Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port
-
@bob-dig said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Eigentlich alles
Seh ich ehrlich gesagt komplett anders. Ja, man kann es sicher im Detail anders machen, aber für einen Erstversuch ist das schon sehr nah am Optimum.
Vielleicht ist auch die VLAN Konfiguration falsch.
Nein, die scheint korrekt zu sein.
Aber vielleicht ist das ja schon der Fehler weil es dadurch 2 Gateways gibt ?!
Nein, pfSense hinter einem Speedport Hybrid geht ohne Probleme.
Grundsätzlich ist die Erstellung mit ... VLAN machbar ... ?!
Ja.
-
@thiasaef said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Seh ich ehrlich gesagt komplett anders.
Ich bezog mich nur auf das Outbound NAT.
-
@thiasaef
aus pfsense herraus (siehe Bilder vorher).Ping aus dem Menü (Punkt 7) Ping host
funktioniert auch... -
@megbyte0469 dann gehe ich jede Wette ein, dass es an folgenden Bug liegt: https://forum.netgate.com/topic/170235/unbound-massively-broken-pfsense-2-5-2/3?_=1647560358107
Starte mal den DNS Resolver (Unbound) von Hand neu und versuch es dann noch mal.
Edit: Und wenn es wirklich daran liegt, dann findest du hier eine Notlösung für das Problem: https://forum.netgate.com/topic/170341/dns-resolver-funktioniert-nach-einiger-zeit-nicht-mehr/6
-
@megbyte0469
In den LAN Interface Einstellungen hast du vermutlich eine Gateway eingetragen. Das sollte wieder entfernt werden.In den WAN Einstellungen sollte als Gateway die IP des Routers stehen. Ist das so?
-
@viragomann
Danke das war der ganze Fehler.
In den Lan Einstellungen war die Getway 192.168.2.1 eingetragen.
Hier auf "None" geändert.
Jetzt geht es.
Aktuell ist der Speedport noch die IP 192.168.1.1 DHCP.
Dieser wird dann die 192.2.1 -- Pfsense 192.168.2.2 und das LAN dann dahinter mit der 192.168.1.1 mit DHCP.
Muss ich hier noch was beachten ?!
Portweiterleitungen ins neue LAN Netz brauche ich noch.... -
Dieser wird dann die 192.2.1 -- Pfsense 192.168.2.2 und das LAN dann dahinter mit der 192.168.1.1 mit DHCP.
Da spricht nichts dagegen.
-
@thiasaef
ok dann muss ich mich mal mit den Portweiterleitungen beschäftigen wie das in pfsense geht. -
@megbyte0469 said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Dieser wird dann die 192.2.1 -- Pfsense 192.168.2.2 und das LAN dann dahinter mit der 192.168.1.1 mit DHCP.
Muss ich hier noch was beachten ?!Im Grunde nur, dass die Outbound NAT Regeln erstellt werden.
Am WAN müssten dann eine Regel für 192.168.1.0/24 vorhanden sein.Habe früher mal erlebt, dass pfSense die Regeln beim Ändern des IP-Bereichs nicht angepasst hatte.
Portweiterleitungen ins neue LAN Netz brauche ich noch....
Sollte auf der pfSense nicht schwierig sein.
Bedenke aber, auch auf dem Speedport die benötigten Ports (oder alles) auf die pfSense WAN IP weiterzuleiten. -
ich kann auch vom LAN aus externe Adressen anpingen.
@viragomann, wie kann das sein, wenn es wirklich am fehlerhaften Gateway lag?
Im Grunde nur, dass die Outbound NAT Regeln erstellt werden.
Warum keine 'Automatic outbound NAT rule generation'?
Jetzt geht es.
Erneutes Abspeichern bestimmer Reiter setzt den oben verlinkten Bug temporär außer Kraft.
-
@thiasaef
Wenn die Frage an mich gerichtet ist (erscheint mir nicht ganz klar), die oben gezeigten Outbound Regeln machen abgesehen von Loopback gar nichts. Normalerweise wäre also vom LAN gar kein Zugriff auf externe Adressen möglich.
