Routering tussen pfSense (VM op ESX) en router (Tomato)

vrijdag 14 juli 2017 18:04

Acties:

Topicstarter

Hallo iedereen, ik hoop dat er iemand is de me kan helpen met het volgende:

Ik probeer mijn bestaande fysieke router zo te configureren dat deze eigenlijk als een soort wireless 'switch' functioneert. Met mijn virtuele firewall (pfSense) als router, DCHP server en gateway.

De setup is als volgt:

Intel NUC met twee fysieke netwerk adaptors.
Op de NUC draait ESX met enkele vm's waaronder pfSense.

IP NUC: 192.168.10.2
IP PFsense 192.168.10.3
IP fysieke router 192.168.10.1

De NUC is verbonden met zowel de WAN als de LAN kabels. Waar de WAN recht naar de Telenet Modem/router gaat en de LAN aansluiting naar de fysieke router op een van de LAN aansluitingen.

Vanop de vm's kan ik surfen, so far so goed.

Het probleem is van achter de router (aan de LAN kant) komt ik niet verder dan de router zelf. De route van de fysieke router naar de VM krijg ik niet geconfigureerd.

De bedoeling is: Laptop192.168.10.56 --> router -->192.168.10.1-->pfSense192.168.10.3--> Internet

https://ibb.co/ce6rSv

https://ibb.co/fXMEfF

Kan iemand me hier mee helpen?

maandag 24 juli 2017 18:47

J-Rey

Met een managed switch kom je inderdaad wel wat gemakkelijker weg.

Laat de WAN aansluiting op bijvoorbeeld untagged vlan 2 binnenkomen op 1 poort.
Gebruik voor bijvoorbeeld LAN vlan 1.
Sluit de NUC aan op een poort waarbij WAN tagged is en LAN untagged. Je clients sluit je aan op de overige poorten van de switch die je in untagged vlan 1 zet. Indien je de tomato router voor wifi wilt gebruiken kan dat dan ook nog.

Binnen vmware kun je dan de vlans afhandelen door hier twee poortgroepen voor te maken die ieder het bijbehorende vlan-id hebben. Als je dan aan PFsense de juiste poortgroep koppelt aan een virtuele interface hoef je binnen PFsense geen vlan-afhandeling meer te doen.

vrijdag 14 juli 2017 18:19

Acties:

NeoAtomic

Ik denk dat je de router en pfsence om moet draaien dus als volgt;

Laptop -> pfsence -> router (modem)

vrijdag 14 juli 2017 18:23

Acties:

J.One

Topicstarter

Dat kan helaas niet. De fysieke (Tomato) router heb ik nodig voor de Wifi verbinding en de netwerkpoorten waar ook pfSense mee verbonden is.

vrijdag 14 juli 2017 21:25

Acties:

Annuk

Je moet je router dus instellen als accespoint

oftewel:
• Vast IP adres instellen op je router binnen je subnet maar liefst buiten je dhcp range
• NAT en DHCP uitschakelen
• Kabel vanuit je NUC(pFsense) in een LAN-poort van je router

zie ook de: [HOWTO]Draadloze Router gebruiken als Access Point

Vake beej te bange! Maar soms beej oek te dapper! ;)
Zonder de agrariër ook geen eten voor de vegetariër!

zaterdag 15 juli 2017 01:07

Acties:

shure-fan

Probeer eens je static dns in te vullen naar het adres van je pfsense,

Misschien dat dat het is, ik zie iig geen fout in je screenshots

Voip enthousiastelling, Liever een kabel dan wifi

zaterdag 15 juli 2017 14:20

Acties:

J.One

Topicstarter

Ik denk dat het probleem is dat ik twee uplinks heb in een vSwitch zonder deze correct te configureren.
Zodra ik de WAN verbinding disconnect kan ik de firewall pingen. Dus ik had simpelweg een lus gemaakt... Dom, dom, dom

Nu moet ik alleen nog weten hoe ik de vSwitch in vSphere correct configureer zodat ik de twee uplinks niet opnieuw lus. Ik heb al bijna alles geprobeerd maar geen enkele configuratie laat me het internet op.

