Zugriff zwischen zwei LANs nicht auf alle Hosts möglich

Auge · 30. Oktober 2025 um 13:27

Hallo liebe Leute,

aktuell habe ich ein Problem mit zwei Netzwerken auf meiner pfSense. Das erste Netzwerk heißt „LAN“ – 10.16.0.11/16 (IPv4 Adresse auf der pfSense) und das zweite
„WLAN“ - 172.72.16.11/24 (IPv4 Adresse auf der pfSense)

Im Netzwerk „WLAN“ befinden sich u.a. ein WLAN Router 172.72.16.180 und eine über diesen eingebundenen WLAN Web Cam 172.72.16.211.

Vom WLAN interface aus kann ich alle drei IPs anpingen:

Netzwerk pfSense:

PING 172.72.16.11 (172.72.16.11) from 172.72.16.11: 56 data bytes
64 bytes from 172.72.16.11: icmp_seq=0 ttl=64 time=0.112 ms
64 bytes from 172.72.16.11: icmp_seq=1 ttl=64 time=0.052 ms
64 bytes from 172.72.16.11: icmp_seq=2 ttl=64 time=0.049 ms

WLAN Router:

PING 172.72.16.180 (172.72.16.180) from 172.72.16.11: 56 data bytes
64 bytes from 172.72.16.180: icmp_seq=0 ttl=64 time=0.416 ms
64 bytes from 172.72.16.180: icmp_seq=1 ttl=64 time=0.310 ms
64 bytes from 172.72.16.180: icmp_seq=2 ttl=64 time=0.323 ms

WLAN Web Cam:

PING 172.72.16.211 (172.72.16.211) from 172.72.16.11: 56 data bytes
64 bytes from 172.72.16.211: icmp_seq=0 ttl=64 time=74.855 ms
64 bytes from 172.72.16.211: icmp_seq=1 ttl=64 time=1.831 ms
64 bytes from 172.72.16.211: icmp_seq=2 ttl=64 time=82.718 ms

Dieser Test hat geklappt. Nun probiere ich alle drei IPs vom „LAN“ aus anzupingen und es passiert folgendes:

Netzwerk pfSense:

PING 172.72.16.11 (172.72.16.11) from 10.16.0.11: 56 data bytes
64 bytes from 172.72.16.11: icmp_seq=0 ttl=64 time=0.122 ms
64 bytes from 172.72.16.11: icmp_seq=1 ttl=64 time=0.061 ms
64 bytes from 172.72.16.11: icmp_seq=2 ttl=64 time=0.104 ms

WLAN Router

PING 172.72.16.180 (172.72.16.180) from 10.16.0.11: 56 data bytes
--- 172.72.16.180 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

WLAN Web Cam

PING 172.72.16.211 (172.72.16.211) from 10.16.0.11: 56 data bytes
64 bytes from 172.72.16.211: icmp_seq=0 ttl=64 time=124.595 ms
64 bytes from 172.72.16.211: icmp_seq=1 ttl=64 time=1.904 ms
64 bytes from 172.72.16.211: icmp_seq=2 ttl=64 time=1.887 ms

Hier kann ich den WLAN Router (172.72.16.180) nicht mehr erreichen? Hier nun die Firewall Rules beider Netzwerke:

WLAN

LAN:

Nach meinem Verständnis hätte auch der WLAN Router (172.72.16.180) vom LAN (10.16.0.0/16) aus erreichbar sein sollen. In beiden interfacen sind keine IPv4 Upstream gateways konfiguriert.

Wenn ich den ping Verkehr zum WLAN Router (172.72.16.180) mit „Packet Capture“ einfange, sehe ich folgendes:

13:13:04.036073 IP 172.72.16.11 > 172.72.16.180: ICMP echo request, id 35183, seq 5936, length 9

13:13:04.036366 IP 172.72.16.180 > 172.72.16.11: ICMP echo reply, id 35183, seq 5936, length 9

13:13:04.540154 IP 172.72.16.11 > 172.72.16.180: ICMP echo request, id 35183, seq 5937, length 9

13:13:04.540456 IP 172.72.16.180 > 172.72.16.11: ICMP echo reply, id 35183, seq 5937, length 9

13:13:04.546089 IP 10.16.0.11 > 172.72.16.180: ICMP echo request, id 51298, seq 0, length 64

13:13:05.069412 IP 172.72.16.11 > 172.72.16.180: ICMP echo request, id 35183, seq 5938, length 9

13:13:05.069682 IP 172.72.16.180 > 172.72.16.11: ICMP echo reply, id 35183, seq 5938, length 9

13:13:05.551546 IP 10.16.0.11 > 172.72.16.180: ICMP echo request, id 51298, seq 1, length 64

13:13:05.599380 IP 172.72.16.11 > 172.72.16.180: ICMP echo request, id 35183, seq 5939, length 9

