13
Routing bestimmter IP zwischen pfSense Routern
Hallo zusammen,
folgendes Szenario möchte ich gern realisieren, doch tappe ich noch im Dunkeln:
Es gibt drei pfSense Routern mit jeweils WAN/LAN und fester WAN IP-Adresse.
pfSense A ist mit pfSense B über site2site IPsec VPN verbunden, die LAN-Netzwerke A und B haben jeweils gegenseitig Zugriff. Diese site2site VPN wird demnächst aufgelöst, zur Zeit ist aber der Zugriff auf LAN B noch notwendig.
Nun soll ich alle Zugriffe auf einer bestimmten WAN-IP aus dem LAN A über den pfSense-Router C umleiten. Wie gehe dich dabei am besten vor?
A liegt physikalisch in Holland, B und C in Deutschland. Es kommt sehr häufig zu Netzwerkabbrüche aus dem LAN A auf einem Webdienst der in DE gehostet wird. Der Fehler konnte soweit eingekreist werden, dass der niederländische Provider dies verursacht (auch andere Kunden aus NL haben gelegentlich dieses Fehlerbild). Der Zugriff aus den LAN B und C (aus DE also) funktionieren tadellos. Wenn man an den Clientrechnern im LAN A ein VPN nach DE aufbaut und den gesamten Traffic darüber schickt, kommt es ebenfalls zu keinen Abbrüchen. Daher möchte ich gerne dies im router A fest einbauen.
Die erste Idee war, den gesamten Inet-Traffic aus LAN A über die site2site ins LAN B zu schicken, da aber bald LAN B abgebaut wird, hatte ich gehofft es direkt über C machen zu können. Hat jemand einen Tipp?
Vielen Dank im Voraus!
O.
folgendes Szenario möchte ich gern realisieren, doch tappe ich noch im Dunkeln:
Es gibt drei pfSense Routern mit jeweils WAN/LAN und fester WAN IP-Adresse.
pfSense A ist mit pfSense B über site2site IPsec VPN verbunden, die LAN-Netzwerke A und B haben jeweils gegenseitig Zugriff. Diese site2site VPN wird demnächst aufgelöst, zur Zeit ist aber der Zugriff auf LAN B noch notwendig.
Nun soll ich alle Zugriffe auf einer bestimmten WAN-IP aus dem LAN A über den pfSense-Router C umleiten. Wie gehe dich dabei am besten vor?
A liegt physikalisch in Holland, B und C in Deutschland. Es kommt sehr häufig zu Netzwerkabbrüche aus dem LAN A auf einem Webdienst der in DE gehostet wird. Der Fehler konnte soweit eingekreist werden, dass der niederländische Provider dies verursacht (auch andere Kunden aus NL haben gelegentlich dieses Fehlerbild). Der Zugriff aus den LAN B und C (aus DE also) funktionieren tadellos. Wenn man an den Clientrechnern im LAN A ein VPN nach DE aufbaut und den gesamten Traffic darüber schickt, kommt es ebenfalls zu keinen Abbrüchen. Daher möchte ich gerne dies im router A fest einbauen.
Die erste Idee war, den gesamten Inet-Traffic aus LAN A über die site2site ins LAN B zu schicken, da aber bald LAN B abgebaut wird, hatte ich gehofft es direkt über C machen zu können. Hat jemand einen Tipp?
Vielen Dank im Voraus!
O.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 269056
Url: https://administrator.de/contentid/269056
Printed on: April 25, 2024 at 10:04 o'clock
13 Comments
Latest comment
Hallo,
einfach ein site2site VPN von A auf C?
Eine kleine Zeichnung mit Beschriftung der Netze würde der Verständlichkeit dienen ;)
Gruß
einfach ein site2site VPN von A auf C?
Eine kleine Zeichnung mit Beschriftung der Netze würde der Verständlichkeit dienen ;)
Gruß
Lässt sich denn nur ein bestimmte IP über den VPN-Tunnel schicken? A - B muss ja noch bestehen bleiben.
Site A:
LAN 192.168.1.0/24
WAN 112.113.114.115
Site B:
LAN 192.168.2.0/24
WAN 142.143.144.145
Site C:
LAN 192.168.3.0/24
WAN 201.202.203.204
Zugriff aus LAN A z.B. auf 44.45.46.47 soll über WAN C rausgehen.
Site A:
LAN 192.168.1.0/24
WAN 112.113.114.115
Site B:
LAN 192.168.2.0/24
WAN 142.143.144.145
Site C:
LAN 192.168.3.0/24
WAN 201.202.203.204
Zugriff aus LAN A z.B. auf 44.45.46.47 soll über WAN C rausgehen.
Hallo,
Seite A hat zu B und C eine VPN Verbindung und nun muss man doch nur noch
auf Seite A zwei Routen anlegen, und zwar von B nach C und vice versa.
Dann kann jeder in jedes Netz und gut ist es.
Man könnte jetzt noch an den Protokollen schrauben die eingesetzt werden
und dafür sorgen dass die pakete immer den kürzesten Weg nehmen und
gut ist es.
Gruß
Dobby
Seite A hat zu B und C eine VPN Verbindung und nun muss man doch nur noch
auf Seite A zwei Routen anlegen, und zwar von B nach C und vice versa.
Dann kann jeder in jedes Netz und gut ist es.
Man könnte jetzt noch an den Protokollen schrauben die eingesetzt werden
und dafür sorgen dass die pakete immer den kürzesten Weg nehmen und
gut ist es.
Gruß
Dobby
Hi,
Bau Dir noch zusätzlich entsprechende OpenVPN-Verbindungen auf.
Die kannst Du als Multiclientverbindung einrichten oder auch einzelne Serverinstanzen verwenden, die Du dann entsprechend routest.
Das ändert aber wohl auch nichts an der Tatsache, das die Internetabbrüche Dir die Tunnelverbindung unterbrechen.
Gruß orcape
A - B muss ja noch bestehen bleiben.
Wenn Du an den Standorten überall mit einer pfSense arbeitest, dann lass doch den IPSec-Tunnel einfach stehen.Bau Dir noch zusätzlich entsprechende OpenVPN-Verbindungen auf.
Die kannst Du als Multiclientverbindung einrichten oder auch einzelne Serverinstanzen verwenden, die Du dann entsprechend routest.
Das ändert aber wohl auch nichts an der Tatsache, das die Internetabbrüche Dir die Tunnelverbindung unterbrechen.
Gruß orcape
Nun soll ich alle Zugriffe auf einer bestimmten WAN-IP aus dem LAN A über den pfSense-Router C umleiten. Wie gehe dich dabei am besten vor?
Das ist doch ganz einfach. Konfiguriere einfach eine Hostroute im LAN A Router mit Next Hop C Router. Also...Ziel: x.y.z.a, Maske: 255.255.255.255, Gateway: Router C
Dafür muss man eigentlich keinen Thread eröffnen...
1Zitat von @aqui:
Das ist doch ganz einfach. Konfiguriere einfach eine Hostroute im LAN A Router mit Next Hop C Router. Also...
Ziel: x.y.z.a, Maske: 255.255.255.255, Gateway: Router C
Dafür muss man eigentlich keinen Thread eröffnen...
Das ist doch ganz einfach. Konfiguriere einfach eine Hostroute im LAN A Router mit Next Hop C Router. Also...
Ziel: x.y.z.a, Maske: 255.255.255.255, Gateway: Router C
Dafür muss man eigentlich keinen Thread eröffnen...
Müssen die Netze A und C dazu verbunden (VPN) sein damit das funktioniert?
Hallo,
das Internet hat keine Abbrüche, lediglich die eingesetzte Software verliert die Verbindung zum Server. es ist eindeutig der niederländische Provider, denn auch andere Kunden dieser Software (mauve.eu) auf der niederländischen Seite haben die gleichen Schwierigkeiten. Standorte in DE laufen einwandfrei.
Das Routing ist bei pfSense leider nicht so flexibel, dass man einfach wie aqui vorschlägt eine Route setzen kann (auch noch durch VPN). Es erfordert ein Gateway, dieser muss im IP-Netz einer Schnittstelle sein, Virtuelle IPs wäre eine Überlegung und das outbound-NAT auf Seite C muss gesetzt werden. Ich habe leider noch nicht rausgefunden wie ich es bauen soll...
das Internet hat keine Abbrüche, lediglich die eingesetzte Software verliert die Verbindung zum Server. es ist eindeutig der niederländische Provider, denn auch andere Kunden dieser Software (mauve.eu) auf der niederländischen Seite haben die gleichen Schwierigkeiten. Standorte in DE laufen einwandfrei.
Das Routing ist bei pfSense leider nicht so flexibel, dass man einfach wie aqui vorschlägt eine Route setzen kann (auch noch durch VPN). Es erfordert ein Gateway, dieser muss im IP-Netz einer Schnittstelle sein, Virtuelle IPs wäre eine Überlegung und das outbound-NAT auf Seite C muss gesetzt werden. Ich habe leider noch nicht rausgefunden wie ich es bauen soll...
es ist eindeutig der niederländische Provider,
Das ist dann selbstredend auch natürlich nicht mit Hard- oder Software zu lösen 
Das Routing ist bei pfSense leider nicht so flexibel,
Das ist natürlich Blödsinn, aber weisst du sicher selber. Hostrouten kann jeder Router (außer Speedports vielleicht) und das auch via VPN Hop. Aus sicht des Routers ist ein VPN ja nichts weiter als ne Standleitung. Handbuch lesen also...Es erfordert ein Gateway, dieser muss im IP-Netz einer Schnittstelle sein
Richtig ! Ist aber ja auch immer der Fall.Ich habe leider noch nicht rausgefunden wie ich es bauen soll...
Vielleicht mit der Bilder Upload Funktion im Forum hier mal eine kleine Skizze einstellen, das würde allen Beteiligten bei der Suche nach einer Lösung sehr helfen !!das Internet hat keine Abbrüche,
Das ist schon einmal erfreulich denn dann könnte man da auch nichts mehr machen!Denn wenn die Verbindung selber immer wieder einbricht ist es eigentlich egal welche
Software man einsetzt, die repariert die Leitung nicht unterwegs.
lediglich die eingesetzte Software verliert die Verbindung zum Server.
Na und da kann man keine andere Software alternativ einsetzen?es ist eindeutig der niederländische Provider,
Also doch ein ISP und somit Leitungsproblem, oder habe ich das jetzt falsch verstanden?Noch einmal, wenn die Leitung selber oder bei dem ISP Probleme auftauchen, kann man
diese nicht einfach mit dem Einsatz einer anderen Software lösen.
denn auch andere Kunden dieser Software (mauve.eu) auf der niederländischen
Seite haben die gleichen Schwierigkeiten.
So wie @aqui es gesagt hat mach doch mal ne kleine Skizze dazu und dann sehen wir weiter.Seite haben die gleichen Schwierigkeiten.
Gruß
Dobby
Das Routing bei pfSense durschaue ich dann wohl nicht...
Ausgehend von einem simplen site2site VPN:
Site A, 2 Interfaces:
LAN 172.22.11.1
WAN 4.5.6.7 (Auch als GW existent)
Site B, 2 Interfaces:
LAN 172.22.88.1
WAN 10.11.12.13 (auch als Gateway)
In Phase 2 des IPsec werden 172.22.11.0/24 mit 172.22.88.0/24 "verbunden".
Die IP Adresse 3.3.3.3 soll vom Standort A über B ins Internet gehen, durch den Tunnel also.
Wenn ich mich nicht täusche brauche ich in A eine Route für 3.3.3.3 zu 172.22.88.1, richtig?
Um eine Route zu setzen brauche ich ein Gateway und muss das Interface auswählen. 172.22.88.1 kann ich nicht als Gateway setzen:
Wie setze ich denn die Route und Rückrouten korrekt?
Jedenfalls danke für eure Mühe und Geduld mir zu helfen!!!
Ausgehend von einem simplen site2site VPN:
Site A, 2 Interfaces:
LAN 172.22.11.1
WAN 4.5.6.7 (Auch als GW existent)
Site B, 2 Interfaces:
LAN 172.22.88.1
WAN 10.11.12.13 (auch als Gateway)
In Phase 2 des IPsec werden 172.22.11.0/24 mit 172.22.88.0/24 "verbunden".
Die IP Adresse 3.3.3.3 soll vom Standort A über B ins Internet gehen, durch den Tunnel also.
Wenn ich mich nicht täusche brauche ich in A eine Route für 3.3.3.3 zu 172.22.88.1, richtig?
Um eine Route zu setzen brauche ich ein Gateway und muss das Interface auswählen. 172.22.88.1 kann ich nicht als Gateway setzen:
Wie setze ich denn die Route und Rückrouten korrekt?
Jedenfalls danke für eure Mühe und Geduld mir zu helfen!!!
Wenn ich mich nicht täusche brauche ich in A eine Route für 3.3.3.3 zu 172.22.88.1, richtig?
Wenn du den Host 3.3.3.3 von A aus erreichen willst, dann ja.Der next Hop 172.22.88.1 ist aber routingtechnisch nicht ganz richtig, denn aus Sicht von A ist es ein Netz was hinter seinen Next Hop B liegt und er nicht kennen kann.
Routingtechnisch richtig wäre also die VPN Tunnel IP an B, denn das ist die IP die Router A "sieht". Wie du selber oben schreibst muss die Next Hop IP eine Netzwerk sein was der Router direkt sieht !
Jetzt kommt es darauf an ob der Tunnel dedizierte IPs nutzt oder welche shared.
Bei letzterem gibst du als Next Hop IP dann einfach nur das Interface an, das reicht dann auch. Also entweder:
Ziel: 3.3.3.3, Maske: 255.255.255.255, Gateway: <Tunnel_IP-RouterB>
oder
Ziel: 3.3.3.3, Maske: 255.255.255.255, Gateway: <Interface-VPN-Tunnel>
Analog dann die Rückroute aber die ist ja bei B bekannt, da der Absender des 3.3.3.3er Pakets ja vermutlich wohl im LAN Segment liegt, oder ?
Genau hier liegt der Schuh begraben bei pfSense.
Das <Interface-VPN-Tunnel> ist nicht auswählbar, nur WAN und LAN.
<Tunnel_IP-RouterB> ist ein Segment (172.22.88.0/24)
Für die Rückroute: 3.3.3.3 liegt nicht im LAN Segment sondern soll weiter ins Internet geroutet werden.
Um ein Gateway anzulegen, muss man das Interface auswählen (hier WAN oder LAN) und eine einzelne IP-Adresse angeben.
Eine Route verlangt ein Ziel (Destination Network) und ein Gateway (wie oben)
Unter
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_sit ...
wird das Ganze für den gesamten Internetverkehr (0.0.0.0/0) gezeigt. Hier wird gar keine Route gesetzt.
Das <Interface-VPN-Tunnel> ist nicht auswählbar, nur WAN und LAN.
<Tunnel_IP-RouterB> ist ein Segment (172.22.88.0/24)
Für die Rückroute: 3.3.3.3 liegt nicht im LAN Segment sondern soll weiter ins Internet geroutet werden.
Um ein Gateway anzulegen, muss man das Interface auswählen (hier WAN oder LAN) und eine einzelne IP-Adresse angeben.
Eine Route verlangt ein Ziel (Destination Network) und ein Gateway (wie oben)
Unter
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_sit ...
wird das Ganze für den gesamten Internetverkehr (0.0.0.0/0) gezeigt. Hier wird gar keine Route gesetzt.
Bitte demütig um Hilfe
