Noob hat Routing Probleme

[Bob.Dig]

Anscheinend habe ich hier wieder eine Wissenslücke betreffend Routing...

Folgendes hatte ich bisher erfolgreich im Einsatz, jeweils mit pfSensen:

Links ist mein zu Hause, rechts ein VPS.

Beide Emailserver konnten "lokal" miteinander sprechen. Es wird nicht geNATet und es gibt entsprechende Routen in beiden Sensen.

Nun hab ich folgendes gebastelt:

Leider können die beiden Emailserver jetzt nicht mehr "lokal" kommunizieren und ich steh auf dem Schlauch.

Ich bin davon ausgegangen, dass es reicht, jeweils eine zweite Route mit dem gleichen Gateway zu setzen, aber es geht nicht.
Ich selbst kann von der Sense oben links alle Hosts erreichen.
Alle sind weiterhin per LAN bzw. VPN verbunden, WAN wird dafür nicht genutzt.
Alle Regeln sind mit allow any, daher gehe ich davon aus, dass ich beim Routing etwas nicht bedacht habe, da noob.

 

[riversource]

Was genau macht diese brennende Wand denn? Eine reine Firewall ist es ja anscheinend nicht, da du von Routen redest.

 

[Bob.Dig]

Was genau macht diese brennende Wand denn?

Ist jeweils eine pfSense.

 

[riversource]

Und die routet vollwertig? Oder ist es ein NAT Router? Bei NAT reicht es natürlich nicht, einfach nur eine Route zu setzen.

 

[Bob.Dig]

NAT nutze ich bewusst nicht. Ob die Route vollwertig ist, kann ich aber leider nicht sagen. Vielleicht kannst Du mir da einen Tipp geben, wie so etwas auszusehen hat.

 

[Mojo1987]

Was versprichst du dir von der zweiten pfSense?
Ich vermute mal es gibt noch andere Geräte im Netz und du versuchst diese so abzuschotten vom Mailserver? Anhand deiner Zeichnung ist das Setup sinnbefreit, da hätte es auch gereicht die Firewall am Server selbst zu nutzen.

 

[Bob.Dig]

@Mojo1987 Bitte beim Thema bleiben, den Sinn erklär ich Dir, wenn es funktioniert.
@riversource IP-Adressen im Bild ergänzt.

Es wird nirgends das Default-Gateway genutzt, also der WAN-Port.

 

[Asghan]

Wieso was Troubleshooten was per Design Murks ist?
Wieso links zwei pfSense?
Erkläre den Sinn doch bitte VORHER und nicht erst danach.

 

[riversource]

Ob die Route vollwertig ist, kann ich aber leider nicht sagen.

Wenn es nicht NAT ist, dann ist es vollwertig.

Dann müssten wir wissen, welche Routen wo existieren. Darüber hinaus wären traceroutes Ende-zu-Ende interessant, um sehen zu können, wie weit die Pakete jeweils kommen.

Der Sinn des Setup kann doch erst Mal egal sein. Es geht doch nur darum, das Setup hinzubekommen.

 

[Mac_Leod]

ohne Routing Table wird das leider nix, nur mit IPs ist es leider raten und interpretieren

Das erste Bild sagt 2 pfsense, dass zweite Bild 3 Stück im Einsatz?

 

[Bob.Dig]

Dann müssten wir wissen, welche Routen wo existieren. Darüber hinaus wären traceroutes Ende-zu-Ende interessant, um sehen zu können, wie weit die Pakete jeweils kommen.

Hier mal die Routen von oben rechts.

IPv4 Routes
default            172.16.47.1    UGS        8    1500    vtnet0 
10.3.9.2/31        link#7        U        6    1420    tun_wg0 
10.3.9.3        link#4        UHS        7    16384    lo0 
10.3.11.2/31    10.3.9.2    UGS        9    1420    tun_wg0 
127.0.0.1        link#4        UH        4    16384    lo0 
172.16.32.0/24    link#2        U        1    1500    vtnet1 
172.16.32.1        link#4        UHS        2    16384    lo0 
172.16.33.0/24    link#8        U        10    1500    vtnet1.33 
172.16.33.1        link#4        UHS        11    16384    lo0 
172.16.47.0/24    link#1    U    3    1500    vtnet0 
172.16.47.2    link#4    UHS    5    16384    lo0 
172.17.0.0/20    10.3.9.2    UGS    9    1420    tun_wg0 
192.168.0.0/16    10.3.9.2    UGS    9    1420    tun_wg0

Hier hab ich vielleicht schon zu viel reingemacht, geholfen hat es nicht.

Ergänzung (17. Oktober 2023)

Das erste Bild sagt 2 pfsense, dass zweite Bild 3 Stück im Einsatz?

Korrekt. Bitte keine weiteren Spekulationen zur Sinnhaftigkeit.

 

[riversource]

Sieht so weit ok aus. Fehlen noch die Routen der anderen 4 Geräte und die Traces.

 

[Bob.Dig]

und die Traces.

Hier mal ein traceroute ausgeführt oben links:

 1 traceroute: wrote 172.17.2.1 48 chars, ret=-1
 127.0.0.1  1.104 ms !Htraceroute: wrote 172.17.2.1 48 chars, ret=-1
  0.532 ms !Htraceroute: wrote 172.17.2.1 48 chars, ret=-1
  0.300 ms !H

Es funktioniert nur bis 10.3.9.2...

1  10.3.9.2  36.561 ms  21.021 ms  20.198 ms

Und von unten links nur bis 10.3.11.3.

 

[Bob.Dig]

Arg..... ich Idiot. Ich hab die WG-VPN-Verbindung nicht angepasst, hier fehlen noch allowed IPs . Werde ich mich morgen drum kümmern.

Danke an alle, die versucht haben zu helfen.

 

[Asghan]

den Sinn erklär ich Dir, wenn es funktioniert.

Was ist denn nun der Sinn?

 

[Bob.Dig]

Was ist denn nun der Sinn?

Sinn ist, dass die zweite Sense eine Vorlage für weitere Sensen ist, die ich irgendwann "in der Cloud" ausrollen möchte. Außerdem sollen ihre Regeln mit der auf dem VPS synchronisiert werden, da die gleichen oder ähnliche Services dahinter laufen. Zu guter Letzt laufen diese zwei Sensen, die diagonalen, jeweils in einem PVE.

Meine eigentliche Sense zu Hause soll damit möglichst wenig zu tun haben (und läuft auch auf einem anderen Hypervisor).