13:13:05.599682 IP 172.72.16.180 > 172.72.16.11: ICMP echo reply, id 35183, seq 5939, length 9

13:13:06.129407 IP 172.72.16.11 > 172.72.16.180: ICMP echo request, id 35183, seq 5940, length 9

13:13:06.129691 IP 172.72.16.180 > 172.72.16.11: ICMP echo reply, id 35183, seq 5940, length 9

13:13:06.552388 IP 10.16.0.11 > 172.72.16.180: ICMP echo request, id 51298, seq 2, length 64

13:13:06.660385 IP 172.72.16.11 > 172.72.16.180: ICMP echo request, id 35183, seq 5941, length 9

13:13:06.660679 IP 172.72.16.180 > 172.72.16.11: ICMP echo reply, id 35183, seq 5941, length 9

Die pings von 10.16.0.11 (LAN) werden nicht beantwortet. Wohingegen 172.72.16.11 (WLAN) ständig pings aussendet welche ich nicht angestoßen habe? Was mache ich falsch bzw. sehe ich noch nicht?

Danke für Eure Unterstützung schon vorab.

Viele Grüße,
Norbert

The_eagle · 30. Oktober 2025 um 15:35

Was soll das denn für ein WLAN Router sein? Offensichtlich routet er ja nicht. alle drei aufgeführten Geräte befinden sich doch im selben 172.72.16.0/24-Netz. Also ist es doch nur ein WLAN AP, oder eben ein WLAN Router, den du irgendwie zum AP „umgebogen“ hast. Sollte das der Fall sein würde ich den „Fehler“ in der Config dort suchen. Denn evtl. ist es ja auch gar kein „Fehler“ sondern das Ding (weiß ja keiner was es für ein Model ist) verwirft ICMP einfach.

m-electronics · 30. Oktober 2025 um 15:58

Oder kennt keine Rückroute und die Kamera aber schon…

The_eagle · 30. Oktober 2025 um 16:07

Die Rückroute muss ja eigentlich nur die pfsense kennen. Das WLAN-Interface der sense ist doch das Default-Gateway des 172.72.16.0/24-Netzes. Einzige Option, dass der „WLAN Router“ dieses Default-Gateway nicht kennt ist eine fehlerhafte manuelle IPv4-Config des „WLAN Routers“.

m-electronics · 30. Oktober 2025 um 16:21

Aber wenn der AP keine Route zum “LAN” kennt oder keine Defaultroute hat, dann geht es nicht

Auge · 30. Oktober 2025 um 16:41

Danke für die schnelle Rückmeldung.

Vielleicht war ja schon meine Idee falsch. Ich wollte den WLAN Router nur zum Einbinden der WLAN Devices in das Netzwerk 172.72.16.0/24 missbrauchen. Die Gateway-Funktion zwischen den Netzen sollte dann die pfSense zwischen WAN, LAN und WLAN übernehmen.

Aber ich schaue mir den WLAN Router (Netgear NightHawk R6120) nun einmal genauer an und melde mich wieder.

Auge · 30. Oktober 2025 um 17:17

Da ich in der WLAN Router Konfiguration nichts finden konnte was auf einen Fehler hinweist,

LAN

WAN

Internet

habe ich einmal etwas versucht und verstehe nun noch weniger…

Und zwar habe ich für das Netzwerk “WLAN” 172.72.16.0/24 einen Gateway unter “Routing/Gateways“ angelegt und dort die IP der pfSense (172.72.16.11) eingetragen:

Danach habe ich diesen Gateway beim Interface (WLAN igc2) unter „IPv4 Upstream gateway“ eingetragen:

Nun kann ich den WLAN Router 172.72.16.180 vom LAN (10.16.0.0) aus an-pingen:

PING 172.72.16.180 (172.72.16.180) from 10.16.0.11: 56 data bytes
64 bytes from 172.72.16.180: icmp_seq=0 ttl=64 time=0.455 ms
64 bytes from 172.72.16.180: icmp_seq=1 ttl=64 time=0.313 ms
64 bytes from 172.72.16.180: icmp_seq=2 ttl=64 time=0.322 ms

Zudem kann ich nun auch die Web Oberfläche vom WLAN Router vom LAN (mein Notebook 10.16.0.50) direkt öffnen. Einen Gateway wollte ich eigentlich vermeiden, da ich glaube das er nicht nötig ist. Zudem möchte ich das WLAN nicht per default von der pfSense wie ein WAN behandelt haben.

