Bridging ohne up-Interface möglich auf pfSense bzw. monowall?
Ich betreibe seit gestern eine pfSense 1.2.3-RELEASE auf einem LEX Neo mit 3 NICs...
Hallo zusammen,
...und habe dazu nun folgende Frage: Ich würde gerne das Opt1-Interface, an dem ein Accesspoint angeschlossen ist, mit dem LAN-Interface bridgen, damit alle Clients im selben Netz sind. Allerdings ist am LAN-Interface nicht immer etwas angeschlossen, was ja dann zur Folge hat, dass das Interface "down" ist.
Nun glaube ich, dass bridges nur auf Interfaces arbeiten können, die "up" sind, an denen also etwas angeschlossen ist. Bis ich darauf gekommen bin habe ich lange gebraucht, allerdings passt es perfekt zum Verhalten des DHCP-Servers - wenn ich meinen Laptop per Ethernet-Kabel an den LAN-Port anschließe und dann meinen Desktop-PC per WLAN ins Netz hänge bekommt er eine IP. Ziehe ich den Laptop ab, kann ich zwar noch surfen, eine neue Adresse kann ich aber nicht mehr beziehen.
Deshalb nun meine Frage: gibt es eine Möglichkeit, auf dem WLAN-Interface den DHCP-Service auch dann bereit zu stellen, wenn am LAN-Interface keine Clients angeschlossen sind?
Für Hinweise wäre ich sehr dankbar.
Grüße, kingkong
EDIT: Ich habs jetzt mal umgedreht - sodass das LAN-Interface auf das WLAN gebridged ist, weil da ja immer der AccessPoint dran hängt. Und dann wird die Bridge nur dann aktiviert, wenn zusätzlich am LAN ein Client angeschlossen wird. Allerdings bin ich damit trotzdem irgendwie unzufrieden... Vielleicht hat ja noch jemand eine Idee?!
EDIT2: Ich wusste, warum ich das nicht so besonders mag... wenn ich von intern eine OpenVPN-Verbindung mit dem Hostnamen als remote-Ziel in der config starte, dann löst der Hostname auf die LAN-IP auf, die Antworten kommen aber vom WLAN (LAN-Interface hat 10.0.1.1 mit Range /24, weil man die angeben muss, WLAN-Interface läuft auf 10.0.0.1/24 -> Anfrage an Hostname pfSense.intern.local löst auf 10.0.1.1 auf, die Antworten kommen aber von 10.0.0.1; nun könnte ich diese IP-Adressänderung in der OpenVPN-Konfiguration natürlich explizit zulassen, ich will aber eigentlich keine zusätzlichen Einträge...) Hat jemand eine Idee, ohne die Zuordnung der NICs zu ändern?
Hallo zusammen,
...und habe dazu nun folgende Frage: Ich würde gerne das Opt1-Interface, an dem ein Accesspoint angeschlossen ist, mit dem LAN-Interface bridgen, damit alle Clients im selben Netz sind. Allerdings ist am LAN-Interface nicht immer etwas angeschlossen, was ja dann zur Folge hat, dass das Interface "down" ist.
Nun glaube ich, dass bridges nur auf Interfaces arbeiten können, die "up" sind, an denen also etwas angeschlossen ist. Bis ich darauf gekommen bin habe ich lange gebraucht, allerdings passt es perfekt zum Verhalten des DHCP-Servers - wenn ich meinen Laptop per Ethernet-Kabel an den LAN-Port anschließe und dann meinen Desktop-PC per WLAN ins Netz hänge bekommt er eine IP. Ziehe ich den Laptop ab, kann ich zwar noch surfen, eine neue Adresse kann ich aber nicht mehr beziehen.
Deshalb nun meine Frage: gibt es eine Möglichkeit, auf dem WLAN-Interface den DHCP-Service auch dann bereit zu stellen, wenn am LAN-Interface keine Clients angeschlossen sind?
Für Hinweise wäre ich sehr dankbar.
Grüße, kingkong
EDIT: Ich habs jetzt mal umgedreht - sodass das LAN-Interface auf das WLAN gebridged ist, weil da ja immer der AccessPoint dran hängt. Und dann wird die Bridge nur dann aktiviert, wenn zusätzlich am LAN ein Client angeschlossen wird. Allerdings bin ich damit trotzdem irgendwie unzufrieden... Vielleicht hat ja noch jemand eine Idee?!
EDIT2: Ich wusste, warum ich das nicht so besonders mag... wenn ich von intern eine OpenVPN-Verbindung mit dem Hostnamen als remote-Ziel in der config starte, dann löst der Hostname auf die LAN-IP auf, die Antworten kommen aber vom WLAN (LAN-Interface hat 10.0.1.1 mit Range /24, weil man die angeben muss, WLAN-Interface läuft auf 10.0.0.1/24 -> Anfrage an Hostname pfSense.intern.local löst auf 10.0.1.1 auf, die Antworten kommen aber von 10.0.0.1; nun könnte ich diese IP-Adressänderung in der OpenVPN-Konfiguration natürlich explizit zulassen, ich will aber eigentlich keine zusätzlichen Einträge...) Hat jemand eine Idee, ohne die Zuordnung der NICs zu ändern?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158721
Url: https://administrator.de/forum/bridging-ohne-up-interface-moeglich-auf-pfsense-bzw-monowall-158721.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
4 Kommentare
Neuester Kommentar
Sorry deine Beschreibung ist irgendwie konfus. Oben redest du vom Bridging zweier Interfaces und unten hast du dann doch wieder LAN und WLAN in 2 unterschiedlichen IP Segmenten.
Sind das jetzt 2 unterschiedliche Szenarien oder wie ist das gemeint ??
