Subnet routing pfSense
Hallo Zusammen,
heute muss ich mich mal mit einem Problem an Euch wenden, das:
a) Bestimmt schon diskutiert/erklärt wurde
b) Ich über die Suche aber leider keine Lösung gefunden habe
Auf meiner pfSense - 2.1.4-RELEASE (i386) sind folgende Netze eingerichtet:
ALPHA - 10.0.0.0/24 (vr0)
BRAVO - 10.0.0.1/24 (vr2)
Folgendes funktioniert:
PING Client ALPHA (10.0.0.2) -> Client ALPHA (10.0.0.4)
PING Client BRAVO (10.0.1.2) -> Client ALPHA (10.0.0.2)
PING Client ALPHA (10.0.0.2) -> Client BRAVO (10.0.1.2)
Was nicht funktioniert und wobei ich nun Unterstützung benötige, ist ein:
PING Client BRAVO(10.0.1.2) -> Client ALPHA (10.0.0.4)
In den Firewallrules sind keine Beschränkungen auf Clients eingetragen. Folgerichtig erhalten ich auch bei einem Zugriff von 10.0.1.2 auf 10.0.0.4 keinen Logeintrag in der Firewall.
Offensichtlich scheint also das Routing zu funktionieren.
Hat vielleicht jemand eine Idee, warum nur der PING von 10.0.1.2 auf 10.0.0.4 verloren geht und wo ich anfangen zu suchen soll ?
Danke + viele Grüße,
Andreas
heute muss ich mich mal mit einem Problem an Euch wenden, das:
a) Bestimmt schon diskutiert/erklärt wurde
b) Ich über die Suche aber leider keine Lösung gefunden habe
Auf meiner pfSense - 2.1.4-RELEASE (i386) sind folgende Netze eingerichtet:
ALPHA - 10.0.0.0/24 (vr0)
BRAVO - 10.0.0.1/24 (vr2)
Folgendes funktioniert:
PING Client ALPHA (10.0.0.2) -> Client ALPHA (10.0.0.4)
PING Client BRAVO (10.0.1.2) -> Client ALPHA (10.0.0.2)
PING Client ALPHA (10.0.0.2) -> Client BRAVO (10.0.1.2)
Was nicht funktioniert und wobei ich nun Unterstützung benötige, ist ein:
PING Client BRAVO(10.0.1.2) -> Client ALPHA (10.0.0.4)
In den Firewallrules sind keine Beschränkungen auf Clients eingetragen. Folgerichtig erhalten ich auch bei einem Zugriff von 10.0.1.2 auf 10.0.0.4 keinen Logeintrag in der Firewall.
Offensichtlich scheint also das Routing zu funktionieren.
Hat vielleicht jemand eine Idee, warum nur der PING von 10.0.1.2 auf 10.0.0.4 verloren geht und wo ich anfangen zu suchen soll ?
Danke + viele Grüße,
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245600
Url: https://administrator.de/contentid/245600
Ausgedruckt am: 08.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Auf meiner pfSense - 2.1.4-RELEASE (i386) sind folgende Netze eingerichtet:
ALPHA - 10.0.0.0/24 (vr0)
BRAVO - 10.0.0.1/24 (vr2)
BRAVO - 10.0.0.1/24 (vr2)
Da ist in sich schon ein Fehler !!!
Das sind keine 2 Netze sondern nur ein einziges , nämlich das Netzwerk 10.0.0.0 mit einer 24 Bit Maske !
Ist das nur ein Tippfehler hier im Thread oder hast du das wirklich so falsch eingerichtet ?? Mal abgesehen davon das du an vr0 ein Netzwerk angegeben hast und an vr2 eine Hostadresse was ebenso falsch ist aber an der Tatsache der fehlenden 2 IP Netze auch nichts ändert ?!
Normal kann man die pfSense auch gar nicht so mit 2 Adaptern im gleichen Netz einrichten, denn das meckert sie logischerweise gleich an weil falsch ! Einzige Ausnahme: du konfigurierst ein Bridging zwischen vr0 und vr2 was du aber ja nicht hast.
Interpretiert man deine Ping Versuche und die Angaben dort müsste es eigentlich so sein:
vr0 IP: 10.0.0.1, Maske: 255.255.255.0, Netzwerk: 10.0.0.0 /24
vr2 IP: 10.0.1.1, Maske: 255.255.255.0, Netzwerk: 10.0.1.0 /24
Ist dem so ??
Wenn das stimmt und immer noch
Was nicht funktioniert:
PING Client BRAVO(10.0.1.2) -> Client ALPHA (10.0.0.4)
gilt dann hat einer dieser Clients KEIN Gateway konfiguriert auf die pfSense IP in seinem jeweiligen IP Netz oder...PING Client BRAVO(10.0.1.2) -> Client ALPHA (10.0.0.4)
da ein Ping aus einem fremden Netz kommt blockiert den die lokale Firewall auf einem dieser Clients !!
Letzteres wahrscheinlicher....?!
Klar, das sonst da dann eine Wegefindung (Routing) und somit auch Ping und alles andere fehlschlagen muss wenn die erste Angabe oben stimmen sollte mit einem geminsamen 10.0.0.0er Netz auf den Ports vr0 UND vr2 ?!
Hallo Andreas !
OK, check aber sicherheitshalber auch nochmal auf der pfSense Adressierung das du da auch nicht denselben Tippfehler begangen hast, das wäre dann fatal
Mit dem Stromausfall ist schon komisch.... Normal übersteht die FW sowas klaglos und geht auch nicht kaputt oder sowas. Ist ja nix anderes als wie ein normales Computer Mainborad und die sterben ja auch nicht wenn nur mal der Strom weggeht. Es sei denn das ist ein Blitzschlag oder sowas da siehts dann natürlich anders aus, klar
Da sie ja einen nicht flüchtigen Flash Speicher hat kommt sie immer wieder sauber hoch. Ein sauberer Kaltstart sollte sie also immer wieder auf die Füsse bringen OHNE ein Neuflashen der CF Karte ?!
Auch "Ich hatte die Interfaces und Subnetze danach wieder neu konfiguriert..." ist natürlich NICHT nötig, denn du solltest immer eine Sicherung der Konfig von der Box ziehen !!!
Das macht man im Menüpunkt "Diagnostics" und dann "Backup/Restore" !
Dann kannst du in einem solchen Fall des Neuflashens ganz einfach immer nur die Sicherungsdatei einspielen et voila so ist das Ding dann in 10 Sekunden neu konfiguriert.
OK, wenn ein Ping von allen Clients am 10.0.1.0/24 auf die 10.0.0.2 im Alpha Netz (10.0.0.0/24) funktioniert wird ICMP (Ping) ja generell sauber durch die pfSense geroutet wie es auch zu erwarten ist sofern keine Blocking Regeln auf den vr0 und vr2 Interfaces der FW definiert sind !
Das 10.0.0.4 nicht pingbar ist liegt dann zu 98% auch an diesem Client selber !
Starke Vermutung: Dort ist KEIN oder ein falsches Gateway eingetragen ?!!
Checke also den 10.0.0.4er Client ob dort ein Gateway eingetragen ist das Gateway dort MUSS die pfSense IP sen 10.0.0.1 ! Oder ein Router der eine Router auf das Netzwerk 10.0.1.0/24 eingetragen hat mit der pfSense IP als Next Hop Gateway !
Mache mal einen Traceroute oder Pathping zur 10.0.0.4 um zu sehen wo es stockt.
Mit
OK, check aber sicherheitshalber auch nochmal auf der pfSense Adressierung das du da auch nicht denselben Tippfehler begangen hast, das wäre dann fatal
Mit dem Stromausfall ist schon komisch.... Normal übersteht die FW sowas klaglos und geht auch nicht kaputt oder sowas. Ist ja nix anderes als wie ein normales Computer Mainborad und die sterben ja auch nicht wenn nur mal der Strom weggeht. Es sei denn das ist ein Blitzschlag oder sowas da siehts dann natürlich anders aus, klar
Da sie ja einen nicht flüchtigen Flash Speicher hat kommt sie immer wieder sauber hoch. Ein sauberer Kaltstart sollte sie also immer wieder auf die Füsse bringen OHNE ein Neuflashen der CF Karte ?!
Auch "Ich hatte die Interfaces und Subnetze danach wieder neu konfiguriert..." ist natürlich NICHT nötig, denn du solltest immer eine Sicherung der Konfig von der Box ziehen !!!
Das macht man im Menüpunkt "Diagnostics" und dann "Backup/Restore" !
Dann kannst du in einem solchen Fall des Neuflashens ganz einfach immer nur die Sicherungsdatei einspielen et voila so ist das Ding dann in 10 Sekunden neu konfiguriert.
OK, wenn ein Ping von allen Clients am 10.0.1.0/24 auf die 10.0.0.2 im Alpha Netz (10.0.0.0/24) funktioniert wird ICMP (Ping) ja generell sauber durch die pfSense geroutet wie es auch zu erwarten ist sofern keine Blocking Regeln auf den vr0 und vr2 Interfaces der FW definiert sind !
Das 10.0.0.4 nicht pingbar ist liegt dann zu 98% auch an diesem Client selber !
Starke Vermutung: Dort ist KEIN oder ein falsches Gateway eingetragen ?!!
Checke also den 10.0.0.4er Client ob dort ein Gateway eingetragen ist das Gateway dort MUSS die pfSense IP sen 10.0.0.1 ! Oder ein Router der eine Router auf das Netzwerk 10.0.1.0/24 eingetragen hat mit der pfSense IP als Next Hop Gateway !
Mache mal einen Traceroute oder Pathping zur 10.0.0.4 um zu sehen wo es stockt.
Mit