Ich schlage mich schon einige Tage und Wochen mit dem Thema Routing zwischen zwei unterschiedlichen Firewalls herum, da wir unsere "alte" Kerio Control Box loswerden möchten. Leider komme ich nicht wirklich weiter. Ich vermute, dass ich da etwas zwischen den beiden Firewalls nicht richtig anwende, daher wäre es super wenn ihr mal drüber schauen könnt.
Physikalisches Setup:
Mehrere HPE-Switches mit VLAN's und Trunking
Kerio Control Box (altes IP-Netz)
Netgate XG-7100 1U HA (neues 10er-Netz für LAN und kommendes VOIP getrennt)
Logisches Setup:
VLANs mit Trunking über die verschiedenen Switches - funktioniert auch alles, kein Problem.
1 - Default LAN (192.168.2.0/24)
5 - VOIP (10.22.0.0/24)
10 - LAN_NEU (10.20.0.0/8)
Ziel:
Softe Migration in ein 10er-Netz (LAN_NEU)
Bereitstellung eines VOIP VLAN, da wir demnächst umstellen müssen...
Die beiden Firewalls sollen im Optimalfall in beide Richtungen routen, sodass ich manuell Server für Server und die ganzen Clients in das VLAN umziehen kann.
Problemstellung: Derzeit habe ich zwar ein Setup, welches mir die problemlose Verbindung von "LAN_ALT" in "VOIP" ermöglicht, jedoch nicht in die andere Richtung. Ich habe die Vermutung dass es etwas mit der Kerio Control Box zutun hat, da die auch eher "eigenwillig" einzurichten ist, finde ich. Vielleicht kennt sich jemand ja mit beiden Produkten aus?
Ping von LAN_ALT nach Host in VOIP ist möglich
Ping von VOIP nach LAN_ALT ist nur bis zur Kerio Box möglich (192.168.2.1/24), nicht zu den Servern oder Clients.
Kerio:
Eigene IP: 192.168.2.1/24
Statische Route für 10.22.0.0/24 nach 192.168.2.4/24(CARP IP der pfSense)
pfSense:
Schnittstelle LAN_ALT mit jeweils IP 192.168.2.2/24(pfSense01) und 192.168.2.3/24(pfSense02)
Darüber dann CARP auf 192.168.2.4/24
Eine statische Route kann ich hier nicht mehr hinterlegen, da die mit dem Netzwerk auf dem Interface kollidiert.
Wäre das vielleicht die Lösung? Das Interface zu löschen und die statische Route anzulegen?
Bei der Kerio war das ja auch nicht notwendig, dort kann man auch fröhlich Netzwerk-Loops erzeugen.
Hier noch Screenshots der Konfiguration:
Kerio Schnittstellen: (sind deaktiviert, da es mit diesen nicht geklappt hat)
Kerio Regel:
Kerio Routen:
pfSense:
LAN_ALT auf VLAN 4091 (lagg0)
Kein Gateway, nur Interface.
Regeln: (Nicht wundern, das ist so offen bis ich das Problem eingrenzen/lösen kann)
^ LAN net bei der DNS Regel ist in diesem Falle LANALT net, der Fehler ist mir gerade aufgefallen, tut aber nichts zur sache ?
Frage
DTCTVE
Hallo allerseits.
Ich schlage mich schon einige Tage und Wochen mit dem Thema Routing zwischen zwei unterschiedlichen Firewalls herum, da wir unsere "alte" Kerio Control Box loswerden möchten. Leider komme ich nicht wirklich weiter. Ich vermute, dass ich da etwas zwischen den beiden Firewalls nicht richtig anwende, daher wäre es super wenn ihr mal drüber schauen könnt.
Physikalisches Setup:
Mehrere HPE-Switches mit VLAN's und Trunking
Kerio Control Box (altes IP-Netz)
Netgate XG-7100 1U HA (neues 10er-Netz für LAN und kommendes VOIP getrennt)
Logisches Setup:
VLANs mit Trunking über die verschiedenen Switches - funktioniert auch alles, kein Problem.
1 - Default LAN (192.168.2.0/24)
5 - VOIP (10.22.0.0/24)
10 - LAN_NEU (10.20.0.0/8)
Ziel:
Softe Migration in ein 10er-Netz (LAN_NEU)
Bereitstellung eines VOIP VLAN, da wir demnächst umstellen müssen...
Die beiden Firewalls sollen im Optimalfall in beide Richtungen routen, sodass ich manuell Server für Server und die ganzen Clients in das VLAN umziehen kann.
Problemstellung: Derzeit habe ich zwar ein Setup, welches mir die problemlose Verbindung von "LAN_ALT" in "VOIP" ermöglicht, jedoch nicht in die andere Richtung. Ich habe die Vermutung dass es etwas mit der Kerio Control Box zutun hat, da die auch eher "eigenwillig" einzurichten ist, finde ich. Vielleicht kennt sich jemand ja mit beiden Produkten aus?
Ping von LAN_ALT nach Host in VOIP ist möglich
Ping von VOIP nach LAN_ALT ist nur bis zur Kerio Box möglich (192.168.2.1/24), nicht zu den Servern oder Clients.
Kerio:
Eigene IP: 192.168.2.1/24
Statische Route für 10.22.0.0/24 nach 192.168.2.4/24(CARP IP der pfSense)
pfSense:
Schnittstelle LAN_ALT mit jeweils IP 192.168.2.2/24(pfSense01) und 192.168.2.3/24(pfSense02)
Darüber dann CARP auf 192.168.2.4/24
Eine statische Route kann ich hier nicht mehr hinterlegen, da die mit dem Netzwerk auf dem Interface kollidiert.
Wäre das vielleicht die Lösung? Das Interface zu löschen und die statische Route anzulegen?
Bei der Kerio war das ja auch nicht notwendig, dort kann man auch fröhlich Netzwerk-Loops erzeugen.
Hier noch Screenshots der Konfiguration:
Kerio Schnittstellen: (sind deaktiviert, da es mit diesen nicht geklappt hat)
Kerio Regel:
Kerio Routen:
pfSense:
LAN_ALT auf VLAN 4091 (lagg0)
Kein Gateway, nur Interface.
Regeln: (Nicht wundern, das ist so offen bis ich das Problem eingrenzen/lösen kann)
^ LAN net bei der DNS Regel ist in diesem Falle LANALT net, der Fehler ist mir gerade aufgefallen, tut aber nichts zur sache ?
Jemand ideen?
Bearbeitet von dani4kLink zu diesem Kommentar
Auf anderen Seiten teilen
9 Antworten auf diese Frage
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.