WANIP /29 range en meerdere routers

Ik ben hier al een tijdje mee aan het stoeien, maar krijg het niet goed voor elkaar. Op het werk hebben we een zakelijk ziggo lijn met een /29 range (5 ipadressen te gebruiken). 1 van die IP-adressen hangt aan onze Pfsense server (PFSENSE1) en de overige 4 ipadressen worden gebruikt op een (fysiek) andere PFsense server (PFSENSE2).

Dit gaat goed en werkt voor zover. Ook als onze andere internetlijn het niet meer doet kan ik op onze PFsense server omschakelen naar de ziggo lijn en dan doet het internet etc het weer. Enige probleem waar ik tegenaan loop is dat ik vanaf PFSENSE1 niet de overige 4 ipadressen kan benaderen welke achter PFSENSE2 hangen.

Ik heb hier al verschillende dingen geprobeerd andere range instellen op de pfsense (wan-adapter), en met verschillende rules/routes wat geprobeerd, maar niks werkt... Ook heb ik gekeken of er in de router die we van ziggo hebben gekregen iets aan te passen is, maar hier vind ik niks wat mij hiermee kan helpen helaas.

nu hoop ik dat er hier iemand is die mij verder kan helpen.

En mocht het probleem niet duidelijk zijn, laat maar weten wat je mist.

[ Voor 7% gewijzigd door chr1st14n op 28-08-2017 16:46 ]

Mattie112 schreef op maandag 28 augustus 2017 @ 16:54:
Begrijp ik het goed:

- Op de Ziggo lijn heb je een /29
- Deze lijn is actief
- Via 1 kan je niet 2 bereiken terwijl 2 in dezelfde /29 zit

Wat als je een traceroute doet? Ga je dan "uit" je netwerk of blijf je intern ergens hangen.

Zo ongeveer wel ja. Hieronder een kleine plaatje van hoe het in elkaar zit (sorry, heb geen mega photoshopskilzz)



Op moment dat bij ons de andere ISP uitvalt (bv bij langdurige storing) dan stel ik onze firewall zo in dat wij kunnen internetten via de ziggo lijn.

Alleen op moment dat ik dat doe, dan kan ik vanaf pfsense1 (met adres x.x.x.2) geen servers meer bereiken welke achter pfsense2 hangen (x.x.x.3 t/m x.x.x.6). Ik kan alleen niet vinden waar dit niet goed gaat. of het de pfsense is welke denkt dat hij de gehele range zelf zou moeten hebben of de router van ziggo waar ik niks in kan vinden.

als ik een tracert uitvoer van x.x.x.2 naar x.x.x.3 dan zie ik wel het ipadres van de router van ziggo voorbij komen, maar daarna krijg ik alleen maar time-outs. zelfde gebeurt ook als ik het op DNS-naam probeer.

Mijzelf schreef op maandag 28 augustus 2017 @ 17:12:
Die 'router' van Ziggo is geen router, neem ik aan, maar een 'Ziggo touwtje naar ethernet converter', oftewel een modem.

Als je bij beide routers netjes het subnet hebt gedefinieerd, zou dit op ethernet niveau moeten worden afgehandeld. Oftewel, PFSENSE1 ziet dat zijn WAN in hetzelfde subnet zit als het te bereiken IP adres, doet een ARP request, krijgt het MAC adres van PFSENSE2, en stuurt zijn ethernet pakketje.

Als dat niet werkt, dan zijn de subnetten niet goed ingesteld, zit er een firewall vals te spelen, of zit er geen goede switch tussen de modem enerzijds en de routers anderzijds.

Beide pfsense servers zijn rechstreeks op het ziggo kastje aangesloten, ik zal van de week wel even kijken of ik er nog een switch tussen kan zetten en of dat nog verschil maakt.

Ik had ook verwacht dat het "gewoon" zou werken, maar helaas doet dat het het weer eens niet xD

TommyboyNL schreef op maandag 28 augustus 2017 @ 19:18:
Wat is het typenummer van het Ziggo doosje?

Type weet ik zo niet uit het hoofd, maar is zo'n Hitron kastje.

[ Voor 4% gewijzigd door chr1st14n op 28-08-2017 20:06 ]

CyBeR schreef op maandag 28 augustus 2017 @ 20:10:
Ziggo doosje is compleet irrelevant.

Wat je moet doen is eerst kijken of je L2 een verbinding hebt, door de ARP-tabellen op beide pfsense dozen te bekijken. Als dat zo is, dan is 't waarschijnlijk ofwel de firewall, ofwel de routing tabel, ofwel NAT wat het probleem is. Een simpele manier om dat te achterhalen is met tcpdump kijken wat er op de lijn gezet wordt.

Aan beide kanten zie ik in de ARP tabel wel de ipadressen van de andere pfsensebox staan. en ook met de juiste bijbehorende MAC adressen.

CyBeR schreef op dinsdag 29 augustus 2017 @ 11:37:
Goed begin. Dan is 't tijd om tcpdump er bij te pakken.

Zal vandaag eens kijken of ik tijd heb om die tcpdump te doen. Maar mij wel opvalt is dat als ik de default gateway (internetlijn) op de pfsense zelf aanpas, dan kan ik wel bij de andere pfsense komen, maar als ik dit in de rules/outbound nat aanpas dan kom ik er niet bij. Het probleem zit hem in ieder geval in pfsense1.

Ik vermoed dat het gewoon een configureer foutje zal zijn (ben ook geen pfsense expert )