Hilft dieser Versuch meinen Fehler zu finden oder ich nun alles noch unklarer geworden (master of disaster)?

m-electronics · 30. Oktober 2025 um 19:57

Das mit dem Gateway ergibt auch keinen Sinn, da du ja keine Route, die dieses GW nutzt, eingetragen hast… Das Problem ist eher, dass du im Netgear “router” auf dem LAN kein GW setzen kannst…
Und du benutzt im WLAN-Netzwerk einen öffentlichen IPv4-Addressraum, das sollte man auch vermeiden…
Wenn du es umdrehen würdest (172.16.72.0/24) würde es gehen

Auge · 30. Oktober 2025 um 23:08

Danke für die Rückmeldung. Ich vermute es liegt somit an der fehlenden Möglichkeit im Netgear Router einen Gateway zu konfigurieren…

Auch nachdem ich das Netzwerk “WLAN” von 172.72.16.0/24 nach 172.16.72.0/24 umgezogen habe, bleibt das Eingangs beschriebende Phänomen gleich.

Vom WLAN Interface aus kann ich alle drei IPs anpingen.

Netzwerk pfSense:

PING 172.16.72.11 (172.16.72.11) from 172.16.72.11: 56 data bytes
64 bytes from 172.16.72.11: icmp_seq=0 ttl=64 time=0.131 ms
64 bytes from 172.16.72.11: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 172.16.72.11: icmp_seq=2 ttl=64 time=0.039 ms

WLAN Router:

PING 172.16.72.180 (172.16.72.180) from 172.16.72.11: 56 data bytes
64 bytes from 172.16.72.180: icmp_seq=0 ttl=64 time=1.491 ms
64 bytes from 172.16.72.180: icmp_seq=1 ttl=64 time=0.310 ms
64 bytes from 172.16.72.180: icmp_seq=2 ttl=64 time=0.323 ms

WLAN Web Cam:

PING 172.16.72.211 (172.16.72.211) from 172.16.72.11: 56 data bytes
64 bytes from 172.16.72.211: icmp_seq=0 ttl=64 time=65.767 ms
64 bytes from 172.16.72.211: icmp_seq=1 ttl=64 time=83.950 ms
64 bytes from 172.16.72.211: icmp_seq=2 ttl=64 time=1.820 ms

Versuche ich nun erneut das Ganze vom “LAN” 10.16.0.0/16 aus erreiche ich den Router ebenfalls wieder nicht.

Netzwerk pfSense:

PING 172.16.72.11 (172.16.72.11) from 10.16.0.11: 56 data bytes
64 bytes from 172.16.72.11: icmp_seq=0 ttl=64 time=0.121 ms
64 bytes from 172.16.72.11: icmp_seq=1 ttl=64 time=0.054 ms
64 bytes from 172.16.72.11: icmp_seq=2 ttl=64 time=0.053 ms

WLAN Router:

PING 172.16.72.180 (172.16.72.180) from 10.16.0.11: 56 data bytes
--- 172.16.72.180 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

WLAN Web Cam:

PING 172.16.72.211 (172.16.72.211) from 10.16.0.11: 56 data bytes
64 bytes from 172.16.72.211: icmp_seq=0 ttl=64 time=66.343 ms
64 bytes from 172.16.72.211: icmp_seq=1 ttl=64 time=5.465 ms
64 bytes from 172.16.72.211: icmp_seq=2 ttl=64 time=105.813 ms

Trage ich auch hier wieder einen Gateway für das “WLAN” im Interface ein (172.16.72.11), dann kann ich den WLAN Router vom “LAN” aus an-pingen und seine GUI vom “LAN” aus direkt öffnen. Diesen Teil verstehe ich nicht, egal.

PING 172.16.72.180 (172.16.72.180) from 10.16.0.11: 56 data bytes
64 bytes from 172.16.72.180: icmp_seq=0 ttl=64 time=0.782 ms
64 bytes from 172.16.72.180: icmp_seq=1 ttl=64 time=0.335 ms
64 bytes from 172.16.72.180: icmp_seq=2 ttl=64 time=0.351 ms

Somit scheint meine Idee, den Netgear WLAN Router Nighthawk R6120 zum Einbinden von “WLAN” Geräten ins “LAN”, nicht zu funktionieren .

Immerhin habe ich dennoch wieder einiges gelernt .

m-electronics · 31. Oktober 2025 um 04:53

Doch das geht schon. Nur den WLAN-”Router” an sich kannst du dann halt nicht erreichen. Aber warum das mit einem GW (was ja die pfSense selber ist) funktioniert, wüsste ich gerne😀

Du kannst aber auch ein NAT auf diesem Interface nur für diesen “Router” einrichten😉

The_eagle · 31. Oktober 2025 um 05:51

Ich verstehe dich gerade einfach nicht mehr.

Das vorstehende und das folgende

widersprechen sich doch. Wie/wo kannst du ein Gateway für das “WLAN” im Interface eintragen (172.16.72.11), wenn dein Netgear angeblich keine Möglichkeit dazu hat?

