philbrx
Goto Top

PFSENSE - Gleiches Netz bei 2 Interfaces

Moin Leute,

ich habe aktuell ein kleines Problem mit meiner PFSENSE und hoffe ihr habt Tipps für mich face-smile

Ich habe eine PFSENSE (Hardware) mit 4 Ports

Durch div. Einschränkungen im Netz bin ich gezwungen auf der WAN- und LAN-Seite das gleiche Netz zu konfigurieren.

WAN: 192.168.100.200 (geht zum Router, der die IP: 192.168.100.100 hat)
LAN: 192.168.100.100 (internes Netz mit Server usw.)

Wie bekomme ich das am besten hin mit NAT/Routing?

Vielen Dank für eure Hilfe!

Gruß Philipp

Content-Key: 667081

Url: https://administrator.de/contentid/667081

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: maretz
maretz 26.05.2021 um 10:02:20 Uhr
Goto Top
Entweder durch die Netzmasken (es gibt ja nicht nur /24, du kannst ja z.B. auch unterteilen indem du 192.168.100.0/25 auf intern, 192.168.100.128/25 uf extern konfigurierst) - dann musst du aber natürlich dafür sorgen das die jeweiligen Geräte auch im passenden Netz sind..

Wenn du das auch nicht sicherstellen kannst ist die Antwort einfach:GAR NICHT. Du kannst jetzt Krücken über 2 Router bauen,... aber damit wirst du nicht glücklich werden. In dem Fall gehts halt nicht und du musst dir was anderes überlegen...
Mitglied: lcer00
lcer00 26.05.2021 um 10:49:21 Uhr
Goto Top
Hallo,
Zitat von @philbrx:

Moin Leute,

ich habe aktuell ein kleines Problem mit meiner PFSENSE und hoffe ihr habt Tipps für mich face-smile

Ich habe eine PFSENSE (Hardware) mit 4 Ports

Durch div. Einschränkungen im Netz bin ich gezwungen auf der WAN- und LAN-Seite das gleiche Netz zu konfigurieren.
Welche Einschränkungen sind das denn? Ohne die zu kennen, werden wir Dir bei deinem eigentlichen Problem nicht helfen können, denn grundsätzlich geht das eigentlich nicht.

Grüße

lcer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.05.2021 aktualisiert um 11:05:37 Uhr
Goto Top
Zitat von @philbrx:

WAN: 192.168.100.200 (geht zum Router, der die IP: 192.168.100.100 hat)
LAN: 192.168.100.100 (internes Netz mit Server usw.)

Wie bekomme ich das am besten hin mit NAT/Routing?


Moin,

Gar nicht!

Wie schon der Highlander sagte: Es kann nur einen geben!. Das gilt insbesondere für IP-Netze. Diese müssen auf beiden Seiten eines Routers disjunkt sein.

Man könnte natürlich tricksen, indem man die beiden Interfaces bridged und dann durch passende Regeln dafür sorgt, daß nur die Pakete druchgehen, die auch durch dürfen, aber das ist Murkserei.

Also: Plane Deine Netze neu, so daß sie disjunkt sind.

lks

PS: Du könntest natürlich auch eine Routerkaskade machen. Du hängst an den LAN-Port der pfsene einen NAT-Router der die 192.168.100.100 zum Rest vom LAN hat an seinem WAN-Port NAT macht. Dann definierst Du ein Transfernetz zwischen dem LAN-Port der pfsense und und dem WAN-Port des neuen Routers, z.B. 172.31.255.0/24 und Dein Problem ist scheinbar "gelöst". Du mußt dich dann aber auf ein paar "komische Verhaltensweisen" in deinem Netz gefaßt machen, weil das Murkserei ist und gegen die Regel verstößt, daß es nur einen geben kann!.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.05.2021 um 11:00:26 Uhr
Goto Top
Zitat von @maretz:

Entweder durch die Netzmasken (es gibt ja nicht nur /24, du kannst ja z.B. auch unterteilen indem du 192.168.100.0/25 auf intern, 192.168.100.128/25 uf extern konfigurierst) - dann musst du aber natürlich dafür sorgen das die jeweiligen Geräte auch im passenden Netz sind..

Funktioniert nicht, wenn sowohl die pfsense als auch das gateway die 192.168.100.100 haben sollen. Egal mit welcher Maske.

lks
Mitglied: aqui
aqui 26.05.2021 aktualisiert um 11:47:03 Uhr
Goto Top
Frage ist was die Intention des TOs ist ? Wenn es nur ein IP Segment ist kann er 2 Ports mit einer Bridge verbinden, IP Adresse dann ans Bridge Interface binden und gut iss.
Das nennt sich dann eine "transparent Firewall"
https://docs.netgate.com/pfsense/en/latest/bridges/index.html
Kapitel: "Internal/External Bridges"
Vermutlich ist es dann das was der TO realisieren möchte ?! Die Firewall arbeitet dann rein auf L2 Basis zwischen 2 Segmenten in einem gemeinsamen IP Netz. NAT usw. ist dann aber mit so einem transparenten Firewall Design natürlich nicht supportet.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.05.2021 um 11:21:27 Uhr
Goto Top
Zitat von @aqui:

Frage ist was die Intention des TOs ist ? Wenn es nur ein IP Segment ist kann er 2 Ports mit einer Bridge verbinden, IP Adresse dann ans Bridge Interface binden und gut iss.

Schrieb ich ja auch schon (in anderen Worten). Allerdings glaube ich nicht, daß er das will, weil der die frage sonst anders stellen würde.

Das nennt sich dann eine "transparent Firewall"

Jupp. Wir /(eine Uni-Studentengruppe) haben eine proragmmierbare Bridge in den 80ern zu so einer Firewall "umfunktioniert" und vermutlich eine der ersten in Europa gebaut. Leider hat uns dann unser Professor gebremst, das Zeug veröffentlichen oder zu vermarkten, so daß andere dann schneller auf den Markt kamen.

https://docs.netgate.com/pfsense/en/latest/bridges/index.html
Vermutlich ist es dann das was der TO realisieren möchte die Firewall arbeitet dann auf L2 Basis.

Ich glaube eher, daß er zwei getrennte Netze will und durch schlechte Planung nun das Problem hat, zweimal das gleiche IP-Netz verwenden zu müssen.

lks
Mitglied: aqui
aqui 26.05.2021 aktualisiert um 11:45:27 Uhr
Goto Top
Allerdings glaube ich nicht, daß er das wil
Dann sollte er nochmal genau definieren was seine Intention ist... face-wink
Mitglied: aqui
aqui 27.05.2021 aktualisiert um 13:41:40 Uhr
Goto Top
Oder...wenn keine Interesse mehr an einer zielführenden Lösung besteht (kein Feedback ist auch ein Feedback !) den Tread dann bitte auch schliessen:
Wie kann ich einen Beitrag als gelöst markieren?