2 Gateways am WAN Netz für unterschiedliche Netzwerke

Started by Zoki, January 06, 2020, 09:23:50 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 06, 2020, 09:23:50 PM
Hallo,

ich bin neu hier und probiere gerade OPNsense auf und brauche auch schon Hilfe.

Zur Ausgangssituation:
Ich habe hinter einer Fritzbox (DSL) eine pfSense Firewall (virtualisiert) laufen, hinter der mehrere Netze hängen. Jetzt möchte ich die virtualisierte pfSense Firewall ablösen durch eine physiche OPNsense Firewall. Dazu möchte ich zunächst etwas Erfahrung mit OPNsense sammeln und dann schrittweise die Netze von der pfSense Firewall auf den OPNsense Firewall "umstecken".

Dazu würde ich gerne folgendes aufbauen (beispielhaft, in Wirklichkeit hängen an dem pfSense Firewall noch mehrere Netze mit eigenene Firewall Regeln, zudem ist pfSense als exposed Host bei der Fritzbox eingetragen):

                                                                                                               
Code Select
                                                                                                               
                                     |WAN (DSL)                                                               
                                     |                                                                         
                                     |                                                                         
                         +-----------|-----------+                                                             
                         |       Fritzbox        |                                                             
                         +-----------|-----------+                                                             
                                     |192.168.7.1                                                             
                                     |                                                                         
                                     |                                                                         
            |------------------------------------------------|                                                 
            |                                                |                                                 
            |192.168.7.20                                    |192.168.7.25                                     
+-----------|-----------+                        +-----------|-----------+                                     
|        pfSense        |                        |       OPNsense        |                                     
+--|-----------------|--+                        +--|-----------------|--+                                     
   |LAN1             |INSECURE                      |DMZ              |LAN2                                   
   |192.168.107.1/24 |192.168.108.1/24              |192.168.111.1/24 |192.168.1.1/24                         
   |                 |                              |                 |                                       



Was funktioniert:
IP-Adressen und default Gateway für beide Firewalls werden per DHCP von der Firtzbox zugewiesen.
LAN1 und INSECURE haben Zugriff auf das Internet, genauso DMZ und LAN1.
Beide Firewalls können sich per ping erreichen.

Was offen ist:
Damit ich das LAN1 von LAN2 aus erreichen kann, würde ich gerne pfSense als Gateway für das Netz LAN1 auf OPNsense einrichten. Das gleiche, nur umgekehrt brauche ich, um die DMZ von LAN1 erreichen zu können.

Mein erster naiver Ansatz, einfach die Gateways zu konfigurieren ist gescheitert, da die Firewalls den Verkehr immer an den default Gateway /  die Fritzbox weiterleiten. Das scheint wohl prinzipbedingt so zu sein.

Danach habe ich jede Menge Dokumentation zu MULTI-WAN gelesen, aber irgendwie wird dort immer nur ein Load-Balancing oder ein Failover Szenario beschrieben. Jedenfalls komme ch damit nicht ganz klar.

Eine Firewall-Regel (PBR) in LAN1, das alles für DMZ an einen Gateway OPNsense weiterleitet, hat auch nicht funktioniert. Jedenfalls sagt ein traceroute, dass die Pakete an die Fritzbox weitergeleitet werden.

Jetzt fehlt mir irgenwie eine Idee, wo ich ansetzen soll, bzw. wie man den Fehler findet. Hat irgendjemand eine Idee?

Danke schon mal im Voraus an die Experten
January 06, 2020, 09:58:40 PM #1
Wenn das eine Netz LAN1 an der FW1 hängt und LAN2 an der FW2, dann musst du für FW2 eine statische Route anlegen, die für die dahinter befindlichen Netze auf FW1 zeigt und umgekehrt. - Natürlich musst du dann aber auch FW-Regeln dafür anlegen.
January 06, 2020, 10:39:34 PM #2 Last Edit: January 06, 2020, 10:43:39 PM by Zoki
So das mit den statischen habe ich jetzt mal eingestellt:

Route: firefox_I7aob8VShZ.png

Firewall LAN: firefox_aj5f2ET4RW.png

Firewall WAN: firefox_5wdP4OcHeJ.png

(kann ich die Bilder irgendwie einbetten?)

und ich sehe die ausgehenden Pakete auf der pfSense Firewall in Status -System Logs -> Firewall ,
aber auf dem OPNsense firewall sehe ich keinen eingehenden Pakete.

Block private Networks ist auf den interfaces ausgeschaltet.

das ergebnis ist immer noch unbefriedigend:

Ping 192.168.1.1 (von 192.168.109.107):
Code Select
λ ping 192.168.1.1

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.1.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),




Was fehlt denn noch?
Print
Go Up Pages1
User actions