gelöst PFSense - mal wieder - Routing aus unterschiedlichen Subnetzen

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

16.10.2020 um 16:15 Uhr, 422 Aufrufe, 17 Kommentare, 1 Danke

Moin Zusammen,

ich habe meinen alten Router durch eine PFSense ersetzt. Leider läuft das noch nicht so wie gewünscht.

Ich habe verschiedene Subnetze und je Subnetz ein Gateway (der Switch).

Also VLAN 10 - 172.16.10.254
VLAN 20 - 172.16.20.254
usw.

Der Router hat die 192.168.178.7 - da sind zwei WAN Schnittstellen dran (1&1, Vodafone)

Aus dem 192.168.178.x/24 komme ich ins Web, aber aus keinem der anderen VLANS.

Bei dem alten Router habe ich eine Route gesetzt
Ziel: 172.16.0.0/16 (ja, nicht so sauber, aber ging)
Quelle: 0.0.0.0/0
GW: 192.168.178.254 (Interface IP vom default VLAN auf dem Switch)

Klappte mit dem alten Router anstandslos

Ich muss da doch nicht wirklich die VLANs anlegen oder?

Grüße
Mitglied: Lochkartenstanzer
16.10.2020 um 16:23 Uhr
Zitat von Xaero1982:

Ich muss da doch nicht wirklich die VLANs anlegen oder?

Meinst Du die Frage ernst?

lks
Bitte warten ..
Mitglied: Xaero1982
16.10.2020 um 16:33 Uhr
Absolut weil ich das auf der anderen Kiste eben nicht musste und es alles funktionierte.
Bitte warten ..
Mitglied: gammelobst
16.10.2020 um 16:36 Uhr
Wie bitte?

Was ist was?
IP Vodafone-Router?
IP 1&1 Router?
Wie verkabelt?
Was ist an der PFSense WAN/LAN?
Wieviele Lan-Ports an der PFSense?

Ist heute Freitag, oder warum muss man das alles jemand Anderem aus der Nase ziehen?
Bitte warten ..
Mitglied: Xaero1982
16.10.2020 um 16:37 Uhr
Zitat von Lochkartenstanzer:

Zitat von Xaero1982:

Ich muss da doch nicht wirklich die VLANs anlegen oder?

Meinst Du die Frage ernst?

lks

Der Punkt ist halt, dass aktuell die Switche bzw. die IP des VLAN Interfaces als Client konfiguriert sind.
Ich hab jetzt mal testweise ein VLAN eingerichtet auf der PFSense, was auch geht, aber da muss ich dann wiederum das GW ändern auf die Schnittstelle von der PFSense.

Das wollte ich eben nicht. Warum geht es bei dem alten Router und bei der Pfsense nicht?
Bitte warten ..
Mitglied: Xaero1982
16.10.2020 um 16:38 Uhr
Zitat von gammelobst:

Wie bitte?

Was ist was?
IP Vodafone-Router?
IP 1&1 Router?
Wie verkabelt?
Was ist an der PFSense WAN/LAN?
Wieviele Lan-Ports an der PFSense?

Ist heute Freitag, oder warum muss man das alles jemand Anderem aus der Nase ziehen?

Vermutlich weil deine Fragen hierfür komplett irrelevant sind.
Alles wichtige hab ich geschrieben. Die Frage ist lediglich: Warum muss ich an der PFsense die VLANS konfigurieren und warum ging es an dem alten Router (Time for Kids Schulrouter)
Bitte warten ..
Mitglied: Lochkartenstanzer
16.10.2020 um 16:43 Uhr
Zitat von Xaero1982:

Das wollte ich eben nicht. Warum geht es bei dem alten Router und bei der Pfsense nicht?

Moin,

Anscheinend hast Du vorher keine "echten" VLANs gehabt, sondern nur einfach mehrere IP-netze auf demselben "Draht" betrieben. Dann funktioniert so ein Setup wie Du es hattest. Aber wenn Du wirklich mit VLANs arbeitest, ist es eben so, als ob Du für jedes VLAN einen getrennten Draht hast. Dann "sieht" der "andere Port" die Pakete nicht.

Ohne jetzt unhöflich sein zu wollen, sieht das nach einem PEBKAC aus.

lks

PS: Oder der andere Router hatte einen Bug, den Du als Feature genutzt hast.
Bitte warten ..
Mitglied: Xaero1982
16.10.2020 um 17:00 Uhr
Nun ja, wenn der Switch den gesamten Traffic aus den unterschiedlichen VLANS an den Router weiter leitet und eine entsprechende Route gesetzt ist wird das wohl eher kein Bug oder Feature sein.

