Toon posts:

[Pfsense] GRE tunnel instellen

Pagina: 1
Acties:

Onderwerpen

Pfsense

Vraag

donderdag 25 januari 2018 15:45

Acties:
  • 0 Henk 'm!
  • moppentappers
  • Registratie: Februari 2008
  • Laatst online: 09-09 21:28

moppentappers

Topicstarter
Omdat ik graag meer IPv4 adressen wilde hebben op mijn internetverbinding en waar ik woon via glasvezel alleen Caiway mogelijk is heb ik via het bedrijf extraip.com een routed subnet met 8 publieke IP adressen gehuurd zodat ik geen gebruik hoef te maken van een reverse proxy.

Zodra ik de GRE tunnel aanmaak volgende de handleiding hier:
https://doc.pfsense.org/index.php/GRE_Interfaces
Heb ik vanaf de volgende stap:
"This means that it is required to add and then enable it under Interfaces > (assign). When doing so, keep the IP types set to None on the Interface page as that is managed by the configuration here on the GRE tab."

Geen uitgaand ipv4 verkeer meer.
Ook wanneer ik dezelfde configuratie op een kale pfsense machine instel is het resultaat hetzelfde.

Ergens doe ik dus iets fout, maar waar?
https://i.imgur.com/SjZvP4W.png

Dit zijn de instructies die ik heb ontvangen voor Mikrotik:
cd /sbin

./insmod /lib/modules/`uname -r`/kernel/net/ipv4/ip_gre.ko

./ip tunnel add tun_extra_ip mode gre local 62.45.210.XX remote 37.148.192.XX ttl 225

./ifconfig tun_extra_ip up

cd /sbin

./ifconfig tun_extra_ip 37.148.198.XX/29


./ifconfig eth0:22 37.148.198.XX/29 up

./ifconfig eth0:23 37.148.198.XX/29 up

./ifconfig eth0:24 37.148.198.XX/29 up

./ifconfig eth0:25 37.148.198.XX/29 up

De vraag is dan dus, waar doe ik iets fout?

Gebruikte pfsense versie is overigen 24.2

Beste antwoord (via moppentappers op 27-01-2018 16:45)

donderdag 25 januari 2018 17:06

  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

Ik ben hier ook wel eventjes mee bezig geweest, maar heb het helemaal werkend.

Kort samengevat.
- GRE tunnel aanmaken, GRE tunnel local adres je eerste IP adres van ExtraIP (zet het vinkje uit Add an explicit static route for the remote inner tunnel address/subnet via the local tunnel address)

- Assign de GRE tunnel aan een interface, geef deze interface GEEN ip adres, stel MSS op 1476 in

- Maak een route aan voor de GRE tunnel dat deze altijd via WAN gaat

- Maak daarna een gateway aan voor ExtraIP welke over de GRE interface gaat, dit is de Tunnel Remote Adres. Schakel gateway monitoring uit

- Voeg nu op de WAN interface de virtuele IP adressen toe van de rest van je subnet

Als je bij gateway kiest voor Default Route, zal je verkeer over deze route naar het internet gaan, let wel dat je firewall regels correct zijn.

[ Voor 8% gewijzigd door Vorkie op 25-01-2018 17:07 ]

Alle reacties

donderdag 25 januari 2018 16:28

Acties:
  • 0 Henk 'm!
  • Yariva
  • Registratie: November 2012
  • Laatst online: 21:25

Yariva

Moderator Internet & Netwerken

Power to the people!

Heb je zelf een IP adres op het GRE Tunnel interface staan?
Klopt het Tunnel IP adres ook vanaf de andere kant?

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 25 januari 2018 17:06

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

Ik ben hier ook wel eventjes mee bezig geweest, maar heb het helemaal werkend.

Kort samengevat.
- GRE tunnel aanmaken, GRE tunnel local adres je eerste IP adres van ExtraIP (zet het vinkje uit Add an explicit static route for the remote inner tunnel address/subnet via the local tunnel address)

- Assign de GRE tunnel aan een interface, geef deze interface GEEN ip adres, stel MSS op 1476 in

- Maak een route aan voor de GRE tunnel dat deze altijd via WAN gaat

- Maak daarna een gateway aan voor ExtraIP welke over de GRE interface gaat, dit is de Tunnel Remote Adres. Schakel gateway monitoring uit

- Voeg nu op de WAN interface de virtuele IP adressen toe van de rest van je subnet

Als je bij gateway kiest voor Default Route, zal je verkeer over deze route naar het internet gaan, let wel dat je firewall regels correct zijn.

[ Voor 8% gewijzigd door Vorkie op 25-01-2018 17:07 ]

zaterdag 3 februari 2018 16:12

Acties:
  • +1 Henk 'm!
  • rokoter
  • Registratie: September 2015
  • Laatst online: 09-11-2023

rokoter

Hi,

@Vorkie , heb je toevallig nog screenshots? Ik krijg het helaas nog niet werkend op pfSense met de korte samenvatting :(

Thanks!

zaterdag 3 februari 2018 16:16

Acties:
  • +3 Henk 'm!
  • moppentappers
  • Registratie: Februari 2008
  • Laatst online: 09-09 21:28

moppentappers

Topicstarter
Hi rokoter, het is mij inmiddels gelukt met de hulp van KRGT
Als je wilt kan ik even screenshots sturen per dm van hoe ik het heb staan zodat je dat kunt overnemen.

zaterdag 3 februari 2018 16:32

Acties:
  • 0 Henk 'm!
  • rokoter
  • Registratie: September 2015
  • Laatst online: 09-11-2023

rokoter

Nice, thanks!

dinsdag 27 februari 2018 21:36

Acties:
  • 0 Henk 'm!
  • WeiserMaster
  • Registratie: April 2016
  • Laatst online: 15:19

WeiserMaster

@moppentappers Zou je de screenshots (gecensureerd uiteraard) openbaar willen maken? Ik ben hier nu ook mee bezig, maar heb het nog niet helemaal werkend gekregen 8)7

[ Voor 5% gewijzigd door WeiserMaster op 27-02-2018 21:37 ]

woensdag 7 maart 2018 22:25

Acties:
  • 0 Henk 'm!
  • robvdheijden
  • Registratie: Juni 2011
  • Laatst online: 17:57

robvdheijden

Via caiway heb je dus een dynamisch ip, is het op deze manier dan ook ingesteld dat zodra deze veranderd de gre tunnel nog steeds werkt? of moet er dan aan de kant van extraip iets veranderen?

woensdag 7 maart 2018 22:45

Acties:
  • 0 Henk 'm!
  • moppentappers
  • Registratie: Februari 2008
  • Laatst online: 09-09 21:28

moppentappers

Topicstarter
Ik heb daarvoor niets ingesteld en op dit moment nog geen problemen ervaren, binnenkort ga ik wel mijn verbinding overzetten naar routit om te voorkomen, echter hebben die nu alleen nog maar tot 500/500 en zit ik nu op 600/600 dus ik hoop dat Routit dat binnenkort ook nog gaat toevoegen.

zondag 22 april 2018 10:41

Acties:
  • 0 Henk 'm!
  • Eric_J
  • Registratie: Januari 2016
  • Laatst online: 11-09 20:06

Eric_J

@moppentappers Ik ga hier binnenkort ook mee in de slag, als je me de screenshots zou kunnen sturen van jouw configuratie heel graag.

Dank alvast!

woensdag 11 juli 2018 00:43

Acties:
  • 0 Henk 'm!
  • Graxo
  • Registratie: December 2012
  • Laatst online: 02-06 19:59

Graxo

Ik loop tegen het probleem aan dat met versie "2.4.3-RELEASE-p1 (amd64) built on Thu May 10 15:02:52 CDT 2018 FreeBSD 11.1-RELEASE-p10" van PFsense die allen niet meer werkt. Zijn er meer met dit probleem?

Groet,

zaterdag 8 september 2018 22:23

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

Ik las dat er gevraagd werd naar screenshots. Ik hoop dat iemand iets heeft aan mijn screenshots van mijn testopstelling.

Subnet: 37.148.196.48/29

Afbeeldingslocatie: https://tweakers.net/ext/f/VQNaX2pEauMY98hUTfalbwxI/thumb.png

Afbeeldingslocatie: https://tweakers.net/ext/f/S3aqqAthyFigmqX4hKHnguxI/thumb.png

Afbeeldingslocatie: https://tweakers.net/ext/f/nQ7AdljuQuAkV7wKaOFN7xPb/thumb.png

Opmerking over WAN IP: mijn pfSense box hangt in DMZ achter een ExperiaBox.
Ik had nog overwogen om die er tussenuit te halen... maar het werkt eigenlijk prima zo. Daarnaast heb ik op LAN2 en LAN3 de TV ontvangers aangesloten. Bovendien zit er telefonie op de telefoonpoort (porteren naar een VoIP provider is zo voor elkaar maar in deze configuratie niet nodig).

[ Voor 60% gewijzigd door boukej op 08-09-2018 22:28 . Reden: Reden van edit??? Jemig... moet dat ingevuld worden? Nou, prima: zo is het veel duidelijker ;-) ]

zaterdag 8 september 2018 22:39

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

Kopertje schreef op woensdag 11 juli 2018 @ 00:43:
Ik loop tegen het probleem aan dat met versie "2.4.3-RELEASE-p1 (amd64) built on Thu May 10 15:02:52 CDT 2018 FreeBSD 11.1-RELEASE-p10" van PFsense die allen niet meer werkt. Zijn er meer met dit probleem?
Ik heb een GRE tunnel actief met ExtraIP.com onder versie "2.4.3-RELEASE-p1 (amd64) built on Thu May 10 15:02:52 CDT 2018 FreeBSD 11.1-RELEASE-p10".

Ik heb screenshots hierboven neergezet. Verkeer in/uit gaat prima.

Update: vandaag upgrade uitgevoerd naar "2.4.4-DEVELOPMENT (amd64) built on Tue Sep 04 10:04:12 EDT 2018 FreeBSD 11.2-RELEASE-p2". Ook onder deze development / beta versie werkt de GRE tunnel naar Extra IP goed.

[ Voor 16% gewijzigd door boukej op 09-09-2018 11:58 . Reden: Update ]

donderdag 13 september 2018 10:57

Acties:
  • 0 Henk 'm!
  • Graxo
  • Registratie: December 2012
  • Laatst online: 02-06 19:59

Graxo

boukej schreef op zaterdag 8 september 2018 @ 22:39:
[...]


Ik heb een GRE tunnel actief met ExtraIP.com onder versie "2.4.3-RELEASE-p1 (amd64) built on Thu May 10 15:02:52 CDT 2018 FreeBSD 11.1-RELEASE-p10".

Ik heb screenshots hierboven neergezet. Verkeer in/uit gaat prima.

Update: vandaag upgrade uitgevoerd naar "2.4.4-DEVELOPMENT (amd64) built on Tue Sep 04 10:04:12 EDT 2018 FreeBSD 11.2-RELEASE-p2". Ook onder deze development / beta versie werkt de GRE tunnel naar Extra IP goed.
Hey! Bedankt voor je antwoord, maar ik maak er geen gebruik meer van. De latency is voor mij veelste hoog. Het laden van een simpel HTML website-tje van minder dan 1MB, duurt 2-3 seconden.

Groet,
Kopertje

dinsdag 18 september 2018 01:21

Acties:
  • 0 Henk 'm!
  • robvdheijden
  • Registratie: Juni 2011
  • Laatst online: 17:57

robvdheijden

Hallo,

Na ruim 2 weken proberen krijg ik het nog steeds niet werkend. ik zal ergens een ding vergeten maar kom er maar niet achter wat.
Waarschijnlijk gaat er iets mis met mijn route, gateway of firewal rules.

boven zegt KGRT
(zet het vinkje uit Add an explicit static route for the remote inner tunnel address/subnet via the local tunnel address)
En dan bij de screenshots van iemand anders staat hij weer aan.
Zou er iemand correcte screenshots willen posten van de complete gre tunnel setup?
Ik heb nog nergens gezien welke firewall regels er toegepast moeten worden, of hoe dat de route instelling eruit moet zien.

Alvast bedankt,
Rob

donderdag 20 september 2018 20:08

Acties:
  • +1 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

<edit>

[ Voor 96% gewijzigd door Vorkie op 13-11-2021 15:39 ]

maandag 15 oktober 2018 21:59

Acties:
  • +1 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

Vorkie schreef op donderdag 20 september 2018 @ 20:08:
Ik heb maar even 2 instructies gemaakt naar aanleiding van de vraag van @robvdheijden

https://www.kragt-ict.nl/...extraip-com-configuratie/
https://www.kragt-ict.nl/...en-extraip-com-dnat-snat/
Ik heb de instructies bekeken. Ik heb hier een paar opmerkingen over.

Stel je hebt het volgende subnet gekregen: 
185.abc.xyz.16/29


Dan heb je te maken met de volgende IP adressen:
185.abc.xyz.16 (Subnet Address)
185.abc.xyz.17 (Router)
185.abc.xyz.18
185.abc.xyz.19
185.abc.xyz.20
185.abc.xyz.21
185.abc.xyz.22
185.abc.xyz.23 (Broadcast Address)


In het veld "GRE tunnel local address" en in "GRE tunnel remote address" kan ik "185.abc.xyz.17" gebruiken. Vervolgens kan ik "185.abc.xyz.18" t/m "185.abc.xyz.22" invoeren als "Virtual IPs".

De tunnel komt opgang door middel van "GRE Remote Address" en het eigen "WAN IP" wat bij ExtraIP.com bekend is. De werking van de zes IP adressen kan getest worden - deze zie je terug komen in de firewall logs. Omdat verkeer via zes IP's de firewall raakt, kan ik stellen dat ik eigenlijk zes werkende IP's heb ;-)

maandag 15 oktober 2018 22:02

Acties:
  • 0 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

boukej schreef op maandag 15 oktober 2018 @ 21:59:
[...]


Ik heb de instructies bekeken. Ik heb hier een paar opmerkingen over.

Stel je hebt het volgende subnet gekregen: 
185.abc.xyz.16/29


Dan heb je te maken met de volgende IP adressen:
185.abc.xyz.16 (Subnet Address)
185.abc.xyz.17 (Router)
185.abc.xyz.18
185.abc.xyz.19
185.abc.xyz.20
185.abc.xyz.21
185.abc.xyz.22
185.abc.xyz.23 (Broadcast Address)


In het veld "GRE tunnel local address" en in "GRE tunnel remote address" kan ik "185.abc.xyz.17" gebruiken. Vervolgens kan ik "185.abc.xyz.18" t/m "185.abc.xyz.22" invoeren als "Virtual IPs".

De tunnel komt opgang door middel van "GRE Remote Address" en het eigen "WAN IP" wat bij ExtraIP.com bekend is. De werking van de zes IP adressen kan getest worden - deze zie je terug komen in de firewall logs. Omdat verkeer via zes IP's de firewall raakt, kan ik stellen dat ik eigenlijk zes werkende IP's heb ;-)
Correct, de .17 kan je inderdaad gewoon mee gebruiken in je NAT ruling :)
Dus dat is wel de "winst" van 1 extra IP die je mee kan laten spelen in je configuratie.

maandag 15 oktober 2018 22:04

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

Kopertje schreef op donderdag 13 september 2018 @ 10:57:
[...]
Hey! Bedankt voor je antwoord, maar ik maak er geen gebruik meer van. De latency is voor mij veelste hoog. Het laden van een simpel HTML website-tje van minder dan 1MB, duurt 2-3 seconden.
Groet, Kopertje
Dat is vreemd. Ik heb dit werkend in combinatie met ownCloud. Dit werkt prima.

donderdag 17 oktober 2019 14:51

Acties:
  • 0 Henk 'm!
  • Massiefje
  • Registratie: Mei 2002
  • Laatst online: 09-09 14:07

Massiefje

Ik ben hier ook mee bezig op PFSense. Handleiding van KragtICT is erg handig, maar er zit iets in , wat ik niet begrijp.

Laatste stap bij Static Routes wordt er gesproken over "in dit voorbeeld 1.2.3.4", maar er wordt niet gerefereerd naar dit IP adres in de gehele handleiding. Ik snap dus ook niet welk IP ik hier zelf moet gebruiken.

