6
PfSense nur in einem einzigen Fall erreichbar
Hallo,
ich versuche immer noch eine PfSense (zu Testzwecken in einer VM aufzusetzen), allerdings scheitert es immer wieder an folgendem Umstand:
Sobald in der Konsole mehr als das WAN Interface untagged mit dem Management-LAN konfiguriert wird, geht gar nichts mehr. PfSense ist dann nicht mehr erreichbar.
Eigentlich möchte ich das hier haben:
WAN - VLAN 100
LAN - VLAN 110
OPT1 - VLAN 1 (fürs Management)
Eine Frage:
In ESXi stelle ich ja die Portgruppen für die VMs ein. Dort kann bzw. muss ich ja auch direkt eine VLAN-ID angeben.
Wenn ich jetzt bspw. für das LAN-Interface der PfSense dort VLAN 110 angebe, muss ich dann in der PfSense selbst für das entsprechende Interface auch noch mal einen VLAN-Tag angeben oder bleibt das dann untagged.
Sprich, macht der ESXi Adapter durch die Angabe des VLAN-Tags bereits ein untagged LAN daraus?
ich versuche immer noch eine PfSense (zu Testzwecken in einer VM aufzusetzen), allerdings scheitert es immer wieder an folgendem Umstand:
Sobald in der Konsole mehr als das WAN Interface untagged mit dem Management-LAN konfiguriert wird, geht gar nichts mehr. PfSense ist dann nicht mehr erreichbar.
Eigentlich möchte ich das hier haben:
WAN - VLAN 100
LAN - VLAN 110
OPT1 - VLAN 1 (fürs Management)
Eine Frage:
In ESXi stelle ich ja die Portgruppen für die VMs ein. Dort kann bzw. muss ich ja auch direkt eine VLAN-ID angeben.
Wenn ich jetzt bspw. für das LAN-Interface der PfSense dort VLAN 110 angebe, muss ich dann in der PfSense selbst für das entsprechende Interface auch noch mal einen VLAN-Tag angeben oder bleibt das dann untagged.
Sprich, macht der ESXi Adapter durch die Angabe des VLAN-Tags bereits ein untagged LAN daraus?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305454
Url: https://administrator.de/contentid/305454
Printed on: April 19, 2024 at 14:04 o'clock
6 Comments
Latest comment
Hallo Stephan,
ich würde die VLAN-Interfaces auf dem ESXi anlegen und die Interfaces auf der pfSense komplett untagged betreiben. Je nach verwendeter Hardware / Netzwerkkarte kann es nämlich sein, dass die VLAN-Tags von der VM nicht durchgereicht werden können.
Ausserdem solltest du prüfen, dass die einzelnen Interfaces auch in der pfSense richtig zugeordnet werden.
Beste Grüße!
Berthold
ich würde die VLAN-Interfaces auf dem ESXi anlegen und die Interfaces auf der pfSense komplett untagged betreiben. Je nach verwendeter Hardware / Netzwerkkarte kann es nämlich sein, dass die VLAN-Tags von der VM nicht durchgereicht werden können.
Ausserdem solltest du prüfen, dass die einzelnen Interfaces auch in der pfSense richtig zugeordnet werden.
Beste Grüße!
Berthold
Danke.
So hab ich es gemacht. Alle VLAN-Interfaces habe ich auf dem ESXi angelegt und das funktioniert auch.
Das WebInterface der PfSense war über das WAN-Interface erreichbar. Nun habe ich im WebInterface versucht das Management LAN anzulegen, anfangs erstmal mit IP-Adressbezug über DHCP. Laut Konsole der pfSense bekommt das LAN-Interface auch die richtige IP aus dem richtigen Subnetz per DHCP zugewiesen. Nur: Rund 1 min nachdem ich das LAN-Interface aktiviert habe war das WebInterface der PfSense weder über die WAN-IP noch über die neue LAN-IP erreichbar. WARUM?! Es ist zum verzweifeln...
