Einrichtung von pfSense auf einem APU2C4 als Dual Wan Router

Mitglied: Roland30

Roland30 (Level 1) - Jetzt verbinden

20.12.2016 um 19:53 Uhr, 1858 Aufrufe, 8 Kommentare

Ich habe folgendes Problem mit der IP Konfiguration.
Habe eine Fritzbox 7390 mit DHCP und eine Fritzbox 6360 mit DHCP und eingeschaltetem WLAN am APU2C4 angeschlossen.
Der pfSense hat seine IP Adressen von jeder Fritzbox per DHCP bekommen.
Wenn ich pfSense einen neuen Routing Bereich gebe dann können die WLAN Geräte auf meine Diskstation nicht mehr zugreiffen.
Bitte helft mir weiter und beschreibt mir wie ich die IP Adressierung vornehmen muss!!!
Mitglied: 108012
20.12.2016 um 20:21 Uhr
Hallo Roland30,

ich würde sagen Du machst uns einmal eine kleine Zeichnung in der alle Geräte eingezeichnet sind. muss nicht
a´ la Picasso sein, aber so das wir alle wissen wer von wo nach wo zugreifen soll.

Habe eine Fritzbox 7390 mit DHCP und eine Fritzbox 6360 mit DHCP und eingeschaltetem WLAN am APU2C4 angeschlossen.
Ich würde es anders machen wollen. An den AVM FB´s DHCP Server ausschalten und dann eine feste (statische) IP Adresse
aus den Netzen des AVM FBs im WAN "Set up" der pfSense hinterlegen, fertig. Dann wechseln diese WAN IPs nicht mehr
mittels DHCP und alles ist so auch besser erreichbar.

Der pfSense hat seine IP Adressen von jeder Fritzbox per DHCP bekommen.
Und das sollte nicht so sein, denn wenn die periodisch immer wechselt dann passt das hinten und vorne nicht mehr!

Wenn ich pfSense einen neuen Routing Bereich gebe dann können die WLAN Geräte auf meine Diskstation nicht mehr
zugreiffen.
Von wo nach wo sollen die denn zugreifen?

Bitte helft mir weiter und beschreibt mir wie ich die IP Adressierung vornehmen muss!!!
AVM FB1:
Netz: 192.168.178.0/24 (255.255.255.0)
IP Adresse: 192.168.178.1/24
DHCP: aus
DNS1: vom ISP
DNS2: vom ISP

AVM FB2:
Netz: 192.168.0.0/24 (255.255.255.0)
IP Adresse: 192.168.0.1/24
DHCP: aus
DNS1: vom ISP
DNS2: vom ISP

pfSense:
WAN1:
Netz: 192.168.178.0/24
feste statische oder fixe IP: 192.168.178.200/24
DHCP: aus
Gateway: 192.168.178.1/24
DNS1: 192.168.178.1/24
DNS2: leer

WAN2:
Netz: 192.168.0.0/24
feste statische oder fixe IP: 192.168.0.200/24
DHCP: aus
Gateway: 192.168.0.1/24
DNS1: 192.168.0.1/24
DNS2: leer

Hier noch etwas für das Load balacing und das fail over;
multi-wan [dual and policy based routing with failover]

Gruß
Dobby
Bitte warten ..
Mitglied: the-buccaneer
20.12.2016 um 22:32 Uhr
ergänzend zu der für den input schon sehr ausführlichen antwort von dobby:

an sich hat die pfsense keine probleme damit, per dhcp auf dem wan eine ip-adresse zu beziehen und dann zu routen.
dein fehler liegt also woanders.

mir wird dein setup aber auch nicht klar. für was verwendest du die pfsense?

bei deiner jetzigen konfiguration muss du beachten, dass die pfsense standardmässig ALLEN zugriff vom wan (fb)auf ihr lan (nas) sperrt, denn sie ist eine firewall. das wan ist im normalfall das internet und da sollte man doch tunlichst nix nach innen routen...
(ausser man hat einen neumodischen wasserkocher oder einen klassischen server, oder...)

du musst also eine firewallregel erstellen die die protokolle, ports und adressen explizit freigibt.