Dass der Ping dennoch funktioniert hat, lag vermutlich einerseits am Speedport, der die IP eben in seine WAN umgesetzt hatte und daran, dass das ICMP Protokoll nicht stateful ist. Ich vermute nämlich, dass die Anwortpackete nicht die pfSense passiert hatten. Dazu wäre ein statische Route am Speedport nötig.Warum keine 'Automatic outbound NAT rule generation'?
Das war nicht meine Empfehlung, lediglich, dass die von pfSense generierten Regeln nach der Umstellung überprüft werden sollten.
-
Ich vermute nämlich, dass die Anwortpackete nicht die pfSense passiert hatten.
Aber der Speedport hängt doch an einem Access Port des Switches (VLAN 99, PVID 99) und kann somit gar nicht direkt mit dem LAN Netzwerk (VLAN 10, PVID 10) kommunizieren.
-
@viragomann
ok. Hab nun eine Frage.
Aktuell hab ich am Speedport ein NAS im LAN hängen. Mit der IP 192.168.1.7.
Hier sind aktuell nur die Ports 80 und 443 weitergeleitet.
(ich weiss offene Ports sind nicht gut, aber leider geht das hier nicht anders und das ist sowieso ein virtuelles NAS)
Wenn ich jetzt den Speedport auf Lan 192.168.2.x ändere und das NAS hinter der Pfsense hänge, muss ich natürlich die Portweiterleitung des Speedport auf die PFsense (192.168.2.2) setzen und in der PfSense dann die Portweiterleitung auf des Lan nach der Pfsense (192.168.1.7) setzen.
Stimmt das ?!
Und was muss ich dann als Source und Destanation im NAT in der PFSense einrichten ?! -
@thiasaef said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Ich vermute nämlich, dass die Anwortpackete nicht die pfSense passiert hatten.
Aber der Speedport hängt doch an einem Access Port des Switches (VLAN 99, PVID 99) und kann somit gar nicht direkt mit dem LAN Netzwerk (VLAN 10, PVID 10) kommunizieren.
Aha. So tief habe ich mich dann nicht mehr in dem Thread eingelesen.
Dann müsste es doch über die pfSense gelaufen sein.
Ich habe auch nichts von einer Route am Speedport für das LAN hinter der pfSense entdeckt. Die wäre da aber Voraussetzung. -
@megbyte0469 said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Wenn ich jetzt den Speedport auf Lan 192.168.2.x ändere und das NAS hinter der Pfsense hänge, muss ich natürlich die Portweiterleitung des Speedport auf die PFsense (192.168.2.2) setzen und in der PfSense dann die Portweiterleitung auf des Lan nach der Pfsense (192.168.1.7) setzen.
Stimmt das ?!Ja. Hatten wir ja schon.
Du kanst das NAS aber auch in ein eigenes VLAN bringen, jetzt wo du ohnehin mit arbeitest VLANs Sollte auch bei einem virtualisiertem möglich sein.
Und was muss ich dann als Source und Destanation im NAT in der PFSense einrichten ?!
Source ist normalerweise "any".
Destination ist die WAN IP (Die mit der das Paket von außen bei der pfSense ankommt. Der Speedport leitet es auf die WAN IP weiter.)Target ist dann die Ziel-IP der Weiterleitung, also die des NAS.
Anm: Manche Router machen standardmäßig Masquerading auf eingehenden Verbindungen. Dann wäre die Source IP immer nur die interne Router-IP.
-
Dazu wäre ein statische Route am Speedport nötig.
Auf dem Speedport Hybrid lassen sich keine statischen Routen anlegen (zumindest nicht ohne die Firmware zu modifizieren, was auch nicht ohne Weiteres geht).
-
@bob-dig said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
@megbyte0469 Für LAN brauchst Du auch nicht unbedingt ein VLAN, das kann auch direkt auf dem Parent laufen, würde ich zumindest vermuten. Port 2-5 würde ich aktuell aus dem VLAN1 rausnehmen, sagt jemand mit stark begrenzter Switch-Erfahrung.
ist aber häßlich wie die Nacht finster und wir beten nicht umsonst ständig bei Kunden, Klienten und im Forum gebetsmühlenartig immer wieder runter:
KEIN untagged & tagged Traffic auf dem selben Port mixen!
Und wenn das dann noch im Dümmsten Fall ein 08/15 Billigswitch ist, der noch dazu VLAN leakage vom Default Tag hat ist der Ofen ganz aus. Deshalb NEIN.
@thiasaef said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
@megbyte0469 dann gehe ich jede Wette ein, dass es an folgenden Bug liegt: https://forum.netgate.com/topic/170235/unbound-massively-broken-pfsense-2-5-2/3?_=1647560358107
Nicht alles liegt immer an Unbound.
@viragomann said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
In den LAN Interface Einstellungen hast du vermutlich eine Gateway eingetragen. Das sollte wieder entfernt werden.
Das LAN war falsch konfiguriert, sonst würde das LAN subnet automatisch in den automatic outbound NAT auftauchen - tat es aber nicht. Daher ist die Config falsch. Da ist nix mit DNS das Problem.
Ich sehe da auch eher ziemlich viel chaotisch. Oben war der Speedport noch .1.x jetzt soll er auf .2.x?
Wenn ich jetzt den Speedport auf Lan 192.168.2.x ändere und das NAS hinter der Pfsense hänge, muss ich natürlich die Portweiterleitung des Speedport auf die PFsense (192.168.2.2) setzen und in der PfSense dann die Portweiterleitung auf des Lan nach der Pfsense (192.168.1.7) setzen.
Das macht an der Stelle ja gar keinen Sinn. Der Speedport hat ja jetzt .1.x warum soll der auf .2.x? Dann wäre er theoretisch ja hinter der pfSense - und wer macht dann Internet vorne? Das NAS kommt in das .2.xer Netz hinter die Sense aber am Speedport wird ja nichts geändert.
Da würde ich eher mal raten, nochmal reset, von vorn und klar von vornherein aufskizzieren, was man machen möchte. Wen da kein Monster-Traffic fließt ist der eine NIC gar nicht so dramatisch wichtig, aber gerade wenns nur einen Port gibt und man mit VLANs bastelt, sollte eben auch das Tagging und die Ports dann absolut sauber konfiguriert sein, damit es mit dem ganzen Konstrukt auch klappt. Und dann von Anfang an NUR auf dem WAN VLAN ein Upstream Gateway rein, auf dem LAN kommt da nie was hin, das LAN Gateway ist man ja selbst.
Erst wenn da alles sauber läuft, kann man auch mit Dingen wie Port Forwarding und Co weiter machen ohne dass es plötzlich knallt :)
-
@jegr said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Nicht alles liegt immer an Unbound.
Stimmt, allerdings passt das Fehlerbild nun mal exakt und einmal Kabel abziehen reicht, um den Fehler zu triggern. Die fehlerhafte LAN-Konfiguration habe ich allerdings tatsächlich übersehen, wobei die wie gesagt auch nur teilweise zum Fehlerbild passt.
Das macht an der Stelle ja gar keinen Sinn. Der Speedport hat ja jetzt .1.x warum soll der auf .2.x?
Der Speedport hat ab Werk 192.168.2.1 (und verteilt via DHCP Adressen im Bereich 192.168.2.100 - 192.168.2.199).
-
@thiasaef Ich habe nirgends "flappende" Interfaces die ständig up/down gehen. Bei mir rennt als Hauptkiste auch immer noch - aus Gründen - ne 2.5.2 Kiste. Mit Unbound. Sogar mit MultiWAN. Der rennt jetzt schon ewig ohne Problem. Daher sorry, kann ich nicht nachvollziehen, ich sehe hier erstmal ganz andere Problem(ch)e(n) bevor DNS mal drankommt. Vielleicht zu wenig Interface Events die das Problem triggern könnten - keine Ahnung, aber ich sehe das überhaupt nicht.
-
@jegr said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
@thiasaef Ich habe nirgends "flappende" Interfaces die ständig up/down gehen.
Ja, sonst würdest du den Bug vermutlich auch etwas weniger entspannt sehen.
Vielleicht zu wenig Interface Events die das Problem triggern könnten
Eines genügt, damit Unbound danach auf dem Interface komplett tot ist.
keine Ahnung, aber ich sehe das überhaupt nicht.
Bei einem frisch installierten 2.6.0 kam Unbound bei mir überhaupt nicht von alleine auf allen Interfaces hoch.