EDIT: Kaum lösche ich in der Konsole das LAN-Interface Assignment, schon geht das WebInterface über die WAN-IP wieder
EDIT2: Unter Umständen habe ich den Fehler gefunden. Sollte das wirklich der Fall sein, dann ist PfSense die dämlichste Firewall der Welt und jeder Speedport ist besser...
EDIT3: Ist es der Fall, dass die PfSense Firewall standardmäßig jedweden Traffic blockiert, ohne dass dafür explizit Regeln erstellt wurden?
So hab ich es gemacht. Alle VLAN-Interfaces habe ich auf dem ESXi angelegt und das funktioniert auch.
Das WebInterface der PfSense war über das WAN-Interface erreichbar. Nun habe ich im WebInterface versucht das Management LAN anzulegen, anfangs erstmal mit IP-Adressbezug über DHCP. Laut Konsole der pfSense bekommt das LAN-Interface auch die richtige IP aus dem richtigen Subnetz per DHCP zugewiesen. Nur: Rund 1 min nachdem ich das LAN-Interface aktiviert habe war das WebInterface der PfSense weder über die WAN-IP noch über die neue LAN-IP erreichbar. WARUM?! Es ist zum verzweifeln...
EDIT: Kaum lösche ich in der Konsole das LAN-Interface Assignment, schon geht das WebInterface über die WAN-IP wieder
EDIT2: Unter Umständen habe ich den Fehler gefunden. Sollte das wirklich der Fall sein, dann ist PfSense die dämlichste Firewall der Welt und jeder Speedport ist besser...
EDIT3: Ist es der Fall, dass die PfSense Firewall standardmäßig jedweden Traffic blockiert, ohne dass dafür explizit Regeln erstellt wurden?
Zitat von @stephan902:
Danke.
So hab ich es gemacht. Alle VLAN-Interfaces habe ich auf dem ESXi angelegt und das funktioniert auch.
Das WebInterface der PfSense war über das WAN-Interface erreichbar. Nun habe ich im WebInterface versucht das Management LAN anzulegen, anfangs erstmal mit IP-Adressbezug über DHCP. Laut Konsole der pfSense bekommt das LAN-Interface auch die richtige IP aus dem richtigen Subnetz per DHCP zugewiesen. Nur: Rund 1 min nachdem ich das LAN-Interface aktiviert habe war das WebInterface der PfSense weder über die WAN-IP noch über die neue LAN-IP erreichbar. WARUM?! Es ist zum verzweifeln...
EDIT: Kaum lösche ich in der Konsole das LAN-Interface Assignment, schon geht das WebInterface über die WAN-IP wieder
EDIT2: Unter Umständen habe ich den Fehler gefunden. Sollte das wirklich der Fall sein, dann ist PfSense die dämlichste Firewall der Welt und jeder Speedport ist besser...
Kann ich mir nicht vorstellen, aber was glaubst du denn, wo der Fehler liegt?Danke.
So hab ich es gemacht. Alle VLAN-Interfaces habe ich auf dem ESXi angelegt und das funktioniert auch.
Das WebInterface der PfSense war über das WAN-Interface erreichbar. Nun habe ich im WebInterface versucht das Management LAN anzulegen, anfangs erstmal mit IP-Adressbezug über DHCP. Laut Konsole der pfSense bekommt das LAN-Interface auch die richtige IP aus dem richtigen Subnetz per DHCP zugewiesen. Nur: Rund 1 min nachdem ich das LAN-Interface aktiviert habe war das WebInterface der PfSense weder über die WAN-IP noch über die neue LAN-IP erreichbar. WARUM?! Es ist zum verzweifeln...
EDIT: Kaum lösche ich in der Konsole das LAN-Interface Assignment, schon geht das WebInterface über die WAN-IP wieder
EDIT2: Unter Umständen habe ich den Fehler gefunden. Sollte das wirklich der Fall sein, dann ist PfSense die dämlichste Firewall der Welt und jeder Speedport ist besser...
EDIT3: Ist es der Fall, dass die PfSense Firewall standardmäßig jedweden Traffic blockiert, ohne dass dafür explizit Regeln erstellt wurden?
Ja, dafür ist es eine Firewall... Über das LAN-Interface solltest du allerdings immer Zugriff auf das Webinterface haben. (Stichwort: Anti-Lockout-Rule)
In dem Moment, wo ein LAN-Netz angelegt wird, wirft er die Anti-Lockout-Rule aus dem WAN-Netz raus und setzt sie stattdessen im LAN-Netz. Aus irgendeinem absurden Grund muss die Anti-Lockout-Rule jedoch im WAN-Netz manuell zusätzlich wieder gesetzt werden, damit nach wie vor (auch über das LAN-Netz) Zugriff besteht...
Kurze Frage zu PfSense: Warum muss zum Beispiel bei einer Firewall-Regel für eingehende Pakete aus dem LAN-Netz swowohl als Interface das LAN-Interface, als auch als Source das LAN-Netz auswählen. Ist das nicht redudant?
Kurze Frage zu PfSense: Warum muss zum Beispiel bei einer Firewall-Regel für eingehende Pakete aus dem LAN-Netz swowohl als Interface das LAN-Interface, als auch als Source das LAN-Netz auswählen. Ist das nicht redudant?
Zitat von @stephan902:
In dem Moment, wo ein LAN-Netz angelegt wird, wirft er die Anti-Lockout-Rule aus dem WAN-Netz raus und setzt sie stattdessen im LAN-Netz. Aus irgendeinem absurden Grund muss die Anti-Lockout-Rule jedoch im WAN-Netz manuell zusätzlich wieder gesetzt werden, damit nach wie vor (auch über das LAN-Netz) Zugriff besteht...
Bist du sicher, dass die Interfaces richtig zugeordnet sind und du aus dem richtigen Netz zugreifst?In dem Moment, wo ein LAN-Netz angelegt wird, wirft er die Anti-Lockout-Rule aus dem WAN-Netz raus und setzt sie stattdessen im LAN-Netz. Aus irgendeinem absurden Grund muss die Anti-Lockout-Rule jedoch im WAN-Netz manuell zusätzlich wieder gesetzt werden, damit nach wie vor (auch über das LAN-Netz) Zugriff besteht...
Kurze Frage zu PfSense: Warum muss zum Beispiel bei einer Firewall-Regel für eingehende Pakete aus dem LAN-Netz swowohl als Interface das LAN-Interface, als auch als Source das LAN-Netz auswählen. Ist das nicht redudant?
Zitat von @BirdyB:
Zitat von @stephan902:
In dem Moment, wo ein LAN-Netz angelegt wird, wirft er die Anti-Lockout-Rule aus dem WAN-Netz raus und setzt sie stattdessen im LAN-Netz. Aus irgendeinem absurden Grund muss die Anti-Lockout-Rule jedoch im WAN-Netz manuell zusätzlich wieder gesetzt werden, damit nach wie vor (auch über das LAN-Netz) Zugriff besteht...
Bist du sicher, dass die Interfaces richtig zugeordnet sind und du aus dem richtigen Netz zugreifst?In dem Moment, wo ein LAN-Netz angelegt wird, wirft er die Anti-Lockout-Rule aus dem WAN-Netz raus und setzt sie stattdessen im LAN-Netz. Aus irgendeinem absurden Grund muss die Anti-Lockout-Rule jedoch im WAN-Netz manuell zusätzlich wieder gesetzt werden, damit nach wie vor (auch über das LAN-Netz) Zugriff besteht...
Ziemlich, da die Interfaces per DHCP sonst nicht IPs aus den richtigen Subnetzen zugeordnet würden. Ja, eigentlich schon.
