11
PfSense LAN-Ports bridgen
Moin,
ich habe eine pfSense (v2.5.0) in Hyper-V virtualisiert. Der Zugriff sowohl auf das Internet als auch das Webinterface funktionieren soweit. Ein DHCP für LAN ist eingerichtet und funktionsfähig. Nun möchte ich gerne das gleiche Subnetz einmal an die VMs des Hosts durchreichen (privater Adapter) als auch im gesamten Netzwerk zur Verfügung stellen (externer Adapter).
Für die Einrichtung habe ich mir die folgende Seite als Beispiel genommen: https://protectli.com/kb/how-to-enable-lan-bridge-with-pfsense/
Leider funktioniert dies nicht, sobald ich LAN auf die Bridge umstelle, habe ich keinerlei Zugriff mehr. Laut der verlinkten Seite sollte es möglich sein, über die Bridge dann eine IP zugewiesen zu bekommen.
Gruß
ich habe eine pfSense (v2.5.0) in Hyper-V virtualisiert. Der Zugriff sowohl auf das Internet als auch das Webinterface funktionieren soweit. Ein DHCP für LAN ist eingerichtet und funktionsfähig. Nun möchte ich gerne das gleiche Subnetz einmal an die VMs des Hosts durchreichen (privater Adapter) als auch im gesamten Netzwerk zur Verfügung stellen (externer Adapter).
Für die Einrichtung habe ich mir die folgende Seite als Beispiel genommen: https://protectli.com/kb/how-to-enable-lan-bridge-with-pfsense/
Leider funktioniert dies nicht, sobald ich LAN auf die Bridge umstelle, habe ich keinerlei Zugriff mehr. Laut der verlinkten Seite sollte es möglich sein, über die Bridge dann eine IP zugewiesen zu bekommen.
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665124
Url: https://administrator.de/forum/pfsense-lan-ports-bridgen-665124.html
Ausgedruckt am: 06.04.2025 um 07:04 Uhr
11 Kommentare
Neuester Kommentar
Moin,
verstehe ich das richtig, dass du das gleiche Subnetz für WAN Port und LAN Port deiner virtuellen PFSense nutzen möchtest?
Falls das deine Idee ist: Das ist käse.
VG
verstehe ich das richtig, dass du das gleiche Subnetz für WAN Port und LAN Port deiner virtuellen PFSense nutzen möchtest?
Falls das deine Idee ist: Das ist käse.
VG
Hallo,
woher soll die Firewall dann wissen, in welchem Netz der Client ist? Und was soll passieren, wenn konkurrierende statisch gesetzte IPs auftauchen? Kurzum: Das kann nicht funktionieren.
Mach‘ zwei Netze und setze eine Route. Oder verzichte auf die pfSense, dann können die VMs auch IPs aus dem physikalischen Netz haben.
Gruß,
Jörg
woher soll die Firewall dann wissen, in welchem Netz der Client ist? Und was soll passieren, wenn konkurrierende statisch gesetzte IPs auftauchen? Kurzum: Das kann nicht funktionieren.
Mach‘ zwei Netze und setze eine Route. Oder verzichte auf die pfSense, dann können die VMs auch IPs aus dem physikalischen Netz haben.
Gruß,
Jörg
Dann habe ich mich falsch ausgedrückt. Der WAN-Port bleibt natürlich separat. Was ich möchte ist, dass ich quasi zwei Ports habe, über die das gleiche Netzwerk geleitet wird. Also mehr oder weniger einen Switch ähnlich der Funktion in einer Fritz!Box. Daher der Einsatz einer Bridge um zwei (pysische) Ports für ein Netzwerk zu nutzen.
Zitat von @grmg2010:
Dann habe ich mich falsch ausgedrückt. Der WAN-Port bleibt natürlich separat. Was ich möchte ist, dass ich quasi zwei Ports habe, über die das gleiche Netzwerk geleitet wird. Also mehr oder weniger einen Switch ähnlich der Funktion in einer Fritz!Box. Daher der Einsatz einer Bridge um zwei (pysische) Ports für ein Netzwerk zu nutzen.
Dann habe ich mich falsch ausgedrückt. Der WAN-Port bleibt natürlich separat. Was ich möchte ist, dass ich quasi zwei Ports habe, über die das gleiche Netzwerk geleitet wird. Also mehr oder weniger einen Switch ähnlich der Funktion in einer Fritz!Box. Daher der Einsatz einer Bridge um zwei (pysische) Ports für ein Netzwerk zu nutzen.
Auch das ist meines Wissens nach nicht möglich, zumindest nicht einfach so. Die Firewall erwartet erst einmal immer ein eigenes Subnetz pro Interface. Mir fällt auch kein Grund ein, warum man das ändern sollte. Wenn du Dienste unter anderen IP Adressen für die gleiche Firewall bereitstellen möchtest, kannst du virtuelle IPs einrichten. Ein weiteres Interface ist aber eigentlich der falsche Ansatz für soetwas.