wenn du nicht mehr als 255 clients hast, die sich den range der fb's teilen müssen, solltest du das aber als erstes so machen, wie dobby das beschreibt. auf der baustelle ist dann schonmal ruhe und du hat mehr übersicht.
dann schau dir mal die firewall-rules an, öffne aus 192.168.178.0 und 192.168.0.0 die ports für dein nas und dann könnte es gehen.

nutze mal die forensuche und lies dir das tutorial von aqui zum thema pfsense durch.

gruß
buc
Bitte warten ..
Mitglied: aqui
21.12.2016, aktualisiert um 09:05 Uhr
Wenn ich pfSense einen neuen Routing Bereich gebe
Das ist auch völlig klar, denn wie bei allen Firewalls weltweit üblich ist die Default Regel: "Es ist alles verboten was nicht explizit erlaubt ist !"
Bedenke also immer das du hier eine Firewall betreibst und keinen einfachen Router.

Wenn du also ein neues IP Interface mit einem neuen IP Netzwerk kreierst, egal ob als VLAN Parent Interface oder physischen Port, dann ist dort ALLES erstmal verboten !
Die allow any any Regel gibt es als Default Setting nur einzig auf dem LAN Port niemals aber auf weiteren LAN oder OPT1 etc. Ports !
Es ist also klar und auch zu erwarten das der Traffic dann geblockt wird und es nicht klappt.
Du musst also immer eine entsprechende Firewall Regel konfigurieren an dem neuen Port.

Bitte halte dich an das hiesige Tutorial und die dortigen weiterführenden Links ! Dort wird alles haarklein zu dem Thema beschrieben:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Ein gute und vollständige Anleitung wie die pfSense Firewall als Dual WAN Router/Firewall konfiguriert wird findest du hier:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
oder in der offiziellen Doku:
https://doc.pfsense.org/index.php/Multi-WAN
Das sollte alle deinen Fragen beantworten.
Bitte warten ..
Mitglied: the-buccaneer
24.12.2016 um 01:53 Uhr
@aqui: sag ich doch, hase.

frohe weihnachten!

buc
Bitte warten ..
Mitglied: Roland30
08.01.2017 um 12:40 Uhr
Hier jetzt eine Zeichnung wie alles funktionieren sollte:
grafik netzwerk - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
08.01.2017 um 14:26 Uhr
Na ja das ist ja nun ein simpler Klassiker und in 10 Minuten am laufen...
Hier kannst du erstmal nachlesen wie du dein WLAN Router als einfachen Accesspoint betreibst !
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...

Dieses WLAN ist dan ein separates Netzwerk was du an das OPT1 Interface des APUs hängst.
ACHTUNG !
Hier musst du zwingen eine entsprechende FW Regel auf dem Opt 1 Interface anlegen, da im Default ALLES geblockt ist.
Testweise erstmal ne Scheunentoor Regel die alles erlaubt
Source: OPT1 Network, Port: any --> Destination: Any, Port: Any
Dein Restnetz vom Cisco hängst du an den LAN Port mit entsprechender IP Adressierung: LAN Port IP 192.168.178.1 /24 als statische IP auf der pfSense LAN Port.
Und den Internet Router FB7390 hängst du an den WAN Port der pfSense.
Fertisch.. In 10 Minuten erledigt.
Bitte warten ..
Mitglied: Roland30
08.01.2017 um 18:04 Uhr
Ich habe eines vielleicht nicht richtig gezeichnet das Internet kommt über beide Fritzboxen einmal über Kabel Deutschland und das andere DSL
Bitte warten ..
Mitglied: aqui
09.01.2017 um 10:59 Uhr
Aha...ok, sorry.
Das wird dann aber schwierig.... D.h. das heisst dann letztlich du willst das WLAN der einen FB dann quasi über den einen WAN Port "durchschleifen" auf dein lokales Netz ??

Das ist nur sehr schwierig möglich und nur unter Aufgabe der Security an diesem Port. Bedeken das aus Firewall Sicht das ja ein WAN Port ist !
Die Firewall macht dort nicht nur IP Adress Translation sondern hat auch noch eine sehr strikte Firewall Regel die jeden inbound Traffic natürlich verbietet.
Du müsstest jetzt mit einem massiven Regelwerk diese Sicherheitsschranken aushebeln und deaktivieren.
Das geht natürlich aber damit wird dann dein ganzes Firewall Konzept komplett ad absurdum geführt, denn da existiert natürlich dann kein Firewall mehr.
Balancen der 2 WAN Ports wird dann auch nur noch sehr eingeschränkt funktionieren, klar !
Dakommt man aber auch von selber drauf wenn man mal etwas über das Design nachdenkt !!!

Fazit: Besser das WLAN an der FB deaktivieren, die als normalen Internet Router laufen lassen mit Security und Balancing und dann kaufst du dir 2 billige 15 Euro TP-Link 841N Accesspoints und schliesst die lokal an dein bestehendes lokales LAN am SG-300 an.
Das ist allemal besser als wenn du mit einer Frickelkonfig dein ganzes Konzept und netzdesign aushebelst.
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Hardware
Genauigkeit DCF77
Der-PhilFrageHardware12 Kommentare

Hallo! Es geht hier eher um eine akademische Frage, denn um eine Notwendigkeit für die IT, aber vielleicht interessiert ...

Windows Server
Fehler beim Starten Gruppenrichlinien
gelöst OSelbeckFrageWindows Server11 Kommentare

Hi, seid kurzen habe ich (Ich glaube nach einem Update bzw. Erweiterung der GPO Dateien) folgende Meldung Was köönet ...

Datenbanken
SQL Datum Uhrzeit 2 Spalten
Florian86FrageDatenbanken11 Kommentare

Hallo Zusammen, ich möchte aus einer SAP Datenbank über Datum und Zeit Daten abfragen. Datum und Zeit sind aber ...

Batch & Shell
Zeichen suchen und in die nächste Zeile was kopieren
Klaus20FrageBatch & Shell10 Kommentare

Hallo Forum, hätte mal wieder eine Frage an die Batch Profis. Habe mir mehrere Playlisten erstellt und die immer ...

Hardware
Neue Hard- und Software für kleine Kanzlei mit RA-Micro
SchrumpfiFrageHardware10 Kommentare

Hallo zusammen, ich lese schon länger im Forum mit und konnte so einige Probleme durch eure Hilfe lösen, dafür ...

Ähnliche Inhalte
Router & Routing

Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren

Roland30FrageRouter & Routing5 Kommentare

Hallo, ich habe jetzt die Hardware. Jetzt die erste Frage welche Version von pfsense sollte ich installieren, da in ...

Voice over IP

DUAL WAN + VoIP

FloppeFrageVoice over IP4 Kommentare

Hallo zusammen, ich habe die Aufgabe eine VoIP-Cloud-TK in unser Netzwerk zu integrieren. Zunächst wurde ein zweiter DSL-Anschluss geordert, ...

Windows Server

DUAL WAN (softwaremäßig)

Michl16FrageWindows Server3 Kommentare

Hallo an die, die diesbezüglich vielleicht schon Erfahrungen haben: Hierfür gibt es ja Geräte, wie z.B. von DrayTek, die ...

LAN, WAN, Wireless

Kaufempfehlung Dual - Multi WAN

ProfilkillerFrageLAN, WAN, Wireless7 Kommentare

Hallo zusammen, an unserem Standort ist die Internetanbindung schwach auf der Brust mit ↓ 16 Mbit/s ↑ 1,0 Mbit/s. ...

LAN, WAN, Wireless

Kaufempfehlung: Dual WAN Router

gelöst FalkITFrageLAN, WAN, Wireless8 Kommentare

Hi zusammen, ich muss bei einem Kunden zwei Internetanschlüsse so konfigurieren, dass sein Büro beim Ausfall eines Anschlusses online ...

LAN, WAN, Wireless

Cisco - DUAL WAN Failover

Serial90FrageLAN, WAN, Wireless5 Kommentare

Moin moin, ich versuche seit geraumer Zeit ein Stabiles Failover mit 2 verschiedenen ISP an einem Cisco 2951 zum ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud