pfSense routeer bepaald verkeer door andere gateway - Netwerken

vrijdag 1 mei 2015 14:36

Acties:

Topicstarter

Op dit moment zit ik met een probleem waar ik maar niet uit kom, zelfs niet na verschillende zoekacties op Google.

De situatie zit als volgt:

Gebouw A	Gebouw B
VLAN100 VLAN10 (10.1.10.x)	VLAN10 VLAN11 t/m VLAN15 (10.2.11 t/m 15.x)

Tussen gebouw A en gebouw B ligt tussen VLAN10 een IPSec verbinding, deze werkt verder goed.

Nu wil ik graag dat ik vanuit gebouw A VLAN100 via VLAN10 naar gebouw B via VLAN 10 naar de overige VLAN's kan.
Nu heb ik het dus al een regel op het VLAN100 gezet met het volgende:

Source VLAN100 - Destination network 10.2.11.x - Gateway 10.1.10.1

Dit levert helaas geen gewenst resultaat op, volgens tracert 10.2.11.1 ga ik dan nog steeds vanuit 10.1.100.1 rechtstreeks naar buiten (ISP) i.p.v. eerst nog naar 10.1.10.1...

Zie ik iets compleet over het hoofd? Snap ik iets niet helemaal?

Ik ben even het spoor bijster namelijk.

Steam: GAITii | PSN: GAITii | 3DS FC: 0361-7487-5231

vrijdag 1 mei 2015 14:41

Acties:

_-= Erikje =-_

je zit nu iig in 2 verschillende OSI lagen te denken, IPSec is laag 3 dus op ip/subnet. Wat jij wil is iets als op policy based routing verkeer naar de andere kant transporteren en daar het internet op?

vrijdag 1 mei 2015 15:00

Acties:

Paul

Je tekening is wat onduidelijk, ik neem aan dat VLAN 10 je koppel-VLAN is tussen de routers, en dat je er ipv een directe verbinding een IPSEC-tunnel over hebt opgezet?

VLAN 100 leeft dus in A en heeft als gateway in dat subnet router A, en VLAN 11 t/m 15 leven in gebouw B en hebben als gateway in die subnetten router B?

In dat geval vertel je tegen IPSEC op A welke subnetten je aan de andere kant van de tunnel hebt (remote subnets in Phase 2, 10.2.11.x t/m 10.2.15.x) en tegen de IPSEC op B vertel je welke subnetten hij aan de andere kant heeft (10.1.100.x).

Vervolgens maak je op A 5 static routes aan (10.2.[11..15].0/24 -> IP-adres van router B op de tunnel) en op B maak je de static route 10.1.100.0/24 -> IP-adres van router A op de tunnel.

Je kunt eventueel nog je routes consolideren (10.2.11.0/24 en 10.2.12.0/22) als dat nodig is, maar als dat niet hoeft kan ik me indenken dat 5x /24 voor sommige mensen beter te begrijpen is

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 1 mei 2015 15:38

Acties:

GAITii

Topicstarter

Paul schreef op vrijdag 01 mei 2015 @ 15:00:
Je tekening is wat onduidelijk, ik neem aan dat VLAN 10 je koppel-VLAN is tussen de routers, en dat je er ipv een directe verbinding een IPSEC-tunnel over hebt opgezet?

VLAN 100 leeft dus in A en heeft als gateway in dat subnet router A, en VLAN 11 t/m 15 leven in gebouw B en hebben als gateway in die subnetten router B?

In dat geval vertel je tegen IPSEC op A welke subnetten je aan de andere kant van de tunnel hebt (remote subnets in Phase 2, 10.2.11.x t/m 10.2.15.x) en tegen de IPSEC op B vertel je welke subnetten hij aan de andere kant heeft (10.1.100.x).

Vervolgens maak je op A 5 static routes aan (10.2.[11..15].0/24 -> IP-adres van router B op de tunnel) en op B maak je de static route 10.1.100.0/24 -> IP-adres van router A op de tunnel.

Je kunt eventueel nog je routes consolideren (10.2.11.0/24 en 10.2.12.0/22) als dat nodig is, maar als dat niet hoeft kan ik me indenken dat 5x /24 voor sommige mensen beter te begrijpen is

Klopt, VLAN10 is in principe het koppel vlan.

Ja dat had ik inderdaad met meerdere Phase 2 lijnen maar het 'probleem/nadeel' hiervan is dat je dan aan beiden kanten bij elkaar in het netwerk kan. Dus dan kan ik vanuit Gebouw B VLAN11 t/m 15 ook in VLAN100 op Gebouw A.
Tevens denk ik (zit misschien tussen de oren) dat het betreft belasting van de lijn minder is d.m.v. 1 IPSec met 1 phase ipv heel wat Phase 2 lijnen.

Misschien zie ik het verkeerd? Heb de kennis ook maar opgedaan vanuit huis dingen proberen

Steam: GAITii | PSN: GAITii | 3DS FC: 0361-7487-5231

vrijdag 1 mei 2015 16:20

Acties:

Paul

GAITii schreef op vrijdag 01 mei 2015 @ 15:38:
Ja dat had ik inderdaad met meerdere Phase 2 lijnen maar het 'probleem/nadeel' hiervan is dat je dan aan beiden kanten bij elkaar in het netwerk kan. Dus dan kan ik vanuit Gebouw B VLAN11 t/m 15 ook in VLAN100 op Gebouw A.

Ik dacht dat dat juist je vraag was? Een connectie tussen die twee opzetten? Maar goed, dat voorkom je dus vervolgens door in het firewall-gedeelte van pfSense te bepalen wie waarbij mag

Tevens denk ik (zit misschien tussen de oren) dat het betreft belasting van de lijn minder is d.m.v. 1 IPSec met 1 phase ipv heel wat Phase 2 lijnen.

De belasting komt van het dataverkeer, niet (echt) van de hoeveelheid netwerken die je opgeeft

Wij hadden hier een IPSEC-verbinding lopen met aan beide kanten een stuk of 40 subnetten (als het er niet meer waren), werkte als een zonnetje. De enige reden dat we die IPSEC-verbinding op hebben geheven is dat er nu een directe lijn (dark fiber) tussen ligt en we meer dan 250 mbit/sec/connectie wilden halen

Goed, dat was geen pfSense, maar IPSEC == IPSEC

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 7 mei 2015 08:45

Acties:

GAITii

Topicstarter

Paul schreef op vrijdag 01 mei 2015 @ 16:20:
[...]
Ik dacht dat dat juist je vraag was? Een connectie tussen die twee opzetten? Maar goed, dat voorkom je dus vervolgens door in het firewall-gedeelte van pfSense te bepalen wie waarbij mag

[...]
De belasting komt van het dataverkeer, niet (echt) van de hoeveelheid netwerken die je opgeeft Wij hadden hier een IPSEC-verbinding lopen met aan beide kanten een stuk of 40 subnetten (als het er niet meer waren), werkte als een zonnetje. De enige reden dat we die IPSEC-verbinding op hebben geheven is dat er nu een directe lijn (dark fiber) tussen ligt en we meer dan 250 mbit/sec/connectie wilden halen Goed, dat was geen pfSense, maar IPSEC == IPSEC

Oké dan denk ik toch dat het allemaal phase2 lijntjes trekken wordt dan.

Dat Dark Fiber is inderdaad een veel mooiere oplossing (ik wil dat ook...)

Maar dan is in feite VLAN 10 (koppel VLAN) overbodig?

Steam: GAITii | PSN: GAITii | 3DS FC: 0361-7487-5231

donderdag 7 mei 2015 12:05

Acties:

Paul

Je hebt 'een' directe verbinding nodig tussen A en B. Jij wil dat via een VPN, dan is het genoeg als A en B elkaar kunnen benaderen; maakt niet uit hoe of hoeveel hops daar tussen zitten. Als beiden een ADSL-verbinding hebben dan kan het bijvoorbeeld over het internet. Daar zitten natuurlijk wel haken en ogen aan (zoals throughput en ping

).

Doe je het zonder VPN dan moeten beide routers in hetzelfde subnet zitten, of je moet bij alle tussenliggende routers kunnen (en dan kan iedereen die op die routers uit komt er ook bij, tenzij je dat tegengaat met een firewall).

Onder de streep zou ik in jouw geval dus wel degelijk VLAN 10 aanhouden

Ik vraag me echter wel af waarom je die VPN opzet? Ben je bang dat er tussen A en B mensen zitten die dat verkeer af gaan vangen en bekijken? Want als beide routers in hetzelfde subnet zitten is die VPN niet technisch nodig

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock