[static route] lan -> pfsense -> lan2

vrijdag 2 september 2011 16:02

Acties:

0 Henk 'm!

Cybex

Topicstarter

Allereerst de huidige configuratie:

client pc

ip 192.168.1.10 /24 en gateway 192.168.1.1

pfSense

lan 1: 192.168.1.1 /24
lan 2: 10.0.0.1 /24
wan: 212.x.x.x
default gw => wan (212.x.x.1)

Vanaf de client PC wil ik kunnen pingen naar lan 2, daarom probeer ik een static route in te stellen in pfSense: 10.0.0.0 / 24 met een gateway die op het lan 2 netwerk zit. Vanaf pfSense kan ik wel pingen naar 10.0.0.10 (voorbeeld IP), maar vanaf de client lukt met dit met geen mogelijkheid.

Heeft iemand tips / suggesties?

vrijdag 2 september 2011 16:13

Acties:

0 Henk 'm!

kokkel

Dit heeft na mijn weten niets te maken met pfsense want pfsens is een firewall applicatie.
Wat jij zoekt is ip routing link dan kun je van segment naar segment pingen.

vrijdag 2 september 2011 16:15

Acties:

0 Henk 'm!

Cybex

Topicstarter

In pfSense kan je de routering aanmaken, vandaar mijn vraag.

vrijdag 2 september 2011 16:16

Acties:

0 Henk 'm!

kokkel

Cybex schreef op vrijdag 02 september 2011 @ 16:15:
In pfSense kan je de routering aanmaken, vandaar mijn vraag.

Maar voordat om te werken moet je wel door de kernel de ip routing aan hebben.

vrijdag 2 september 2011 16:27

Acties:

0 Henk 'm!

Nijn

pfsense kan worden geïnstalleerd als volledig pakket met routing, firewall, dns, dhcp, enz. enz.

vrijdag 2 september 2011 16:29

Acties:

0 Henk 'm!

Cybex

Topicstarter

Klopt en routing staat aan, maar het werk niet. Nog meer suggesties?

vrijdag 2 september 2011 17:46

Acties:

0 Henk 'm!

Zer0

Destroy 2000 Years Of Culture

Het is niet nodig routings aan te maken om verkeer tussen twee netwerken aan een pfsense router mogelijk te maken. Het is echter wel nodig de firewall-regels aan te passen zodat het verkeer doorgelaten wordt.

maybe we sit down and talk about the revolution and stuff
but it doesn't work like that
you can't turn back now there's no way back
you feel the power to destroy your enemy..

vrijdag 2 september 2011 17:48

Acties:

0 Henk 'm!

Cybex

Topicstarter

Met de firewall regels ben ik ook al even bezig geweest, want ik had elders ook gehoord dat het niet nodig was om routing aan te maken. Maar ik heb zo'n beetje alles op allow gezet, toch krijg ik het met geen mogelijkheid aan het werk. Tips waar ik specifiek op moet letten?

vrijdag 2 september 2011 18:05

Acties:

0 Henk 'm!

Joolee

Waar is lan 2 op aangesloten? Is dit een andere gateway in het 192 netwerk of is dit rechtstreeks op de pfsense? Als dit rechtstreeks op de pfsense is dan zou je inderdaad niet meer configuratie nodig moeten hebben. Sterker nog, je moet regels aanmaken als je de 2 lan verbindingen zou willen scheiden.

voer eens ping en tracert uit op je client. Dan kun je mbv tracert zien waar het mis gaat. Tijdens het pingen kun je in de pfsense in het firewall logboek kijken wat er mis gaat.

vrijdag 2 september 2011 18:58

Acties:

0 Henk 'm!

Cybex

Topicstarter

In feite zitten er 3 netwerkkaarten in de pfSense server. Elke interface heeft een eigen IP in zijn eigen range.

Een traceroute ziet er als volgt uit:

code:

Johns-MacBook-Pro:~ john$ traceroute 10.50.0.1
traceroute to 10.50.0.1 (10.50.0.1), 64 hops max, 52 byte packets
 1  router.domain.com (192.168.1.1)  0.953 ms  0.752 ms  0.668 ms
 2  * *

Het IP adres hierboven is het echte IP adres, wat ik in de startpost heb gebruikt is een fictief adres om het niet te ingewikkeld te maken

Er wordt in elk geval niets doorgestuurd naar 10.x.x.x

vrijdag 2 september 2011 20:18

Acties:

0 Henk 'm!

dutch_warrior

Heb je wel block private networks uitgevinkt voor de lan interfaces?
Interfaces > lan > onderaan de pagina kan je dit uitzetten.
Dit heeft mij wel eens onnodig veel tijd gekost

, volgens mij hoort dit in jouw situatie niet aan te staan maar check het even.

[ Voor 33% gewijzigd door dutch_warrior op 02-09-2011 20:18 ]

vrijdag 2 september 2011 20:18

Acties:

0 Henk 'm!

Cybex

Topicstarter

Staat standaard uit, dat is het helaas niet...

vrijdag 2 september 2011 20:23

Acties:

0 Henk 'm!

dutch_warrior

Hmm dan is het wel raar, bij mij werkte pf-sense altijd prima met 3 lan's en 1 wan.
Welke versie draai je eigenlijk, kan je misschien iets meer info geven over de topologie?
- Beide lans kunnen het internet op?
- Kan 10.0.0.0 wel 192.168.1.1 pingen?

Static routes hoef je normaal niet in te stellen, pf-sense hoort op de hoogte te zijn van de netwerken welke direct aangesloten zijn op een interface.
Als ik je tracert zie lijkt dat echter niet zo te zijn, het lijkt alsof pf-sense het verkeer ontvangt op 192.168.1.1 en dan naar de wan wil sturen wat dus niet kan en dus resulteert in een drop.

vrijdag 2 september 2011 20:37

Acties:

0 Henk 'm!

Cybex

Topicstarter

Hier een schematische weergave van het netwerk: http://freepic.nl/img=ba841076b2

Het doel is om van 192.168.1.x naar internet te gaan (WAN), maar alleen 10.50.0.x moet rechtstreeks naar de andere netwerkkaart. Op dit moment kan ik niet checken of 10.50.0.x wel kan pingen naar 192.168.1.1, maar ik vermoed dat ook dit niet lukt. Ik ben het met jou eens wat betreft de default route (WAN), waarschijnlijk probeert pfSense 10.50.0.x via de default GW te benaderen wat natuurlijk niet mogelijk is.

EDIT: Bij Firewall Rules staan geen rules bij 10.50.0.x, helemaal niets. Als ik alles op allow zet maakt dat overigens geen verschil.

EDIT2: Het gaat overigens om pfSense 2.0 RC3

[ Voor 15% gewijzigd door Cybex op 02-09-2011 20:43 ]

vrijdag 2 september 2011 20:49

Acties:

0 Henk 'm!

dutch_warrior

Staan de juiste netwerken in de lijst onder diagnostics > routes?
Bij mij staat daar mijn wan blok, mijn wan ip mijn lan blok en het lan interface ip.
Ook staan de ip's voor mijn openvpn segment hierbij en ik kan vanuit de openvpn range het lan netwerk prima bereiken, dit komt overeen met jouw gewenste situatie.

Ik heb meerdere werkende multi lan configuraties gehad met Pf-Sense 2.0 beta en rc, met de eerdere versies heb ik het nooit geprobeerd.

Edit:
Voor de 2e range moeten wel degelijk rules aanwezig zijn zoals je zelf al aangeeft.
In mijn test vm (pf-sense 2.0 RC2) werkt het prima met een allow any any op lan en opt.

[ Voor 16% gewijzigd door dutch_warrior op 02-09-2011 20:53 ]

vrijdag 2 september 2011 21:01

Acties:

0 Henk 'm!

Wolly

Wat ik weleens doe als het niet werkt is in de firewall voor beide interfaces alles op block te zetten met logging enabled. Dan zie je in de System Logs -> Firewall vanzelf wat er voor verkeer doorheen wilt.

Hou je er wel rekening mee dat ping het udp protocol gebruikt?

Gebruik je DHCP? Heb je een gateway ip ingevuld bij DHCP en zoja, is dit wel de juiste voor die interface?

[ Voor 16% gewijzigd door Wolly op 02-09-2011 21:02 ]

vrijdag 2 september 2011 22:02

Acties:

0 Henk 'm!

ChaserBoZ_

Volgens de pfsense site;

'Option to log or not log traffic matching each rule'

Kijk eens wat je daar mee kunt achterhalen

'Maar het heeft altijd zo gewerkt . . . . . . '

vrijdag 2 september 2011 22:18

Acties:

0 Henk 'm!

Cybex

Topicstarter

Voor zover ik nu kan zien heb ik toch echt alles goed ingesteld. Ik heb zojuist nog even Smoothwall geinstalleerd (helemaal clean) en ook die routeert niets (en pingt wel alle netwerken vanaf de smoothwall server). Zo langzamerhand heb ik het idee dat ik iets simpels over het hoofd zie.

Even slapen, morgen weer opnieuw proberen. Bedankt voor alle tips / suggesties tot zover!!!

maandag 5 september 2011 18:27

Acties:

0 Henk 'm!

Cybex

Topicstarter

Update: Het werkt nu! Er was geen route terug van het 10.50.0.x adres en dat was het issue. Dutch_warrior heeft me hier via PM mee geholpen en attent op gemaakt.

Onderwerpen