Misschien moet ik hier wel een nieuw topic voor openen in het T.net VMware forum?

zaterdag 15 juli 2017 14:32

Acties:

Vorkie

Je kan gewoon 10.3 meegeven in DHCP als router/gateway?

Client krijgt IP adres inclusief PFSense als gateway en deze stuurt het weer door naar de 10.1 en vice versa.

Uplink kan je op 2 manieren configureren, Active/Standby of beide active in een LAG (managed switch nodig), heb je geen managed switch verplaats je 1 uplink naar standby.

@J.One

zaterdag 15 juli 2017 15:08

Acties:

J.One

Topicstarter

ThaNetRunner,

10.3 (pfSense) functioneert nu als DHCP voor zowel de vm's als de fysieke computer,dus dat lijkt in orde te zijn.

Ik heb een uplink naar standby geplaatst en het verkeer wordt inderdaad niet meer gelust. Maar nu kan ik de telenet modem/router niet meer pingen vanop 10.3 (pfSense).

zaterdag 15 juli 2017 15:50

Acties:

Vorkie

Tomato kan vlans toch?

Dat zal je leven iets makkelijker maken, dan krijgt pfsense een intern en extern netwerk.

WiFi + LAN in vlan 2 en pfsense in vlan 1 + 2.

Vlan 2 krijgt dan een nieuw ip reeks en hang je al je cliënts in. (Interne kant pfsense)
Vlan 1 (default) blijft zoals het is en wordt de externe interface voor pfsense.

Binnen esx extra switch aanmaken met zelfde vlan nummer en daar hang je alles aan. En alleen pfsense laat je over op de huidige switch.

/edit

wat wil je uiteindelijk bereiken eigenlijk? Wil je PFSense voor alle interne clients gaan gebruiken?

[ Voor 10% gewijzigd door Vorkie op 15-07-2017 16:00 ]

zaterdag 15 juli 2017 16:54

Acties:

J.One

Topicstarter

Wat ik wil bereiken is:

Tomato router = 'Switch'/wifi access point (puur voor gebruik van de netwerkpoortenen en wifi)
pfSense = Firewall + router
NUC = ESX host met verschillende VM's die probleemloos kunnen communiceren met de fysieke apparaten zoals: laptop, nas, Raspberry, etc.

Op termijn is het de bedoeling dat de NUC de (meeste) functies op zicht neemt.

zaterdag 15 juli 2017 19:43

Acties:

J-Rey

Je hebt twee netwerkaansluitingen op de NUC?

Gebruik 1 aansluiting die je koppelt met je Telenet modem. Deze fysieke poort koppel je aan een extra vSwitch. Op deze vSwitch maak je een portgroup aan zonder vlan-id. Deze poort kun je nu in PFsense gebruiken als WAN-interface.

Gebruik de andere netwerkaansluiting op je NUC als LAN. Ook hierbij geldt weer dat je de fysieke aansluiting moet koppelen aan een vSwitch. Indien je deze op vSwitch0 doet, is het management van ESX ook standaard te benaderen. Je koppelt de standaard portgroup van vSwitch0 aan je PFsense voor LAN.

Nu is het een kwestie van de LAN-kant van de NUC aansluiten op de LAN-kant van de router.
Op de router zet je zaken als DHCP uit en gebruik je hem alleen als "domme" switch plus access point.

Je clients laat je DHCP verkrijgen door PFSense. Hierbij geldt dan dat het interne adres van de PFsense direct je gateway is plus eventueel je DNS-server. Geef de router ook een adres in het LAN-subnet zodat je deze voor eventuele aanpassingen voor het wireless gedeelte gemakkelijk kunt bereiken.

Vanaf nu zouden alle apparaten die via DHCP een adres toegewezen krijgen kunnen communiceren onderling. Daarnaast zou ook internettoegang mogelijk moeten zijn als PFsense zelf goed is ingericht qua interfaces, NAT en firewall regels.

zondag 16 juli 2017 15:07

Acties:

J.One

Topicstarter

J-Rey,

Het is te zeggen, ik 'had' twee netwerkaansluitingen tot in de loop van gisterenavond. Ik ben er vanmiddag achtergekomen dat de USB netwerk adaptor (StarTech.com USB 3.0) het laten afweten heeft.

Gelukkig heeft heeft bol.com al een vervangend exemplaar opgestuurd wat morgen in de bus zou moeten zitten. Pas dan kan ik weer verder, toch al bedankt voor je hulp.

zondag 23 juli 2017 12:41

Acties:

J.One

Topicstarter

Aangezien de tweede (USB)netwerk adaptor voor instabiliteit zorgde heb ik deze laten vallen en besloten om met VLANs te werken.

Nu kan ik in pfSense wel pingen naar 192.168.10.1(Tomato router) en naar 192.168.0.1(Telenet modem/router) maar niet naar 8.8.8.8

Kan iemand dit verklaren? pfSense krijgt een IP van de Telenet modem/router maar kan niet naar het internet.

https://ibb.co/imz3FQ

https://ibb.co/b9uZpk

https://ibb.co/edqkvQ

https://ibb.co/nn6Epk

https://ibb.co/hjwQvQ

edit:typo

zondag 23 juli 2017 22:16

Acties:

J-Rey

Kun je eens screenshots plaatsen van de routes, gateways en interface adressen?
Lijkt er op dat er geen default gateway aanwezig die verwijst naar je telenet modem.

De PFSense WAN interface (ik neem aan 192.168.0.226) moet een default gateway hebben ingesteld staan naar 192.168.0.1.

zondag 23 juli 2017 22:35

Acties:

Saeverix

Het klinkt allemaal niet erg stabiel. Eerst een USB Netwerkcontroller, en nu alles via 1 poort met VLANs?

De meest stabiele opstelling is een NUC (of iets wat daar op lijkt) met twee (liefst Intel) netwerkpoorten aanschaffen. Daarnaast zou ik dan nog een 8 poort netwerkswitch kopen en een losse Access-point.

Telenet modem > NUC (pfSense VM) > Netwerkswitch > Access-point & Computers. Zo'n opstelling heb ik thuis ook, alleen draai ik pfSense niet als een VM.

People who live in glass houses shouldn't throw stones.

zondag 23 juli 2017 22:58

Acties:

burne

Mine! Waah!

Saeverix schreef op zondag 23 juli 2017 @ 22:35:
De meest stabiele opstelling is een NUC (of iets wat daar op lijkt) met twee (liefst Intel) netwerkpoorten aanschaffen. Daarnaast zou ik dan nog een 8 poort netwerkswitch kopen en een losse Access-point.

En wat voegt die extra interface en switch dan toe, anders dan een point of failure (of twee)?

OP:

Binnen hetzelfde netwerk interfaces dubbel gebruiken werkt niet. PfSense zal nooit een binnengekomen packet over dezelfde interface in hetzelfde subnet weer naar buiten sturen.

Je moet daar ofwel een andere (eventueel virtuele) interface voor gebruiken, of een ander subnet. Met andere woorden: je moet ofwel een VLAN gebruiken, of een IP alias.

Een ander probleem is dat je router/access-point waarschijnlijk niet met VLAN's overweg kan, en dus als IP-device gebruikt moet worden omdat je enige native VLAN al in gebruik is door je Telenet-modem. Dat zou je op kunnen lossen met een USB-ethernet adapter.

I don't like facts. They have a liberal bias.

zondag 23 juli 2017 23:03

Acties:

Saeverix

burne schreef op zondag 23 juli 2017 @ 22:58:
[...]

En wat voegt die extra interface en switch dan toe, anders dan een point of failure (of twee)?

OP:

Binnen hetzelfde netwerk interfaces dubbel gebruiken werkt niet. PfSense zal nooit een binnengekomen packet over dezelfde interface in hetzelfde subnet weer naar buiten sturen.

Je moet daar ofwel een andere (eventueel virtuele) interface voor gebruiken, of een ander subnet. Met andere woorden: je moet ofwel een VLAN gebruiken, of een IP alias.

Een ander probleem is dat je router/access-point waarschijnlijk niet met VLAN's overweg kan, en dus als IP-device gebruikt moet worden omdat je enige native VLAN al in gebruik is door je Telenet-modem. Dat zou je op kunnen lossen met een USB-ethernet adapter.

Het voegt gemak toe, zodat je al het bovenstaande niet hoeft uit te voeren.
Twee interfaces: WAN en LAN. En de Switch om alle computers en de Access-point aan te sluiten.

Volgens mij heb je het dan erg simpel, en makkelijk te beheren. Je hoeft dan niet te klooien met VLANs.

People who live in glass houses shouldn't throw stones.

zondag 23 juli 2017 23:22

Acties:

burne

Mine! Waah!

Saeverix schreef op zondag 23 juli 2017 @ 23:03:

Het voegt gemak toe, zodat je al het bovenstaande niet hoeft uit te voeren.
Twee interfaces: WAN en LAN. En de Switch om alle computers en de Access-point aan te sluiten.

Je moet dat nog altijd uitvoeren. Je kunt evenmin twee verschillende interfaces in hetzelfde netwerk hebben. Nouja, het kan, maar het werkt niet zoals je verwacht.

Binnen VMWare is een VLAN extra aanmaken veel makkelijker dan een switch en een extra NUC kopen (en ik weet niet of er NUC's zijn met twee ethernet-aansluitingen). Ik neem aan dat OP niet af wil van z'n bestaande VM's, en dus zal 'ie een extra (niet-virtuele) computer nodig hebben om pfSense met twee niet-VLAN interfaces op te draaien.

En dan wordt het best duur.

I don't like facts. They have a liberal bias.

zondag 23 juli 2017 23:46

Acties:

Saeverix

burne schreef op zondag 23 juli 2017 @ 23:22:
[...]

Je moet dat nog altijd uitvoeren. Je kunt evenmin twee verschillende interfaces in hetzelfde netwerk hebben. Nouja, het kan, maar het werkt niet zoals je verwacht.

Binnen VMWare is een VLAN extra aanmaken veel makkelijker dan een switch en een extra NUC kopen (en ik weet niet of er NUC's zijn met twee ethernet-aansluitingen). Ik neem aan dat OP niet af wil van z'n bestaande VM's, en dus zal 'ie een extra (niet-virtuele) computer nodig hebben om pfSense met twee niet-VLAN interfaces op te draaien.

En dan wordt het best duur.

Het was ook een oplossing die zijn bestaande configuratie/opstelling zou vervangen. Dus oude Tomato router weg (dat wordt die switch), en NUC vervangen met eentje die twee netwerkinterfaces heeft. En voor de WiFi een losse dedicated Access-point gebruiken.

Dat gaat geld kosten, maar dan heb je het imo wel stabieler en duidelijker in elkaar zitten dan wat OP voor ogen heeft.

People who live in glass houses shouldn't throw stones.

maandag 24 juli 2017 18:40

Acties:

J.One

Topicstarter

Ik dacht ook eerst dat het de gateway was, maar na alles handmatig in te voeren was er niets veranderd.

Wat betreft de VLANs en extra netwerkaansluiting:
Initieel was het de bedoeling om te werken met twee netwerkaansluitingen, maar omdat mijn NUC (6i3SYH) maar een netwerkaansluiting heeft had ik een extra USB netwerk adaptor gekocht dat aan de praat te krijgen was in ESX. Uiteindelijk bleek dit niet zo betrouwbaar te zijn als ik had gehoopt dus heb ik dat idee laten vallen en gekozen voor een setup met VLANs.

@Burne,

pfSense is wel degelijk geconfigureerd met twee verschillende virtuele interfaces en bijhorende VLAN IDs. VLAN id 1 (LAN, 192.168.10.x) en VLAN id 2 (WAN, 192.168.0.x).
In VMware heb ik twee Port Groups aangemaakt met elk een VLAN id en die interfaces heb ik toegewezen aan pfSense. Beide zijn weliswaar aangesloten op dezelfde fysieke interface maar dat zou toch geen probleem mogen zijn als al het verkeer 'tagged' is?
Maar inderdaad, nu je het zegt, mijn Telenet modem/router ondersteunt hoogstwaarschijnlijk geen VLAN tagging wat meteen ook een verklaring is voor dit gedrag

Ik sta zeker open voor suggesties wat betreft mijn huidige setup maar alle hardware vervangen is momenteel geen optie. Na het lezen van alle reacties -waarvoor dank- denk ik wel dat een extra managed switch zoals de TP-Link TL-SG108E een oplossing kan bieden.

Switch met VLANs LAN en WAN:

WAN = untagged naar de Telenet modem/router in de range 192.168.0.x
LAN = tagged in ESX in de range 192.168.10.x

De VLAN configuratie in Tomato heeft deze mogelijkheid niet. Als je daar meerdere VLANs aan een poort toewijst moet alles 'tagged' zijn.

Als ik dan de Tomato router puur als wifi access point gebruik heb ik ongeveer de setup dat Werner aangaf en waar op termijn ook wel naartoe wou, maar dan nog iets uitgebreider

maandag 24 juli 2017 18:47

Acties:

Beste antwoord ✓

J-Rey

Met een managed switch kom je inderdaad wel wat gemakkelijker weg.

Laat de WAN aansluiting op bijvoorbeeld untagged vlan 2 binnenkomen op 1 poort.
Gebruik voor bijvoorbeeld LAN vlan 1.
Sluit de NUC aan op een poort waarbij WAN tagged is en LAN untagged. Je clients sluit je aan op de overige poorten van de switch die je in untagged vlan 1 zet. Indien je de tomato router voor wifi wilt gebruiken kan dat dan ook nog.

Binnen vmware kun je dan de vlans afhandelen door hier twee poortgroepen voor te maken die ieder het bijbehorende vlan-id hebben. Als je dan aan PFsense de juiste poortgroep koppelt aan een virtuele interface hoef je binnen PFsense geen vlan-afhandeling meer te doen.

maandag 24 juli 2017 23:50

Acties:

J.One

Topicstarter

Switch is besteld. Morgen zou hij geleverd moeten worden en dan kom ik terug met een update.
Alvast bedankt je hulp!

Update:

Als ik de NUC met de switch verbindt, allebei in range 192.168.10.x, kan ik de NUC niet pingen. Maakt niet uit welke poort ik probeer. Mijn NAS in de zelfde range dan weer wel. Ik denk, dat komt door de VLANs die geconfigureerd staan in ESX. Maar de VLANs zijn (volgens mij) correct geconfigureerd op de switch en toch kan ik de NUC nog niet pingen. Wat doe ik nu verkeerd?

Afbeeldingslocatie: http://i65.tinypic.com/35btffn.png

Afbeeldingslocatie: http://i65.tinypic.com/35btffn.png

Afbeeldingslocatie: http://i66.tinypic.com/oa441t.png

[ Voor 69% gewijzigd door J.One op 25-07-2017 21:12 ]

dinsdag 25 juli 2017 22:23

Acties:

J-Rey

Welk adres probeer je te pingen? Ik zie dat je 1 vmkernel poort hebt welke vlan all heeft staan en 1 vmkernel poort in tagged vlan 1.

