Toon posts:

[static route] lan -> pfsense -> lan2

Pagina: 1
Acties:

Onderwerpen

Allereerst de huidige configuratie:

client pc
  • ip 192.168.1.10 /24 en gateway 192.168.1.1
pfSense
  • lan 1: 192.168.1.1 /24
  • lan 2: 10.0.0.1 /24
  • wan: 212.x.x.x
  • default gw => wan (212.x.x.1)
Vanaf de client PC wil ik kunnen pingen naar lan 2, daarom probeer ik een static route in te stellen in pfSense: 10.0.0.0 / 24 met een gateway die op het lan 2 netwerk zit. Vanaf pfSense kan ik wel pingen naar 10.0.0.10 (voorbeeld IP), maar vanaf de client lukt met dit met geen mogelijkheid.

Heeft iemand tips / suggesties?

  • kokkel
  • Registratie: September 2000
  • Laatst online: 22:26
Dit heeft na mijn weten niets te maken met pfsense want pfsens is een firewall applicatie.
Wat jij zoekt is ip routing link dan kun je van segment naar segment pingen.
In pfSense kan je de routering aanmaken, vandaar mijn vraag.

  • kokkel
  • Registratie: September 2000
  • Laatst online: 22:26
Cybex schreef op vrijdag 02 september 2011 @ 16:15:
In pfSense kan je de routering aanmaken, vandaar mijn vraag.
Maar voordat om te werken moet je wel door de kernel de ip routing aan hebben.

  • Nijn
  • Registratie: Januari 2005
  • Laatst online: 22:03
pfsense kan worden geïnstalleerd als volledig pakket met routing, firewall, dns, dhcp, enz. enz.
Klopt en routing staat aan, maar het werk niet. Nog meer suggesties?

  • Zer0
  • Registratie: September 1999
  • Niet online

Zer0

Destroy 2000 Years Of Culture

Het is niet nodig routings aan te maken om verkeer tussen twee netwerken aan een pfsense router mogelijk te maken. Het is echter wel nodig de firewall-regels aan te passen zodat het verkeer doorgelaten wordt.

maybe we sit down and talk about the revolution and stuff
but it doesn't work like that
you can't turn back now there's no way back
you feel the power to destroy your enemy..

Met de firewall regels ben ik ook al even bezig geweest, want ik had elders ook gehoord dat het niet nodig was om routing aan te maken. Maar ik heb zo'n beetje alles op allow gezet, toch krijg ik het met geen mogelijkheid aan het werk. Tips waar ik specifiek op moet letten?

  • Joolee
  • Registratie: Juni 2005
  • Laatst online: 21:55
Waar is lan 2 op aangesloten? Is dit een andere gateway in het 192 netwerk of is dit rechtstreeks op de pfsense? Als dit rechtstreeks op de pfsense is dan zou je inderdaad niet meer configuratie nodig moeten hebben. Sterker nog, je moet regels aanmaken als je de 2 lan verbindingen zou willen scheiden.

voer eens ping en tracert uit op je client. Dan kun je mbv tracert zien waar het mis gaat. Tijdens het pingen kun je in de pfsense in het firewall logboek kijken wat er mis gaat.
In feite zitten er 3 netwerkkaarten in de pfSense server. Elke interface heeft een eigen IP in zijn eigen range.

Een traceroute ziet er als volgt uit:

code:
1
2
3
4
Johns-MacBook-Pro:~ john$ traceroute 10.50.0.1
traceroute to 10.50.0.1 (10.50.0.1), 64 hops max, 52 byte packets
 1  router.domain.com (192.168.1.1)  0.953 ms  0.752 ms  0.668 ms
 2  * *


Het IP adres hierboven is het echte IP adres, wat ik in de startpost heb gebruikt is een fictief adres om het niet te ingewikkeld te maken :) Er wordt in elk geval niets doorgestuurd naar 10.x.x.x :(

  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 10-02 13:44
Heb je wel block private networks uitgevinkt voor de lan interfaces?
Interfaces > lan > onderaan de pagina kan je dit uitzetten.
Dit heeft mij wel eens onnodig veel tijd gekost :), volgens mij hoort dit in jouw situatie niet aan te staan maar check het even.