Nee, nicht unhöflich, sondern schlicht unfug mein lieber LKS
Mir ging es schlicht um die Frage: Warum muss ich nun mit der PFSense diesen Umweg gehen, wenn es mit dem anderen Router eben auch ohne VLANs ging.
Hier existiert also kein Problem, weil es ja mit VLANs geht, aber ich muss dann auch wieder die Gateways ändern und das wollte ich einfach nicht. Thats all.
Bitte warten ..
Mitglied: ChriBo
16.10.2020 um 17:56 Uhr
Hallo,
was für ein Switch ist das ?
Von deiner Beschreibug aus muß es ein Layer 3 Switch sein.
-
Dein "Route" Eintrag ist sehr ungewöhlich, bei einem normalen Eintrag gibt es keine Quelle.
-
Welche Routing Einträge hast du auf der pfSense (system-routing, bzw. diagostic - Routes)?
Welche Firewall Regel hast du auf dem LAN Interface ? Enable mal logging, dan solltest du sehen was fuktioniert und was nicht ?
Funktioniert ein Ping aus einem Subnetz auf die Firewall IP ?

CH
Bitte warten ..
Mitglied: Xaero1982
16.10.2020 um 18:06 Uhr
Hi ChriBo,

es sind Cisco SG550x.
Richtig, ein Layer 3 Switch.

Das hab ich damals mit den Entwicklern dieser Schulrouter eingepflegt. Vorher ging es nicht. Dann ging es.

Ich hatte eine Route: 172.16.0.0/16 GW: 192.168.178.254 (der Coreswitch - so war es die ganze Zeit). Hab ich nun entfernt, weil es mit oder ohne nicht ging. Habe nun jedes VLAN eingepflegt und muss nun den am DHCP Server das GW ändern. Bleibt dann wohl nicht aus. Hätte es gerne anders gehabt, da ich noch am Testen bin und ich gerne einfach den alten Router angeklemmt hätte, wenn was nicht läuft. Also muss es nun laufen

Ja, das ging, wenn ich mich recht erinnere.

Hat sich nun erledigt. Danke dennoch.

Grüße
Bitte warten ..
Mitglied: orcape
16.10.2020 um 18:21 Uhr
Hi,
vielleicht wäre es ganz sinnvoll zu erfahren, auf welchem "Blech" die pfSense denn läuft und welche physischen Schnittstellen vorhanden sind.
Es ist nicht zwingend erforderlich VLAN 's zu machen, wenn ich die entsprechenden physischen Schnittstellen habe.
Eine Hardware mit 4 LAN-Ports würde für 2x WAN und 2x LAN oder 1x WAN, 2x LAN, 1x DMZ problemlos ausreichen. Da muss es kein VLAN sein, welches wiederum einen VLAN-fähigen Switch erfordert.
Aber unabhängig davon musst Du bei der pfSense für jedes Interface, egal ob physisch oder VLAN 's, Deine Firewallregeln entsprechend anpassen.
Gruß orcape
Bitte warten ..
Mitglied: Xaero1982
16.10.2020 um 20:05 Uhr
Hi orcape,

die pfsense läuft auf einem ESX und es sind 10 VLANs. Grundsätzlich läuft es nun auch, aber da ich auch das Loadbalancing aktiviert habe, was ich nach der Anleitung eingerichtet habe: https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...

ergibt sich das "Problem", dass ich nun z.b. nicht mehr aus dem Netz:

172.16.10.x/24 in das Netz 192.168.178.x/24 komme, weil ein traceroute mir sagt: ich geh direkt auf den Router hinter der pfsense - also in dem Fall eine Fritzbox.

Kapier ich noch nicht ganz, aber irgendwo klemmts ändere ich das GW auf default gehts auch wieder.

Auf dem Switch sind (noch) keine ACLs eingerichtet und auch auf dem Router gibt es (noch) keine Firewallregeln die eine derartige Kommunikation unterbinden würden.

Grüße
Bitte warten ..
Mitglied: aqui
17.10.2020, aktualisiert um 09:55 Uhr
Ich habe verschiedene Subnetze und je Subnetz ein Gateway (der Switch).
Das ist doch HIER nun wirklich alles haarklein erklärt.
Was du vermutlich, wie leider häufig hier, außer Acht gelassen hast ist die Tatsache das du eine Firewall hast und keinen Router !
Bei einem Router ist generell alles erlaubt im Routing bei der Firewall geht aber ohne entsprechendes Regelwerk nichts auf den Interfaces.
Viele vergessen das das Default LAN Interface einer FW von sich aus eine Default "Scheunentor" Regel hat (LAN_network to any) aber neue Interfaces wie deine VLAN 10 und VLAN 20 Interfaces eben nicht. Diese muss man also zwingend händisch anlegen. Z.B. (vlanx_network to any) ist dann auch so eine "Scheunentor" Regel die dann aus dem VLAN Interface alles erlaubt. Das ist generell für alle neuen Interfaces zu machen. Fehlen sie, ist bei einer Firewall bekanntlich generell alles verboten.

