Wenn es zu anderen Probleme frühen kann, würde ich gerne eine andere Möglichkeit verwenden.

    Das Problem kannst du mit einem Transfernetz (FritzBox an ein neues Interface der PfSense mit neuem Netz hängen) umgehen oder indem du auf den Clients im LAN direkt eine statische Route für das Netz 192.168.2.0/24 auf die FritzBox setzt.
    Ich habe leider keine Interface an der pfSense mehr frei. Die Box hat nur 3 Interfaces. Diese sind in dem fall leider schon benutzt.

    Welche Möglichkeit würdes du in meinem Fall empfehlen?

    Vielen Dank



  • dann bleibt leider nur der aufwendige weg

    oder indem du auf den Clients im LAN direkt eine statische Route für das Netz 192.168.2.0/24 auf die FritzBox setzt.

    Sprich du musst auf jedem Client in deinem Netzwerk eine Statische Route setzen.
    Bei Windows Rechnern ist das kein Problem

    route add 192.168.2.0 mask 255.255.255.0 192.168.178.144 -p
    

    damit setzt du eine Route und das -p bedeutet permanent also neustart sicher.
    Allerdings bei manchen sachen wie Home Netzwerkrouter oder ähnlichem geht so was nicht.

    PS:
    Wenn du einen Switch hast der VLAN's kann könntest du weitere Interface auf der PfSense anlegen dann könntest du wieder ein Transfernetz bauen.



  • Abgen,

    ich habe die Routen eingefügt wie beschrieben und auch am Client die Route hinzugefügt.
    Leider funktioniert es noch nicht .-(

    ICh habe die Screenshots eingefühgt.








  • Hallo,

    wem gehört 192.168.178.2, die du als Gateway angelegt hast?
    Da sollte die IP der FritzBox rein und die ist ja 192.168.178.144. Das hast du jedenfalls im ersten Post geschrieben.

    Aber ich fürchte, dass dir dieses Gateway und die Route eh nichts bringen wird, habe aber vielleicht deinen Aufbau nicht ganz verstanden. Vielleicht kannst du uns einen Netzwerkplan liefern.
    Ich habe es so verstanden, dass die Clients, die auf das WLAN-Netz Zugriff haben sollen im selben Netz liegen wie die FB, korrekt? Dann hilft nur die Route am Client direkt und die pfSense hat mit der Sache gar nichts zu tun.



  • Halllo,

    danke für deine Antwort.
    Hatte mich geirrt, die Firtzbox hat die 192.168.178.2.
    Den Netzwerkplan liefere ich morgen.
    Es ist aber so, dass die Fritzbox im LAN (192.168.178.0/24) hängt und dort für das WLAN(192.168.2.0/24) nochmal ein neuen Netz aufmacht.
    Ich möchte quasi auch Zugriff auf die Firtzbox haben, wenn ich per VPN auf die pfSense eingewählt bin.
    Irgendwie muss dann der Request für das Netz (192.168.2.0/24) an die 192.168.178.2 geroutet werden.
    Hoffe meine Erklärung konnte helfen.

    Danke & Gruß



  • Okay, die FB hängt im LAN und hat die IP 192.168.178.2. Das WLAN-Netz 192.168.2.0/24 liegt hinter der FB.

    @hackel:

    Ich möchte quasi auch Zugriff auf die Firtzbox haben, wenn ich per VPN auf die pfSense eingewählt bin.

    Mit der VPN hast du nun aber eine neue Komponente ins Spiel gebracht. Aber egal, via VPN auf die FritzBox zugreifen muss doch gehen, ich meine, auch ohne Route. Eine Regel am VPN Interface, die das erlaubt, reicht dafür.

    @hackel:

    Irgendwie muss dann der Request für das Netz (192.168.2.0/24) an die 192.168.178.2 geroutet werden.

    Meinst du nun den Request vom VPN Client oder von einem LAN Host?
    Was LAN angeht, haben wir die Sache schon geklärt, da braucht es eine Route auf den Hosts selbst, wenn du kein eigenes Netz für die FB hast.

    Pakete von einem VPN Client kannst du mit einer Route auf der pfSense richtig lenken. Allerdings braucht es ebenso eine Route auf der FB, damit die Antworten wieder zurückfinden.
    Einfacher ist es, eine NAT-Regel für diesen Traffic auf der pfSense anzulegen. Da braucht es dann nichts Weiteres, allerdings kommt dann am Zielhost die IP der pfSense als Quelle an, nicht die des tatsächlichen VPN-Clients, wodurch du da die Möglichkeit verlierst, den Client am Zielhost identifizieren zu können.



  • Danke für deine Antwort.

    Mit der VPN hast du nun aber eine neue Komponente ins Spiel gebracht. Aber egal, via VPN auf die FritzBox zugreifen muss doch gehen, ich meine, auch ohne Route. Eine Regel am VPN Interface, die das erlaubt, reicht dafür.
    Ich habe es an der Firewall freigeschaltet, leider funktioniert es aber noch nicht.

    Meinst du nun den Request vom VPN Client oder von einem LAN Host?
    Ich meine aktuell von VPN Client. Für das LAN habe ich es so verstanden, dass ich einen statische Route am Client eintragen muss.

    Pakete von einem VPN Client kannst du mit einer Route auf der pfSense richtig lenken.
    Wie mache ich das genau?

    Einfacher ist es, eine NAT-Regel für diesen Traffic auf der pfSense anzulegen. Da braucht es dann nichts Weiteres, allerdings kommt dann am Zielhost die IP der pfSense als Quelle an, nicht die des tatsächlichen VPN-Clients, wodurch du da die Möglichkeit verlierst, den Client am Zielhost identifizieren zu können.
    Wenn das einfach ist, würde das gerne nutzen, kann du mir erklären, was ich genau machen muss.
    Es macht nichts, wenn an der FB nicht die Client IP sondern die pfsense IP ankommt.

    Danke für deine tolle Unterstützung.



  • Wenn du die Route auf deinem Rechner direkt eingetragen hast dann hat die PfSense ja erst mal nichts damit zu tun damit muss es gehen.

    Ich weiß auch gerade nicht genau wie du ein WLAN Netz auf die Fritz Box gepackt hast. Ich kenne das nur so das man an der Fritz Box ein Gast Netzwerk einrichten kann. Das ist dann aber wohl so das es nur ins Internet kann und die anderen  Netze werden von diesem abgeschottet.

    Ist das so ein Gast WLAN/Netzwerk?

    Wenn ja wird es ja wohl mit dem Routing nix zu tun haben sondern es ist gewollt das da nichts rein uns raus kommt.
    Weil ich kenne das so gar nicht das man zwei Netze auf der Fritz Box hat außer eben diesem abgeschotteten Gast Netz.

    Aber egal, via VPN auf die FritzBox zugreifen muss doch gehen, ich meine, auch ohne Route. Eine Regel am VPN Interface, die das erlaubt, reicht dafür.

    Er will ja auf die 192.168.2.1 komme dafür brauch er ja dann aber doch die Route.



  • Anbei hängt ein Netzwerkplan.
    Ich hoffe der kann helfen.
    Ziel ist es aus dem VPN (ich nutze openVPN - Einwahl funktioniert auch) und aus dem LAN auf die Fritzbox zu kommen.
    Falls es ebenfalls möglich ist, auf die Webpage des Zyxcel Modem zu kommen wäre das nätürlich super :-)



  • Banned



  • @hackel:

    Einfacher ist es, eine NAT-Regel für diesen Traffic auf der pfSense anzulegen. Da braucht es dann nichts Weiteres, allerdings kommt dann am Zielhost die IP der pfSense als Quelle an, nicht die des tatsächlichen VPN-Clients, wodurch du da die Möglichkeit verlierst, den Client am Zielhost identifizieren zu können.
    Wenn das einfach ist, würde das gerne nutzen, kann du mir erklären, was ich genau machen muss.
    Es macht nichts, wenn an der FB nicht die Client IP sondern die pfsense IP ankommt.

    Das ist dem Prinzip nach in der Anleitung im Link von 2chemlud erklärt, aber vielleicht etwas allgemein gehalten.

    Bei dir wäre das: Du gehst auf Firewall > NAT > Outbound. Vermutlich steht da die Einstellung noch auf "Automatic outbound NAT rule generation", so aktiviere erst "Hybrid Outbound NAT rule generation" und klick auf Save.
    Dann mit einem Klick auf das "+" Symbol unten eine neue Regel hinzufügen:
    Interface=LAN
    Protocol=any (oder wie dir beliebt)
    Source=Network und darunter das VPN Tunnel Netzwerk eintragen
    Destination=any
    Transaltion=Interface address

    Diese Regel übersetzt in jedem Paket vom VPN-Tunnel Richtung LAN Interface die Quell-IP auf die des pfSense LAN Interfaces. Damit gehen alle Antworten eben auf dieses Interface zurück und pfSense macht alles Weitere.

    @flix87:

    Er will ja auf die 192.168.2.1 komme dafür brauch er ja dann aber doch die Route.

    Diesen Satz hätte ich anders verstanden:
    @hackel:

    Ich möchte quasi auch Zugriff auf die Firtzbox haben, wenn ich per VPN auf die pfSense eingewählt bin.

    Das mit dem 192.168.2.1/24 Netz hatten wird geklärt.



  • ich glaube jetzt habe ich es.
    die Fritzbox hat als WAN Adresse die 192.168.178.2 und als LAN die 192.168.2.1 richtig?
    Wenn ja geht das mit den Routen wie beschrieben. Allerdings muss die Firewall der Fritz Box auf gemacht werden. Wenn die denkt sie hängt am WAN macht sie erst mal alles dicht. Dann kannst du zwar Routen setzen aber Fritz Box blockt eingehend alles weg. Ausgehen sollte gehen.

    Ist das so richtig oder habe ich wieder etwas falsch verstanden?  ;)
    Weil oben redest du etwas von Lan und WLAN Adresse und in der Zeichnung sehe ich die 192.168.178.2 nicht deswegen frage ich ob das jetzt so stimmt?



  • die Fritzbox hat als WAN Adresse die 192.168.178.2 und als LAN die 192.168.2.1 richtig?
    Ja, das ist so korrekt.



  • Okay was sagt dann die Firewall der Fritz Box?
    Hast du da schon was eingestellt? Wenn nicht blockt die wohl alles eingehende weg.



  • Ich habe es jetzt so eingerichtet.
    Leider funktioniert der Zugriff noch nicht.
    Hat jemand eine Idee?








  • Jetzt werden hier zwei Sachen vermischt einmal das Modem und einmal der Zugriff auf die Fritzbox

    @flix87:

    Okay was sagt dann die Firewall der Fritz Box?
    Hast du da schon was eingestellt? Wenn nicht blockt die wohl alles eingehende weg.

    bezog sich ja auf die Fritz Box aber leider hab ich da von dir keine Antwort drauf bekommen.
    Vielleicht ist es besser hier das mit dem Fritz Box zu klären und du machst einen neuen Thread auf wegen dem Modem sonst kommt man durcheinander.
    Ich schreibe was wegen der Fritz Box du wegen dem Modem da kann ja nix bei rum kommen vorallem wenn du nicht auf meinen Post eingehst  ;)



  • Sorry :-)
    Bin erst morgen Mittag daheim um über WLAN die Firewall der FB auszuschalten.
    Über VPN komme ich ja leider noch nicht drauf.

    Könntest du mir aktuell bei dem Problem mit dem Modem helfen?
    Die Screenshots von oben betreffen das Modemproblem. :-)



  • Zeig nochmal bitte einen Screenshot der Outbound NAT Seite vielleicht passt da noch etwas nicht.



  • Anbei die Bilder.
    Ich habe die Regel einmal für LAN, einmal für WLAN und einmal für das VPN Netz angelegt.






  • Kannst du bitte nochmal die ganze Seite zeigen? Geht auch ein bissel darum was ganz oben einstellt ist und die Reihenfolge.
    Sprich ob es oben auf Manual Outbound NAT rule generation oder zumindest  Hybrid Outbound NAT rule generation steht.
    Und welche Regeln davor noch kommen.



  • Hoffe es stimmt diesmal :-)






  • Das sieht soweit okay aus.

    Kannst du wenn du auf der Weboberfläche einen Ping auf das Modem machst dieses erreichen?

    Vielleicht die States noch mal löschen auf der PfSense. (Kann sein das du dann per VPN rausfliegst)

    PfSense schon mal neugestartet?



  • Reboot hat leider keinen Erflog gebracht.



  • Dass du nun auf das Zyxel Modem zugreifen willst, konnte ich anhand der Outbound NAT Screenshots im Post https://forum.pfsense.org/index.php?topic=100742.msg561862#msg561862 erkennen. Vorher war davon keine Rede.

    Diese Outbound NAT Regel erscheint mir etwas sinnfrei. Sie transferiert eine Anfrage vom LAN Richtung Modem auf die WAN Adresse. Wozu? Das Modem hängt ja ohnehin auf dem WAN Interface und dafür legt dir pfSense eine automatische NAT Regel an.
    Von wo aus möchtest du nun wohin zugreifen? Hast du nun eine zusätzliches Netz für das Modem am WAN? Standardmäßig heißt das Interface ja WAN.

    Und dass dein Hin und Her die Leute, die helfen wollen ziemlich verwirrt, ist schon mehrmals angemerkt worden. Wenn du ein Problem beheben möchtest, bleibe bitte einmal bei einem, und wenn du unbedingt das Thema wechseln möchtest, leite das bitte entsprechend ein, damit es nicht unnötige Fragen gibt und dieser Thread endlos und unlesbar (wertlos für andere) wird.



  • ich denke auch mache wegen dem Modem einen neuen Therad auf und wegen der Fritz Box einfach mal schauen wie es dann aussieht wenn du wieder daheim bist.
    Vielleicht reicht es ja schon die Firewall aus zu schalten und du kommst auf die 192.168.178.2.

