OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on November 24, 2015, 07:56:37 am
-
Hi,
folgende Problemstellung
Interface 1 -> GW 192...
Interface 2 -> GW 194...
beide haben das Ziel Netzwerk 10.100.0.0/16
wie kann ich das Routing da lösen? Beide benötigen entsprechende Rules etc und gehen auf ver. Ports einer anderen Firewall...
-
Hi,
meinst Du hinter jedem Deiner GW's hängt ein identisches 10er Netz? Wie soll man dann Entscheiden können in welches der beiden 10er Netze das jeweilige Paket gerostet werden muss? Oder ist es nur EIN 10er Netz, das über beide GW's erreicht wird? Dann sollte es doch egal sein über welches der beiden GW's du die Pakete schickst.
Ralf
-
Hi.
es ist ein und das selbe Netz - aber über ver. Eingangspunkte... also ver. Firewall Ports mit ver. Rules
-
Also lässt GW1 nur Port 80 durch und GW2 nur Port 443, oder wie meinst du das mit den verschiedenen Firewall Ports?
Gesendet von iPhone mit Tapatalk
-
nein.
Interface 1 -> GW 192... video anwendungen
interface 2 -> GW 193... file anwendungen
die netze 192 und 193 haben nix miteinander zu tun.
sie laufen über zwei ver. phys. Ports (Interfaces) auf eine andere Firewall.
dort sollen ver. Ports dann wiederrum geöffnet werden
-
Okay, ich verstehe, aber mit Kriterien wie Video oder File wirst Du es wohl nicht schaffen. Wenn Du eine definierte Ziel-Adresse und/oder Port hast, kannst Du das mit entsprechenden Regeln auf dem LAN Interface erreichen, wo Du das Gateway definierst. Dann würden z.B. Pakete zur Adresse 10.100.50.50 und Port 12345 ans Gateway 192 geleitet und Pakete an die selbe Adresse aber Port 54321 ans Gateway 193. (Siehe Screenshot)
Kommt das Deiner Vorstellung schon näher?
-
Hi,
klar gehts hier um Ports :D
Das mit dem Gateway einstellen in der Filter Rule war mir auch klar - aber! was ist mit Statischer Route?
defacto hat es zumindest in dem einen Interface nicht funktioniert erst als ich eine statische Route hinzugefügt habe gings.
aber das geht ja nur einmal zu dem netz...
anbei meine screens zu meinen einstellungen - erstmal soll aller Trafic dahin gehen
die unteren rules sind für die bridge
habe also das interne netz mit dem netz (interface) was zur anderen firewall geht in eine bridge definiert und der bridge quasi alles erlaubt... oder war das falsch?
Gruß
-
Aber wozu hast Du denn die Bridge gemacht? Mit einer Bridge verbindest Du schliesslich 2 Teilnetze zu einem Netz zusammen, wobei die Bridge selber lernt welche Ziel-MAC Adressen in welchem Netz sind, und dem entsprechend die Pakete weiterleitet.
Ist denn eines der beiden GW's ein 'default' Gateway für das 10.100er Netz, wo bis auf Ausnahmen, alles drüber geschickt werden kann? Mir scheint es eher Du brauchst einen Router und keine Brigade, also die Entscheidung eine Ebene höher.
Meine Vorstellung einer Lösung sähe so aus:
1. Regel auf dem LAN Interface alles was ins 10.100er Netz an Port 12345 geht über Gateway 193
2. Regel auf dem LAN Interface alles was ins 10.100er Netz will über Gateway 192
Aufgrund der Reihenfolge der Regeln wird kein Traffic zum Port 12345 über das Gateway 192 gehen.
Gruß
Ralf
-
Hi,
zusammengelegt habe ich weil die Netze bei mir im Hardware Interface eth0 ankommen aber die andere firewall auf dem Interface eth1 (jeweils alles mit vlans getrennt) ankommen.
Wenn ich bei der Bridge keine Rules mache sehe ich in den Logs das da was hängen bleibt, sprich das Pakete geblockt werden?!
Beide GWs sind jeweils default für das jeweilige Netz.
Mein globales Default Gateway ist ein ganz anderes...
-
Zus. Frage - wie erkläre ich denn das gerade das Netz - hier 10.100.0.0/16 jeweils hinter diesem Gateway liegt ohne eine Route einzutragen???