4
Bridging ohne up-Interface möglich auf pfSense bzw. monowall?
Ich betreibe seit gestern eine pfSense 1.2.3-RELEASE auf einem LEX Neo mit 3 NICs...
Hallo zusammen,
...und habe dazu nun folgende Frage: Ich würde gerne das Opt1-Interface, an dem ein Accesspoint angeschlossen ist, mit dem LAN-Interface bridgen, damit alle Clients im selben Netz sind. Allerdings ist am LAN-Interface nicht immer etwas angeschlossen, was ja dann zur Folge hat, dass das Interface "down" ist.
Nun glaube ich, dass bridges nur auf Interfaces arbeiten können, die "up" sind, an denen also etwas angeschlossen ist. Bis ich darauf gekommen bin habe ich lange gebraucht, allerdings passt es perfekt zum Verhalten des DHCP-Servers - wenn ich meinen Laptop per Ethernet-Kabel an den LAN-Port anschließe und dann meinen Desktop-PC per WLAN ins Netz hänge bekommt er eine IP. Ziehe ich den Laptop ab, kann ich zwar noch surfen, eine neue Adresse kann ich aber nicht mehr beziehen.
Deshalb nun meine Frage: gibt es eine Möglichkeit, auf dem WLAN-Interface den DHCP-Service auch dann bereit zu stellen, wenn am LAN-Interface keine Clients angeschlossen sind?
Für Hinweise wäre ich sehr dankbar.
Grüße, kingkong
EDIT: Ich habs jetzt mal umgedreht - sodass das LAN-Interface auf das WLAN gebridged ist, weil da ja immer der AccessPoint dran hängt. Und dann wird die Bridge nur dann aktiviert, wenn zusätzlich am LAN ein Client angeschlossen wird. Allerdings bin ich damit trotzdem irgendwie unzufrieden... Vielleicht hat ja noch jemand eine Idee?!
EDIT2: Ich wusste, warum ich das nicht so besonders mag... wenn ich von intern eine OpenVPN-Verbindung mit dem Hostnamen als remote-Ziel in der config starte, dann löst der Hostname auf die LAN-IP auf, die Antworten kommen aber vom WLAN (LAN-Interface hat 10.0.1.1 mit Range /24, weil man die angeben muss, WLAN-Interface läuft auf 10.0.0.1/24 -> Anfrage an Hostname pfSense.intern.local löst auf 10.0.1.1 auf, die Antworten kommen aber von 10.0.0.1; nun könnte ich diese IP-Adressänderung in der OpenVPN-Konfiguration natürlich explizit zulassen, ich will aber eigentlich keine zusätzlichen Einträge...) Hat jemand eine Idee, ohne die Zuordnung der NICs zu ändern?
Hallo zusammen,
...und habe dazu nun folgende Frage: Ich würde gerne das Opt1-Interface, an dem ein Accesspoint angeschlossen ist, mit dem LAN-Interface bridgen, damit alle Clients im selben Netz sind. Allerdings ist am LAN-Interface nicht immer etwas angeschlossen, was ja dann zur Folge hat, dass das Interface "down" ist.
Nun glaube ich, dass bridges nur auf Interfaces arbeiten können, die "up" sind, an denen also etwas angeschlossen ist. Bis ich darauf gekommen bin habe ich lange gebraucht, allerdings passt es perfekt zum Verhalten des DHCP-Servers - wenn ich meinen Laptop per Ethernet-Kabel an den LAN-Port anschließe und dann meinen Desktop-PC per WLAN ins Netz hänge bekommt er eine IP. Ziehe ich den Laptop ab, kann ich zwar noch surfen, eine neue Adresse kann ich aber nicht mehr beziehen.
Deshalb nun meine Frage: gibt es eine Möglichkeit, auf dem WLAN-Interface den DHCP-Service auch dann bereit zu stellen, wenn am LAN-Interface keine Clients angeschlossen sind?
Für Hinweise wäre ich sehr dankbar.
Grüße, kingkong
EDIT: Ich habs jetzt mal umgedreht - sodass das LAN-Interface auf das WLAN gebridged ist, weil da ja immer der AccessPoint dran hängt. Und dann wird die Bridge nur dann aktiviert, wenn zusätzlich am LAN ein Client angeschlossen wird. Allerdings bin ich damit trotzdem irgendwie unzufrieden... Vielleicht hat ja noch jemand eine Idee?!
EDIT2: Ich wusste, warum ich das nicht so besonders mag... wenn ich von intern eine OpenVPN-Verbindung mit dem Hostnamen als remote-Ziel in der config starte, dann löst der Hostname auf die LAN-IP auf, die Antworten kommen aber vom WLAN (LAN-Interface hat 10.0.1.1 mit Range /24, weil man die angeben muss, WLAN-Interface läuft auf 10.0.0.1/24 -> Anfrage an Hostname pfSense.intern.local löst auf 10.0.1.1 auf, die Antworten kommen aber von 10.0.0.1; nun könnte ich diese IP-Adressänderung in der OpenVPN-Konfiguration natürlich explizit zulassen, ich will aber eigentlich keine zusätzlichen Einträge...) Hat jemand eine Idee, ohne die Zuordnung der NICs zu ändern?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158721
Url: https://administrator.de/contentid/158721
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
4 Kommentare
Neuester Kommentar
Sorry deine Beschreibung ist irgendwie konfus. Oben redest du vom Bridging zweier Interfaces und unten hast du dann doch wieder LAN und WLAN in 2 unterschiedlichen IP Segmenten.
Sind das jetzt 2 unterschiedliche Szenarien oder wie ist das gemeint ??
Nur soviel vorab: Das Interface up Problem löst du mit einem popeligen 6 Euro Switch vom Blödmarkt vom Grabbeltisch. Alternativ ohne Switch eben mit der alternativen Parent Interface Zuweisung.
Bei OpenVPN gibt man im Setup in der Regel die nackte Ziel IP an gerade um nicht in DNS Probleme zu laufen. Damit stellt sich also dein Problem gar nicht erst. Mal abgeshen das beim Bridging das relevante Interface gar keine IP hat.
Aber genau das ist ja diffus, da du beim "edit2" wieder mit separaten IP Segmenten arbeitest. Dieser Zickzack Kurs macht aber ein sinnvolles Antworten so gut wie unmöglich
Sind das jetzt 2 unterschiedliche Szenarien oder wie ist das gemeint ??
Nur soviel vorab: Das Interface up Problem löst du mit einem popeligen 6 Euro Switch vom Blödmarkt vom Grabbeltisch. Alternativ ohne Switch eben mit der alternativen Parent Interface Zuweisung.
Bei OpenVPN gibt man im Setup in der Regel die nackte Ziel IP an gerade um nicht in DNS Probleme zu laufen. Damit stellt sich also dein Problem gar nicht erst. Mal abgeshen das beim Bridging das relevante Interface gar keine IP hat.
Aber genau das ist ja diffus, da du beim "edit2" wieder mit separaten IP Segmenten arbeitest. Dieser Zickzack Kurs macht aber ein sinnvolles Antworten so gut wie unmöglich
Also, dann erklär ich es nochmal, denn ich hab trotz Bridging nach Variante Edit2 auf beiden Interfaces unterschiedliche IP-Adressen (ist zugegeben etwas durcheinander geschrieben):
Bei pfSense muss das LAN-Interface zwingend eine IP-Adresse haben (zumindest habe ich noch keinen Weg gefunden, die IP-Adresse in der Maske wegzulassen - auch "none" funktioniert beim LAN-Interface nicht). Also habe ich diesem LAN-Interface die Adresse 10.0.1.1 gegeben. In diesem Netz werden ansonsten aber keine IP-Adressen verteilt, obwohl da ebenfalls ein /24er Subnetz eingestellt ist. Das WLAN-Interface (resp. OPT1) , auf das das LAN-Interface gebridged wird, bekommt die 10.0.0.1 und verteilt über den DHCP für WLAN (OPT1) auch Adressen an das LAN-Interface. Und das funktioniert auch alles soweit.
In dieser Konstellation habe ich nun aber das Problem, dass der Hostname der pfSense (in meinem Fall pfSense.intern.local) auf die 10.0.1.1, also die LAN-IP aufgelöst wird. Wenn ich allerdings meine OpenVPN-Verbindung auf den Hostnamen bzw. die direkte IP 10.0.1.1 schicke, dann kommen die Antwortpakete von der 10.0.0.1 (der Adresse des WLAN-Interface, an dem meine Clients hängen). Und das wird nur akzeptiert, wenn ich die Option "float" aktiviere. Das möchte ich aber auch nicht. Vorerst habe ich dieses Problem jetzt über einen zusätzlichen Eintrag im DNSforwarder gelöst, der auf die 10.0.0.1 auflöst, und den ich als Domain in der OpenVPN - Config nutzen kann. Aber das soll eigentlich auch nur temporär sein...
