pfSense Statische Routen und Hybrid-Gateways - Eine wahre Geschichte - Wie Man

pfSense Statische Routen und Hybrid-Gateways - Eine wahre Geschichte

Dies ist nur etwas, was ich heute auf die harte Tour gelernt habe, und ich hoffe, es kann einem von Ihnen helfen, Ihr Gesicht vor Frustration nicht gegen die Tastatur zu schlagen.

Basierend auf einer wahren Geschichte.

6 Schritte insgesamt

Schritt 1: Schritt 1: Hoffnung

Hier ist die Situation: Sie haben gerade eine brandneue Datenleitung für Ihre Hybrid T1-ish / Coax-Verbindung installiert, die Ihr Büro von einem gemeinsam genutzten 3-MB-U / D-T1-ish auf ein 52/12 Hybrid-Comcast-Kabel + aufstocken soll T1-ish Verbindung.

Sie haben also die zweite Schnittstelle und das zweite Gateway in pfSense hinzugefügt, die Gateway-Gruppe erstellt und das Gateway auf Ihre LAN-Regel "Allow All" angewendet. Ihr Netzwerk sieht jetzt so aus:

INTERNET >> WAN1 (T1) + WAN2 (Koax) >> pfSense (192.168.1.1) >> LAN >> 192.168.0.0/16 + 10.1.0.0/16 (MPLS, eingestellt durch statische Route zum Gateway 192.168.1.2)

So weit, ist es gut.

Schritt 2: Schritt 2: Chaos

Es beginnt mit einem Anruf. Suzie an einem Ihrer MPLS-Standorte sagt, dass sie nicht online gehen kann. OK, kein Problem. Sie können also auf LogMeIn zugreifen, um zu sehen, was das Problem ist, und Sie können sich remote anmelden und auf ihren Desktop zugreifen. "Muss ein Fehler gewesen sein, sagst du zu dir selbst."

Dann der nächste Anruf. LaQuanda an einem anderen MPLS-Standort kann ebenfalls nicht weiterkommen. George kann es auch nicht. Oder Jeffery. Oder Manuel. An diesem Punkt klingelt das Telefon alle 30 Sekunden, sodass Sie sich entscheiden, es zu ignorieren und an dem Problem zu arbeiten, anstatt jedem zu erklären, dass sie nicht besonders sind und alle das gleiche Problem haben.

Sie melden sich also bei pfSense an, um es auszuprobieren.

Schritt 3: Schritt 3: Verwirrung

Ihre erste Aufgabe ist es, die Routing-Tabelle zu überprüfen, um sicherzustellen, dass die statischen Routen noch vorhanden sind. Ja, immer noch da. Routing sieht so aus:

10.1.0.0/16 >> MPLS - 192.168.1.2

Der nächste Schritt besteht darin, auf die Schaltfläche "Bearbeiten" zu klicken, um sicherzustellen, dass das Kontrollkästchen "Diese statische Route aktivieren" nicht vorhanden ist. Kein Würfel, statische Route ist automatisch aktiviert.

Als nächsten Schritt müssen Sie sicherstellen, dass das MPLS-Gateway noch aktiv ist. Gehen Sie zu Diagnose> Ping und geben Sie eine Adresse in das MPLS-Subnetz ein, beispielsweise 10.1.27.1. Es spuckt aus:

PING 10.1.27.1 (10.1.27.1): 56 Datenbytes
64 Bytes von 10.1.27.1: icmp_seq = 0 ttl = 250 Zeit = 56.181 ms
64 Bytes von 10.1.27.1: icmp_seq = 1 ttl = 250 Zeit = 55,491 ms
64 Bytes von 10.1.27.1: icmp_seq = 2 ttl = 250 Zeit = 54,938 ms

--- 10.1.27.1 Ping-Statistiken ---
3 Pakete gesendet, 3 Pakete empfangen, 0,0% Paketverlust
Umlauf min / avg / max / stddev = 54,938 / 55,537 / 56,181 / 0,508 ms

Huh. Das ist seltsam. Könnte es ein DNS-Problem sein? (Hinweis: Es handelt sich nicht um ein DNS-Problem)
Sie brauchen also 30 Minuten, um sicherzustellen, dass Ihr DNS und PDC online sind und funktionieren. Überprüfen Sie die Lookup- und Reverse-Lookupzonen, um sicherzustellen, dass sie in Ordnung sind und dass Sie sie von pfSense aus anpingen können. Ok, es ist also kein DNS-Problem.

