Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pfsense firewall Rule für zweiten Gateway auf einer Monowall

Frage Netzwerke Router & Routing

Mitglied: Schrauber77

Schrauber77 (Level 1) - Jetzt verbinden

19.12.2012 um 17:09 Uhr, 3364 Aufrufe, 8 Kommentare

Hallo zusammen,


habe folgende Situation:

Standort1:

-Pfsense mit Kabel-Anschluss als Standardgateway für mein Lan
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort2 alles im gleichen Netz 10.0.1.0/24

Standort 2:
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort 1 und Standardgateway im Netz 10.0.2.0/24

Es befinden sich keine weiteren Router in den Netzten lediglich DSL und Kabel Modems.

Der Tunnel steht und die Kommunikation von Standort 1 nach Standort 2 funktioniert seitdem ich in der pfsense unter System -> Routing -> Gateways die Monowall als Gateway eingetragen habe und unter Routes das 10.0.2.0/24er Netz auf das Monowall-Gateway umgeleitet hab.

Seitdem funktioniert pingen und vnc-Viewer in beide Richtungen.
Lediglich der Zugriff auf Netzfreigaben und die Lotus Notes Kommunikation funktioniert nur, wenn ich am Standort 1 die Monowall als Standardgateway angegeben habe.

Ein Blick in die Firwall Logs der pfsense zeigt, dass diese die Komunikation vom Lan ins 10.0.2.0er Netz block.

Also habe ich eine FW Rule unter Lan mit TCP/UDP Source LAN net und Destination Network 10.0.2.0/24 Ports any eingetragen.

Leider wird die Kommunikation immer noch geblockt.

Welche FW Rule muss ich setzten damit die Kommunikation über die eingetragene Route erlaubt wird.

Schon mal vielen Dank im Voraus.


Mit bestem Gruß

Dominique Gruhn


Mitglied: sk
19.12.2012, aktualisiert um 20:14 Uhr
Hört sich nach einem Triangle-Route-Problem an (wäre per Ping nicht diagnostizierbar). Jedoch sollte dann auch VNC-Viewer nicht gehen.
Was spricht denn dagegen, die Monowall an ein separates Interface der pfsense zu koppeln (quasi ein Transfernetz)? Und wozu überhaupt die Monowall am Standort 1? Warum macht das nicht die pfsense mit?

Gruß
sk
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 02:46 Uhr
Die Monowall habe ich aus Gründen der Redundanz noch laufen.

Eigenartigerweise funktioniert die Kommunikation nachdem ich einen Ping abgesetzt habe für einige Minuten.

Gruß. Dominique
Bitte warten ..
Mitglied: Dobby
20.12.2012, aktualisiert um 07:13 Uhr
Hallo Schrauber77,

es wäre ja auch einmal ziemlich cremig wenn Du schreiben könntest welche Hardware Du benutzt,
heute noch wäre ja schön, denn morgen geht ja Welt unter ;)

Netzwerk alternativ

Um die Geschwindigkeit des VPN Tunnels "etwas" anzuheben, kann man ja auch ein HSM (Hardware Security Module) einsetzen!
Bei pfSense kann man unter gewissen Umständen und je nach Verbindungstyp, den Durchsatz von ~14 MBit/s auf ~42 MBit/s steigern.
Ich meine das ist fast das dreifache und reicht in der Regel, nur falls es daran liegt, das Du kleinere "Kisten" am laufen hast!

Für Alix, IEI, LanTec, Soekris als mini PCI Karte Soekris vpn1411
Für Soekris net5501, IEI, Linatec als PCI Karte Soekris vpn1401
Für x86 Hardware oder Soekris net6501 als PCIe Karte Exar DX 1710 oder DX 1720

Falls es nur darum gehen sollte einen höheren Durchsatz zu erhalten!



Gruß
Dobby
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 10:22 Uhr
Hallo,

die pfsense läuft auf einem Alix Bord und die beiden Monowalls auf leer geräumten x86 Maschinen.

Das Tunnel-Tuning ist natürlich sehr interessant. Bringt mich so direkt aber leider nicht weiter.

Ich versteh nicht warum die pfsense den Verkehr Richtung Standort 2 blockt, eigentlich sollte diese doch nur Richtung Monowall routen.


Gruß Dominique
Bitte warten ..
Mitglied: sk
20.12.2012 um 10:54 Uhr
Hier ist die Triangleroute-Problematik bei stateful Firewalls erklärt (Punkt 14): http://www.zyxeltech.de/snotep202hplus/faq/fw_faq.htm

Gruß
sk
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 13:42 Uhr
Wenn man die obige Erklärung liest, könnte es das sein, aber genau daher möchte ich ja eben eine FW Regel erstellen, die diesen Verkehr zulässt.

Evtl. muss ich an Standort 1 den Telekomanschluss wirklich über die pfsense laufen lassen und die Monowall nur als Backup stehen lassen bzw. mir ein zweites Alix Bord auf Reserve besorgen.

Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......

@ D.o.b.b.y

Danke noch für die schöne Darstellung

Gruß Dominique
Bitte warten ..
Mitglied: sk
20.12.2012 um 14:14 Uhr
Zitat von Schrauber77:
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......

Dazu müsste die Monowall in ein Transfernetz oder der Traffic, der auf das selbe Interface wieder rausgeroutet wird, darf das Firewallregelwerk nicht durchlaufen. Ob man das bei pfsense einstellen kann, weiss ich nicht.
Besser wäre freilich, das 2. WAN und der Tunnel terminieren an der pfsense. Zwecks Gatewayredundanz setzt Du halt einen Cluster aus 2x pfsense auf.

Gruß
sk
Bitte warten ..
Mitglied: Dobby
21.12.2012 um 06:50 Uhr
Hallo Schrauber77,

Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
so wie ich das von ..sk.. gelesen habe oder besser das gelesene deute, bist Du da eben noch nicht draußen!

Und die Zeichnung war ja nur dafür gemacht, dass Du dir nicht vielleicht überlegst die alten x86 Maschinen in "Rente" zuschicken, hinsichtlich der zukünftigen Stromkosten!

Mann kann auch, wenn man denn Willens ist die ganze Angelegenheit über zwei MikroTik RouterBoards
laufen zu lassen ist man seitens des Stromverbrauchs auch gut aufgestellt und das müssen ja nicht gleich die 500 € "Granaten" sein.

Hier im Forum ist das auch schon einmal so besprochen worden wie Du das aufzeichnest, kann ich mich noch gut daran erinnern und dort hat ein anderer Benutzer die Sache dann auch ganz elegant gelöst, in dem
er vorgeschlagen hat, den einen Router in der DMZ stehen zulassen und das ganze war erledigt!
Ich glaube das war der Benutzer @aqui, kannst unter seinem Namen ja mal nachschauen wo er alles
zu geantwortet hat, das muss meines Erachtens so im Juni, Juli August herum gewesen sein.

Vielleicht reicht Dir dieser Beitrag ja schon das ganze zu Deinem wohlwollen zu erledigen.

.....bzw. mir ein zweites Alix Bord auf Reserve besorgen.
Erst einmal abwarten bis nächstes Jahr die neuen Boards mit GB LAN raus kommen sonst ärgerst Du Dich nur
grün und blau! Wobei das auch nur ein wager Hinweis sein soll und kein Versprechen darstellt!
Denn wenn diese Leute etwas auf den Markt bringen dann ist es in der Regel ausgereift und deshalb dauert es dann eben auch meist länger.

Das mit der VPN Hardware Unterstützung würde ich mir grundsätzlich immer überlegen, denn
pfSense, mOnOwall, und OpenWRT unterstützen die von mir genannten Soekris Karten alle.
Und wenn man den Stromverbrauch klein halten kann und auf der anderen Seite den VPN Durchsatz
erhöhen kann ist das natürlich eine schicke Angelegenheit, meiner Meinung nach zumindest.

Netzwerk neu - mOnOwall in DMZ


Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(4)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...