Hast du dieses Regelewerk auf den Interface richtig eingerichtet bei dir und klappt es wider Erwaten dennoch nicht, dann bist du vermutlich mit deinem Client im falschen VLAN oder hast diesem ein falsches Gateway eingetragen oder beides ?!
Viel falsch machen kann man da eigentlich nicht...
Bitte warten ..
Mitglied: Xaero1982
17.10.2020 um 15:00 Uhr
Hi Aqui,

die Regeln sind für jedes VLAN in den Einstellungen gemacht.
Als GW habe ich die jeweilige Schnittstelle der Pfsense aus dem jeweiligen VLAN angegeben. Klappt ja auch, aber in dem Failoverartikel heißt es im letzten Absatz, dass man beim LAN das DefaultGW ändern soll zu dem FailoverGW. Tu ich das versucht er IP Adressen eines anderen VLANs übers Internet aufzulösen. Da muss dann also noch irgendwo ein Haken fehlen.

Innerhalb der jeweiligen VLANs klappt es, aber nicht von VLAN10 nach VLAN20 z.b.
Bitte warten ..
Mitglied: aqui
17.10.2020 um 17:17 Uhr
dass man beim LAN das DefaultGW ändern soll zu dem FailoverGW
Da sist etwas wirr... Was ist damit genau gemeint ??
Das LAN Interface ist vermutlich dein Parent Interface für die beiden VLANs bzw. VLAN Interfaces, richtig ?!
Bedenke das Traffic für das Parent Interface (sprich das physische Interface) selber immer untagged ist ! Sämtlich untagged Traffic landet dann also immer auf dem Parent Interface.
Fragt sich was mit "Gateway ändern" dann gemeint ist, denn das Gateway ist ja das LAN Interface bzw. dessen IP selber, da die pfSense ja der Router ist zwischen diesen 3 beteiligten Interfaces ist. (LAN als Parent und den darauf aufsetzenden VLAN 10 und 20 Interfaces).
So richtig verstehen tut man das nicht...
Bitte warten ..
Mitglied: Xaero1982
18.10.2020 um 16:48 Uhr
Wie gesagt: Ich hab mich an die Anleitung gehalten:

https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...

Vor der Überschrift "PFSense - Gateway-Überwachung" steht beschrieben, dass man das Def-GW auf die Multiportgruppe ändern soll, die man zuvor erstellt hat.

Aber dann ist eben Schicht mit dem Routing.
Bitte warten ..
Mitglied: aqui
18.10.2020 um 16:52 Uhr
Die Gateway Überwachung ist eh Bullshit und müllt dir nur dein Netzwerk mit ICMP Pings voll wenn du sie nicht aktiv nutzt.
Wichtig ist auch das die Multiportgruppen IP überhaupt pingbar ist. Viele virtuelle IPs sind das oftmals nicht und dann schlägt logischerweise die Gateway Überwachung fehl und pfSense nimmt dann fälschlicherweise an das das Gateway down ist und blockt das Forwarding.
Wenn du also gar nichts an der Überwachung aktiv hängen hast deaktiviere diese immer und auch die Action. Dann ist Ruhe im Karton und schont das Netz.
Bitte warten ..
Mitglied: Xaero1982
18.10.2020 um 18:40 Uhr
Aqui ich meine den Punkt davor! Nicht die Gateway-Überwachung
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server26 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

LAN, WAN, Wireless
Spanning Tree Probleme
gelöst predator66FrageLAN, WAN, Wireless12 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server10 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

E-Mail
Ticketsystem mit mailflow
CraftdorFrageE-Mail8 Kommentare

Hallo, Ich bin auf der Suche nach einem Ticketsystem das am besten Freeware ist und einfach nur eine Ankommende ...

Netzwerkgrundlagen
PfSense Virtuele IP mit NAT auf eine IP im VLAN90 zum VLAN30
OIOOIOOIOIIOOOIIOIIOIOOOFrageNetzwerkgrundlagen8 Kommentare

Guten Tag, ich stehe hier mit einer neuen Herausforderung. Hab ein Internetradio, welches jedoch nur mit eine App gesteuert ...

Ähnliche Inhalte
Router & Routing
Subnetz-Routing
gelöst niLuxxFrageRouter & Routing9 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch, bei der ich euch gerne um Hilfe bitte würde. Wir ...

Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Debian

VPN mit Libreswan klappt, Routing funktioniert nicht ins Subnetz

gelöst admeenFrageDebian4 Kommentare

Hallo, ich habe folgenden Szenario mit einem Site to Site VPN: Site A: ein IPSEC-VPN fähiger Router hinter ein ...

Router & Routing

Juniper SSG5 routing für bestimmt Clients im selben Subnetz

netnup18FrageRouter & Routing1 Kommentar

Hallo, ich hab eine juniper ssg5 im Einsatz. Im Netz 192.168.2.0/24 befinden sich Server und Clients. Alle werden über ...

Netzwerke

Subnetz splitten

gelöst macherlthomasFrageNetzwerke3 Kommentare

Hey Leute, ich hätte da eine doofe Anfängerfrage: Ich hab hier z.B: 2 Standorte (Verbindung über das Internet und ...

Outlook & Mail

Outlook 365 Ordnerstruktur unterschiedlich

bolle01FrageOutlook & Mail

Moin, wir benutzen Office 365. Nach der Migration eines Rechners und dem Einrichten von Outlook ist aufgefallen. Das die ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT