Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pfsense firewall Rule für zweiten Gateway auf einer Monowall

Frage Netzwerke Router & Routing

Mitglied: Schrauber77

Schrauber77 (Level 1) - Jetzt verbinden

19.12.2012 um 17:09 Uhr, 3420 Aufrufe, 8 Kommentare

Hallo zusammen,


habe folgende Situation:

Standort1:

-Pfsense mit Kabel-Anschluss als Standardgateway für mein Lan
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort2 alles im gleichen Netz 10.0.1.0/24

Standort 2:
-Monowall mit Telekom-Anschluss als ipsec Tunnel zu Standort 1 und Standardgateway im Netz 10.0.2.0/24

Es befinden sich keine weiteren Router in den Netzten lediglich DSL und Kabel Modems.

Der Tunnel steht und die Kommunikation von Standort 1 nach Standort 2 funktioniert seitdem ich in der pfsense unter System -> Routing -> Gateways die Monowall als Gateway eingetragen habe und unter Routes das 10.0.2.0/24er Netz auf das Monowall-Gateway umgeleitet hab.

Seitdem funktioniert pingen und vnc-Viewer in beide Richtungen.
Lediglich der Zugriff auf Netzfreigaben und die Lotus Notes Kommunikation funktioniert nur, wenn ich am Standort 1 die Monowall als Standardgateway angegeben habe.

Ein Blick in die Firwall Logs der pfsense zeigt, dass diese die Komunikation vom Lan ins 10.0.2.0er Netz block.

Also habe ich eine FW Rule unter Lan mit TCP/UDP Source LAN net und Destination Network 10.0.2.0/24 Ports any eingetragen.

Leider wird die Kommunikation immer noch geblockt.

Welche FW Rule muss ich setzten damit die Kommunikation über die eingetragene Route erlaubt wird.

Schon mal vielen Dank im Voraus.


Mit bestem Gruß

Dominique Gruhn


Mitglied: sk
19.12.2012, aktualisiert um 20:14 Uhr
Hört sich nach einem Triangle-Route-Problem an (wäre per Ping nicht diagnostizierbar). Jedoch sollte dann auch VNC-Viewer nicht gehen.
Was spricht denn dagegen, die Monowall an ein separates Interface der pfsense zu koppeln (quasi ein Transfernetz)? Und wozu überhaupt die Monowall am Standort 1? Warum macht das nicht die pfsense mit?

Gruß
sk
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 02:46 Uhr
Die Monowall habe ich aus Gründen der Redundanz noch laufen.

Eigenartigerweise funktioniert die Kommunikation nachdem ich einen Ping abgesetzt habe für einige Minuten.

Gruß. Dominique
Bitte warten ..
Mitglied: Dobby
20.12.2012, aktualisiert um 07:13 Uhr
Hallo Schrauber77,

es wäre ja auch einmal ziemlich cremig wenn Du schreiben könntest welche Hardware Du benutzt,
heute noch wäre ja schön, denn morgen geht ja Welt unter ;)

Netzwerk alternativ

Um die Geschwindigkeit des VPN Tunnels "etwas" anzuheben, kann man ja auch ein HSM (Hardware Security Module) einsetzen!
Bei pfSense kann man unter gewissen Umständen und je nach Verbindungstyp, den Durchsatz von ~14 MBit/s auf ~42 MBit/s steigern.
Ich meine das ist fast das dreifache und reicht in der Regel, nur falls es daran liegt, das Du kleinere "Kisten" am laufen hast!

Für Alix, IEI, LanTec, Soekris als mini PCI Karte Soekris vpn1411
Für Soekris net5501, IEI, Linatec als PCI Karte Soekris vpn1401
Für x86 Hardware oder Soekris net6501 als PCIe Karte Exar DX 1710 oder DX 1720

Falls es nur darum gehen sollte einen höheren Durchsatz zu erhalten!



Gruß
Dobby
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 10:22 Uhr
Hallo,

die pfsense läuft auf einem Alix Bord und die beiden Monowalls auf leer geräumten x86 Maschinen.

Das Tunnel-Tuning ist natürlich sehr interessant. Bringt mich so direkt aber leider nicht weiter.

Ich versteh nicht warum die pfsense den Verkehr Richtung Standort 2 blockt, eigentlich sollte diese doch nur Richtung Monowall routen.


Gruß Dominique
Bitte warten ..
Mitglied: sk
20.12.2012 um 10:54 Uhr
Hier ist die Triangleroute-Problematik bei stateful Firewalls erklärt (Punkt 14): http://www.zyxeltech.de/snotep202hplus/faq/fw_faq.htm

Gruß
sk
Bitte warten ..
Mitglied: Schrauber77
20.12.2012 um 13:42 Uhr
Wenn man die obige Erklärung liest, könnte es das sein, aber genau daher möchte ich ja eben eine FW Regel erstellen, die diesen Verkehr zulässt.

Evtl. muss ich an Standort 1 den Telekomanschluss wirklich über die pfsense laufen lassen und die Monowall nur als Backup stehen lassen bzw. mir ein zweites Alix Bord auf Reserve besorgen.

Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......

@ D.o.b.b.y

Danke noch für die schöne Darstellung

Gruß Dominique
Bitte warten ..
Mitglied: sk
20.12.2012 um 14:14 Uhr
Zitat von Schrauber77:
Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......

Dazu müsste die Monowall in ein Transfernetz oder der Traffic, der auf das selbe Interface wieder rausgeroutet wird, darf das Firewallregelwerk nicht durchlaufen. Ob man das bei pfsense einstellen kann, weiss ich nicht.
Besser wäre freilich, das 2. WAN und der Tunnel terminieren an der pfsense. Zwecks Gatewayredundanz setzt Du halt einen Cluster aus 2x pfsense auf.

Gruß
sk
Bitte warten ..
Mitglied: Dobby
21.12.2012 um 06:50 Uhr
Hallo Schrauber77,

Die Frage ist ob ich dann aus der Triangle-Problematik draußen bin? keine Ahnung......
so wie ich das von ..sk.. gelesen habe oder besser das gelesene deute, bist Du da eben noch nicht draußen!

Und die Zeichnung war ja nur dafür gemacht, dass Du dir nicht vielleicht überlegst die alten x86 Maschinen in "Rente" zuschicken, hinsichtlich der zukünftigen Stromkosten!

Mann kann auch, wenn man denn Willens ist die ganze Angelegenheit über zwei MikroTik RouterBoards
laufen zu lassen ist man seitens des Stromverbrauchs auch gut aufgestellt und das müssen ja nicht gleich die 500 € "Granaten" sein.

Hier im Forum ist das auch schon einmal so besprochen worden wie Du das aufzeichnest, kann ich mich noch gut daran erinnern und dort hat ein anderer Benutzer die Sache dann auch ganz elegant gelöst, in dem
er vorgeschlagen hat, den einen Router in der DMZ stehen zulassen und das ganze war erledigt!
Ich glaube das war der Benutzer @aqui, kannst unter seinem Namen ja mal nachschauen wo er alles
zu geantwortet hat, das muss meines Erachtens so im Juni, Juli August herum gewesen sein.

Vielleicht reicht Dir dieser Beitrag ja schon das ganze zu Deinem wohlwollen zu erledigen.

.....bzw. mir ein zweites Alix Bord auf Reserve besorgen.
Erst einmal abwarten bis nächstes Jahr die neuen Boards mit GB LAN raus kommen sonst ärgerst Du Dich nur
grün und blau! Wobei das auch nur ein wager Hinweis sein soll und kein Versprechen darstellt!
Denn wenn diese Leute etwas auf den Markt bringen dann ist es in der Regel ausgereift und deshalb dauert es dann eben auch meist länger.

Das mit der VPN Hardware Unterstützung würde ich mir grundsätzlich immer überlegen, denn
pfSense, mOnOwall, und OpenWRT unterstützen die von mir genannten Soekris Karten alle.
Und wenn man den Stromverbrauch klein halten kann und auf der anderen Seite den VPN Durchsatz
erhöhen kann ist das natürlich eine schicke Angelegenheit, meiner Meinung nach zumindest.

Netzwerk neu - mOnOwall in DMZ


Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Netzwerke
gelöst PfSense: Probleme mit Wirksamkeit von Rules (12)

Frage von Fenris14 zum Thema Netzwerke ...

Firewall
gelöst PfSense WAN Failover-Gateway mit VLANs konfigurieren (6)

Frage von Androxin zum Thema Firewall ...

Firewall
Suche nach NAT-Gateway-Firewall-Lösung (9)

Frage von marcinomel zum Thema Firewall ...

Router & Routing
Firewall Rules Outbound Cisco RV130W (3)

Frage von SergeantRaufbold zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

Windows 7
Bluesreens unternehmensweit (19)

Frage von SYS64738 zum Thema Windows 7 ...

LAN, WAN, Wireless
IP Adressen - Modem - Switch - Accesspoint (18)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows 10
Programm Installation bei Win 10 Fehlerhaft (13)

Frage von Keineahnungvonnix zum Thema Windows 10 ...