[Voor 33% gewijzigd door dutch_warrior op 02-09-2011 20:18]

Staat standaard uit, dat is het helaas niet...

  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 10-02 13:44
Hmm dan is het wel raar, bij mij werkte pf-sense altijd prima met 3 lan's en 1 wan.
Welke versie draai je eigenlijk, kan je misschien iets meer info geven over de topologie?
- Beide lans kunnen het internet op?
- Kan 10.0.0.0 wel 192.168.1.1 pingen?

Static routes hoef je normaal niet in te stellen, pf-sense hoort op de hoogte te zijn van de netwerken welke direct aangesloten zijn op een interface.
Als ik je tracert zie lijkt dat echter niet zo te zijn, het lijkt alsof pf-sense het verkeer ontvangt op 192.168.1.1 en dan naar de wan wil sturen wat dus niet kan en dus resulteert in een drop.
Hier een schematische weergave van het netwerk: http://freepic.nl/img=ba841076b2

Het doel is om van 192.168.1.x naar internet te gaan (WAN), maar alleen 10.50.0.x moet rechtstreeks naar de andere netwerkkaart. Op dit moment kan ik niet checken of 10.50.0.x wel kan pingen naar 192.168.1.1, maar ik vermoed dat ook dit niet lukt. Ik ben het met jou eens wat betreft de default route (WAN), waarschijnlijk probeert pfSense 10.50.0.x via de default GW te benaderen wat natuurlijk niet mogelijk is.

EDIT: Bij Firewall Rules staan geen rules bij 10.50.0.x, helemaal niets. Als ik alles op allow zet maakt dat overigens geen verschil.

EDIT2: Het gaat overigens om pfSense 2.0 RC3

[Voor 15% gewijzigd door Cybex op 02-09-2011 20:43]


  • dutch_warrior
  • Registratie: Mei 2005
  • Laatst online: 10-02 13:44
Staan de juiste netwerken in de lijst onder diagnostics > routes?
Bij mij staat daar mijn wan blok, mijn wan ip mijn lan blok en het lan interface ip.
Ook staan de ip's voor mijn openvpn segment hierbij en ik kan vanuit de openvpn range het lan netwerk prima bereiken, dit komt overeen met jouw gewenste situatie.

Ik heb meerdere werkende multi lan configuraties gehad met Pf-Sense 2.0 beta en rc, met de eerdere versies heb ik het nooit geprobeerd.

Edit:
Voor de 2e range moeten wel degelijk rules aanwezig zijn zoals je zelf al aangeeft.
In mijn test vm (pf-sense 2.0 RC2) werkt het prima met een allow any any op lan en opt.

[Voor 16% gewijzigd door dutch_warrior op 02-09-2011 20:53]


  • Wolly
  • Registratie: Januari 2001
  • Niet online
Wat ik weleens doe als het niet werkt is in de firewall voor beide interfaces alles op block te zetten met logging enabled. Dan zie je in de System Logs -> Firewall vanzelf wat er voor verkeer doorheen wilt.

Hou je er wel rekening mee dat ping het udp protocol gebruikt?

Gebruik je DHCP? Heb je een gateway ip ingevuld bij DHCP en zoja, is dit wel de juiste voor die interface?

[Voor 16% gewijzigd door Wolly op 02-09-2011 21:02]


  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 11-11-2021
Volgens de pfsense site;

'Option to log or not log traffic matching each rule'

Kijk eens wat je daar mee kunt achterhalen :)

'Maar het heeft altijd zo gewerkt . . . . . . '

Voor zover ik nu kan zien heb ik toch echt alles goed ingesteld. Ik heb zojuist nog even Smoothwall geinstalleerd (helemaal clean) en ook die routeert niets (en pingt wel alle netwerken vanaf de smoothwall server). Zo langzamerhand heb ik het idee dat ik iets simpels over het hoofd zie.

Even slapen, morgen weer opnieuw proberen. Bedankt voor alle tips / suggesties tot zover!!!
Update: Het werkt nu! Er was geen route terug van het 10.50.0.x adres en dat was het issue. Dutch_warrior heeft me hier via PM mee geholpen en attent op gemaakt.
Pagina: 1



Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee