Router-Modus
-
Hallo,
ich habe jetzt mein Netzwerk umgestellt aber die Regeln greifen nicht bzw. sind falsch.
Vorher war ein Modem vor der pfsense. An dieser dann eine Fritzbox für Wlan und Telefon. Ursache für die Umstellung waren trotz unzähliger Versuche immer mal wieder Abbrüche von Gesprächen.
Jetzt hängt die Fritzbox(DSL&Telefon) direkt am VDSL, daran die Pfsense. Also kein Modembetrieb mehr. Davon gehen Lan und Wlan ab. Die Pfsense ist neu geflasht.
Alle Schnittstellen sind auf Static eingestellt. Bei WAN ist als IPv4 Upstream Gateway die IP der Fritzbox eingestellt.Um jetzt Internetzugang zu haben, muss ich bei Wlan und Lan bei Regeln als Ziel immer any nehmen, sonst bekomme keine Verbindung. Log zeigt dann auch an: "WAN - let out anything from firewall host itself (1000004861)". Nur WAN als Ziel funktioniert nicht.
Muss der Pfsenseport an der Fritzbox nun zwangsweise als ExposedHost eingestellt sein oder nicht? Im Internet habe ich Unterschiedliches gelesen. In den allgemeinen Einstellungen ist kein DNS-Server gesetzt.Gibt es irgendwo ein Tutorial zur korrekten Einstellung?
Zweites Problem ist die jetzt zunehmende zeitliche Verzögerung der Log-Ausgabe. Nach dem Log-Löschen und Neuinitialisieren bleibt es nur kurz synchron.
-
@more anleitungen findest du genug über google oder hier im forum haben das ja auch schon einige gehabt.
damit ich deinen text besser verstehe bitte noch einen grafischen netzwerkplan- ich glaube deine firewall regeln sind nicht ganz richtig (ein guter einstieg ist meist auch die default regel nach der installation (bitte mal einen screenshot)
- machst du jetzt pppoe auf der sense mit einem modem oder mit der fritzbox (habe was gelesen das du auch wlan nutz)?
ich gebe dir mal als beispiel meinen netzwerkplan und du findest auch hier noch beispiele:
https://forum.netgate.com/topic/19017/netzwerk-diagramme-zum-einfügen-in-eigene-posts/1
hier noch angaben die wichtig sind:
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩═════════════════ pfSense 2.5.2 ═╗ Stand: ─ ─ ┐ ┌────────────────┐ ┌────────────────┐ ║ ║ │ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ 29.12.2021 │ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ └────────────────┘ └───┬─────────┬──┘ ║DynDNS über Cloudflare mit eigener Domain║ ┌────────────────┐ │ │ ║ VPN's:║ │ Fritzbox 7490 │ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ (Nur VoIP) ├───────┤ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ │ │ │ ║ 1 x WireGuard Road Warrior║ └────────────────┘ │ │ ║ (172.16.33.0/24)║ ┌────────────────┐ │ │ ╚═════════════════════════════════════════╝ │ UBNT │ │ │ ┌────────────────┐ ┌────────────────┐ │UniFi Cloud Key ├───────┤ │ │ Switch │ │ 1 x UBNT │ │ │ │ └───────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ └────────────────┘ │ │ │ │ │ ┌────────────────┐ │ └─────────┬──────┘ └────────────────┘ │ 2 x UBNT │ │ │ ┌────────────────┐ │UniFI AP AC Pro ├───────┘ │ │ │ │ │ └──────────┤ Clients │ └────────────────┘ │ │ └────────────────┘ -
Internet : : Telekom : .-----+-----. | Fritzbox | | Router | '-----+-----' | 192.168.188.1 WAN | | 192.168.188.30 .-----:------. | pfS:ense +---------------------. | (Br:dge) | WLAN 192.168.178.1 | '-----:------' | | | LAN | 192.168.1.1 | | | 192.168.178.4 .-----+------. .-----+------. | LAN-Switch | | WLAN-AP | '-----+------' '-----+------' | | (Clients/NAS) ClientsInterface:
Routing(nur zum Test):
NAT:
alles leer bis auf Autoregel ausgehend
Regeln:
Installiert, aber momentan abgeschaltet ist PfblockerNG.
@micneu Anleitungen habe ich bisher nur für meine alte Konfiguration mit Modem gefunden.
Die Fritzbox macht Internet selbstständig, also kein pppoe in der Pfsense eingetragen.
Die Regeln für Lan/WLan/VLAN sollen später noch angepasst werden, WAN wieder richtig funktioniert. -
@more said in Router-Modus:
Um jetzt Internetzugang zu haben, muss ich bei Wlan und Lan bei Regeln als Ziel immer any nehmen, sonst bekomme keine Verbindung.
Wenn du die Ziele auf IPs oder Subnetze beschränken kannst / willst, sollte das auch möglich sein.
Nur WAN als Ziel funktioniert nicht.
WAN? Das wird so nicht in pfSense angeboten. Ich kenne nur
WAN address ... IP am WAN Interface
WAN net ... Subnetz der IP am WAN InterfaceBeides umfasst nicht das Internet. In deinem Fall liegen beide sogar in deinem privaten Netz.
Um eine beliebige Adresse im Internet zu erreichen, benötigst du also "any" als Ziel.
Was dich daran stört, ist vermutlich, dass any auch Zugriff auf andere Bereiche deines Netzwerks (LAN, WLAN) erlaubt.
Um das zu unterbinden, musst du dies eben vor der Pass-any Regel blockieren oder, wie ich es gerne mache, das Ziel der Pass-Regel so setzen, dass es nicht die internen Netze umfasst.Für diesen Zweck lege ich mir einen RFC 1918 Alias an, der eben genau diese Netzwerke enthält, und damit alle, die ich intern verwende.
Diesen Alias setze ich als Ziel mit einem Haken bei "invert", was dann bedeutet, Ziel ist alles außer die im Alias enthaltenen Netze. So geht das auch mit nur einer Regel.Muss der Pfsenseport an der Fritzbox nun zwangsweise als ExposedHost eingestellt sein oder nicht?
Das ist nur für eingehende Verbindungen wichtig. Wenn du nur Internetzugang für dein Netzwerk benötigst, ist das nicht erforderlich.
-
@viragomann said in Router-Modus:
WAN? Das wird so nicht in pfSense angeboten. Ich kenne nur
WAN address ... IP am WAN Interface
WAN net ... Subnetz der IP am WAN InterfaceJa, ich meinte WAN address und WAN net.
Um eine beliebige Adresse im Internet zu erreichen, benötigst du also "any" als Ziel.
Was dich daran stört, ist vermutlich, dass any auch Zugriff auf andere Bereiche deines Netzwerks (LAN, WLAN) erlaubt.Genau, das hat mich irritiert. Ich dachte ich könnte das mit Regeln mittels "WAN net" wie früher mit ppoe und Modem-Betrieb lösen.
Vielen Dank für deinen Tip mit dem Alias. Wenn man was vereinfachen kann bin ich gern dabei. Also stimmt im Grunde alles andere? Das werde ich morgen gleich probieren.
-
Es funktioniert.
Vielen Dank an @micneu und @viragomann
-
T the other referenced this topic on
-
T the other referenced this topic on
