Routing mit virtueller Hyper-V PFSense
Hallo mit einander,
ich hatte ja letztens bereits eine Frage gestellt bezüglich einer VPN Site to Site. Das steht soweit aber ich bin gerade etwas ratlos...
Hier mal eine Übersicht der Netzwerke:
Mein Problem ist das beide Hosts nun über die öffentliche WAN IP der PFSense lauschen und surfen.
Wenn ich nun also was auf dem Host herunterlade, geht das ganze über einen virtuellen Switch, auf die PFSense von dort aus über einen anderen v-Switch und dann über eine dedicated nic.
Hier mal die IP Configs:
Host 01:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : srv2host01
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter vEthernet (10.20.1.0 24):
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #3
Physische Adresse . . . . . . . . : 00-15-5D-3A-8C-00
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.20.1.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.20.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter vEthernet (11.22.33.0 27):
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #2
Physische Adresse . . . . . . . . : 0C-C4-7A-44-0F-4C
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 11.22.33.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.224
Standardgateway . . . . . . . . . : 11.22.33.129
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter Ethernet 2:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) I350 Gigabit Network Connection #2
Physische Adresse . . . . . . . . : 0C-C4-7A-44-0F-4D
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{0E0078F6-E673-442C-AC5F-A888F7EA427C}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter 6TO4 Adapter:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2002:4f85:3a82::4f85:3a82(Bevorzugt)
Standardgateway . . . . . . . . . : 2002:c058:6301::1
2002:c058:6301::c058:6301
DHCPv6-IAID . . . . . . . . . . . : 452984832
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-13-31-70-0C-C4-7A-44-0F-4C
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter Teredo Tunneling Pseudo-Interface:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fb:83b:5b4e:b07a:c57b(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::83b:5b4e:b07a:c57b%16(Bevorzugt)
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 469762048
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-13-31-70-0C-C4-7A-44-0F-4C
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.{297FEB71-F4B1-4558-AE4B-486EFCE76CA7}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
und der Host 02:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : srv2host02
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . :
Ethernet-Adapter vEthernet (10.30.1.0 24):
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #4
Physische Adresse . . . . . . . . : 00-15-5D-78-98-64
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.30.1.140(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.30.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter Ethernet 1 -Host:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : 2-Anschluss-Gigabit-Netzwerkverbindung Intel(R) 82576
Physische Adresse . . . . . . . . : 00-25-90-19-59-20
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 11.22.33.140(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.224
Standardgateway . . . . . . . . . : 11.22.33.129
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Tunneladapter isatap.{02E838F8-D58D-4DDB-B729-0B2AB719716F}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter 6TO4 Adapter:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2002:4f85:3a8c::4f85:3a8c(Bevorzugt)
Standardgateway . . . . . . . . . : 2002:c058:6301::1
2002:c058:6301::c058:6301
DHCPv6-IAID . . . . . . . . . . . : 603979776
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-A2-71-15-00-25-90-19-59-20
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter Teredo Tunneling Pseudo-Interface:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fb:86c:88f4:b07a:c571(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::86c:88f4:b07a:c571%17(Bevorzugt)
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 721420288
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-A2-71-15-00-25-90-19-59-20
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.{4C7DB6E6-A5BA-4652-8BB3-9ABDD1D9D2E4}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Ich stehe gerade etwas auf dem Schlauch....
Eingesetzt wird:
Windows Server 2012R2 mit Hyper-V und PFSense latest Patch 2.24 (?)
Hoffe es blickt da jemand durch und ich habe nicht allzu viel wirrwar geschrieben.
Schönen Abend noch ;)
ich hatte ja letztens bereits eine Frage gestellt bezüglich einer VPN Site to Site. Das steht soweit aber ich bin gerade etwas ratlos...
Hier mal eine Übersicht der Netzwerke:
Mein Problem ist das beide Hosts nun über die öffentliche WAN IP der PFSense lauschen und surfen.
Wenn ich nun also was auf dem Host herunterlade, geht das ganze über einen virtuellen Switch, auf die PFSense von dort aus über einen anderen v-Switch und dann über eine dedicated nic.
Hier mal die IP Configs:
Host 01:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : srv2host01
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter vEthernet (10.20.1.0 24):
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #3
Physische Adresse . . . . . . . . : 00-15-5D-3A-8C-00
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.20.1.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.20.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter vEthernet (11.22.33.0 27):
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #2
Physische Adresse . . . . . . . . : 0C-C4-7A-44-0F-4C
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 11.22.33.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.224
Standardgateway . . . . . . . . . : 11.22.33.129
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter Ethernet 2:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) I350 Gigabit Network Connection #2
Physische Adresse . . . . . . . . : 0C-C4-7A-44-0F-4D
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{0E0078F6-E673-442C-AC5F-A888F7EA427C}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter 6TO4 Adapter:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2002:4f85:3a82::4f85:3a82(Bevorzugt)
Standardgateway . . . . . . . . . : 2002:c058:6301::1
2002:c058:6301::c058:6301
DHCPv6-IAID . . . . . . . . . . . : 452984832
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-13-31-70-0C-C4-7A-44-0F-4C
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter Teredo Tunneling Pseudo-Interface:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fb:83b:5b4e:b07a:c57b(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::83b:5b4e:b07a:c57b%16(Bevorzugt)
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 469762048
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-13-31-70-0C-C4-7A-44-0F-4C
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.{297FEB71-F4B1-4558-AE4B-486EFCE76CA7}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
und der Host 02:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : srv2host02
Prim„res DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . :
Ethernet-Adapter vEthernet (10.30.1.0 24):
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ethernet #4
Physische Adresse . . . . . . . . : 00-15-5D-78-98-64
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.30.1.140(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.30.1.1
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter Ethernet 1 -Host:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : 2-Anschluss-Gigabit-Netzwerkverbindung Intel(R) 82576
Physische Adresse . . . . . . . . : 00-25-90-19-59-20
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 11.22.33.140(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.224
Standardgateway . . . . . . . . . : 11.22.33.129
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Tunneladapter isatap.{02E838F8-D58D-4DDB-B729-0B2AB719716F}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter 6TO4 Adapter:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2002:4f85:3a8c::4f85:3a8c(Bevorzugt)
Standardgateway . . . . . . . . . : 2002:c058:6301::1
2002:c058:6301::c058:6301
DHCPv6-IAID . . . . . . . . . . . : 603979776
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-A2-71-15-00-25-90-19-59-20
DNS-Server . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter Teredo Tunneling Pseudo-Interface:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fb:86c:88f4:b07a:c571(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::86c:88f4:b07a:c571%17(Bevorzugt)
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 721420288
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1A-A2-71-15-00-25-90-19-59-20
NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.{4C7DB6E6-A5BA-4652-8BB3-9ABDD1D9D2E4}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Ich stehe gerade etwas auf dem Schlauch....
Eingesetzt wird:
Windows Server 2012R2 mit Hyper-V und PFSense latest Patch 2.24 (?)
Hoffe es blickt da jemand durch und ich habe nicht allzu viel wirrwar geschrieben.
Schönen Abend noch ;)
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280908
Url: https://administrator.de/forum/routing-mit-virtueller-hyper-v-pfsense-280908.html
Ausgedruckt am: 13.05.2025 um 09:05 Uhr
14 Kommentare
Neuester Kommentar
Das 10.40er und das 11.33er Netz sidn auf beiden Seiten gleich. Das geht so nicht bei Site to Site VPNs !
Möglich aber das das ein Missinterpretation ist, denn deine Dokumentation der zu routenden Netze ist sehr unübersichtlich und verwirrend.
Du gibst hier ausschliesslich Host IP Adressen an und keine Netze und man weiss überhaupt nicht was lokal und remote ist und wie die Firewalls verschaltet sind.
Besser wäre hier nochmal du postest eine entsprechend korrekte Layer 3 Skizze aus der das eindeutig hervorgeht. Leider ist es genau Wirrwarr den keiner mehr durchblickt
Möglich aber das das ein Missinterpretation ist, denn deine Dokumentation der zu routenden Netze ist sehr unübersichtlich und verwirrend.
Du gibst hier ausschliesslich Host IP Adressen an und keine Netze und man weiss überhaupt nicht was lokal und remote ist und wie die Firewalls verschaltet sind.
Besser wäre hier nochmal du postest eine entsprechend korrekte Layer 3 Skizze aus der das eindeutig hervorgeht. Leider ist es genau Wirrwarr den keiner mehr durchblickt
Hoffe mal die Übersicht ist besser.
Also das 10.40.0.0/24 ist ja lediglich das VPN Netz, sollte dementsprechen bei beiden Geräten gleich sein.
Das 11.22.33.128/27 ist mein /27 WAN Netz aus dem RZ.
Die Windows Firewalls auf beiden Hosts ist vorrübergehend aus.
DIe PFSense leitet soweit auch alles durch (Rule : *.*)
Die Sache ist halt:
Trage ich auf beiden Hostservern, das Gateway vom 10.20.1.1 oder 10.30.1.1 ein bekomme ich von den Hosts auch ne Verbidung auf die 10.20.1.136 (was z.B ein MySQL-Server ist. nehme ich das Gateway aus der Konfig am Host raus, kann ich vom Host nicht mehr auf die VM zugreifen. Von VM zu VM komme ich jedoch. Wenn nun allerdings ein Gateway in der NIC eingetragen ist, nimmt er nicht mehr die "statische" WAN Adresse, die der Host eigentlich hat (11.22.33.130 oder 11.22.33.140), sondern er geht über die 11.22.33.132 / 11.22.33.142 (also die WAN IP der PFSense ins Internet. Weshalb einige Dienste auf den Servern amok laufen und teilweise nicht erreichbar sein.
OK, das macht die Sache klarer....
Frage welches VPN Protokoll nutzt du ??? Die pfSense supportet ja diverse ??
Die Angabe "VPN 10.40.1.x" lässt vermuten das das OpenVPN ist, st das korrekt ?
Hast du dazu das hiesige Tutorial gelesen ?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Du musst dan die Firewall Regeln entsprechend anpassen um auch von extern auf das LAN Segment zugreifen zu können.
Man müsste nur nochmal wissen ob du NAT am "WAN" Port machst oder nicht. Das 11er netz des RZ ist vermutlich kein offiziell zugeteiltes öffentliches IP Netz oder ?
Das 11er Netz gehört offizell dem US department of Defense.:
NetRange 11.0.0.0 - 11.255.255.255
CIDR 11.0.0.0/8
OrgName DoD Network Information Center
OrgId DNIC
Address 3990 E. Broad Street
City Columbus
StateProv OH
PostalCode 43218
Country US
Eine ziemlich dumme Wahl für ein RZ IP Netzwerk...nur mal nebenbei !
Frage welches VPN Protokoll nutzt du ??? Die pfSense supportet ja diverse ??
Die Angabe "VPN 10.40.1.x" lässt vermuten das das OpenVPN ist, st das korrekt ?
Hast du dazu das hiesige Tutorial gelesen ?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
nehme ich das Gateway aus der Konfig am Host raus, kann ich vom Host nicht mehr auf die VM zugreifen
Das ist ja auch klar ! Wenn die VM im 10.20er bzw. auf der anderen seite im 10.30er Segment ist ist es zwingend, das das Gateway auf die pfSense LAN IP zeigt, denn das ist ja der einzige Weg nach "draußen" logisch das hier pfSense und VM immer in einem Host Netzwerk Segment arbeiten was nach außen isoliert ist.Du musst dan die Firewall Regeln entsprechend anpassen um auch von extern auf das LAN Segment zugreifen zu können.
Man müsste nur nochmal wissen ob du NAT am "WAN" Port machst oder nicht. Das 11er netz des RZ ist vermutlich kein offiziell zugeteiltes öffentliches IP Netz oder ?
Das 11er Netz gehört offizell dem US department of Defense.:
NetRange 11.0.0.0 - 11.255.255.255
CIDR 11.0.0.0/8
OrgName DoD Network Information Center
OrgId DNIC
Address 3990 E. Broad Street
City Columbus
StateProv OH
PostalCode 43218
Country US
Eine ziemlich dumme Wahl für ein RZ IP Netzwerk...nur mal nebenbei !
Ich nutze OpenVPN.
Das Tutorial habe ich während der Einrichtung genutzt und es war sehr hilfreich.
Also die Server sind jeweils mit 1x 1 Gigabit am Switch geuplinkt.
An diesem Switch ist mein /27 Netz geroutet. Dieses wurde vom RZ vergeben, die haben es von RIPE.
Es handelt sich nicht um Bereich 11.22.33.X sondern um 79.133.XXX.XXX
Da ich ungerne überall all meine IP-Adressen niederschreibe...
Das heißt die IP-Adressen laufen soweit an den PFSense als virtual IP zusammen und von da aus, verteile ich die dann auf die v-Server. Entweder mit 1:1 forwoard oder Portforwarding.
Das Tutorial habe ich während der Einrichtung genutzt und es war sehr hilfreich.
Also die Server sind jeweils mit 1x 1 Gigabit am Switch geuplinkt.
An diesem Switch ist mein /27 Netz geroutet. Dieses wurde vom RZ vergeben, die haben es von RIPE.
Es handelt sich nicht um Bereich 11.22.33.X sondern um 79.133.XXX.XXX
Da ich ungerne überall all meine IP-Adressen niederschreibe...
Das heißt die IP-Adressen laufen soweit an den PFSense als virtual IP zusammen und von da aus, verteile ich die dann auf die v-Server. Entweder mit 1:1 forwoard oder Portforwarding.
Nur mal kurz nachgefragt: Hyper V kennt diese Unterscheidung in Host, NAT und Bridged Netzwerke intern nicht wie es bei anderen Hypervisoren üblich ist, oder ?
Dort wird lediglich ein vSwitch erzeugt mit entsprechenden VLANs, richtig ?
Nur um jetzt die interne Hyper V Struktur zu verstehen....
Dort wird lediglich ein vSwitch erzeugt mit entsprechenden VLANs, richtig ?
Nur um jetzt die interne Hyper V Struktur zu verstehen....
Im Hyper-V sind folgende v-Switche angelegt:
WAN - 79.133.XXX.132 und .142
Diese Netzwerkkarte ist eine Hardware NIC welche nur an die PFSense VM geht.
LAN - 10.20.XX.1 und 10.30.XX.1
Virtueller Switch auf "Internes Netzwerk"
Es sind keine VLAN's angelegt.
WAN - 79.133.XXX.132 und .142
Diese Netzwerkkarte ist eine Hardware NIC welche nur an die PFSense VM geht.
LAN - 10.20.XX.1 und 10.30.XX.1
Virtueller Switch auf "Internes Netzwerk"
Es sind keine VLAN's angelegt.
Fährst du die 10er Netze dann mit einer 8 Bit Maske ?
Du wirst doch wohl hoffentlich nicht (sofern das 10er gesubnettet ist) mit 2 IP Segmenten auf einem Layer 2 Switch rumpfuschen, oder ?
Die 10er Netze sind alle /24er Netze als Subnetmask kommt also 255.255.255.0 zum Einsatz.
Die 10er sind demncach nicht gesubnettet. und der Switch vom RZ (Juniper Hardware) ist soweit ich weiß ein Layer3...oder war das auf meine V-Switche bezogen
Die 10er sind demncach nicht gesubnettet. und der Switch vom RZ (Juniper Hardware) ist soweit ich weiß ein Layer3...oder war das auf meine V-Switche bezogen
Das war auf deine vSwitches bezogen. Wie das RZ die 11er netze überträgt ist erstmal völlig egal solange sich die WAN Ports der pfSense "sehen".
Vergiss aber die Anmerkung, ich hatte eine "Denkblockade"
die 10.20er und 10.30er Netze sind ja jeweils die gegenüberliegenden lokalen LANs 
Mit WAN - 79.133.XXX.132 und .142 meinst du dann deine oben in der Skizze bezeichneten 11.22.33er IPs, richtig ?
Soweit ist das dann infrastrukturtechnisch ok:
Wo ist jetzt genau das Problem ?
Vergiss aber die Anmerkung, ich hatte eine "Denkblockade"
die 10.20er und 10.30er Netze sind ja jeweils die gegenüberliegenden lokalen LANs Mit WAN - 79.133.XXX.132 und .142 meinst du dann deine oben in der Skizze bezeichneten 11.22.33er IPs, richtig ?
Soweit ist das dann infrastrukturtechnisch ok:
- WAN Switch hält ausschliesslich den WAN Port der pfSense und geht auf das RZ Netz
- LAN Switch hält intern den LAN Port der pfSense und die jeweils lokale VM
Wo ist jetzt genau das Problem ?
Genau richtig mit den IP's und der Skizze ;)
Das Problem:
Die Hosts haben jeweils "WAN - 79.133.XX.130" und 79.133.XX.140" als Public IP und als Gateway 79.133.xx.129
Da ich von den Hosts allerdings auf die VM's zugreifen muss/will haben ich jeweile eine vNIC mit 10.20.1.130 und 10.30.1.140 sowie jeweile mit der .1 als Gateway.
Wenn ich nun DIenste wie TeamSpeak, FTP, Webserver etc laufen lasse, lauschen diese Dienste standmäßig auf die 10.20.1.130 oder 10.30.1.140
Außerdem laufen die Downloads vom Host über die ganzen vSwitche durch die PFSense...suboptimal da die Geschwindikeit einbricht.
Wenn ich vom Host aus auf "www.wieistmeineip.de" gehe sehe ich die 79.133.XX.142 statt der 79.133.58.140, was für mich auch ein Problem bei der Traffic auswertung ist.
Ich habe da was von Policy based Routing gehört weiß aber nicht ob man das hier einsetzten kann.
Das Problem:
Die Hosts haben jeweils "WAN - 79.133.XX.130" und 79.133.XX.140" als Public IP und als Gateway 79.133.xx.129
Da ich von den Hosts allerdings auf die VM's zugreifen muss/will haben ich jeweile eine vNIC mit 10.20.1.130 und 10.30.1.140 sowie jeweile mit der .1 als Gateway.
Wenn ich nun DIenste wie TeamSpeak, FTP, Webserver etc laufen lasse, lauschen diese Dienste standmäßig auf die 10.20.1.130 oder 10.30.1.140
Außerdem laufen die Downloads vom Host über die ganzen vSwitche durch die PFSense...suboptimal da die Geschwindikeit einbricht.
Wenn ich vom Host aus auf "www.wieistmeineip.de" gehe sehe ich die 79.133.XX.142 statt der 79.133.58.140, was für mich auch ein Problem bei der Traffic auswertung ist.
Ich habe da was von Policy based Routing gehört weiß aber nicht ob man das hier einsetzten kann.
Die Hosts haben jeweils "WAN - 79.133.XX.130" und 79.133.XX.140" als Public IP und als Gateway 79.133.xx.129
Damit meinst du die Hypervisors selber, oder ? Die VMs sind ja in den 10er Lokalnetzen !auf die VM's zugreifen muss/will haben ich jeweile eine vNIC mit 10.20.1.130 und 10.30.1.140 sowie jeweile mit der .1 als Gateway.
Warum ? Warum machst du das nicht über die pfSense entweder mit Port Forwarding (unsicher) oder per VPN. Das wäre doch viel sinnvoller.Wenn ich nun DIenste wie TeamSpeak, FTP, Webserver etc laufen lasse,
WO laufen diese ? Auf den Hypervisor Host selber oder den VMs ?Außerdem laufen die Downloads vom Host über die ganzen vSwitche durch die PFSense...suboptimal da die Geschwindikeit einbricht.
Richtig, das wäre auch bei PFW und VPN so hängt aber letlich von der Provider Bandbreite ab und der Performance des HyperV Servers...nicht vom Throughput der Firewall denn die ist virtuell und damit nicht Speed gesteuert.Wenn ich vom Host aus auf "www.wieistmeineip.de" gehe sehe ich die 79.133.XX.142 statt der 79.133.58.140,
Was sind das denn für Adapter ? Sind das weitere NICs in der Hypervisor Maschine oder sind das die IP Adressen der pfSense ?Ich habe da was von Policy based Routing gehört weiß aber nicht ob man das hier einsetzten kann.
Ja, wäre eine Lösung allerdings ist Winblows hier das Problem da dort nur kein bis sehr rudimentärer Support vorhanden ist Der Ansatz ist aber richtig.
Ja damit meine ich die Hypervisors.
Da die VM's im 10.XX Netz sind können Sie untereinander kommunizieren.
Vom Hypervisor zur PFSense ein VPN...interesant aber ich denke etwas op.
In wie fern meinst du Portforwarding?
Aktuell greife ich auf die VM mittles der WAN IP zu.
TeamSpeak Server etc. laufen in einer VM. Da ich dort gerne diverse Ordner backupe, müsste ich über die interne IP (10.XX) vom Hyper-V auf die VM.
Auf dem Host an sich läuft dann nur Hyper-V, xCopy Datensicherung und 2 Gameserver.
Nun ja gehe ich vom Hyper-V über die PFSense und dann erst ins RZ, dann sind da ein paar mehr Hops als wenn ich direkt via WAN NIC#1 gehen würde...
2-Anschluss-Gigabit-Netzwerkverbindung Intel(R) 82576 #1-#4 (Host 02)
Intel(R) I350 Gigabit Network Connection #1 & #2 (Host 01)
Bei Host 02 läuft über NIC#01 das WAN des Hosts, über NIC#02 der ganze Hyper-V kram.
Bei Host 01 hingegen läuft WAN über NIC#01 und auch Hyper-V über "gemeinsam genutzte Internetverbidung" da für die NIC#02 keine Ports am Switch mehr freiwaren.
Da die VM's im 10.XX Netz sind können Sie untereinander kommunizieren.
Vom Hypervisor zur PFSense ein VPN...interesant aber ich denke etwas op.
In wie fern meinst du Portforwarding?
Aktuell greife ich auf die VM mittles der WAN IP zu.
TeamSpeak Server etc. laufen in einer VM. Da ich dort gerne diverse Ordner backupe, müsste ich über die interne IP (10.XX) vom Hyper-V auf die VM.
Auf dem Host an sich läuft dann nur Hyper-V, xCopy Datensicherung und 2 Gameserver.
Nun ja gehe ich vom Hyper-V über die PFSense und dann erst ins RZ, dann sind da ein paar mehr Hops als wenn ich direkt via WAN NIC#1 gehen würde...
2-Anschluss-Gigabit-Netzwerkverbindung Intel(R) 82576 #1-#4 (Host 02)
Intel(R) I350 Gigabit Network Connection #1 & #2 (Host 01)
Bei Host 02 läuft über NIC#01 das WAN des Hosts, über NIC#02 der ganze Hyper-V kram.
Bei Host 01 hingegen läuft WAN über NIC#01 und auch Hyper-V über "gemeinsam genutzte Internetverbidung" da für die NIC#02 keine Ports am Switch mehr freiwaren.
OK, aber da hast du dann keine Chance. Du kannst das nur mit dedizierten statischen Routen zu den einzelnen Zielnetzen lösen oder mit PBR und dann Anwendungsbezogen.
Letzeres supportet aber MS nicht. Das erfordert einen externen Router der das kann.
In der Zwickmühle steckst du.
Letzeres supportet aber MS nicht. Das erfordert einen externen Router der das kann.
In der Zwickmühle steckst du.
Na des ist ja irgendwie etwas unglücklich....
Würde eine Verbidnugn von Hyper-V 01 (NIC#02) auf Hyper-V (NIC#03) da abhilfe schaffen können?
Wohl kaum also werde ich erstmal über die externen IP-Adressen weiterarbeiten und demnächst mal nen VPN aufbauen :/
Danke dir viel mals
Würde eine Verbidnugn von Hyper-V 01 (NIC#02) auf Hyper-V (NIC#03) da abhilfe schaffen können?
Wohl kaum also werde ich erstmal über die externen IP-Adressen weiterarbeiten und demnächst mal nen VPN aufbauen :/
Danke dir viel mals
