16.10.2020

3631

PFSense - mal wieder - Routing aus unterschiedlichen Subnetzen

Moin Zusammen,

ich habe meinen alten Router durch eine PFSense ersetzt. Leider läuft das noch nicht so wie gewünscht.

Ich habe verschiedene Subnetze und je Subnetz ein Gateway (der Switch).

Also VLAN 10 - 172.16.10.254
VLAN 20 - 172.16.20.254
usw.

Der Router hat die 192.168.178.7 - da sind zwei WAN Schnittstellen dran (1&1, Vodafone)

Aus dem 192.168.178.x/24 komme ich ins Web, aber aus keinem der anderen VLANS.

Bei dem alten Router habe ich eine Route gesetzt
Ziel: 172.16.0.0/16 (ja, nicht so sauber, aber ging)
Quelle: 0.0.0.0/0
GW: 192.168.178.254 (Interface IP vom default VLAN auf dem Switch)

Klappte mit dem alten Router anstandslos

Ich muss da doch nicht wirklich die VLANs anlegen oder?

Grüße

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 613489

Url: https://administrator.de/forum/pfsense-mal-wieder-routing-aus-unterschiedlichen-subnetzen-613489.html

Ausgedruckt am: 12.04.2025 um 17:04 Uhr

17 Kommentare

Neuester Kommentar

Zitat von @Xaero1982:

Ich muss da doch nicht wirklich die VLANs anlegen oder?

Meinst Du die Frage ernst?

lks

Absolut

weil ich das auf der anderen Kiste eben nicht musste und es alles funktionierte.

Wie bitte?

Was ist was?
IP Vodafone-Router?
IP 1&1 Router?
Wie verkabelt?
Was ist an der PFSense WAN/LAN?
Wieviele Lan-Ports an der PFSense?

Ist heute Freitag, oder warum muss man das alles jemand Anderem aus der Nase ziehen?

Zitat von @Lochkartenstanzer:

Zitat von @Xaero1982:

Ich muss da doch nicht wirklich die VLANs anlegen oder?

Meinst Du die Frage ernst?

lks

Der Punkt ist halt, dass aktuell die Switche bzw. die IP des VLAN Interfaces als Client konfiguriert sind.
Ich hab jetzt mal testweise ein VLAN eingerichtet auf der PFSense, was auch geht, aber da muss ich dann wiederum das GW ändern auf die Schnittstelle von der PFSense.

Das wollte ich eben nicht. Warum geht es bei dem alten Router und bei der Pfsense nicht?

Zitat von @gammelobst:

Wie bitte?

Was ist was?
IP Vodafone-Router?
IP 1&1 Router?
Wie verkabelt?
Was ist an der PFSense WAN/LAN?
Wieviele Lan-Ports an der PFSense?

Ist heute Freitag, oder warum muss man das alles jemand Anderem aus der Nase ziehen?

Vermutlich weil deine Fragen hierfür komplett irrelevant sind.
Alles wichtige hab ich geschrieben. Die Frage ist lediglich: Warum muss ich an der PFsense die VLANS konfigurieren und warum ging es an dem alten Router (Time for Kids Schulrouter)

Zitat von @Xaero1982:

Das wollte ich eben nicht. Warum geht es bei dem alten Router und bei der Pfsense nicht?

Moin,

Anscheinend hast Du vorher keine "echten" VLANs gehabt, sondern nur einfach mehrere IP-netze auf demselben "Draht" betrieben. Dann funktioniert so ein Setup wie Du es hattest. Aber wenn Du wirklich mit VLANs arbeitest, ist es eben so, als ob Du für jedes VLAN einen getrennten Draht hast. Dann "sieht" der "andere Port" die Pakete nicht.

Ohne jetzt unhöflich sein zu wollen, sieht das nach einem PEBKAC aus.

lks

PS: Oder der andere Router hatte einen Bug, den Du als Feature genutzt hast.

Nun ja, wenn der Switch den gesamten Traffic aus den unterschiedlichen VLANS an den Router weiter leitet und eine entsprechende Route gesetzt ist wird das wohl eher kein Bug oder Feature sein.

Nee, nicht unhöflich, sondern schlicht unfug mein lieber LKS

Mir ging es schlicht um die Frage: Warum muss ich nun mit der PFSense diesen Umweg gehen, wenn es mit dem anderen Router eben auch ohne VLANs ging.
Hier existiert also kein Problem, weil es ja mit VLANs geht, aber ich muss dann auch wieder die Gateways ändern und das wollte ich einfach nicht. Thats all.

Hallo,
was für ein Switch ist das ?
Von deiner Beschreibug aus muß es ein Layer 3 Switch sein.
-
Dein "Route" Eintrag ist sehr ungewöhlich, bei einem normalen Eintrag gibt es keine Quelle.
-
Welche Routing Einträge hast du auf der pfSense (system-routing, bzw. diagostic - Routes)?
Welche Firewall Regel hast du auf dem LAN Interface ? Enable mal logging, dan solltest du sehen was fuktioniert und was nicht ?
Funktioniert ein Ping aus einem Subnetz auf die Firewall IP ?

CH

Hi ChriBo,

es sind Cisco SG550x.
Richtig, ein Layer 3 Switch.

Das hab ich damals mit den Entwicklern dieser Schulrouter eingepflegt. Vorher ging es nicht. Dann ging es.

Ich hatte eine Route: 172.16.0.0/16 GW: 192.168.178.254 (der Coreswitch - so war es die ganze Zeit). Hab ich nun entfernt, weil es mit oder ohne nicht ging. Habe nun jedes VLAN eingepflegt und muss nun den am DHCP Server das GW ändern. Bleibt dann wohl nicht aus. Hätte es gerne anders gehabt, da ich noch am Testen bin und ich gerne einfach den alten Router angeklemmt hätte, wenn was nicht läuft. Also muss es nun laufen

Ja, das ging, wenn ich mich recht erinnere.

Hat sich nun erledigt. Danke dennoch.

Grüße

Hi,
vielleicht wäre es ganz sinnvoll zu erfahren, auf welchem "Blech" die pfSense denn läuft und welche physischen Schnittstellen vorhanden sind.
Es ist nicht zwingend erforderlich VLAN 's zu machen, wenn ich die entsprechenden physischen Schnittstellen habe.
Eine Hardware mit 4 LAN-Ports würde für 2x WAN und 2x LAN oder 1x WAN, 2x LAN, 1x DMZ problemlos ausreichen. Da muss es kein VLAN sein, welches wiederum einen VLAN-fähigen Switch erfordert.
Aber unabhängig davon musst Du bei der pfSense für jedes Interface, egal ob physisch oder VLAN 's, Deine Firewallregeln entsprechend anpassen.
Gruß orcape

Hi orcape,

die pfsense läuft auf einem ESX und es sind 10 VLANs. Grundsätzlich läuft es nun auch, aber da ich auch das Loadbalancing aktiviert habe, was ich nach der Anleitung eingerichtet habe: https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...

ergibt sich das "Problem", dass ich nun z.b. nicht mehr aus dem Netz:

172.16.10.x/24 in das Netz 192.168.178.x/24 komme, weil ein traceroute mir sagt: ich geh direkt auf den Router hinter der pfsense - also in dem Fall eine Fritzbox.

Kapier ich noch nicht ganz, aber irgendwo klemmts

ändere ich das GW auf default gehts auch wieder.

Auf dem Switch sind (noch) keine ACLs eingerichtet und auch auf dem Router gibt es (noch) keine Firewallregeln die eine derartige Kommunikation unterbinden würden.

Grüße

Ich habe verschiedene Subnetze und je Subnetz ein Gateway (der Switch).

Das ist doch HIER nun wirklich alles haarklein erklärt.
Was du vermutlich, wie leider häufig hier, außer Acht gelassen hast ist die Tatsache das du eine Firewall hast und keinen Router !
Bei einem Router ist generell alles erlaubt im Routing bei der Firewall geht aber ohne entsprechendes Regelwerk nichts auf den Interfaces.
Viele vergessen das das Default LAN Interface einer FW von sich aus eine Default "Scheunentor" Regel hat (LAN_network to any) aber neue Interfaces wie deine VLAN 10 und VLAN 20 Interfaces eben nicht. Diese muss man also zwingend händisch anlegen. Z.B. (vlanx_network to any) ist dann auch so eine "Scheunentor" Regel die dann aus dem VLAN Interface alles erlaubt. Das ist generell für alle neuen Interfaces zu machen. Fehlen sie, ist bei einer Firewall bekanntlich generell alles verboten.

Hast du dieses Regelewerk auf den Interface richtig eingerichtet bei dir und klappt es wider Erwaten dennoch nicht, dann bist du vermutlich mit deinem Client im falschen VLAN oder hast diesem ein falsches Gateway eingetragen oder beides ?!
Viel falsch machen kann man da eigentlich nicht...

Hi Aqui,

die Regeln sind für jedes VLAN in den Einstellungen gemacht.
Als GW habe ich die jeweilige Schnittstelle der Pfsense aus dem jeweiligen VLAN angegeben. Klappt ja auch, aber in dem Failoverartikel heißt es im letzten Absatz, dass man beim LAN das DefaultGW ändern soll zu dem FailoverGW. Tu ich das versucht er IP Adressen eines anderen VLANs übers Internet aufzulösen. Da muss dann also noch irgendwo ein Haken fehlen.

Innerhalb der jeweiligen VLANs klappt es, aber nicht von VLAN10 nach VLAN20 z.b.

dass man beim LAN das DefaultGW ändern soll zu dem FailoverGW

Da sist etwas wirr... Was ist damit genau gemeint ??
Das LAN Interface ist vermutlich dein Parent Interface für die beiden VLANs bzw. VLAN Interfaces, richtig ?!
Bedenke das Traffic für das Parent Interface (sprich das physische Interface) selber immer untagged ist ! Sämtlich untagged Traffic landet dann also immer auf dem Parent Interface.
Fragt sich was mit "Gateway ändern" dann gemeint ist, denn das Gateway ist ja das LAN Interface bzw. dessen IP selber, da die pfSense ja der Router ist zwischen diesen 3 beteiligten Interfaces ist. (LAN als Parent und den darauf aufsetzenden VLAN 10 und 20 Interfaces).
So richtig verstehen tut man das nicht...

Wie gesagt: Ich hab mich an die Anleitung gehalten:

https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...

Vor der Überschrift "PFSense - Gateway-Überwachung" steht beschrieben, dass man das Def-GW auf die Multiportgruppe ändern soll, die man zuvor erstellt hat.

Aber dann ist eben Schicht mit dem Routing.

Die Gateway Überwachung ist eh Bullshit und müllt dir nur dein Netzwerk mit ICMP Pings voll wenn du sie nicht aktiv nutzt.
Wichtig ist auch das die Multiportgruppen IP überhaupt pingbar ist. Viele virtuelle IPs sind das oftmals nicht und dann schlägt logischerweise die Gateway Überwachung fehl und pfSense nimmt dann fälschlicherweise an das das Gateway down ist und blockt das Forwarding.
Wenn du also gar nichts an der Überwachung aktiv hängen hast deaktiviere diese immer und auch die Action. Dann ist Ruhe im Karton und schont das Netz.