OPNsense Forum
International Forums => German - Deutsch => Topic started by: AC on December 04, 2017, 10:08:43 am
-
Hallo zusammen,
ich bin zur Zeit den Einsatz der opnsense in unserem Firmennetz am testen. Wir haben aktuell eine Sophos im Einsatz. Dort gibt es eine Einstellung mit der man eine Interfaceroute schalten kann. Also so, dass alles was ins Netz 192.168.5.0/24 soll über das angegebene Interface geroutet wird - nicht über eine Gateway IP-Adresse. Siehe Bild.
In der Opnsense finde ich aber nur Gatewayrouten.
Hat jemand eine Idee oder Lösung?
-
Die Frage ist doch eher, was soll mit dem Traffic passieren? Interface Route oder nicht, was tut die denn dann auf der Sophos? Ich kann natürlich Traffic auf einem Interface rauspressen, aber schlußendlich muss da ja irgendwo ein Gateway stehen, der den Traffic annimmt oder es muss das Zielnetz sein (zumindest laut dem was ich bei Sophos noch im Kopf habe). Wenn es also eh ein Gateway gibt - kann mans auch angeben. Ist es da Zielnetz - warum hat es dann den IP Range nicht gleich gebunden? Also ist meistens daran irgendeine etwas schräge Netzwerk Konfiguration mit dran. Die Frage ist: brauchst du das da? Und warum? :)
-
Hallo, danke für die Antwort.
Ja, unser Netz ist vielleicht ein wenig schräg konfiguriert ::).
Wir haben hier ein VLAN Konstrukt. Am LAN Port der Firewall (192.168.20.0/24) kommen auch die Telefone über das VLAN 128 herein. Jetzt muss die Firewall wissen, in welches Netz denn die VLAN128 Pakete sollen. Bei uns ist es das Interface eth7 auf der Sophos. Eben eine Interface route ins VLAN128 (192.168.128.0/21)
Auf dem Bild ist, das ich im ersten Post angehangen habe, kann man die aktuelle Konfig der Sophos sehen.
-
> Am LAN Port der Firewall (192.168.20.0/24) kommen auch die Telefone über das VLAN 128 herein.
Sprich auf dem LAN (untagged) liegt zusätzlich noch ein Tagged VLAN128?
Warum dann nicht simpel hergehen und auf dem entsprechenden physischen Port noch VLAN128 konfigurieren, das Ganze als Interface assignen und ganz normal und ordentlich routen? :) Ist jetzt nicht schön (untagged und tagged auf einem Interface) aber auch nicht selten.
-
Hmmm... das werde ich mir alles durch den Kopf gehen lassen. Eventuell kann ich auch die Telefonanlage direkt als Gateway angeben, dann könnte ich ordentlicher routen.
Am Freitag werde ich mehr wissen, dann kann ich das Routing testen.
Danke schon einmal an dieser Stelle! :)