Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VLAN Zugriff im Browser mit HTTPS funktioniert nicht, alles andere schon...

    Deutsch
    4
    8
    1.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      MSP1978
      last edited by

      Guten Morgen Zusammen,

      ich habe ein kleines Verständnissproblem und komme seit 2 Tagen nicht weiter, daher hoffe ich einmal das Ihr vielleicht eine Idee habt was da das problem sein könnte.

      Als System habe ich die pfSense 2.5.2 als VM unter Proxmox laufen.
      Hier gibt es mehrere VLANs, in meinem Falle VLAN 10 "Server" und VLAN 20 "Admins"
      Das VLAN ist nicht durch die pfSense geregelt, sondern jedes VLAn hat eine eigene Bridge im Proxmox bekommen, wo dann das VLAN drauf liegt.
      Das Funktioniert auch ohne Probleme mit meinen TP-Link Switchen :-)

      Ich habe nun das Problem, dass mein PC im VLAN 20 nicht auf alle Server im VLAN 10 kommt, und zwar jene, die mit HTTPS arbeiten.

      Als Beispiel mein NAS:
      Das NAS erreiche ich ohne Probleme im Datei-Explorer, die IP ist hier 192.168.10.5
      Die Web-Oberfläche kann ich aber nicht erreichen im Web Explorer (Firefox, Edge usw.), die Startseite bleibt leer.

      Somit funktioniert mein Zugriff aus dem VLAN 20 auf das VLAN 10 auch. Die Regel ist hier einfach dass das Admin VLAN in alle anderen VLANs darf (Admin Net to Any)

      Bisher hatte ich mich hierbei auf das NAS konzentriert, aber Gestern Abend ist mir dann bei der Fehlersuche aufgefallen, dass andere Server / VMs im VLAN 10 ebenfalls dieses Problem haben, ich kann diese unter HTTP erreichen, Ping oder Dateiexplorer, alles funktioniert. Aber der Zugriff über HTTPS im Browser klappt bei keinem der "Server" die HTTPS verwenden.

      Nur, wo setze ich nun an bei der pfSense?
      Die Regel ist wie gesagt Admin to Any für alle Protokolle.
      Ich Vermute hier irgendwo eine Einstellung bei Zertifikaten oder dergleichen, aber wo schaue ich jetzt nach bzw kann ich mit der Analyse ansetzen?

      Gruss,
      Michael

      V JeGrJ 2 Replies Last reply Reply Quote 0
      • V
        viragomann @MSP1978
        last edited by

        @msp1978
        Hallo,
        hast auf der pfSense "Hardware Checksum Offloading" deaktiviert?

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator @MSP1978
          last edited by

          @msp1978 said in VLAN Zugriff im Browser mit HTTPS funktioniert nicht, alles andere schon...:

          Das VLAN ist nicht durch die pfSense geregelt, sondern jedes VLAn hat eine eigene Bridge im Proxmox bekommen, wo dann das VLAN drauf liegt.

          Musst du das so machen? Denn Proxmox kann das schöner.

          Die Regel ist wie gesagt Admin to Any für alle Protokolle.

          Bei sowas am Besten mit TCPdump auf der Sense. Am besten per SSH, 2x verbinden und dann 2 TCPdumps gleichzeitig machen für das VLAN20 und VLAN10 mit bspw. Beschränkung auf Port 443 oder auch auf die NAS IP damit du nicht überschwemmt wirst.

          Und dann bspw. einen Seitenaufruf per HTTP und einen per HTTPS ansehen. Daran sollte man ganz gut sehen können was wo wie die Pakete machen. Der Fall kommt mir irgendwie seltsam bekannt vor aber es klickt gerade nicht, was das Problem war.

          Sonst noch Pakete auf der Firewall? irgendwas, was HTTPS intercepted? Browser auf der Kiste nicht irgendwas seltsames mit DoH oder sowas?

          Cheers

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          M 1 Reply Last reply Reply Quote 0
          • M
            MSP1978 @JeGr
            last edited by

            @jegr Hallo,

            ich werde heute Abend mal einen TCPDump versuchen, ich hatte schonmal mit der pfSense eine Aufzeichnung gemacht, aber da war alles soweit OK, weder ein Deny noch ein Block oder dergleichen.

            Sonst habe ich eigentlich nichts anderes definiert auf der pfSense, lediglich ACME hat mir ein gültiges Wildcard-Zertifikat "geholt" weil ich anschließend mit dem HAProxy arbeiten möchte. Der ist zwar installiert, aber nicht aktiviert und eingerichtet.

            Was genau meinst Du mit
            Browser auf der Kiste nicht irgendwas seltsames mit DoH oder sowas?

            Meinst Du auf der pfSense, dem Proxmox Hosts oder meinem PC?

            Gruss und Danke schon einmal für die bisherigen Hinweise / Ideen,
            Michael

            1 Reply Last reply Reply Quote 0
            • Bob.DigB
              Bob.Dig LAYER 8
              last edited by

              Was ist denn die genaue Fehlermeldung im Browser?

              1 Reply Last reply Reply Quote 0
              • M
                MSP1978
                last edited by

                Guten Morgen Zusammen,

                manchmal sitzt das Problem halt vor dem Monitor..
                Nachdem ich vorgesten Abend Feierabend gemacht hatte und als letzte Aktion die pfSense und andere VMs neu gestartet habe, funktionierte der Zugriff auf das NAS und alle anderen HTTPS-Dienste gestern sofort.
                Es lag also wohl an einem ausliegendem Neustart nach meinen Konfigurationen 🤕

                Abschließend hätte ich dennoch eine Frage: Ist es sinnvoll, nachdem man einen neuen Dienst (bei mir kommt ja als nächstes der HAProxy und anschließend VPN hinzu) hinzugefügt hat, die pfSense generell immer mal einem Reboot zu unterziehen? Gibt es da so etwas wie goldene Regeln?

                Gruss und vielen Dank für Eure prompten Ratschläge und Hinweise!

                Gruss,
                Michael

                JeGrJ 1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator @MSP1978
                  last edited by

                  @msp1978 said in VLAN Zugriff im Browser mit HTTPS funktioniert nicht, alles andere schon...:

                  Abschließend hätte ich dennoch eine Frage: Ist es sinnvoll, nachdem man einen neuen Dienst (bei mir kommt ja als nächstes der HAProxy und anschließend VPN hinzu) hinzugefügt hat, die pfSense generell immer mal einem Reboot zu unterziehen? Gibt es da so etwas wie goldene Regeln?

                  Nope. Ist auch SEHR selten, dass sich irgendwas nach einem Neustart einfach so entknotet. Ja, es kann vorkommen, das muss dann aber schon was in Richtung (virtueller) HW gewesen sein, was da verknotet ist, denn die Config wird eigentlich sofort übernommen und angelegt. Einen generellen Neustart oder irgendwas derartiges sind überflüssig und eher kontraproduktiv zumindest im Normalfall.

                  Cheers

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 1
                  • Bob.DigB
                    Bob.Dig LAYER 8
                    last edited by

                    Reboot tut gut. 😉

                    1 Reply Last reply Reply Quote 1
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.