IP- & pfSense- Problem nach Server-Umzug und IP-Wechsel - Bitte Hilfe!
-
Hallöchen,
vorab: Sorry, ganzschöner Texttrümmer geworden.
ich hoffe Ihr habt noch eine Idee und pardón das es so noobig beschrieben ist. :P
Mein Server läuft auf ESXi 5.5. Darauf habe ich eine pfSense konfiguriert, durch welche jegliche incoming traffic per 1:1 NAT an die einzelnen VMs geht.
Bisher hatte ich zwei IPs, eine für den ESXi-Host (111.111.111.111) und eine für die Firewall (111.111.111.222). Zusätzlich routet auf die "Haupt-IP" des Nodes (111.111.111.111) ein /28er IP-Netz.pfSense hatte quasi WAN 111.111.111.222 & LAN: 192.168.1.1
Die VMs auf dem Server haben eine LAN-IP á la 192.168.1.101 und sind von außen jeweils (..mit einer IP des /28er Netzes) per WAN-IP 176.0.0.1 ((1:1 NAT) 192.168.1.102 -> 176.0.0.2, 192.168.1.103 -> 176.0.0.3 usw..) erreichbar.
Nun ist mein Server umgezogen, weshalb die vorherige IP 111.111.111.222 komplett weggefallen ist und sich 111.111.111.111 samt Gateway ebenfalls komplett geändert hat.
Aktuell nutzen Host & pfSense dieselbe IP, weshalb diese beiden sich anscheinend um die IP streiten und mal die VMs erreichbar sind (weil pfSense ordnungsgemäß tut) und mal der ESXi via vSphere. Nie gleichzeitig ;)
Durch den wegfall der einen IP muss ich nun eine freie aus dem /28er Netz für pfSense verwenden. Wenn ich via ESXi-Konsole ('GUI' der jew. VM sichtbar) auf pfSense zugreife und dort eine neue IP aus dem Netz für das WAN-Interface definiere, bleiben die VMs Offline und das Webinterface (eigentlich unter LAN-IP 192.168.1.1:port) von pfSense nicht erreichbar.
Ich hatte die vorletzte der 16 Adressen aus dem /28 für WAN in pfSense gesetzt und die erste, quasi 176.0.0.0 als Gateway (weil pfSense das Gateway der Haupt-IP 111.111.111.111 nicht nehmen will (weil fremdes subnet)). So funktioniert es anscheinend schon einmal nicht, weil weiterhin alles Offline.Was mir das Debugging ebenfalls erschwert: Das pfSense Webinterface ist (warum auch immer?) nur von einer VM aus erreichbar. Die widerum ist aus Sicherheitsgründen von außen nicht erreichbar, sondern nur per ESXi Konsole. Solange ESXi funktioniert, funktionieren aber die VMs, also wohl auch pfSense nicht (weil ESXi die IP ja gerade hat). Ich kann über die ESXi-Konsole also nicht auf pfSense zugreifen. So erklär ich mir zumindest mit meiner Laienlogik, warum ich nicht aufs Webinterface komme in dem Moment) :D
Außerdem, aber hier weiß ich nicht ob das ein Problem ist: per FW-Regeln wird jeglicher Traffic der nicht auf eine Rule matched, blockiert. Da die IP die ich für pfSense verwenden möchte aber bisher bei mir ungenutzt war, existieren für diese natürlich keine entsprechende allow-regeln. kA ob pfSense sich daran noch stört, wenn es die IP von pfSense selber ist.–--------------------------
Zusammenfassung:
War/Ist:
ESXi-Host -> 111.111.111.111
pfSense -> WAN 111.111.111.222 LAN 192.168.1.1
VMs -> 176.0.0.0/28Soll:
ESXi-Host -> 111.111.111.111
pfSense -> WAN 176.0.0.14/32 (eine aus .0 - .15) LAN 192.168.1.1
VMs -> 176.0.0.0/28 (die restlichen IPs des Netzes für die VMs)
Sorry das es soviel geworden ist aber inzwischen bin ich verzweifelt. :(
Danke & Gruß
Robert
-
Hallo,
was du da schreibst, ist für mich sehr verwirrend. Habe sicher nicht alles verstanden, aber
@robby1337:Ich hatte die vorletzte der 16 Adressen aus dem /28 für WAN in pfSense gesetzt und die erste, quasi 176.0.0.0 als Gateway (weil pfSense das Gateway der Haupt-IP 111.111.111.111 nicht nehmen will (weil fremdes subnet)). So funktioniert es anscheinend schon einmal nicht, weil weiterhin alles Offline.
176.0.0.0 ist in hier die Netzadresse und nicht als Gateway geeignet. 176.0.0.15 auch nicht, das ist die Broadcast-Adresse.
Grundsätzlich kannst du dir die Gateway-IP doch nicht aussuchen, du musst ja eine vom Provider vorgegeben haben, oder du betreibst das Gateway selbst.
Jedenfalls muss die GW-IP innerhalb des WAN-Netzes liegen und über das GW musst dein Upstream-Traffic ins Internet geroutet werden. Daher ist 176.0.0.14/32 für WAN auch nicht möglich, dieses Netz besteht nur aus einer IP und lässt kein Gateway zu.Wenn dein Netz 176.0.0.0/28 ist, solltest du auch ein Upstream-Gateway haben, das innerhalb dieses Netzes liegt, andernfalls benötigst du eine P2P-Verbindung mit dem Gateway, aber das wird es mit der pfSense schwierig.
-
Hallo,
danke für die Rückmeldung!
Problem nun verstanden. :P
Nun ist die pfSense samt VMs darauf erreichbar. Das Webinterface erreiche ich aber leider immer noch nicht, obwohl jetzt im Prinzip die alte Konfiguration (nur mit geänderter WAN-IP) wiederhergestellt ist. Aufruf von pfSense über dessen LAN-IP landet mit und ohne https:// in einem Timeout. :(
Eine Idee wie ich herausfinde, warum der Aufruf nicht funktioniert? Gibts da Logs mit denen ich weiterkomme?
-
Nope, Problem solved. Vielen Dank für den Denkanstoß. Hab ich anscheinend gebraucht :D