Policy Based Routing



  • Hallo.

    Ich habe auf dem Mainboard GA-J1900N-D3V pfSense 2.3 installiert und ein OpenVPN Client nach dieser Anleitung eingerichtet:
    http://uploaded.net/file/66qugdzm

    Vor habe ich über Ethernet Port1 VPN zu nutzen und über Ethernet Port2 kein VPN. Zur Zeit läuft VPN über Port1. Port2 muss ich noch im Menü "assign" hinzufügen.

    Welche Konfiguration muss ich vornehmen?



  • ??? Nicht ganz klar, was du vor hast.

    Was ich mir aus deinen Info-Bruchstücken zusammenreimen könnte:
    Port1 und Port2 sollen beide ins interne Netzwerk gehängt werden. An Port1 hängen Geräte, die die VPN benutzen dürfen oder müssen, die an Port2 dürfen od. müssen das nicht.
    Und irgendwo gibt es vermutlich noch ein WAN-Interface.
    Ist das so gedacht?

    Wenn ja, bekommst du für Port2 nach der Interface-Zuweisung einen Firewall Rule Tab, an dem du die Regel für die dortigen Clients anlegst. Es reicht wohl eine simple pass-Regel mit Source und Protokoll (vermutlich auch any) und in Advanced settings wählst als Gateway du anstatt der Gateway Group hier das WAN-GW aus.

    Die beiden LAN-Netze sollten natürlich einen getrennten Netzbereich haben, damit es keine Routing-Probleme gibt.



  • Danke für die schnelle Antwort.

    ??? Nicht ganz klar, was du vor hast.

    Was ich mir aus deinen Info-Bruchstücken zusammenreimen könnte:
    Port1 und Port2 sollen beide ins interne Netzwerk gehängt werden. An Port1 hängen Geräte, die die VPN benutzen dürfen oder müssen, die an Port2 dürfen od. müssen das nicht.
    Und irgendwo gibt es vermutlich noch ein WAN-Interface.
    Ist das so gedacht?

    Genau so ist es. Eigentlich hat GA-J1900N-D3V nur 2 Ports. Der dritte Port (der von mir beschriebene Port2) ist ein Adapter, den ich an USB dran gehängt habe:
    http://www.amazon.de/Plugable-Ethernet-AX88772-Chipsatz-Chromebook-bestimmte/dp/B00484IEJS
    (Ich wusste nicht, wie man das Mainboard um weitere Ports erweitert. Daher der Versuch mit dem Adapter)

    Wenn ja, bekommst du für Port2 nach der Interface-Zuweisung einen Firewall Rule Tab, an dem du die Regel für die dortigen Clients anlegst. Es reicht wohl eine simple pass-Regel mit Source und Protokoll (vermutlich auch any) und in Advanced settings wählst als Gateway du anstatt der Gateway Group hier das WAN-GW aus.

    Die beiden LAN-Netze sollten natürlich einen getrennten Netzbereich haben, damit es keine Routing-Probleme gibt.

    Also:

    • Lan2 Interface mit Static IP im Menü "assign" hinzufügen
    • DHCP Server erstellen
    • Mit Firewall Rule (mit any) alles zulassen. In Advanced settings als Gateway WAN-GW auswählen.

    Habe ich noch etwas vergessen?

    Wie ist es mit NAT Outbound Regeln? Zur Zeit wird bei mir nur VPN zugelassen und wenn die VPN Verbindung abbricht, dann geht über die ISP Verbindung nichts raus oder rein.
    Muss ich die NAT Outbound Regeln anpassen und wenn ja wie?



  • Für die VPN hast du das Outbound NAT umgestellt, wenn ich es richtig im Kopf habe auf "Hybrid". Wenn so, wird automatisch eine Regel für das neue Netz erstellt. Wenn du auf manuell gestellt hast, musst du die Regel selbst hinzufügen.

    Das Outbound NAT tut nichts anderes als die Quell-IP, die ja ursprünglich die des LAN-Computers ist, auf eine bestimmte andere, zumeist die Interface-IP, umzusetzen, wenn ein IP-Paket aus der pfSense raus geschickt wird. Das ist nötig, damit die Antwort-Pakete wieder dahin zurückkommen.

    Im Hybrid-Modus werden oben die manuell erstellten Regeln angezeigt und unten die automatisch erstellten.
    Wenn du über WAN rausgehen möchtest, brauchst du für deinen gesamten internen IP-Bereich, der raus darf, eine Regel wie:
    Interface = WAN
    Source = z.B. LAN2 Netz
    Destination = any (default)
    Translation = Interface address (default)

    Wenn du diese Regel nicht hast, musst du sie erstellen.
    Im automatischen und im Hybrid-Modus erstellt pfSense eine WAN-Regel für jedes interne Netz und bildet diese gesammelt ab.


Log in to reply