Iemand een idee?

Mijn testrange is: 37.148.196.248/29

EDIT: Inmiddels is het mij gelukt om te route werkend, maar enkel inkomend via nat. Ik kan dus mijn smtp server benaderen, of wat dan ook, via de GRE tunnel.

Echter, ik zou ook graag werkend willen zien, dat ik zelf via deze tunnel naar buiten ga en daar loop ik nu vast.

Iemand hier tips over? Het aanpassen van de 'default gateway' in pFSense werkt niet. Dan heb ik geen internet verkeer meer.

[ Voor 33% gewijzigd door Massiefje op 18-10-2019 11:58 ]

vrijdag 10 juli 2020 18:07

Acties:
  • 0 Henk 'm!
  • zebrafilm
  • Registratie: Februari 2005
  • Laatst online: 27-03 13:42

zebrafilm

Ik ben ook aan het vechten met ExtraIP via OPNSENSE.

Vraagje: GRE remote address, gebruik je daar je eigen WAN adres voor of het IP wat ExtraIP als tunnel endpoint geeft?

woensdag 7 april 2021 10:19

Acties:
  • 0 Henk 'm!
  • joeybrum
  • Registratie: September 2019
  • Laatst online: 10-04-2021

joeybrum

Zijn er mensen die me iets verder kunnen helpen in pfsense 2.5, ik heb de extraip.com GRE tunnels werkend gehad op versie 2.4.5, alleen nu het upgrade en het opnieuw aanmaken van de tunnels loop ik vast. De GRE tunnel heb ik opgezet met behulp van de documentatie van @Vorkie , als ik nu de tunnel activeer en als default gateway zet. een traceroute laat lopen valt de verbinding dood bij extraip, ik denk dat er dus iets niet klopt in mn routering nu. Als er mensen zijn die denken een idee te hebben zal ik wat screenshots delen :)

zaterdag 10 april 2021 15:25

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

joeybrum schreef op woensdag 7 april 2021 @ 10:19:
Zijn er mensen die me iets verder kunnen helpen in pfsense 2.5, ik heb de extraip.com GRE tunnels werkend gehad op versie 2.4.5, alleen nu het upgrade en het opnieuw aanmaken van de tunnels loop ik vast. De GRE tunnel heb ik opgezet met behulp van de documentatie van @Vorkie , als ik nu de tunnel activeer en als default gateway zet. een traceroute laat lopen valt de verbinding dood bij extraip, ik denk dat er dus iets niet klopt in mn routering nu. Als er mensen zijn die denken een idee te hebben zal ik wat screenshots delen :)
Ik zou de default gateway niet aanpassen maar een outbound nat regel toevoegen. Dat kan ook voor een compleet subnet.

Afbeeldingslocatie: https://tweakers.net/i/M3fGqwMBJUkCOely63lV9K3iREQ=/800x/filters:strip_exif()/f/image/6UzWpzg5lD0E0oVjxk3V2DfG.png?f=fotoalbum_large

De vraag is ook wat je doel is? Verkeer via de GRE gaat over jou standaard gateway maar breekt via de GRE tunnel ergens anders uit naar het internet. Ik vind dan een outbound rule het gemakkelijkste.

[ Voor 8% gewijzigd door boukej op 10-04-2021 15:32 ]

zaterdag 10 april 2021 15:53

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

zebrafilm schreef op vrijdag 10 juli 2020 @ 18:07:
Ik ben ook aan het vechten met ExtraIP via OPNSENSE.

Vraagje: GRE remote address, gebruik je daar je eigen WAN adres voor of het IP wat ExtraIP als tunnel endpoint geeft?
Remote address is één van de tunnel endpoints. Dat is dus de verbinding tussen jou WAN IP en het IP aan de serverkant van ExtraIP.

