PFSENSE: GW im zweiten Netzsegment nicht erreichbar

evgenij

Well-Known Member
Hallo zusammen,

bevor ich mir opnsense/pfsense auf die Hardware installiere, beschäftige ich mich mit der Materie ein wenig im GNS3.

Die von mir bestellte Applicance wird über 6 Netzwerkanschlüsse verfügen, also dachte ich da an folgenden Aufbau:
em0: WAN
em1-4: LAN-Bridge
em5: DMZ

Aber bevor ich eine Bridge erstellen kann, muss ich irgendwie das Webinterface erreichen - also sah mein Grundaufbau wie folgt aus:
em0: WAN
em1: LAN 192.168.1.1/24 (erstellt auf der Konsole, hier funktioniert auch alles)

Dann habe ich versucht, über das WebInterface ein zweites Netzsegment (192.168.2.0/24) auf dem em2-Interface zu konfigurieren.
Aber leider bekomme ich es irgendwie nicht hin, dass der GW2 mir antwortet und/oder die Requests richting Internet weiterleitet.
So sieht der aktuelle aufbau im GNS3 jetzt aus:
GNS3.PNG


GW2 ist auf dem PC-2&PC-3 als default GW eingetragen, lässt sich aber nicht anpingen.
Der DHCP-Server auf dem em2-Interface vergibt aber fleißig die IP-Adressen...
pc2.PNG

Hat jemand eine Idee was ich vergessen habe? Von dem Router aus lassen sich alle Geräte anpingen.
 

Andy_m4

Well-Known Member
Ich verstehe nicht so ganz, was Du da konfigurierst.
Evtl. hilft es mal von jedem Gerät die IP-Konfiguration (ifconfig) und die Routingtabellen (netstat -r) hier rein zu werfen.
 

evgenij

Well-Known Member
Ich verstehe nicht so ganz, was Du da konfigurierst.
Evtl. hilft es mal von jedem Gerät die IP-Konfiguration (ifconfig) und die Routingtabellen (netstat -r) hier rein zu werfen.
Das ist die Übersicht der Routen aus dem WebInterface:
Routes.PNG


Da es sich bei den PC's um vereinfachte, virtuelle Geräte handelt, kann ich hier keine ipconfig-Ausgabe bereitstellen - die Rechner können das schlicht und einfach nicht. Der PC-2 hat aber z.B. die IP-Adresse 192.168.2.102/24 und der default GW auf dem Rechner ist die 192.168.2.1
Code:
PC-2> show

NAME   IP/MASK              GATEWAY           MAC                LPORT  RHOST:PORT
PC-2   192.168.2.102/24     192.168.2.1       00:50:79:66:68:01  10031  127.0.0.1:10032
       fe80::250:79ff:fe66:6801/64

PC-2> ping 192.168.2.1
192.168.2.1 icmp_seq=1 timeout
192.168.2.1 icmp_seq=2 timeout
192.168.2.1 icmp_seq=3 timeout
192.168.2.1 icmp_seq=4 timeout
192.168.2.1 icmp_seq=5 timeout

Meiner Meinung nach passt das so und sollte auch funktionieren, aber leider erreiche ich die im selben Subnet liegende IP des Gateways nicht (die 192.168.2.1/24), warum auch immer...

In diesem Fall verstehe ich nicht warum der PC-2 (192.168.2.102/24) den default-GW (192.168.2.1/24) nicht erreicht.
Die IP-Adresse bekommt der PC-2 von einem DHCP-Server, dieser hängt auf dem Interface vom GW (192.168.2.1/24)
 

Andy_m4

Well-Known Member
Da es sich bei den PC's um vereinfachte, virtuelle Geräte handelt, kann ich hier keine ipconfig-Ausgabe bereitstellen - die Rechner können das schlicht und einfach nicht.
Ist halt ungünstig, wenn man nicht mal grundlegende Diagnosemöglichkeiten hat.
Inwieweit solchen ominösen Simulationen zu trauen ist, sei deshalb mal dahin gestellt.
Es nützt ja auch nix, wenn man da irgendwie was hinkriegt was dann aber vielleicht in der Realität nicht funktioniert.

Eigentlich müssen die Clients auch nur ihre IP-Adresse haben mit dem /24 Subnetz und das default-Gateway nach 192.168.2.1 (für PC-2 und PC-3) bzw. nach 192.168.1.1.
Das wars von der Clientseite.

Der pfsense-Router muss Pakete die ins 192.168.1.0/24 Netz wollen nach em1 schicken und die ins 192.168.2.0/24 Netz wollen nach em2
Außerdem müssen natürlich die entsprechenden IP-Adressen ans Interface gebunden sein.
Also 192.168.2.1 an em2 und 192.168.1.1 an em1

Wichtig ist noch beim Router, das da das Routing auch eingeschaltet ist. Per default ist es das bei FreeBSD aus. Kann man nachprüfen mit
sysctl net.inet.ip.forwarding
Kommt ne 1 zurück ist Routing an. Bei 0 nicht.

Das ist die Übersicht der Routen aus dem WebInterface
Sieht schwer danach aus, als ob das ein netstat -rn ausführt. Spontan würde ich sagen: sieht ok aus.
Bietet das Webinterface analog dazu auch so was wie eine ifconfig-Ausgabe?
 

evgenij

Well-Known Member
Die pfsense läuft in einer VM, also ist es so gesehen keine Emulation, sondern Virtualisierung.
Dass die Ergebnisse trotzdem nicht 1zu1 übertragbar sind bin ich aber bei dir.

Ich habe in die Konfig zwei Linux-VM's mit Kali-Linux reingenommen.
Hier ist die Ausgabe von dem Kali-Rechner im Netz 1, wo alles funktioniert:
PC_SEG1.PNG


Das ist die Ausgabe von dem Rechner im Segment2:
PC_SEG2.PNG


Und das sind die Router-Interfaces:
Router_Interfaces.PNG


Irgendwie sehe ich hier keinen Fehler, es funzt aber nichts im LAN2. Firewall-Regeln sind alle deaktiviert, Routing aktiv...
 

gadean

Well-Known Member
Ich bin gerade am überlegen, das default Verhalten von pfsense beim Thema Firewall ist meines Wissens nach "alles blocken", existiert denn eine "Allow all" Regel? Vielleicht bringt ein "traceroute" bzw. "mtr" etwas Licht ins Dunkle.
 

evgenij

Well-Known Member
Ich bin gerade am überlegen, das default Verhalten von pfsense beim Thema Firewall ist meines Wissens nach "alles blocken", existiert denn eine "Allow all" Regel? Vielleicht bringt ein "traceroute" bzw. "mtr" etwas Licht ins Dunkle.
Danke, du bist mein Held! Ich hatte die "Default allow LAN to any" Regel vom Interface em1 kopiert, somit war die Source-Address auch noch auf LAN1(em1) eingestellt.
Nach der Umstellung auf em2 funktioniert nun alles wie gewünscht!
 
Oben