Ergibt für mich gerade keinen Sinn

Nachtrag:

Hab jetzt eigens eine ausgemusterte Fritte hervorgeholt. Die kann man so:

auch als reinen WLAN-AP ins LAN einbinden. Dann kann man auch die IP-Adresse manuell festlegen und dann

IP-Adresse
Subnetzmaske
Standard-Gateway
Primärer DNS-Server
Sekundärer DNS-Server

festlegen. Dann ist sie Teil eines der LAN-Segmente meiner pfsense und nur noch WLAN-AP. Ein WAN hat die Fritte dann nicht mehr. Musst halt gucken ob das auch mit deinem Router so machbar ist.

m-electronics · 31. Oktober 2025 um 06:43

Er hat in der pfSense ein Gateway angelegt mit der IP der pfSense selbst… Und dann geht es aus irgendwelchen Gründen…

Auge · 31. Oktober 2025 um 08:28

Ich habe das Gateway WLANGW wieder im WAN (172.16.72.0/24) der pfSense eingetragen und dann ist der WLAN Router 172.16.72.180 per ping und per HTTPS vom LAN 10.16.0.0/16 aus erreichbar. Ohne das Gateway nicht…

Vermutlich ist noch etwas in meinem Netzwerk zerkonfiguriert…

m-electronics · 31. Oktober 2025 um 09:00

Ah, jetzt wird es klarer… Du hast dieses GW auch im Interface gesetzt… Dadurch sieht die pfSense dieses IF als WAN-IF an und macht SRC-NAT… Aber für alles… Was man eigentlich nicht möchte. Du kannst auch einfach eine spezifischere NAT-Regel nur für dieses Netgear-Teil machen.

The_eagle · 31. Oktober 2025 um 13:41

Also ich fasse mal zusammen. dein NightHawk R6120 will kein anderes Defaultgateway als sein eigebnes WAN-Inteface. Das kann ich ja noch nachvollziehen. Was ich aber nicht nachvollziehen kann, ist dass man bei dem Gerät nicht irgendwo Gateways für beliebige Netze eintragen können soll. Das müsste doch möglich sein, denn das sollte doch eigentlich jeder Router können.

Und wenn das möglich ist, dann sollte es doch reichen die WLAN-IP-Adresse der pfsense als Gateway für das LAN-Netz der pfsense einzutragen. Damit sollte sich das Problem doch auch ohne verbogene Config in ser sense lösen lassen.

Auge · 31. Oktober 2025 um 13:51

Vielen Dank für den Vorschlag mit der FritzBox.

Das kann ich bei mir nicht umsetzen da die FritzBox Teil meiner DMZ ist und zudem im Keller im Serverschrank steht. Vom WLAN der FritzBox kommt bereits im Erdgeschoss nichts mehr an.

Somit verwende ich im Erdgeschoß einen WLAN Router der auch im LAN (10.16.0.0/16) steht. Da der WLAN Router aber autonom in die DMZ zur FritzBox routet kann ich diesen Datenverkehr nicht auf der pfSense verwalten.

Daher kam ich auf die Idee auf der pfSense ein WLAN (172.16.72.0/24 ehemals 172.72.16.0/24) speziell für den Netgear WLAN Router anzulegen. Hiermit hatte ich mir erhofft den Datenverkehr der WLAN-Geräte, die über den WLAN Router ins Netzwerk WLAN 172.16.72.0/24 der pfSense gebracht werden, verwalten zu können.

Auge · 31. Oktober 2025 um 13:53

Ich schaue mir den Netgear WLAN Router nochmal genau an. Entweder er kann nur ins WAN routen oder ich finde die Stelle mit dem Gateway nicht. Danke für die Hilfe und Hinweise!

The_eagle · 31. Oktober 2025 um 14:33

Ich habe heute nicht wirklich Lust mir die Spezifikationen des NightHawk R6120 anzusehen. Ich nutze als WLAN-AP hinter meiner pfsense (auch in einem speziellen WLAN-Netz) einen Netgear WAX202. Dieser hat drei Betriebsmodi:

Router-Modus
AccessPoint-Modus
Bridge-Modus

Hinter der sense wird er sinnvollerweise im AccessPoint-Modus betrieben. Und genau das ist bei mir auch der Fall und ich habe keine Probleme wie du.sie derzeit hast.

Nachtrag: hab das Usermanual gefunden. Gibt es bei R6120 - AC1200 Dual Band WiFi Router zudem auch die neueste Firmware. Im Handbuch findet sich auch

Set Up a Static Route ab Seite 99 und zudem
Use the Router as a WiFi Access Point Only ab Seite 126

Wie sagt man so schön → RTFM = Read The Fu***** Manual
Das hätte dir vermutlich viel Zeit und rumgefummel an der sense erspart …