    Wegen dem Modem hatte ich ja noch

    Kannst du wenn du auf der Weboberfläche einen Ping auf das Modem machst dieses erreichen?

    geschrieben da bist du aber nicht drauf eingegangen.  ;) ich stelle oft mehr als eine Frage in einem Post du gehst aber meistens nur auf eine ein.
    Mach das mit dem Ping nochmal aber bitte die Antwort in einem neuen Thread.



  • Sorry für die Verwirrung.
    Das was nicht meine Absicht :-(

    Also der Zugriff auf die Fritzbox funktioniert nun über das Webinterface.
    Leider noch nicht über die Firtzapp.
    Vielen Dank für die Hilfe!



  • Und was war es die Firewall in der Fritz Box?

    Die FritzApp könnte ich mir vorstellen das die nach fritz.box sucht.
    Einfach einen DNS eintrage mit fritz.box erstellen der auf die IP der Fritz Box verweist und dann nochmal testen.



  • Und was war es die Firewall in der Fritz Box?
    Ich finde keine Punkt, wo man die Firewall komplett ausschalten kann.

    DNS Eintrag wurde gemacht.
    Ich kommte nun mit fritz.box auf die Webpage, leider funktioniert es mit der App noch nicht. :-(



  • auf was verweist fritz.box auf die 192.168.178.2 oder auf die 192.168.2.1?
    Ich denke es müsste auf 192.168.2.1 verweisen.
    Kommst du denn da jetzt hin?

    Und was war es die Firewall in der Fritz Box?
    Ich finde keine Punkt, wo man die Firewall komplett ausschalten kann.

    was hast du denn dann geändert das es nun geht?



  • Über 192.168..2.1 kann ich gar nicht auf die Seite zugreifen.
    Nur über 192.168.178.2.

    was hast du denn dann geändert das es nun geht?
    Ich habe an der Fritzbox erlaubt, dass man über das Internet (sprich WAN-Seite) die Webseite aufrufen kann.

    Danke & Gruß



  • Danke für die Info die hat mir noch gefehlt  ;)
    das hilft nur für den Zugriff auf die Webseite dann geht die App natürlich nicht. Die Firewall ist weiter aktiv.
    Ich glaube ausschalten kann man die nicht also wird das mit dem Routing nicht gehen.
    Die Frage ist ob du das nicht einfach umbauen willst und nicht ein WAN und LAN interface machst sondern die FritzBox mit dem LAN1 in dein Lokles Netzwerk hängst und dann sagst Internetzugang über LAN1 (oder so ähnlich heißt das da glaube ich) also keine zwei Netze mehr.
    Weil das erzeugt sonst nur Probleme.
    Die FritzBox ist für dem Homebreich gedacht und mit Routing usw. kommt die schnell an die Grenze.



  • Die Frage ist ob du das nicht einfach umbauen willst und nicht ein WAN und LAN interface machst sondern die FritzBox mit dem LAN1 in dein Lokles Netzwerk hängst und dann sagst Internetzugang über LAN1 (oder so ähnlich heißt das da glaube ich) also keine zwei Netze mehr.
    Ich habe der Fritzbox jetzt die 192.168.178.2 gegeben und alle WLAN Clients bekommen jetzt auch IP Adressen (192.168.178.100 - 200).
    Wenn ich jedoch jetzt im LAN bin, kann ich die 192.168.178.2 anpingen, komme jedoch nicht auf das Webinterface.
    Bin ich im WLAN funktioniert es.
    Was fehlt hier noch, bzw. was mache ich falsch :-(?



  • DHCP ist auf der FritzBox aus und auf der PfSense an? (hat erst mal keinen Einfluss auf das Webinterface sollte man aber auch beachten) Wenn alles passt sollten die WLAN Clients vom DHCP der PfSense was bekommen.

    Wenn die FritzBox nur noch eine Adresse hat sollte man da auch drauf kommen. Müsste dann eine Einstellung in der FritzBox sein die das verhindert oder eben das Konstrukt passt eben noch nicht vom aufbau her.
    Wie sind denn jetzt die Einstllungen auf der FritzBox? Sollte jetzt irgendwie  Internetzugang über LAN 1 sein und die FritzBox sollte nur mit LAN 1 im Netzwerk hängen.



  • Alles klar.
    Es wurde jetzt so umgestellt. Die Fritzbox läuft jetzt im Client Modus hat nun die IP (192.168.178.104).
    Diese hab ich nun auch auf der pfSense in alle Regel geändert. (Sprich die alte IP durch die neue ersetzt).



  • Clientmodus klingt gut.
    Denke auch daran vielleicht irgendwelche aliase anzu passen.
    Am besten der FritzBox eine Feste IP geben oder zumindest einen festen DHCP Lease.

    Das heißt nun geht alles Zugriff usw.?



  • Gerade nochmal alles getestet :-)
    Sieht gut aus.:-)

    VIELEN VIELEN DANK:-)


Log in to reply