christian.k
Goto Top

PfSense Verbindung von Vlan a zu Vlan b

Hallo zusammen,

kann mir vielleicht jemand sagen, wie ich bei pfSense Verbindungen zwischen verschiedenen VLANs regeln kann?

Bsp. VLAN a Rechner mit 192.168.10.5 auf VLAN b Rechner mit sagen wir 192.168.30.3

LG Christian

Content-ID: 569402

Url: https://administrator.de/forum/pfsense-verbindung-von-vlan-a-zu-vlan-b-569402.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

lcer00
lcer00 02.05.2020 um 16:45:17 Uhr
Goto Top
Hallo,

soll die pfsense der Router sein? Bevor es zum nächsten Problem kommt, beschreib doch Dein Netzwerksetup genauer.

Grüße

lcer
em-pie
em-pie 02.05.2020 um 17:00:00 Uhr
Goto Top
Moin,

kann @icer00 nur beipflichten:
Erzähle mal etwas mehr zu deiner Umgebung.

Darüberhinaus:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da hat @aqui alles zusammengetragen face-smile

Gruß
em-pie
Christian.K
Christian.K 02.05.2020 aktualisiert um 17:21:57 Uhr
Goto Top
@lcer00 richtig, die pfSense soll Router sein

pfSense auf Zotac CI329
WAN re0 DHCP
LAN re1 192.168.1.0/24 DHCP Server aktiv
VLAN10 re1 192.168.10.0/24 DHCP Server aktiv
VLAN30 re1 192.168.30.0/24 DHCP Server aktiv
VLAN50 re1 192.168.50.0/24 DHCP Server aktiv

re1 geht an Cisco SG250-08
Christian.K
Christian.K 02.05.2020 aktualisiert um 17:20:35 Uhr
Goto Top
@em-pie mit diesem Guide habe ich bereits Stunden verbracht aber wie das Funktioniert, ist mir weiterhin ein Rätsel.

Es funktioniert sonst alles wie es soll, nur die Verbindung zwischen 2 VLAN ist mir ein Rätsel.

Innerhalb eines VLAN und VLAN10,20,30 zu VLAN1 besteht eine Verbindung aber halt nicht von VLAN zu VLAN.

Ich habe extra an

LAN re1 192.168.1.0/24
VLAN10 re1 192.168.10.0/24
VLAN30 re1 192.168.30.0/24
VLAN50 re1 192.168.50.0/24

erstmal alles zugelassen.
em-pie
Lösung em-pie 02.05.2020 aktualisiert um 17:39:10 Uhr
Goto Top
Woran machst du das aus, dass die Pakete zwischen z. B. VLAN 10 und 30 nicht klappt?

Pingst du aus dem einen VLAN einen Windows-PC in dem anderen?
Wenn ja, ist nicht die pfS das Problem, sondern der Windows-PC. Denn du kommst - sofern nicht angepasst - für diese Firewall aus einem fremden IP-Netz und wirst daher geblockt


Und wie sehen deine Firewall-Regeln aus, zunächst einmal auf der pfSense.
Spirit-of-Eli
Spirit-of-Eli 02.05.2020 um 17:39:42 Uhr
Goto Top
Zitat von @Christian.K:

@em-pie mit diesem Guide habe ich bereits Stunden verbracht aber wie das Funktioniert, ist mir weiterhin ein Rätsel.

Es funktioniert sonst alles wie es soll, nur die Verbindung zwischen 2 VLAN ist mir ein Rätsel.

Innerhalb eines VLAN und VLAN10,20,30 zu VLAN1 besteht eine Verbindung aber halt nicht von VLAN zu VLAN.

Ich habe extra an

LAN re1 192.168.1.0/24
VLAN10 re1 192.168.10.0/24
VLAN30 re1 192.168.30.0/24
VLAN50 re1 192.168.50.0/24

erstmal alles zugelassen.

Moin,

die Regeln auf der Sense beziehen sich immer auf eingehenden Verkehr auf einem Interface.

Somit muss z.B. eine Regel den Traffic auf Vlan10 zu Vlan20 erlauben. Wenn der Zugriff umgekehrt laufen soll, eben Vlan20 zu Vlan10 auf dem Interface V20.

Ausgehend ist traffic somit nicht freizugeben.

Gruß
Spirit
Christian.K
Christian.K 02.05.2020 um 17:52:11 Uhr
Goto Top
@Spirit-of-Eli ich habe aktuell wie hier im Guide beschrieben erstmal alles erlaubt.

Auf LAN, VLAN10, VLAN30 und VLAN50 nur 1 Regel. Erlauben Quelle:* Port:* Ziel:* Port:* Gateway:* Queue: nicht gesetzt


Auszug Guide:

Um aufkommenden Frust erst einmal kleinzuhalten kann man eine einfache "Scheunentor" Regel aufsetzten, die zum Testen erstmal alles erlaubt.
Das erreicht man unter Firewall -> Rules für das entsprechende Interface !
Hier legt man eine Regel:
PASS Source: any, Destination: any
an die dann allen Traffic erstmal durchlässt.
Ggf. muss (oder sollte) diese Regel später korrigiert werden wenn nicht jeder mit jedem kommunizieren soll (z.B. Gastnetz) oder nur bestimmte Anwendungen (Surfen, Mail, RDP) usw. erlaubt sein sollen für diese VLAN Segmente !
Christian.K
Christian.K 02.05.2020 um 17:58:46 Uhr
Goto Top
Den Test habe ich von einem Win10 Rechner in VLAN10 (192.168.10.12) zu FritzBox VLAN30 (192.168.30.99) über den Webbrowser gemacht. Ich habe praktisch versucht das Webinterface aufzurufen.
Spirit-of-Eli
Lösung Spirit-of-Eli 02.05.2020 um 18:14:57 Uhr
Goto Top
Zitat von @Christian.K:

Den Test habe ich von einem Win10 Rechner in VLAN10 (192.168.10.12) zu FritzBox VLAN30 (192.168.30.99) über den Webbrowser gemacht. Ich habe praktisch versucht das Webinterface aufzurufen.

Da die Fritte selbst GW spielen wird, brauch die eine Rückroute in dein LAN hinter der Sense. Sonst weist diese nicht wohin die Antwort zur Anfrage an die Webseite geschickt werden soll.
Christian.K
Christian.K 02.05.2020 um 18:18:16 Uhr
Goto Top
@em-pie die Sache mit dem Blocken hat mich zum Nachdenken gebracht.

Ein Ping auf die FritzBox 192.168.30.99 geht nicht durch aber ein Ping auf 192.168.30.1 Gateway der FritzBox ging durch.

Ich schiebe jetzt mal ein Raspberry mit Debian und Apache2 in VLAN30 und schaue ob ich den Webserver erreiche.

Nicht das ich Stunden teste und es liegt an der FritzBox, irgendeine Schutzfunktion oder so.
Christian.K
Christian.K 02.05.2020 um 18:31:50 Uhr
Goto Top
Ich fasse es nicht, 2 Tage habe ich mit dem Webinterface der FritzBox getestet und Stunden an Zeit vergeudet.

Es lag tatsächlich die ganze Zeit am FritzBox Webinterface...

Den Debian Apache2 im VLAN30 192.168.30.118 konnte ich von Win10 im VLAN50 192.168.50.12 sofort erreichen.

Und ich habe schon gelesen, der Switch muss von Layer 2 auf 3 umgestellt werden usw.

Es ist also alles Erreichbar, ich sollte jetzt lieber was einschränken face-smile

Vielen Dank an alle beteiligten!
lcer00
lcer00 02.05.2020 um 19:03:34 Uhr
Goto Top
Zitat von @Christian.K:
Und ich habe schon gelesen, der Switch muss von Layer 2 auf 3 umgestellt werden usw.
Und warum das jetzt?

Grüße

lcer
aqui
aqui 02.05.2020 um 19:12:39 Uhr
Goto Top
wie ich bei pfSense Verbindungen zwischen verschiedenen VLANs regeln kann?
Gar nicht, das macht die pfSense selbstständig.
Die grundlegende Frage ist WAS genau du mit "regeln" meinst...??
Zuallererst mal solltest du natürlich die VLANs auf der pfSense einrichten ! Siehe dazu das hiesige VLAN Tutorial dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist das geschehen hat die pfSense natürl als Default Regel immer ein deny any any an den VLAN Interfaces wie es sich für eine Firewall gehört und grundsätzlich üblich ist. D.H. die Firewall verbietet erstmal alles.

Jetzt hängt es von dir ab WAS du erlauben willst und was nicht. Leider kommt dazu von dir keinerlei Information ! face-sad
Um es erstmal einfach zu machen kannst du alles erlauben. Dazu bedarf es auf jedem VLAN Interface der Firewall folgender Regel:
PASS, Protocoll: ANY, Source: <VLAN_A_network>, Destination: ANY

und auf dem 2ten VLAN Interface dann entsprechend:
PASS, Protocoll: ANY, Source: <VLAN_B_network>, Destination: ANY

Fertisch !
Lies dir das VLAN Tutorial genau durch dort stehen alle Details zu dem Thema !
Christian.K
Christian.K 02.05.2020 um 19:17:44 Uhr
Goto Top
In irgendeinem Guide habe ich das gelesen aber scheint ja völliger quatsch zu sein.

Eingerichtet ist das VLAN jetzt nach diesem Guide VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern mit Cisco Switch (Ports auf Layer 2).

Offensichtlich hatte ich die ganze Zeit alles richtig konfiguriert. Ich hätte nur nicht mit dem FritzBox Webinterface testen sollen ob ich eine Verbindung habe.
aqui
aqui 02.05.2020 aktualisiert um 19:26:21 Uhr
Goto Top
Eingerichtet ist das VLAN jetzt nach diesem Guide
Dann hast du alles richtig gemacht !
Sofern du dann richtige Firewall Regeln an den Ports eingestellt hast, ist alles OK !

Wichtig ist, wenn du die pfSense in einer Kaskade am WAN Port mit der FritzBox betreibst das du dort in den grundsätzlichen Regeln den Haken bei den RFC 1918 (privaten IPs) entfernst !
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Logisch, denn dein Koppelnetz auf die FritzBox ist garantiert ein RFC 1918 IP Netz. Vermutlich das FB Allerweltsnetz 192.168.178.0 /24 ?!

wan

Dann klappt es auch immer mit dem FritzBox Webinterface ! face-wink
Alles weitere zu so einem Kaskaden Setup findest du, wie immer, hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen...!!
Christian.K
Christian.K 02.05.2020 aktualisiert um 19:39:58 Uhr
Goto Top
@aqui ich habe bereits alles nach deinen Anleitungen umgesetzt face-smile

Erreichen wollte ich von 50 auf 30 eine alte test fritzbox. Einfach irgendwas angeschlossen um bequem über Browser testen zu können. Ich habe dann nur die fritzbox gegen ein raspi apache2 getauscht und alles läuft. Die test FritzBox wollte nur nicht das Webinterface zeigen und ich dachte es liegt an der restlichen Konfiguration.

Das ist aktuell der Testaufbau, ist noch nicht alles angeschlossen.

Arbeitszimmer Dose 1 FritzBox Bridge Mode geht zum Patchpanel im Abstellraum und von da direkt in die pfSense. Von der pfSense geht es weiter in Switch1 GE6. Die pfSense läuft auf ein Zotac Ci329 und hat nur re0 und re1.

Abstellraum Switch1 Cisco SG250-08

GE1 (Arbeitszimmer Dose rechts PC)Access 50U 50U
GE2 (Wohnzimmer Dose Switch2) Trunk 1U, 10T, 30T, 50T 1U, 10T, 30T, 50T
GE3 (frei) Access 10U 10U
GE4 (frei) Access 30U 30U
GE5 (frei) Access 50U 50U
GE6 (pfSense) Trunk 1U, 10T, 30T, 50T 1U, 10T, 30T, 50T
GE7 (Schlafzimmer Dose rechts TV)Access 30U 30U
GE8 (Schlafzimmer Dose links) Access 30U 30U

Wohnzimmer Switch2 Cisco SG250-08

GE1 (Abstellraum Switch1) Trunk 1U, 10T, 30T, 50T 1U, 10T, 30T, 50T
GE2 (PS4) Access 30U 30U
GE3 (TV) Access 30U 30U
GE4 (Sonos) Access 30U 30U
GE5 (AP) Trunk 1U, 10T, 30T, 50T 1U, 10T, 30T, 50T
GE6 (frei) Access 30U 30U
GE7 (frei) Access 30U 30U
GE8 (frei) Access 50U 50U
aqui
aqui 02.05.2020 aktualisiert um 19:38:12 Uhr
Goto Top
ich habe bereits alles nach deinen Anleitungen umgesetzt
👍 Wie gesagt...dann ist alles richtig ! Mit den Switches passt das auch. face-wink