PfSense: Zugriff auf Server von anderem VLAN
Hi,
habe mal wieder ein Problem an dem ich hänge...
pfSense mit mehreren VLANs.
In einem VLAN (ID 1) läuft ein Server.
Auf einem Laptop in einem anderen VLAN (ID 2) ist eine Client-Software installiert, welche auf einen Dienst auf dem Server zugreifen soll.
pfSense-IP: 192.168.1.254
Server-IP: 192.168.1.1
Laptop-IP: 192.168.2.1
Für den Anfang habe ich folgende Firewall-Rule erstellt im Reiter VLAN1:
Ich bin davon ausgegangen, dass ich den Server dann zumindest schon mal anpingen kann, allerdings funktioniert das noch nicht (Zeitüberschreitung).
Vom Laptop aus kann ich pfSense (192.168.1.254) auch nicht anpingen.
Hat jemand eine Idee woran das liegen könnte?
Danke
mabue88
habe mal wieder ein Problem an dem ich hänge...
pfSense mit mehreren VLANs.
In einem VLAN (ID 1) läuft ein Server.
Auf einem Laptop in einem anderen VLAN (ID 2) ist eine Client-Software installiert, welche auf einen Dienst auf dem Server zugreifen soll.
pfSense-IP: 192.168.1.254
Server-IP: 192.168.1.1
Laptop-IP: 192.168.2.1
Für den Anfang habe ich folgende Firewall-Rule erstellt im Reiter VLAN1:
Action: Pass
Interface: VLAN2
Protocol: any
Source: Single host or alias, 192.168.2.1
Destination: Single host or alias, 192.168.1.1
Ich bin davon ausgegangen, dass ich den Server dann zumindest schon mal anpingen kann, allerdings funktioniert das noch nicht (Zeitüberschreitung).
Vom Laptop aus kann ich pfSense (192.168.1.254) auch nicht anpingen.
Hat jemand eine Idee woran das liegen könnte?
Danke
mabue88
Please also mark the comments that contributed to the solution of the article
Content-ID: 288705
Url: https://administrator.de/contentid/288705
Printed on: December 14, 2024 at 00:12 o'clock
3 Comments
Latest comment
Ich bin davon ausgegangen, dass ich den Server dann zumindest schon mal anpingen kann,
Mmmhhh etwas naiv, denn das kann nur funktionieren wenn 3 Dinge erfüllt sind:- Deine VLAN 2 Regel mus VOR einer etwaigen DENY Regel angeordent sein die ggf. den Zugriff auf VLAN 1 verbietet. Bei den regeln gilt immer First match wins was heist gibt es einen Match werden alle nachfolgenden Regeln NICHT mehr abgearbeitet. Ein Umstand der bei der Konfiguration der Regeln sehr gerne vergessen wird !
- Auch am Server Interface (VLAN 1) darf entweder KEINE Accesslliste sein oder eine Freigabe das die Server IP als Source die Destination Clinet IP erreichen darf. Der Rückweg muss ja auch bedacht werden !
- Am Server MUSS die lokale Firewall angepasst werden. Im Default blockt die alles was NICHT aus dem lokalen Netzwerk IP Segment kommt, folglich auch deine Client Pakete.
Ich habe noch festgestellt, dass ich den Server nicht anpingen konnte, andere Geräte aber schon.
Auch dafür wieder 2 Gründe:- Gateway IP des Server stimmt nicht (muss pfSense IP im Segment sein) oder ist falsch oder gar nicht konfiguriert !
- Am Server MUSS die lokale Firewall angepasst werden. Im Default blockt die alles was NICHT aus dem lokalen Netzwerk IP Segment kommt, folglich auch deine Client Pakete.
Letzteres gilt insbesondere für das ICMP Protokoll (Ping) was in katuellen Version komplett deaktiviert ist. Wie man es wieder einfach aktiviert erklaärt dir diese Seite:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Was die Probleme und Unwissenheit der Client SW anbetrifft kannst du ja zum Querchecken auf beiden Interfaces mal eine Scheunentorregel als "pass any any" eingeben also alles erlauben. Dan arbeitet die FW als simper Router ohne jegliche Sicherheit.
Wenns da geht und mit den Regeln nicht, dann weisst du das du noch irgendwas falsch machst im Regelwerk der Firewall.