Sie melden sich also über LogMeIn wieder am Remote-Computer an (was Sie wissen, warum es funktioniert, wenn es nicht anders geht), und versuchen Sie, pfSense und den DNS-Server anzupingen.

Shiiiiiite. Kein Glück.

Schritt 4: Schritt 4: Vielleicht bin ich nicht so schlau wie ich dachte

Zeit, die Kavallerie und / oder Google anzurufen. Warteschlange der 80er Jahre Montage.

Eine Stunde später, und in einer dunklen Ecke des Internets, in der Sie das Gefühl haben, ein paar vollständige Scans mit MBAM durchzuführen und das CAT-6 zu entfernen, finden Sie die Antwort:

PfSense 2.0 zeichnet sich durch dieses kleine versteckte Juwel aus:

Durch das Festlegen eines Gateways in der LAN-Regel "Alle zulassen" werden alle statischen Routen überschrieben.

Was zur Hölle?? Wer hat diesen Fehler geschrieben und als Feature bezeichnet?

Wie auch immer, jetzt weißt du es. Sie haben das Wissen und damit die Macht.

Schritt 5: Schritt 5: Alles, was Sie gerade getan haben, rückgängig machen

Nachdem Sie ein wenig durchgelesen haben, stellen Sie fest, dass es eine Möglichkeit gibt, die "Funktion" zu umgehen, die die statischen Routen ignoriert. Dazu müssen Sie weitere LAN-Regeln hinzufügen. Leider wird Ihr Wunsch, das gesamte Unternehmen wieder online zu stellen, sodass die dang-Telefonanrufe aufhören würden, Ihre Abenteuerlust außer Kraft setzen.

Wenn Sie sich wieder bei pfSense anmelden, wechseln Sie sofort zur Seite mit den LAN-Regeln, öffnen Sie die Regel "Allow Any" und setzen Sie das Gateway auf "default". Dadurch wird es nur auf das WAN1-Gateway (T1-ish) zurückgesetzt und nicht auf die Gateway-Gruppe.

Sie klicken auf Speichern.

Das Telefon hört auf zu klingeln.

Du hast es geschafft. Du hast gewonnen. Du hast es repariert.

Schritt 6: Schritt 6: Fortsetzung folgt

Erleichtert, dass das Telefon nicht mehr klingelt, können Sie endlich die Toilettenpause einlegen, die Sie in den letzten 5 Stunden durchgehalten haben. Während Sie dort sind, schreiben Sie Ihrem Chef eine SMS:
"Das Problem wurde behoben. Ich habe eine Problemumgehung gefunden, aber ich werde bis zum Wochenende warten, wenn niemand das Netzwerk benötigt, um es auszuprobieren."
Er antwortet .... oh, das tut er nicht.

Du gibst dir selbst einen Klaps auf die Rückseite. Mit etwas Toilettenpapier. Denn jetzt riecht das Badezimmer bei der Arbeit wie ein großes wildes Tier, das gerade darin gestorben ist und Sie schmutzig sind.

Sie leben an einem anderen Tag gegen die "Funktionen" Ihrer "bevorzugten" Firewall.

Hoffe, das hat einigen von euch geholfen. Oder war mindestens eine unterhaltsame 10-minütige Lektüre, während versucht wurde, die eigentliche Arbeit zu vermeiden.

Und für alle meine Software-Entwickler da draußen: Fehler sind keine Features. Features sind absichtlich und werden dokumentiert. Bitte hilft es uns, gesund zu bleiben.

Prost.