Zet eens de vmkernel poort die je wilt gebruiken op vlan 0 (none) en probeer dan nog eens. Je biedt namelijk vlan 1 untagged aan, dus zonder vlan-id.

dinsdag 25 juli 2017 23:17

Acties:

J.One

Topicstarter

192.168.10.2. Die ene vmkernel poort stond op vlan all omdat ik zeker wou zijn dat ik alle VMs kon bereiken (had ik geconfigureerd in de ESX netwerk instellingen)

De vmkernel 192.168.10.102 (VLAN 1) is gekomen met de port groups in ESX na het aanmaken van de VLAN in Tomato (niet meer relevant)

Ik heb inmiddels alle netwerk instellingen in ESX opnieuw ingesteld --> 192.168.10.2 zonder VLAN, maar nu kan ik niet meer verbinden met mijn NUC.
Er zit maar een ding op, morgen switch en router resetten en alles opnieuw configureren.

Update:

Alles is opnieuw aangesloten aan de switch. Tomato staat ingesteld als access point, ESX is opnieuw (zonder vlan op de management poort) geconfigureerd, nieuwe port groups met bijhorende VLANs aangemaakt en die assigned aan de NICs van pfSense.
Nu kan ik de NUC opnieuw bereiken maar niet krijg ik pfSense niet geconfigureerd (niet te pingen en geen webinterface). Dus morgen pfSense opnieuw installeren en hopen dat ik dan alles gerouteerd krijg.

[ Voor 30% gewijzigd door J.One op 26-07-2017 20:58 ]

woensdag 26 juli 2017 21:59

Acties:

J-Rey

Kun je eens een screenshot sturen van de vlans + portgroups die je in vmware hebt geconfigureerd en hoe je dit in pfsense hebt gedaan?

Indien je namelijk vlan 1 untagged aanbied aan de NUC en bijbehorende portgroup, dan moet je geen vlan-id meegeven in pfsense zoals in het screenshot eerder in dit topic wel is gebeurd. Je kunt binnen vmware nog even op de console van pfsense kijken en daar met optie 2 de interface adressen opnieuw toe te kennen zonder daar vlans te hanteren.

Nog even voor de duidelijkheid. Indien je aan een portgroup een vlan-id toekent hoef je dit in je vm niet te herhalen. Indien je een portgroup aanmaakt met vlan all (vlan-id 4095) dan word de vlan-tag doorgezet naar de vm en kun je dit binnen je vm toekennen aan een interface. Niet dubbelop doen indien dit niet nodig is.

donderdag 27 juli 2017 18:49

Acties:

J.One

Topicstarter

pfSense herinstalleren heeft niets uitgemaakt, nog steeds het zelfde probleem.

Afbeeldingslocatie: http://imgur.com/IdZSGLR

http://imgur.com/IdZSGLR

Afbeeldingslocatie: http://imgur.com/a/7NiAS

http://imgur.com/a/7NiAS

Afbeeldingslocatie: http://imgur.com/a/NGp0x

http://imgur.com/a/NGp0x

Afbeeldingslocatie: http://imgur.com/a/Cq3PY

http://imgur.com/a/Cq3PY

Afbeeldingslocatie: http://imgur.com/a/g4iiB

http://imgur.com/a/g4iiB

edit: Ik weet niet waarom de screenshots er niet doorkomen (ik heb de images netjes geresized). Voor het gemak heb ik de link er onder geplaatst.

[ Voor 46% gewijzigd door J.One op 27-07-2017 20:01 ]

zondag 30 juli 2017 21:08

Acties:

J.One

Topicstarter

EINDELIJK! Het werkt!

Wat heb ik gedaan? De 'LAN' port group (VLAN ID 1) in VMware verwijderd.

De configuratie (VLAN setup) van de switch was correct, enkel moest de VLAN configuratie nog toegepast worden op poort 2. Dit staat onder '802.1Q VLAN PVID Settings'

Afbeeldingslocatie: https://ibb.co/mybBuk

Afbeeldingslocatie: https://ibb.co/mybBuk

https://ibb.co/mybBuk

Wat ik getoond had in de eerdere screenshots was niet dus niet voldoende.

Iedereen die me geholpen heeft, en zeker J-Rey, hartelijk bedankt!

Vraag

Beste antwoord (via J.One op 30-07-2017 21:11)

Alle reacties