Protectli FW4C - Netzwerkumbau

the other schrieb:
ja, hier ist die pfsense als 2. Router aktiv. Daher die Verwirrung... ;)
Zum Vergrößern anklicken....
Jo- und schon wurden deine Worte wahr. Bei der Überprüfung eines TV - keine Internetverbindung, obwohl IP Adressse etc gepasst haben. Also auf der pfsense unter System
1693501651081.png
fix eine Route eingetragen - Problem gelöst.
Das wirft aber mein Verständnis von DHCP über den Haufen, es sei denn, diese Option ist nicht die Mitgabe des Gateways an den Client.
1693501757524.png
Die Tage wird das default Gateway ein anderes, als die .1 - oder geht es smooth, dem lokalen IF am pfsense die .1 später einzudrehen?
Aktuell hat pfsense die .7, war halt gerade noch frei.
 
Zwischeninfo: Leider scheint das Disablen des DHCP-IPv4 auf der VF-Box diese ehr wenig zu interessieren.
Die Adressen werden dort weiterhin aktiv gehalten.
 
Moinsen,
Der Eintrag unter Services > dhcp Server > gateway ist default leer, wenn ich nicht irre. Die pfsense trägt dort dann das unter System > routing eingetragene gateway ein (nutzt dieses) bei der Weitergabe der dhcp Daten. Ein Eintrag ist nur nötig, wenn es noch andere abweichende Gateways gibt.

Deine anderen Fragen verstehe ich so nicht.
Du hast unter gateway in System > Routing die IP der VFbox. Aus dem Netz der VFbox (192.168.1.0/24).
Im LAN hinter der pfsense nutzt du ein weiteres Netz (zb 192.168.20.0/24).
Für den dafür zuständigen dhcp wird kein Eintrag unter gateway benötigt.
Das interface vom pfsense LAN kann im host Teil dann auch eine 1 haben, denn davor unterscheiden sich die IP Angaben ja (also pfsense LAN IF 192.168.20.1).

Das Ausschalten deaktiviert den dhcpv4 Server, die Geräte haben aber noch ihre zugewiesene IP bis die Lease Zwit abläuft. Wenn du das Gerät neu startest (bei deaktivierem dhcp), sollte ein Unterschied zu bemerken sein...
 
the other schrieb:
Deine anderen Fragen verstehe ich so nicht.
Zum Vergrößern anklicken....
Sorry, ich glaube ich verwirre dich.
Es gibt hinter der VF-Box nur ein LAN (192.168.1.0/24 incl. WLAN-Bereich innerhalb des Netzes).
Die VF-Box arbeitet als default Gateway mit der 192.168.1.1.
Die pfsense hat im LAN die 192.168.1.7 aktuell und hat Stand jetzt die DHCP-Server Funktion übernommen.
Nun werde ich am WE beobachten, ob DHCP-mäßig alles läuft. Aktuell sieht es ganz gut aus, bis auf ein paar Ungereimtheiten, die ich mit Rücksetzen der Netzwerkfunktionen der einzelnen Geräte ausräume.
---
Plan:
Ich drehe die pfsense LAN auf 192.168.1.1
pfsense bekommt 172.20.1.2 am WAN
VF-Box bekommt 172.20.1.1 am LAN, Gäste WLAN hängt an der VF-Box, welcher IP-Kreis da automatisch verwendet wird, soll mir egal sein.
 
the other schrieb:
Der Eintrag unter Services > dhcp Server > gateway ist default leer, wenn ich nicht irre.
Zum Vergrößern anklicken....
Ich trau mich jetzt gerade nicht, meinen Eintrag zu löschen (192.168.1.1)

...doch, hab's rausgenommen und mit ipconfig mal mein Notenbuch neu versorgt - löppt auch ohne Eintrag.
Muss so ein Linux-Kram sein :unsure:
 
Moinsen,
Fidibus schrieb:
Muss so ein Linux-Kram sein
Zum Vergrößern anklicken....
Nö, steht da doch: wenn nix eingetragen, dann automatisch gateway, welches die pfsense nutzt. Diese nutzt die VFBOX. Passt also.