Ich weiß, dass ich nur ein Gerät an den LAN-Anschluss stecken müsste und schon wäre das Interface wieder "up". Ich hätte auch noch einen Switch da... ABER erstens habe ich dort nur sehr wenig Platz, zweitens sollen da möglichst wenig Kabel rumliegen (wegen WAF) und drittens wäre es eben ein zusätzliches und an sich überflüssiges Gerät, welches unnötig Strom "verbraucht".
Aber Deine Aussage mit dem Parent Interface hat nun mein Interesse geweckt. Klingt nach einer Kopplung des LAN-Interface an ein anderes... vielleicht ein virtuelles OPT-Interface, das immer up ist? Bisher habe ich davon aber leider noch nichts gehört und Google-Recherchen spucken vor allem Antworten zu VLAN Parent Interfaces aus (obwohl ich da auch gewisse Teile meiner Anforderungen erkennen kann - dass das VLAN-Interface sich an ein physisches bindet zum Beispiel und immer zusammen mit dem "up" geht). Hast Du vielleicht eine kurze Erklärung? Oder Links zu guten Beschreibungen?
Bei pfSense muss das LAN-Interface zwingend eine IP-Adresse haben (zumindest habe ich noch keinen Weg gefunden, die IP-Adresse in der Maske wegzulassen - auch "none" funktioniert beim LAN-Interface nicht). Also habe ich diesem LAN-Interface die Adresse 10.0.1.1 gegeben. In diesem Netz werden ansonsten aber keine IP-Adressen verteilt, obwohl da ebenfalls ein /24er Subnetz eingestellt ist. Das WLAN-Interface (resp. OPT1) , auf das das LAN-Interface gebridged wird, bekommt die 10.0.0.1 und verteilt über den DHCP für WLAN (OPT1) auch Adressen an das LAN-Interface. Und das funktioniert auch alles soweit.
In dieser Konstellation habe ich nun aber das Problem, dass der Hostname der pfSense (in meinem Fall pfSense.intern.local) auf die 10.0.1.1, also die LAN-IP aufgelöst wird. Wenn ich allerdings meine OpenVPN-Verbindung auf den Hostnamen bzw. die direkte IP 10.0.1.1 schicke, dann kommen die Antwortpakete von der 10.0.0.1 (der Adresse des WLAN-Interface, an dem meine Clients hängen). Und das wird nur akzeptiert, wenn ich die Option "float" aktiviere. Das möchte ich aber auch nicht. Vorerst habe ich dieses Problem jetzt über einen zusätzlichen Eintrag im DNSforwarder gelöst, der auf die 10.0.0.1 auflöst, und den ich als Domain in der OpenVPN - Config nutzen kann. Aber das soll eigentlich auch nur temporär sein...
Ich weiß, dass ich nur ein Gerät an den LAN-Anschluss stecken müsste und schon wäre das Interface wieder "up". Ich hätte auch noch einen Switch da... ABER erstens habe ich dort nur sehr wenig Platz, zweitens sollen da möglichst wenig Kabel rumliegen (wegen WAF) und drittens wäre es eben ein zusätzliches und an sich überflüssiges Gerät, welches unnötig Strom "verbraucht".
Aber Deine Aussage mit dem Parent Interface hat nun mein Interesse geweckt. Klingt nach einer Kopplung des LAN-Interface an ein anderes... vielleicht ein virtuelles OPT-Interface, das immer up ist? Bisher habe ich davon aber leider noch nichts gehört und Google-Recherchen spucken vor allem Antworten zu VLAN Parent Interfaces aus (obwohl ich da auch gewisse Teile meiner Anforderungen erkennen kann - dass das VLAN-Interface sich an ein physisches bindet zum Beispiel und immer zusammen mit dem "up" geht). Hast Du vielleicht eine kurze Erklärung? Oder Links zu guten Beschreibungen?
Mmmhh, den ersten schweren Kardinalsfehler den du begehst ist die IP Adressierung. Nehmen wir mal zur Grundlage das du 24 Bit IP Masken verwendest wie du ja auch oben schreibst.
Wenn du jetzt ein Bridgung zwischen LAN und OPT1 einrichtest darfst du doch niemals dem einen Interface eine IP Adresse in einem völlig anderen IP Netz geben. Das wäre dann doch logischerweise wieder Routing und kein Bridging !
Bei einem Bridging auf OSI Layer 2 Basis (Mac Adressen) ist das gemeinsame IP Netz auf beiden Seiten der Bridge also immer gleich !!
Folglich musst du eine IP aus deinem 10.0.0.0 /24 Netz dort zwingend vergeben also z.B. 10.0.0.1 /24 und 10.0.0.2 /24. Alles andere wäre IP Adresstechnisch völliger Unsinn, denn diese IP Adressen gehören 2 unterschiedlichen Netzen an und würden sich auf dem gebridgten Netz gar nicht sehen !!
Mit all den Folgeproblemen die du dann oben beschrieben hast.
Alternativ kannst du die Subnetzmaske auf eine 16 Bit Maske ändern. Das ging als Workaround auch, denn dann wären 10.0.0.1 /16 und 10.0.1.1 /16 wieder in einem gemeinsamen (gebridgten) IP Netz !
Nebenbei bemerkt ist es bei der Monowall gar nicht möglich eine IP Adresse auf einem Bridged Interface zu vergeben. Es wäre ja auch Unsinn, denn wenn das Parent Interface eine IP hat reicht das ja vollkommen bei einer Bridged Verbindung. Auch bei der pfSense sollte das ausgegraut sein was verwundert das du dann trotz bridging eine IP vergeben kannst. (Da steht ein Labortest hier noch aus !)
Das LAN Interface ist in der Tat eine Besonderheit, denn es ist immer dediziertes Parent Interface und kann keine Bridge Beziehung mit anderen Interfaces eingehen. Damit kommst du also nicht weiter.
Ggf. musst du dann einfach eine 3te NIC in den Rechner stecken (Bei ALIX Board nimmst du das 3te LAN Interface) und bridgegst das auf das WLAN. Das wäre damit möglich.
Wenn du jetzt ein Bridgung zwischen LAN und OPT1 einrichtest darfst du doch niemals dem einen Interface eine IP Adresse in einem völlig anderen IP Netz geben. Das wäre dann doch logischerweise wieder Routing und kein Bridging !
Bei einem Bridging auf OSI Layer 2 Basis (Mac Adressen) ist das gemeinsame IP Netz auf beiden Seiten der Bridge also immer gleich !!
Folglich musst du eine IP aus deinem 10.0.0.0 /24 Netz dort zwingend vergeben also z.B. 10.0.0.1 /24 und 10.0.0.2 /24. Alles andere wäre IP Adresstechnisch völliger Unsinn, denn diese IP Adressen gehören 2 unterschiedlichen Netzen an und würden sich auf dem gebridgten Netz gar nicht sehen !!
Mit all den Folgeproblemen die du dann oben beschrieben hast.
Alternativ kannst du die Subnetzmaske auf eine 16 Bit Maske ändern. Das ging als Workaround auch, denn dann wären 10.0.0.1 /16 und 10.0.1.1 /16 wieder in einem gemeinsamen (gebridgten) IP Netz !
Nebenbei bemerkt ist es bei der Monowall gar nicht möglich eine IP Adresse auf einem Bridged Interface zu vergeben. Es wäre ja auch Unsinn, denn wenn das Parent Interface eine IP hat reicht das ja vollkommen bei einer Bridged Verbindung. Auch bei der pfSense sollte das ausgegraut sein was verwundert das du dann trotz bridging eine IP vergeben kannst. (Da steht ein Labortest hier noch aus !)
Das LAN Interface ist in der Tat eine Besonderheit, denn es ist immer dediziertes Parent Interface und kann keine Bridge Beziehung mit anderen Interfaces eingehen. Damit kommst du also nicht weiter.
Ggf. musst du dann einfach eine 3te NIC in den Rechner stecken (Bei ALIX Board nimmst du das 3te LAN Interface) und bridgegst das auf das WLAN. Das wäre damit möglich.
Ich bin davon ausgegangen, dass die Adresse des LAN-Interface nur für Management-Zwecke da ist und dass sie in einem anderen Netz als die WLAN-Adresse liegen *muss*, weil sie gar nicht direkt erreichbar sein soll ohne Firewall-Freigaben (wobei ich gerade feststelle, dass es sogar dann noch möglich ist, den Zugriff zu verweigern, wenn beide im selben Netz liegen, da ja auch Interface- intern der Verkehr geprüft wird).
Ich probier die Adressen aus dem gleichen Netz dann gleich mal aus, denn das erleichert mir natürlich dann auch die Firewall-Regel, werden sie doch erheblich logischer (bisher erlaube ich auf dem LAN-Interface bestimmte Portgruppen immer als WLAN net -> WLAN net, weil ja durch bridging trotzdem alles eine WLAN-Netz-Adresse hat...)
Das LAN-Interface kann ich übrigens bridgen. Es funktioniert wie gesagt einwandfrei, dass ich über die Bridge vom "WLAN-DHCP" auch Adressen im LAN-Netz zugewiesen bekomme (auch aus dem WLAN-Bereich).
Und noch was: Vor meinen beiden Edit-Einträgen oben war das WLAN bzw. OPT1 ja wie gesagt auf das LAN gebridged, und da hatte ich dann beim WLAN-Interface auch einfach none als Adresse eingetragen, denn wie Du auch schreibst, ist tatsächlich nur eine Adresse für die Bridge nötig und die kam dann vom LAN-Interface. Nur verhindert eben scheinbar diese LAN-Parent-Interface-Besonderheit, dass ich die IP auf dem LAN-Interface entferne...
Wie auch immer, ich probiers jetzt wie gesagt und wenn ich Probleme bekomme, dann melde ich mich nochmal, ansonsten setze ich den Beitrag auf "gelöst"
P.S.: Eine (vorerst) letzte Frage habe ich noch: Mit LAN address und WLAN address sind die Adressen der jeweiligen Interfaces direkt gemeint, oder?
ZUSATZ: Ok, das scheint ebenfalls zu funktionieren - allerdings habe ich zwei Fragen: Gibt es eine Möglichkeit, die Firewall-Regeln direkt auf der Bridge statt auf jedem einzelnen an der Bridge beteiligten Interface angreifen zu lassen? Auf gut Deutsch, kann ich die einzelnen Interfaces in der Rules-Übersicht ausblenden und stattdessen bridge0 einblenden und darauf die Regeln ändern? Denn bisher muss ich leider sogar für DHCP-Pakete und DNS-Pakete auf jedem Interface die Erlaubnis erteilen.
Und warum bekomme ich die Möglichkeit, auf dem LAN-Interface einen DHCP zu aktivieren, obwohl das LAN-Interface auf das WLAN-Interface gebridged ist? Wenn ich es anders herum mache wird der WLAN-DHCP-Server ausgeblendet...
Ich probier die Adressen aus dem gleichen Netz dann gleich mal aus, denn das erleichert mir natürlich dann auch die Firewall-Regel, werden sie doch erheblich logischer (bisher erlaube ich auf dem LAN-Interface bestimmte Portgruppen immer als WLAN net -> WLAN net, weil ja durch bridging trotzdem alles eine WLAN-Netz-Adresse hat...)
Das LAN-Interface kann ich übrigens bridgen. Es funktioniert wie gesagt einwandfrei, dass ich über die Bridge vom "WLAN-DHCP" auch Adressen im LAN-Netz zugewiesen bekomme (auch aus dem WLAN-Bereich).
Und noch was: Vor meinen beiden Edit-Einträgen oben war das WLAN bzw. OPT1 ja wie gesagt auf das LAN gebridged, und da hatte ich dann beim WLAN-Interface auch einfach none als Adresse eingetragen, denn wie Du auch schreibst, ist tatsächlich nur eine Adresse für die Bridge nötig und die kam dann vom LAN-Interface. Nur verhindert eben scheinbar diese LAN-Parent-Interface-Besonderheit, dass ich die IP auf dem LAN-Interface entferne...
Wie auch immer, ich probiers jetzt wie gesagt und wenn ich Probleme bekomme, dann melde ich mich nochmal, ansonsten setze ich den Beitrag auf "gelöst"
P.S.: Eine (vorerst) letzte Frage habe ich noch: Mit LAN address und WLAN address sind die Adressen der jeweiligen Interfaces direkt gemeint, oder?
ZUSATZ: Ok, das scheint ebenfalls zu funktionieren - allerdings habe ich zwei Fragen: Gibt es eine Möglichkeit, die Firewall-Regeln direkt auf der Bridge statt auf jedem einzelnen an der Bridge beteiligten Interface angreifen zu lassen? Auf gut Deutsch, kann ich die einzelnen Interfaces in der Rules-Übersicht ausblenden und stattdessen bridge0 einblenden und darauf die Regeln ändern? Denn bisher muss ich leider sogar für DHCP-Pakete und DNS-Pakete auf jedem Interface die Erlaubnis erteilen.
Und warum bekomme ich die Möglichkeit, auf dem LAN-Interface einen DHCP zu aktivieren, obwohl das LAN-Interface auf das WLAN-Interface gebridged ist? Wenn ich es anders herum mache wird der WLAN-DHCP-Server ausgeblendet...
