grmg2010
Goto Top

PfSense LAN-Ports bridgen

Moin,

ich habe eine pfSense (v2.5.0) in Hyper-V virtualisiert. Der Zugriff sowohl auf das Internet als auch das Webinterface funktionieren soweit. Ein DHCP für LAN ist eingerichtet und funktionsfähig. Nun möchte ich gerne das gleiche Subnetz einmal an die VMs des Hosts durchreichen (privater Adapter) als auch im gesamten Netzwerk zur Verfügung stellen (externer Adapter).

Für die Einrichtung habe ich mir die folgende Seite als Beispiel genommen: https://protectli.com/kb/how-to-enable-lan-bridge-with-pfsense/
Leider funktioniert dies nicht, sobald ich LAN auf die Bridge umstelle, habe ich keinerlei Zugriff mehr. Laut der verlinkten Seite sollte es möglich sein, über die Bridge dann eine IP zugewiesen zu bekommen.

Gruß

Content-Key: 665124

Url: https://administrator.de/contentid/665124

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Tezzla
Tezzla 25.03.2021 um 14:40:48 Uhr
Goto Top
Moin,

verstehe ich das richtig, dass du das gleiche Subnetz für WAN Port und LAN Port deiner virtuellen PFSense nutzen möchtest?
Falls das deine Idee ist: Das ist käse.

VG
Mitglied: 117471
117471 25.03.2021 um 14:56:01 Uhr
Goto Top
Hallo,

woher soll die Firewall dann wissen, in welchem Netz der Client ist? Und was soll passieren, wenn konkurrierende statisch gesetzte IPs auftauchen? Kurzum: Das kann nicht funktionieren.

Mach‘ zwei Netze und setze eine Route. Oder verzichte auf die pfSense, dann können die VMs auch IPs aus dem physikalischen Netz haben.

Gruß,
Jörg
Mitglied: grmg2010
grmg2010 25.03.2021 um 15:42:19 Uhr
Goto Top
Dann habe ich mich falsch ausgedrückt. Der WAN-Port bleibt natürlich separat. Was ich möchte ist, dass ich quasi zwei Ports habe, über die das gleiche Netzwerk geleitet wird. Also mehr oder weniger einen Switch ähnlich der Funktion in einer Fritz!Box. Daher der Einsatz einer Bridge um zwei (pysische) Ports für ein Netzwerk zu nutzen.
Mitglied: Tezzla
Tezzla 25.03.2021 um 15:48:20 Uhr
Goto Top
Zitat von @grmg2010:

Dann habe ich mich falsch ausgedrückt. Der WAN-Port bleibt natürlich separat. Was ich möchte ist, dass ich quasi zwei Ports habe, über die das gleiche Netzwerk geleitet wird. Also mehr oder weniger einen Switch ähnlich der Funktion in einer Fritz!Box. Daher der Einsatz einer Bridge um zwei (pysische) Ports für ein Netzwerk zu nutzen.

Auch das ist meines Wissens nach nicht möglich, zumindest nicht einfach so. Die Firewall erwartet erst einmal immer ein eigenes Subnetz pro Interface. Mir fällt auch kein Grund ein, warum man das ändern sollte. Wenn du Dienste unter anderen IP Adressen für die gleiche Firewall bereitstellen möchtest, kannst du virtuelle IPs einrichten. Ein weiteres Interface ist aber eigentlich der falsche Ansatz für soetwas.
Mitglied: grmg2010
grmg2010 25.03.2021 um 15:51:18 Uhr
Goto Top
Die pfSense soll später der Router sein. Im Testszenario bekommt sie am WAN-Port eine Adresse per DHCP zugewiesen, später Einwahl über PPPoE. Deswegen wollte ich zum einen die auf dem Server laufenden VMs per internem Switch mit dem gleichen Netzwerk versorgen, wie z.B. WLAN-Clients.

Und die Option muss es ja geben, sowohl die Wiki des Herstellers als auch andere Seiten beschreiben gerade den Bridge-Mode von mehrere Netzwerkports. Und genau das ist es, was ich ja machen möchte.

Alternativ wäre sicher das Setzen einer Route möglich, als auch das weglassen des (virtuellen) Netzwerkports für die VMs.
Mitglied: aqui
Lösung aqui 25.03.2021 aktualisiert um 15:56:46 Uhr
Goto Top
Die Anleitung ist schon richtig aber in einer Virstualisierung ja irgendwie völlig unsinnig. Du hast dort ja einen vSwitch an dem der Port anhängt und an dem du zig weitere VMs oder auch eine physische NIC des Hypervisors anflanschen kannst. Der vSwitch macht doch ein Bridging innerhalb einer Virtualisierung völlig überflüssig weil der vSwitch selber das schon macht !

Was bei dir oben passiert ist sicher die Tatsache das du auch mit deinem Konfig Rechner am LAN Port bzw. dessen IP angemeldet bist. Erzeugst du dann eine Bridge und nimmst den LAN Port als Member zur Bridge hinzu verliert der LAN Port sofort seine IP. Du sägst dir dann also selber den Ast ab auf dem du sitzt.
Die finale IP Netz IP wird bei einer pfSense Bridge später immer an das Bridge Interface gebunden und nicht mehr an ein physisches Member Interface.
Du musst das Setup also über den virtuellen Monitor machen der Firewall VM oder über ein Interface was NICHT Bridge Member ist oder wird.
Aber wie gesagt...in einer Virtualisierungs Umgebung ist das Bridge Setup eigentlich per se Quatsch !
Mitglied: grmg2010
grmg2010 25.03.2021 um 15:56:17 Uhr
Goto Top
Letztendlich versuche ich das Folgende umzusetzen: https://docs.netgate.com/pfsense/en/latest/bridges/interfaces.html
Mitglied: aqui
aqui 25.03.2021 um 15:57:37 Uhr
Goto Top
Wie bereits gesagt...eigentlich Unsinn. Siehe oben...
Mitglied: grmg2010
grmg2010 25.03.2021 um 16:01:21 Uhr
Goto Top
Daran hatte ich gedacht, ich arbeite von einem anderen Port aus um mich nicht auzusperren. Deine Erklärung ist einleuchtend, eigentlich müsste einem vSwitch des Typs "Extern" reichen. Damit können sowohl die VMs als auch alle externen Clients erreicht werden.

Dann muss ich mir das Bridging mal für ein Szenario aufbewahren, in dem keine Virtualisierung vorkommt.
Mitglied: aqui
aqui 25.03.2021 um 16:19:26 Uhr
Goto Top
Dann muss ich mir das Bridging mal für ein Szenario aufbewahren, in dem keine Virtualisierung vorkommt.
Nur da macht es auch Sinn wenn man dediziertes Blech für die Firewall hat. 😉
Mitglied: 117471
117471 25.03.2021 um 17:58:05 Uhr
Goto Top
Hallo,

noch einmal - was soll das?

Ob ein oder zwei Ports zu deinem virtuellen Switch zeigen ist völlig egal.

Und wenn alle VMs in ein Netz sollen macht es zudem keinen Unterschied, wenn Du alle VMs an einen virtuellen Switch hängst.

Das Ergebnis ist immer das Gleiche face-smile

Gruß,
Jörg