8
Pfsense firewall Rule für zweiten Gateway auf einer Monowall
Hallo zusammen,
habe folgende Situation:
Standort1:
-Pfsense mit Kabel-Anschluss als Standardgateway für mein Lan
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort2 alles im gleichen Netz 10.0.1.0/24
Standort 2:
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort 1 und Standardgateway im Netz 10.0.2.0/24
Es befinden sich keine weiteren Router in den Netzten lediglich DSL und Kabel Modems.
Der Tunnel steht und die Kommunikation von Standort 1 nach Standort 2 funktioniert seitdem ich in der pfsense unter System -> Routing -> Gateways die Monowall als Gateway eingetragen habe und unter Routes das 10.0.2.0/24er Netz auf das Monowall-Gateway umgeleitet hab.
Seitdem funktioniert pingen und vnc-Viewer in beide Richtungen.
Lediglich der Zugriff auf Netzfreigaben und die Lotus Notes Kommunikation funktioniert nur, wenn ich am Standort 1 die Monowall als Standardgateway angegeben habe.
Ein Blick in die Firwall Logs der pfsense zeigt, dass diese die Komunikation vom Lan ins 10.0.2.0er Netz block.
Also habe ich eine FW Rule unter Lan mit TCP/UDP Source LAN net und Destination Network 10.0.2.0/24 Ports any eingetragen.
Leider wird die Kommunikation immer noch geblockt.
Welche FW Rule muss ich setzten damit die Kommunikation über die eingetragene Route erlaubt wird.
Schon mal vielen Dank im Voraus.
Mit bestem Gruß
Dominique Gruhn
habe folgende Situation:
Standort1:
-Pfsense mit Kabel-Anschluss als Standardgateway für mein Lan
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort2 alles im gleichen Netz 10.0.1.0/24
Standort 2:
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort 1 und Standardgateway im Netz 10.0.2.0/24
Es befinden sich keine weiteren Router in den Netzten lediglich DSL und Kabel Modems.
Der Tunnel steht und die Kommunikation von Standort 1 nach Standort 2 funktioniert seitdem ich in der pfsense unter System -> Routing -> Gateways die Monowall als Gateway eingetragen habe und unter Routes das 10.0.2.0/24er Netz auf das Monowall-Gateway umgeleitet hab.
Seitdem funktioniert pingen und vnc-Viewer in beide Richtungen.
Lediglich der Zugriff auf Netzfreigaben und die Lotus Notes Kommunikation funktioniert nur, wenn ich am Standort 1 die Monowall als Standardgateway angegeben habe.
Ein Blick in die Firwall Logs der pfsense zeigt, dass diese die Komunikation vom Lan ins 10.0.2.0er Netz block.
Also habe ich eine FW Rule unter Lan mit TCP/UDP Source LAN net und Destination Network 10.0.2.0/24 Ports any eingetragen.
Leider wird die Kommunikation immer noch geblockt.
Welche FW Rule muss ich setzten damit die Kommunikation über die eingetragene Route erlaubt wird.
Schon mal vielen Dank im Voraus.
Mit bestem Gruß
Dominique Gruhn
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196072
Url: https://administrator.de/contentid/196072
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Hört sich nach einem Triangle-Route-Problem an (wäre per Ping nicht diagnostizierbar). Jedoch sollte dann auch VNC-Viewer nicht gehen.
Was spricht denn dagegen, die Monowall an ein separates Interface der pfsense zu koppeln (quasi ein Transfernetz)? Und wozu überhaupt die Monowall am Standort 1? Warum macht das nicht die pfsense mit?
Gruß
sk
Was spricht denn dagegen, die Monowall an ein separates Interface der pfsense zu koppeln (quasi ein Transfernetz)? Und wozu überhaupt die Monowall am Standort 1? Warum macht das nicht die pfsense mit?
Gruß
sk
Die Monowall habe ich aus Gründen der Redundanz noch laufen.
Eigenartigerweise funktioniert die Kommunikation nachdem ich einen Ping abgesetzt habe für einige Minuten.
Gruß. Dominique
Eigenartigerweise funktioniert die Kommunikation nachdem ich einen Ping abgesetzt habe für einige Minuten.
Gruß. Dominique
Hallo Schrauber77,
es wäre ja auch einmal ziemlich cremig wenn Du schreiben könntest welche Hardware Du benutzt,
heute noch wäre ja schön, denn morgen geht ja Welt unter ;)
Netzwerk alternativ
Um die Geschwindigkeit des VPN Tunnels "etwas" anzuheben, kann man ja auch ein HSM (Hardware Security Module) einsetzen!
Bei pfSense kann man unter gewissen Umständen und je nach Verbindungstyp, den Durchsatz von ~14 MBit/s auf ~42 MBit/s steigern.
Ich meine das ist fast das dreifache und reicht in der Regel, nur falls es daran liegt, das Du kleinere "Kisten" am laufen hast!
Für Alix, IEI, LanTec, Soekris als mini PCI Karte Soekris vpn1411
Für Soekris net5501, IEI, Linatec als PCI Karte Soekris vpn1401
Für x86 Hardware oder Soekris net6501 als PCIe Karte Exar DX 1710 oder DX 1720
Falls es nur darum gehen sollte einen höheren Durchsatz zu erhalten!
Gruß
Dobby
es wäre ja auch einmal ziemlich cremig wenn Du schreiben könntest welche Hardware Du benutzt,
heute noch wäre ja schön, denn morgen geht ja Welt unter ;)
Netzwerk alternativ
Um die Geschwindigkeit des VPN Tunnels "etwas" anzuheben, kann man ja auch ein HSM (Hardware Security Module) einsetzen!
Bei pfSense kann man unter gewissen Umständen und je nach Verbindungstyp, den Durchsatz von ~14 MBit/s auf ~42 MBit/s steigern.
Ich meine das ist fast das dreifache und reicht in der Regel, nur falls es daran liegt, das Du kleinere "Kisten" am laufen hast!
Für Alix, IEI, LanTec, Soekris als mini PCI Karte Soekris vpn1411
Für Soekris net5501, IEI, Linatec als PCI Karte Soekris vpn1401
Für x86 Hardware oder Soekris net6501 als PCIe Karte Exar DX 1710 oder DX 1720
Falls es nur darum gehen sollte einen höheren Durchsatz zu erhalten!
Gruß
Dobby
Hallo,
die pfsense läuft auf einem Alix Bord und die beiden Monowalls auf leer geräumten x86 Maschinen.
Das Tunnel-Tuning ist natürlich sehr interessant. Bringt mich so direkt aber leider nicht weiter.
Ich versteh nicht warum die pfsense den Verkehr Richtung Standort 2 blockt, eigentlich sollte diese doch nur Richtung Monowall routen.
Gruß Dominique
die pfsense läuft auf einem Alix Bord und die beiden Monowalls auf leer geräumten x86 Maschinen.
Das Tunnel-Tuning ist natürlich sehr interessant. Bringt mich so direkt aber leider nicht weiter.
Ich versteh nicht warum die pfsense den Verkehr Richtung Standort 2 blockt, eigentlich sollte diese doch nur Richtung Monowall routen.
Gruß Dominique
Hier ist die Triangleroute-Problematik bei stateful Firewalls erklärt (Punkt 14): http://www.zyxeltech.de/snotep202hplus/faq/fw_faq.htm
Gruß
sk
Gruß
sk
Wenn man die obige Erklärung liest, könnte es das sein, aber genau daher möchte ich ja eben eine FW Regel erstellen, die diesen Verkehr zulässt.
Evtl. muss ich an Standort 1 den Telekomanschluss wirklich über die pfsense laufen lassen und die Monowall nur als Backup stehen lassen bzw. mir ein zweites Alix Bord auf Reserve besorgen.
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
@ D.o.b.b.y
Danke noch für die schöne Darstellung
Gruß Dominique
Evtl. muss ich an Standort 1 den Telekomanschluss wirklich über die pfsense laufen lassen und die Monowall nur als Backup stehen lassen bzw. mir ein zweites Alix Bord auf Reserve besorgen.
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
@ D.o.b.b.y
Danke noch für die schöne Darstellung
Gruß Dominique
Zitat von @Schrauber77:
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
Dazu müsste die Monowall in ein Transfernetz oder der Traffic, der auf das selbe Interface wieder rausgeroutet wird, darf das Firewallregelwerk nicht durchlaufen. Ob man das bei pfsense einstellen kann, weiss ich nicht.
Besser wäre freilich, das 2. WAN und der Tunnel terminieren an der pfsense. Zwecks Gatewayredundanz setzt Du halt einen Cluster aus 2x pfsense auf.
Gruß
sk
Hallo Schrauber77,
Und die Zeichnung war ja nur dafür gemacht, dass Du dir nicht vielleicht überlegst die alten x86 Maschinen in "Rente" zuschicken, hinsichtlich der zukünftigen Stromkosten!
Mann kann auch, wenn man denn Willens ist die ganze Angelegenheit über zwei MikroTik RouterBoards
laufen zu lassen ist man seitens des Stromverbrauchs auch gut aufgestellt und das müssen ja nicht gleich die 500 € "Granaten" sein.
Hier im Forum ist das auch schon einmal so besprochen worden wie Du das aufzeichnest, kann ich mich noch gut daran erinnern und dort hat ein anderer Benutzer die Sache dann auch ganz elegant gelöst, in dem
er vorgeschlagen hat, den einen Router in der DMZ stehen zulassen und das ganze war erledigt!
Ich glaube das war der Benutzer @aqui, kannst unter seinem Namen ja mal nachschauen wo er alles
zu geantwortet hat, das muss meines Erachtens so im Juni, Juli August herum gewesen sein.
Vielleicht reicht Dir dieser Beitrag ja schon das ganze zu Deinem wohlwollen zu erledigen.
grün und blau! Wobei das auch nur ein wager Hinweis sein soll und kein Versprechen darstellt!
Denn wenn diese Leute etwas auf den Markt bringen dann ist es in der Regel ausgereift und deshalb dauert es dann eben auch meist länger.
Das mit der VPN Hardware Unterstützung würde ich mir grundsätzlich immer überlegen, denn
pfSense, mOnOwall, und OpenWRT unterstützen die von mir genannten Soekris Karten alle.
Und wenn man den Stromverbrauch klein halten kann und auf der anderen Seite den VPN Durchsatz
erhöhen kann ist das natürlich eine schicke Angelegenheit, meiner Meinung nach zumindest.
Netzwerk neu - mOnOwall in DMZ
Gruß
Dobby
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
so wie ich das von ..sk.. gelesen habe oder besser das gelesene deute, bist Du da eben noch nicht draußen!Und die Zeichnung war ja nur dafür gemacht, dass Du dir nicht vielleicht überlegst die alten x86 Maschinen in "Rente" zuschicken, hinsichtlich der zukünftigen Stromkosten!
Mann kann auch, wenn man denn Willens ist die ganze Angelegenheit über zwei MikroTik RouterBoards
laufen zu lassen ist man seitens des Stromverbrauchs auch gut aufgestellt und das müssen ja nicht gleich die 500 € "Granaten" sein.
Hier im Forum ist das auch schon einmal so besprochen worden wie Du das aufzeichnest, kann ich mich noch gut daran erinnern und dort hat ein anderer Benutzer die Sache dann auch ganz elegant gelöst, in dem
er vorgeschlagen hat, den einen Router in der DMZ stehen zulassen und das ganze war erledigt!
Ich glaube das war der Benutzer @aqui, kannst unter seinem Namen ja mal nachschauen wo er alles
zu geantwortet hat, das muss meines Erachtens so im Juni, Juli August herum gewesen sein.
Vielleicht reicht Dir dieser Beitrag ja schon das ganze zu Deinem wohlwollen zu erledigen.
.....bzw. mir ein zweites Alix Bord auf Reserve besorgen.
Erst einmal abwarten bis nächstes Jahr die neuen Boards mit GB LAN raus kommen sonst ärgerst Du Dich nurgrün und blau! Wobei das auch nur ein wager Hinweis sein soll und kein Versprechen darstellt!
Denn wenn diese Leute etwas auf den Markt bringen dann ist es in der Regel ausgereift und deshalb dauert es dann eben auch meist länger.
Das mit der VPN Hardware Unterstützung würde ich mir grundsätzlich immer überlegen, denn
pfSense, mOnOwall, und OpenWRT unterstützen die von mir genannten Soekris Karten alle.
Und wenn man den Stromverbrauch klein halten kann und auf der anderen Seite den VPN Durchsatz
erhöhen kann ist das natürlich eine schicke Angelegenheit, meiner Meinung nach zumindest.
Netzwerk neu - mOnOwall in DMZ
Gruß
Dobby