Wie und wann du die Sache mit der Adressierung in Transferlan und Produktivlan (hinter pfsense) später machst, ist eigentlich fast egal.
Wenn all deine clients bisher dynamisch dhcp genutzt haben, du die Geräte nur mit ihren IPs ansprichst, keine eigenen https Zertifikate nutzt...dann kannst du schnell anpassen. Gerät in den neuen IP Adressbereich bringen, fertig.
Wenn da also bisher nur ein ganz typisches normales Netzwerk besteht, dann ist das schnell gemacht.
Wenn natürlich alles bereits mit hostname und Server Zugriffen (NAS) eingerichtet ist, dann wäre etwas Vorplanung angebracht vor dem Wechsel.
Ich würde wieder Zettel und Stift nehmen, auflisten welche Geräte vorhanden sind, je die MAC Adresse vermerken, die IP, die sie bekommen sollen, hostname und ggf fqdn. Dann noch, ob ich intern https oder http nutzen will. Wenn https, dann mit eigenen Zertifikaten? (Falls du das bereits nutzt, dann https Zwang vor so einer Aktion kurz abschalten als fallback).
Wenn du so eine Liste hast, ist die spätere Verwaltung deutlich angenehmer. Auch beim Unterteilen in Vlans...
 
Moin,
so, erst mal wieder alles zurückgeschaltet. Läuft nicht.
Normaler Internetverkehr - war ok.
VPN im HO geht nicht, bricht im regelmäßig weg. Ich denke, hier spielt eine Rolle, dass eben beides läuft IPv4 und IPv6.
Ich möchte fast wetten, das ist auch ein DNS-Thema.
Auf jeden Fall habe ich ein paar negative Auffälligkeiten im Netz, seitdem ich ihr rumspiele.
the other schrieb:
Wenn du so eine Liste hast, ist die spätere Verwaltung deutlich angenehmer.
Zum Vergrößern anklicken....
Ich hab alles dokumentiert, daran scheitert es nicht.
Ich muss erst mal wieder alles zu 100% funktional machen.
 
Moinsen,
Ich sehe auch keinen Grund dafür IPv4 abzuschalten. Lass das ruhig aktiviert.
Vpn Einwahl zur Firma sollte problemlos funktionieren, ob aus einem oder später dann zwei LANs heraus. Später dann mit den nötigen firewall Regeln...
 
Moinsen,
nein, kein Verschreiber... :)
Du hattest gestern v4 abschalten wollen. Warum? :)
Hier (mit einem dualstack Anschluss) habe ich beides laufen, nebeninander her. Viele nutzen auch (mit dslite) intern trotzdem normal IPv4 mit den normalen IPv4 Adressen im LAN.
Ich habe in manchen Subnetzen v6 aktiv, in anderen aber nicht. IPv4 ist hier durchgehend aktiviert.

Ich würde am Anfang da nicht so tief einsteigen. Erst einmal die reine Struktur aufbauen, dann die Besonderheiten regeln...
Funktioniert denn dein VPN zum Arbeitgeber jetzt wieder?
 
Moinsen,
wenn du am WE alles einstellen willst...(gute Idee): schick ruhig mal deine Ideen als Skizze.
Was ja scheinbar direkt für dich laufen muss: das home office inklusive VPN zur Firma.
Daher nochmal mein Tipp:
lass alles so wie es ist, aktiviere die pfsense (an der VFbox). Häng dann den PC / Notebook mal ans LAN der pfsense und versuch, ob du von da...
- ins Internet kommst (Updates, Surfen, Email, usw)
- alles im eigenen LAN erreichen kannst (vor wie hinter der pfsense) > dein NAS zB
- du auf die pfsense selber kommst
- du auch vom LAN hinter der pfsense zu deinem AG per VPN kommst.

Das muss erstmal stehen. Wenn das alles ok ist (mit schick eigenem IP Bereich fürs pfsense LAN), hier alles soweit werkelt...dann kannst du weiterschauen.
An der VFbox bzw deren LAN würde ich aktuell nix ändern, damit du dir diesen (funktionierenden) Ast nicht absägst. Dann kannst du in Ruhe mit den Konfigurationen der pfsense rumspielen bis alles nach deiner Vorstellung geht...dann nach und nach umziehen.
 
Moinsen,
na, ich warte mal deine Skizze zur zukünftigen Struktur deines Netzwerkes ab...mal sehen, was du dir dahingehend so überlegst. Dann kann konkreter weiter gemacht werden...
:)
 
Moinsen,
mit "eigenem" IP Bereich bedeutet ja nicht, dass du dort nun ganz andere IPs vergeben musst... du wolltest ja die Adressbereiche "switchen", wie du gestern geschrieben hattest.
Eigen bedeutet daher:
IP Adressbereich VOR pfsense UNGLEICH IP Adressbereich im pfsense LAN... :)
Aber bevor jetzt die Verwirrung steigt. Mach erstmal alles in Ruhe, wenn Fragen auftauchen, gerne konkret (im ggf. neuen Thread, der Übersicht wegen) stellen...
;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 76 (Mitglieder: 3, Gäste: 73)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.552
Beiträge
46.593
Mitglieder
4.184
Neuestes Mitglied
thosch

Teilen

Zurück
Oben