Nur soviel vorab: Das Interface up Problem löst du mit einem popeligen 6 Euro Switch vom Blödmarkt vom Grabbeltisch. Alternativ ohne Switch eben mit der alternativen Parent Interface Zuweisung.
Bei OpenVPN gibt man im Setup in der Regel die nackte Ziel IP an gerade um nicht in DNS Probleme zu laufen. Damit stellt sich also dein Problem gar nicht erst. Mal abgeshen das beim Bridging das relevante Interface gar keine IP hat.
Aber genau das ist ja diffus, da du beim "edit2" wieder mit separaten IP Segmenten arbeitest. Dieser Zickzack Kurs macht aber ein sinnvolles Antworten so gut wie unmöglich
Sind das jetzt 2 unterschiedliche Szenarien oder wie ist das gemeint ??
Nur soviel vorab: Das Interface up Problem löst du mit einem popeligen 6 Euro Switch vom Blödmarkt vom Grabbeltisch. Alternativ ohne Switch eben mit der alternativen Parent Interface Zuweisung.
Bei OpenVPN gibt man im Setup in der Regel die nackte Ziel IP an gerade um nicht in DNS Probleme zu laufen. Damit stellt sich also dein Problem gar nicht erst. Mal abgeshen das beim Bridging das relevante Interface gar keine IP hat.
Aber genau das ist ja diffus, da du beim "edit2" wieder mit separaten IP Segmenten arbeitest. Dieser Zickzack Kurs macht aber ein sinnvolles Antworten so gut wie unmöglich
Mmmhh, den ersten schweren Kardinalsfehler den du begehst ist die IP Adressierung. Nehmen wir mal zur Grundlage das du 24 Bit IP Masken verwendest wie du ja auch oben schreibst.
Wenn du jetzt ein Bridgung zwischen LAN und OPT1 einrichtest darfst du doch niemals dem einen Interface eine IP Adresse in einem völlig anderen IP Netz geben. Das wäre dann doch logischerweise wieder Routing und kein Bridging !
Bei einem Bridging auf OSI Layer 2 Basis (Mac Adressen) ist das gemeinsame IP Netz auf beiden Seiten der Bridge also immer gleich !!
Folglich musst du eine IP aus deinem 10.0.0.0 /24 Netz dort zwingend vergeben also z.B. 10.0.0.1 /24 und 10.0.0.2 /24. Alles andere wäre IP Adresstechnisch völliger Unsinn, denn diese IP Adressen gehören 2 unterschiedlichen Netzen an und würden sich auf dem gebridgten Netz gar nicht sehen !!
Mit all den Folgeproblemen die du dann oben beschrieben hast.
Alternativ kannst du die Subnetzmaske auf eine 16 Bit Maske ändern. Das ging als Workaround auch, denn dann wären 10.0.0.1 /16 und 10.0.1.1 /16 wieder in einem gemeinsamen (gebridgten) IP Netz !
Nebenbei bemerkt ist es bei der Monowall gar nicht möglich eine IP Adresse auf einem Bridged Interface zu vergeben. Es wäre ja auch Unsinn, denn wenn das Parent Interface eine IP hat reicht das ja vollkommen bei einer Bridged Verbindung. Auch bei der pfSense sollte das ausgegraut sein was verwundert das du dann trotz bridging eine IP vergeben kannst. (Da steht ein Labortest hier noch aus !)
Das LAN Interface ist in der Tat eine Besonderheit, denn es ist immer dediziertes Parent Interface und kann keine Bridge Beziehung mit anderen Interfaces eingehen. Damit kommst du also nicht weiter.
Ggf. musst du dann einfach eine 3te NIC in den Rechner stecken (Bei ALIX Board nimmst du das 3te LAN Interface) und bridgegst das auf das WLAN. Das wäre damit möglich.
Wenn du jetzt ein Bridgung zwischen LAN und OPT1 einrichtest darfst du doch niemals dem einen Interface eine IP Adresse in einem völlig anderen IP Netz geben. Das wäre dann doch logischerweise wieder Routing und kein Bridging !
Bei einem Bridging auf OSI Layer 2 Basis (Mac Adressen) ist das gemeinsame IP Netz auf beiden Seiten der Bridge also immer gleich !!
Folglich musst du eine IP aus deinem 10.0.0.0 /24 Netz dort zwingend vergeben also z.B. 10.0.0.1 /24 und 10.0.0.2 /24. Alles andere wäre IP Adresstechnisch völliger Unsinn, denn diese IP Adressen gehören 2 unterschiedlichen Netzen an und würden sich auf dem gebridgten Netz gar nicht sehen !!
Mit all den Folgeproblemen die du dann oben beschrieben hast.
Alternativ kannst du die Subnetzmaske auf eine 16 Bit Maske ändern. Das ging als Workaround auch, denn dann wären 10.0.0.1 /16 und 10.0.1.1 /16 wieder in einem gemeinsamen (gebridgten) IP Netz !
Nebenbei bemerkt ist es bei der Monowall gar nicht möglich eine IP Adresse auf einem Bridged Interface zu vergeben. Es wäre ja auch Unsinn, denn wenn das Parent Interface eine IP hat reicht das ja vollkommen bei einer Bridged Verbindung. Auch bei der pfSense sollte das ausgegraut sein was verwundert das du dann trotz bridging eine IP vergeben kannst. (Da steht ein Labortest hier noch aus !)
Das LAN Interface ist in der Tat eine Besonderheit, denn es ist immer dediziertes Parent Interface und kann keine Bridge Beziehung mit anderen Interfaces eingehen. Damit kommst du also nicht weiter.
Ggf. musst du dann einfach eine 3te NIC in den Rechner stecken (Bei ALIX Board nimmst du das 3te LAN Interface) und bridgegst das auf das WLAN. Das wäre damit möglich.