6
PFSense Policy Routing ändert nichts
Hallo zusammen,
ich habe gerade ein kleines PFSense Problem.
System ist:
Client --> Main FireWall WAN Port -->PfSense Lan Port --> 3 WAN Leitungen.
Soweit so gut.
Jetzt möchte ich einige spezifische Clients zwangsläufig über einen WAN Port laufen lassen.
klassisches, eigentlich einfaches Policy Routing.
Dazu habe ich in den FireWall Rules einen Eintrag erstellt:
Source Destination Port Gateway
1.2.3.4 any any WAN2
Leider habe ich am Client immer noch die IP von WAN1 welches das default Gateway der PFSense ist...
Hat jemand eine Idee? Ich komm mir ja schon fast komisch vor bei so nem eigentlich einfachen Problem. Laut Google gibts da ja auch nichts besonderes...
Danke schon mal
Theo
ich habe gerade ein kleines PFSense Problem.
System ist:
Client --> Main FireWall WAN Port -->PfSense Lan Port --> 3 WAN Leitungen.
Soweit so gut.
Jetzt möchte ich einige spezifische Clients zwangsläufig über einen WAN Port laufen lassen.
klassisches, eigentlich einfaches Policy Routing.
Dazu habe ich in den FireWall Rules einen Eintrag erstellt:
Source Destination Port Gateway
1.2.3.4 any any WAN2
Leider habe ich am Client immer noch die IP von WAN1 welches das default Gateway der PFSense ist...
Hat jemand eine Idee? Ich komm mir ja schon fast komisch vor bei so nem eigentlich einfachen Problem. Laut Google gibts da ja auch nichts besonderes...
Danke schon mal
Theo
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257378
Url: https://administrator.de/forum/pfsense-policy-routing-aendert-nichts-257378.html
Ausgedruckt am: 02.04.2025 um 04:04 Uhr
6 Kommentare
Neuester Kommentar
Macht die Main Firewall ggf. irgendwelche Arten von Outbound NAT die die Absender IP manipulieren so das die ACL fürs PR nicht greift ?
Die Formulierung "...habe ich am Client immer noch die IP von WAN1" ist irgendwie völlig unverständlich, sorry ?!
WO am Client hast du die IP ? Was soll das bedeuten ?
Der Client kann ja niemals diese Next Hop IP "sehen" ! Der hat einzig und allein nur die Main Firewall als Gateway IP mehr "sieht" er ja nicht. Was dahinter passiert und wie Router dort das Paket im Routing manipulieren kann der Client mit keinem einzigen Tool der Welt sehen !
Einzig das Ziel des Clients kann das sehen aber auch nur sofern die pfSense ein NAT macht auf allen WAN Ports, denn dann kommt das Paket am Ziel mit einer der pfSense WAN IPs als Absender dort an.
Ohne NAT sieht auch das Ziel nix.
Frage ist also was du mit der Aussage genu meinst ?!
Die Formulierung "...habe ich am Client immer noch die IP von WAN1" ist irgendwie völlig unverständlich, sorry ?!
WO am Client hast du die IP ? Was soll das bedeuten ?
Der Client kann ja niemals diese Next Hop IP "sehen" ! Der hat einzig und allein nur die Main Firewall als Gateway IP mehr "sieht" er ja nicht. Was dahinter passiert und wie Router dort das Paket im Routing manipulieren kann der Client mit keinem einzigen Tool der Welt sehen !
Einzig das Ziel des Clients kann das sehen aber auch nur sofern die pfSense ein NAT macht auf allen WAN Ports, denn dann kommt das Paket am Ziel mit einer der pfSense WAN IPs als Absender dort an.
Ohne NAT sieht auch das Ziel nix.
Frage ist also was du mit der Aussage genu meinst ?!
Hi Aqui,
mit Client IP meinte ich die externe.
Wenn ich also eine Abfrage der externen IP mache sehe ich immer noch die IP Adresse von WAN 1. Würde das PR greifen würden alle Abfragen des Clients über WAN 2 geroutet. Ich würde also auch die externe IP von WAN2 bei einer Abfrage sehen was nicht der Fall ist.
Die Main FireWall hat jetzt nu rnoch einen WAN Port welcher an die PfSense per Default Route weitergegeben wird.
Das Routing zur PFSense klappt auch. Ich komme ja über das default Gateway raus. Nur leider nicht über WAN 2 per policy Route.
mit Client IP meinte ich die externe.
Wenn ich also eine Abfrage der externen IP mache sehe ich immer noch die IP Adresse von WAN 1. Würde das PR greifen würden alle Abfragen des Clients über WAN 2 geroutet. Ich würde also auch die externe IP von WAN2 bei einer Abfrage sehen was nicht der Fall ist.
Die Main FireWall hat jetzt nu rnoch einen WAN Port welcher an die PfSense per Default Route weitergegeben wird.
Das Routing zur PFSense klappt auch. Ich komme ja über das default Gateway raus. Nur leider nicht über WAN 2 per policy Route.
Hat niemand noch eine Idee?
lg
Theo
lg
Theo
Tut mir leid aber man kann nicht richtig verstehen WAS du genau mit "Client IP meinte ich die externe." meinst und was genau du da abfragst.
Wie gesagt der Client kann eine Policy Route NICHT sehen und nicht überprüfen und es blebt unverständlich und verworren was du mit "sehe ich immer noch die IP Adresse von WAN 1" meinst und dem Rest...???
Oder ich bin zu blöd es zu kapieren
Oder meinst du jetzt das du dir die Absender IP am Ziel ansiehst also da wo die Pakete von der Firewall (und sofern sie NAT macht an WAN 1 und 2 ?!) ankommt ?
Wenn es das ist, dann stimmt das Policy Regelwerk nicht oder du hast kein PBR eingestellt und machst nur WAN Load Balancing und der Hash Wert zeigt auf den falschen Port.
Beides wäre dann eine falsche Konfig auf der pfSense.
Wie gesagt der Client kann eine Policy Route NICHT sehen und nicht überprüfen und es blebt unverständlich und verworren was du mit "sehe ich immer noch die IP Adresse von WAN 1" meinst und dem Rest...???
Oder ich bin zu blöd es zu kapieren
Oder meinst du jetzt das du dir die Absender IP am Ziel ansiehst also da wo die Pakete von der Firewall (und sofern sie NAT macht an WAN 1 und 2 ?!) ankommt ?
Wenn es das ist, dann stimmt das Policy Regelwerk nicht oder du hast kein PBR eingestellt und machst nur WAN Load Balancing und der Hash Wert zeigt auf den falschen Port.
Beides wäre dann eine falsche Konfig auf der pfSense.
Nur leider nicht über WAN 2 per policy Route.
Hast du das mal mit einem Traceroute geprüft ?
Okay Punkt für aqui,
nach ewigem suchen hab ich doch noch ne Outbound NAT gefunden.
Ich meinte, dass wenn ich ne traceroute irgendwohin mache, dass ich als WAN Gateway immernoch die falsche IP sehe und die Policy nicht greift, aber wie gesagt es gab ne Outbound NAT aus grauen vorzeiten.
-solved-
lg
Theo
nach ewigem suchen hab ich doch noch ne Outbound NAT gefunden.
Ich meinte, dass wenn ich ne traceroute irgendwohin mache, dass ich als WAN Gateway immernoch die falsche IP sehe und die Policy nicht greift, aber wie gesagt es gab ne Outbound NAT aus grauen vorzeiten.
-solved-
lg
Theo
Alles wird gut ! 