Die pfSense soll später der Router sein. Im Testszenario bekommt sie am WAN-Port eine Adresse per DHCP zugewiesen, später Einwahl über PPPoE. Deswegen wollte ich zum einen die auf dem Server laufenden VMs per internem Switch mit dem gleichen Netzwerk versorgen, wie z.B. WLAN-Clients.
Und die Option muss es ja geben, sowohl die Wiki des Herstellers als auch andere Seiten beschreiben gerade den Bridge-Mode von mehrere Netzwerkports. Und genau das ist es, was ich ja machen möchte.
Alternativ wäre sicher das Setzen einer Route möglich, als auch das weglassen des (virtuellen) Netzwerkports für die VMs.
Und die Option muss es ja geben, sowohl die Wiki des Herstellers als auch andere Seiten beschreiben gerade den Bridge-Mode von mehrere Netzwerkports. Und genau das ist es, was ich ja machen möchte.
Alternativ wäre sicher das Setzen einer Route möglich, als auch das weglassen des (virtuellen) Netzwerkports für die VMs.
Die Anleitung ist schon richtig aber in einer Virstualisierung ja irgendwie völlig unsinnig. Du hast dort ja einen vSwitch an dem der Port anhängt und an dem du zig weitere VMs oder auch eine physische NIC des Hypervisors anflanschen kannst. Der vSwitch macht doch ein Bridging innerhalb einer Virtualisierung völlig überflüssig weil der vSwitch selber das schon macht !
Was bei dir oben passiert ist sicher die Tatsache das du auch mit deinem Konfig Rechner am LAN Port bzw. dessen IP angemeldet bist. Erzeugst du dann eine Bridge und nimmst den LAN Port als Member zur Bridge hinzu verliert der LAN Port sofort seine IP. Du sägst dir dann also selber den Ast ab auf dem du sitzt.
Die finale IP Netz IP wird bei einer pfSense Bridge später immer an das Bridge Interface gebunden und nicht mehr an ein physisches Member Interface.
Du musst das Setup also über den virtuellen Monitor machen der Firewall VM oder über ein Interface was NICHT Bridge Member ist oder wird.
Aber wie gesagt...in einer Virtualisierungs Umgebung ist das Bridge Setup eigentlich per se Quatsch !
Was bei dir oben passiert ist sicher die Tatsache das du auch mit deinem Konfig Rechner am LAN Port bzw. dessen IP angemeldet bist. Erzeugst du dann eine Bridge und nimmst den LAN Port als Member zur Bridge hinzu verliert der LAN Port sofort seine IP. Du sägst dir dann also selber den Ast ab auf dem du sitzt.
Die finale IP Netz IP wird bei einer pfSense Bridge später immer an das Bridge Interface gebunden und nicht mehr an ein physisches Member Interface.
Du musst das Setup also über den virtuellen Monitor machen der Firewall VM oder über ein Interface was NICHT Bridge Member ist oder wird.
Aber wie gesagt...in einer Virtualisierungs Umgebung ist das Bridge Setup eigentlich per se Quatsch !
Letztendlich versuche ich das Folgende umzusetzen: https://docs.netgate.com/pfsense/en/latest/bridges/interfaces.html
Wie bereits gesagt...eigentlich Unsinn. Siehe oben...
Daran hatte ich gedacht, ich arbeite von einem anderen Port aus um mich nicht auzusperren. Deine Erklärung ist einleuchtend, eigentlich müsste einem vSwitch des Typs "Extern" reichen. Damit können sowohl die VMs als auch alle externen Clients erreicht werden.
Dann muss ich mir das Bridging mal für ein Szenario aufbewahren, in dem keine Virtualisierung vorkommt.
Dann muss ich mir das Bridging mal für ein Szenario aufbewahren, in dem keine Virtualisierung vorkommt.
Dann muss ich mir das Bridging mal für ein Szenario aufbewahren, in dem keine Virtualisierung vorkommt.
Nur da macht es auch Sinn wenn man dediziertes Blech für die Firewall hat. 😉
Hallo,
noch einmal - was soll das?
Ob ein oder zwei Ports zu deinem virtuellen Switch zeigen ist völlig egal.
Und wenn alle VMs in ein Netz sollen macht es zudem keinen Unterschied, wenn Du alle VMs an einen virtuellen Switch hängst.
Das Ergebnis ist immer das Gleiche
Gruß,
Jörg
noch einmal - was soll das?
Ob ein oder zwei Ports zu deinem virtuellen Switch zeigen ist völlig egal.
Und wenn alle VMs in ein Netz sollen macht es zudem keinen Unterschied, wenn Du alle VMs an einen virtuellen Switch hängst.
Das Ergebnis ist immer das Gleiche
Gruß,
Jörg