Vervolgens heb je dan nog Local IPv4 tunnel address en Remote IPv4 address address. Ik heb voor beide "gewoon" het tweede IP adres gebruikt. Deze twee zijn dus aan elkaar gelijk. Dat werkt voor mij prima.

https://nlsite.net/pub/img/pfSense-GRE1.png
https://nlsite.net/pub/img/pfSense-GRE2.png
https://nlsite.net/pub/img/pfSense-GRE3.png
https://nlsite.net/pub/img/pfSense-GRE4.png
https://nlsite.net/pub/img/pfSense-GRE5.png
https://nlsite.net/pub/img/pfSense-GRE6.png

woensdag 28 april 2021 14:40

Acties:
  • 0 Henk 'm!
  • FIFARenderZ
  • Registratie: Oktober 2016
  • Laatst online: 19-01-2024

FIFARenderZ

Heb ook een probleem met het opzetten van ExtraIP op pfSense en ik heb geen idee waar het nu fout gaat. Heb de screenshots van @boukej en de tutorial van @Vorkie gevolgt en alles staat ingesteld zoals daarin aangegeven. Tot nu toe zit ik vast op de firewall.

In pfSense wordt de request namelijk netjes doorgelaten, maar toch geeft de poort scanner aan dat de poort dicht zit :?
Afbeeldingslocatie: https://tweakers.net/i/LRDUV8E6iPFv3LlTI8Z5ebLwpYA=/800x/filters:strip_exif()/f/image/tsWOwsrVz2aH36iqebJfKCd3.png?f=fotoalbum_large

EDIT: Mijn pfSense versie is 2.5.1, dus de tutorial van @Vorkie is niet echt up-to-date voor mij

[ Voor 7% gewijzigd door FIFARenderZ op 28-04-2021 14:45 ]

zondag 2 mei 2021 10:50

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

@FIFARenderZ Er zit een bug in 2.5.1. Hierdoor werkt NAT/FW rules niet over een andere gateway dan de default. Ik draai nu weer 2.4.5 p1. Ik sla 2.5.1 over. Ik wacht wel op 2.6.

Ik heb de 2.6 devel geprobeerd maar dat geeft crashes op mijn APU3. Ik heb nog geen clean install van 2.6 devel geprobeerd. Ik heb een clean install van 2.4.5 p1 gedaan en delen van de config gerestored.

zondag 2 mei 2021 15:36

Acties:
  • 0 Henk 'm!
  • FIFARenderZ
  • Registratie: Oktober 2016
  • Laatst online: 19-01-2024

FIFARenderZ

boukej schreef op zondag 2 mei 2021 @ 10:50:
@FIFARenderZ Er zit een bug in 2.5.1. Hierdoor werkt NAT/FW rules niet over een andere gateway dan de default. Ik draai nu weer 2.4.5 p1. Ik sla 2.5.1 over. Ik wacht wel op 2.6.

Ik heb de 2.6 devel geprobeerd maar dat geeft crashes op mijn APU3. Ik heb nog geen clean install van 2.6 devel geprobeerd. Ik heb een clean install van 2.4.5 p1 gedaan en delen van de config gerestored.
Oh, dat is lekker dan. Dat wordt dus een downgrade dan maar en dan opnieuw proberen. Bedankt voor de reactie!

maandag 23 augustus 2021 23:02

Acties:
  • 0 Henk 'm!
  • Jimbo220
  • Registratie: September 2008
  • Laatst online: 23-08-2021

Jimbo220

boukej schreef op zondag 2 mei 2021 @ 10:50:
@FIFARenderZ Er zit een bug in 2.5.1. Hierdoor werkt NAT/FW rules niet over een andere gateway dan de default. Ik draai nu weer 2.4.5 p1. Ik sla 2.5.1 over. Ik wacht wel op 2.6.

Ik heb de 2.6 devel geprobeerd maar dat geeft crashes op mijn APU3. Ik heb nog geen clean install van 2.6 devel geprobeerd. Ik heb een clean install van 2.4.5 p1 gedaan en delen van de config gerestored.
Gewoon HAproxy gebruiken op Pfsense 2.5.2. Werkt prima. :)

vrijdag 27 augustus 2021 21:53

Acties:
  • 0 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

Jimbo220 schreef op maandag 23 augustus 2021 @ 23:02:
[...]
Gewoon HAproxy gebruiken op Pfsense 2.5.2. Werkt prima. :)
In 2.5.2 is het probleem opgelost.

Outbound NAT blijkt overigens wel anders te werken. Ik kan geen virtueel IP meer zetten op de interface waar de GRE tunnel op uit wordt gedrukt. Wat je met alleen een outbound NAT regel ziet is dat uitgaand verkeer via het WAN IP uitbreekt. Dat is niet echt wenselijk. Dat is op te lossen door op de interface - waarvan het desbetreffende verkeer afkomstig is - een firewall regel toe te voegen / aan te passen en de gateway te selecteren. Dan werkt het prima.

Voor gasten netwerk (GuestNET) heb ik bijvoorbeeld twee regels:
  1. Pass from GuestNET net > This firewall (self) @ 53
  2. Pass from GuestNET net > inverse LocalNETs @ GuestNET_Ports +Advanced: Gateway: GRE Tunnel
LocalNETs is een alias met IP ranges uit RFC1918 + RFC6598.
GuestNET_Ports is een alias met poorten waarmee verbonden mag worden.

Boven die twee regels heb ik expliciete blocks/rejects en uitzonderingen naar andere LAN's.

[ Voor 0% gewijzigd door boukej op 27-08-2021 21:55 . Reden: Opmaak ]

zondag 9 januari 2022 22:27

Acties:
  • +3 Henk 'm!
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 06-09 22:17

boukej

Ik weet dat dit topic "oud" is maar ik heb een nieuwe blog post geschreven op basis van pfSense 2.5.2 (update: werkt ook prima met pfSense 2.6.0): https://ict-diensten.com/...ed-subnet-via-extraip-com https://nlsite.net/nl/blo...ed-subnet-via-extraip-com.

Niet alleen het opzetten van de tunnel is beschreven maar ook het maken van de NAT-regels (zowel inbound als outbound). Outbound NAT is belangrijk om uitgaand verkeer via het juiste IP via de GRE uit te laten breken naar 't internet. Ik heb aan iedere stap een screenshot toegevoegd, zodat er voor iedere stap een duidelijk voorbeeld voorhanden is.

Ik hoop dat iemand er wat aan heeft en hiermee vlot zijn routed subnet aan de praat krijgt onder pfSense.

[ Voor 11% gewijzigd door boukej op 06-06-2022 20:36 . Reden: Link aangepast i.v.m. nieuwe blog (content nlsite.net verhuisd naar ict-diensten.com) ]

donderdag 5 januari 2023 15:39

Acties:
  • 0 Henk 'm!
  • peterpaulk
  • Registratie: November 2011
  • Laatst online: 08-09 20:03

peterpaulk

boukej schreef op zondag 9 januari 2022 @ 22:27:
Ik weet dat dit topic "oud" is maar ik heb een nieuwe blog post geschreven op basis van pfSense 2.5.2 (update: werkt ook prima met pfSense 2.6.0): https://ict-diensten.com/...ed-subnet-via-extraip-com https://nlsite.net/nl/blo...ed-subnet-via-extraip-com.

Niet alleen het opzetten van de tunnel is beschreven maar ook het maken van de NAT-regels (zowel inbound als outbound). Outbound NAT is belangrijk om uitgaand verkeer via het juiste IP via de GRE uit te laten breken naar 't internet. Ik heb aan iedere stap een screenshot toegevoegd, zodat er voor iedere stap een duidelijk voorbeeld voorhanden is.

Ik hoop dat iemand er wat aan heeft en hiermee vlot zijn routed subnet aan de praat krijgt onder pfSense.
kickje omdat het nog mag. @boukej ik heb jouw guide gevolgd maar op een of andere manier krijg ik snat/outbound niet aan de praat ... hij pakt wel mijn outbound route als ik geen snat toevoeg (dus hij gaat over de GRE main ip tunnel naar buiten) - maar een snat tag breekt het internet op betreffende machine. Enig idee? (pf v2.5.2)

EDIT: uitgevonden ...

in mijn setup werkt het zo - dat ik voor sNAT niet een ip kan kiezen dat al alloceert is als VIP... ik moet dus een ander adres kiezen ...mijn range (/24 pi) is groot genoeg dus geen probleem.

[ Voor 7% gewijzigd door peterpaulk op 05-01-2023 19:10 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq