kein Ping vom externen Client ins interne Netz
-
Hallo,
Ich habe vor kurzem als Neulig auf diesem Gebiet eine pfsense auf PC-Hardware installiert und einen WireGuard-Zugang eingerichtet.
Nun versuche ich seit einigen Tagen vergeblich, von meinem externen Laptop aus einen RDP-Zugang zu den Geräten im internen Netz zu bekommen und bin inzwischen der Verzweifelung nahe.
Eine zuvor bestehende WireGuard-Verbindung in die FritzBox funktionierte einwandfrei, sodass alle an sie angeschlossenen Geräte erreichbar waren.
Internes Netz:
Die Browserfenster der pfsense und des Druckers lassen sich von allen PCs aus öffnen. Die PCs lassen sich untereinander per RDP erreichen.Externer Zugang:
Von meinem externen Laptop kann ich bei aktivierter WireGuard-Verbindung die pfsense-LAN Ip 192.168.10.10 im internen Netz anpingen und die Verwaltungsoberfläche der pfsense öffnen.Die anderen Geräte im internen Netz lassen sich nicht anpingen oder per RDP oder Browserfenster öffnen.
Über pfSense Diagnostics kann ich anpingen:
- vom LAN aus die WAN Adresse: 192.168.0.120
- alle Geräte im internen Netz: 3 PCs und Drucker
- Tunnel-Anfang und -Ende(!): 10.6.7.1 und 10.6.7.2
Routing-Problem?
Ich vermute ein Routing-Problem und habe schon alle mir zugänglichen Installationsanleitungen und Tipps in Iternetforen und auf Youtube durchforstet, ohne dass iregendetwas funtioniert hätte.Zur aktuellen Konfiguration der pfsense die folgenden Bilder:
Können Sie mir weiterhelfen?
Beste Grüße
Hartmut -
@fummeleisen habe eine frage, steht denn der tunnel? ich habe keinen screenshot gesehen wo das zu sehen ist?
- ich habe einen tunnel am laufen, habe aber keine fritzbox vor meiner sense.
- bitte screenshots zu deiner wireguard config
- ich habe kein extra wiregaurd interface angelegt, ich nutze nur das "WireGuard" dort habe ich meine regeln angelegt
-
@micneu Danke für die schnelle Nachfrage!
Ja, der Tunnel steht. Daher kann ich von meinem Laptop über den Tunnel auf die Verwaltungsoberfläche der sense im internen Netz zugreifen.Hier die Einstellungen:
-
@micneu
Hier noch die Client-Einstellungen:[Interface]
PrivateKey = ....
Address = 10.6.7.2/32
DNS = 1.1.1.1, 192.168.10.10, 10.6.7.1[Peer]
PublicKey = ....
PresharedKey = ....
AllowedIPs = 10.6.7.1/24, 10.6.7.0/24, 192.168.10.0/24
Endpoint = .... :57633
PersistentKeepalive = 25 -
Bitte das Regelwerk für Wireguard zeigen.
Am besten auch die Floating Rules, letzte solle man nur verwenden wenn man genau verstanden hat wie die funktionieren. -
Das Default Gateway mal auf WAN_DHCP setzen.
Beim WG Gateway sollte nicht "dynamic" stehen.Im Client die allowed IPs mal auf 0.0.0.0/0 setzen.
-
@NOCling
Wenn damit die Firewall-Einstellungen gemeint sind, die sind WG_Tunnel1 definiert. Unter Wireguard gibt es keine Regeln. Dieses Vorgehen wird in mehreren Foren empfohlen. oder ist mit Regelwerk noch etwas anderes gemeint? -
@Bob-Dig
Die allowed IPs habe ich auf 0.0.0.0/0 gesetzt. Für "(Default) Gateway" sehe ich nur eine Statusanzeige aber keine Einstellungsmöglichkeiten. Wo finde ich die? -
@fummeleisen Unter System / Routing, dort statt automatisch auf WAN stellen.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
die sind WG_Tunnel1 definiert. Unter Wireguard gibt es keine Regeln. Dieses Vorgehen wird in mehreren Foren empfohlen.
Gut so, aber hast Du das Interface selbst auch schon konfiguriert? Es sieht nicht so aus. Da muss die statische IP und Maske drauf, die schon in deinem ersten Bild zu sehen sind. Bei deiner Peer Config auf der Sense sollte sie dafür weg. MTU und MSS noch auf 1420 setzen.
-
@Bob-Dig
Die Gateway-Einstellung unter Routing lässt sich nicht verstellen.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die Gateway-Einstellung unter Routing lässt sich nicht verstellen.
Eine Ebene zurück. Es ging um das Default Gateway.
-
@Bob-Dig
Habs gefunden und unter IpV4 auf WAN_DHCP , unter IpV6 auf none gesetzt.Im WG-Interface habe ich noch MTU und MSS ergänzt:
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Bei deiner Peer Config auf der Sense sollte sie dafür weg.
Das habe ich nicht verstanden.Pardon, meine Antworten dauern immer etwas lange, weil ich die Einstellung auf 0.0.0.0/0 inden allowed Ips immer wieder zurücksetzen muss. da ja sonst der gesamte Internetverkehr über die sense führt, was (noch) nicht funktiopniert.
-
@Bob-Dig
Hallo Bob,
erst einmal Danke für Deine Geduld! Ich verstehe noch nicht so ganz den ortsüblichen Slang... ;-)
Hartmut -
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Bei deiner Peer Config auf der Sense sollte sie dafür weg.
Das habe ich nicht verstanden. Wie soll ich das umsetzen?
So, das war jetzt mit richtiger Formatierung (ich lerne gerade dazu)!
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Das habe ich nicht verstanden.
Die 10.6.7.1 hat in der Peer-Config auf der Sense nicht zu suchen. Die eigene Adresse gehört da nicht rein.
Pardon, meine Antworten dauern immer etwas lange, weil ich die Einstellung auf 0.0.0.0/0 inden allowed Ips immer wieder zurücksetzen muss. da ja sonst der gesamte Internetverkehr über die sense führt, was (noch) nicht funktiopniert.
Dann mach das wieder raus. War auch mehr dazu gedacht, die Config zu vereinfachen, das scheint hier aber nicht der Fall zu sein.
Ist das dynamic jetzt weg beim Gateway? Bzw. wozu hast Du das Gateway dort überhaupt angelegt? Wenn das nur ein einziges Laptop ist, wird kein Gateway benötigt.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die anderen Geräte im internen Netz lassen sich nicht anpingen oder per RDP oder Browserfenster öffnen.
Das ist z.B. für Windows durchaus normal, da dieses sich gegen fremde Geräte, also Geräte aus einem anderen Subnetz, abschottet.
Das Fritzbox-WireGuard ist da besonders, indem es einem direkt eine IP aus dem LAN gibt, also kein fremdes Subnetz.
Am einfachsten überprüfst Du das, indem Du die Windowsfirewall auf einem der Hosts, die Du erreichen willst, zuvor deaktivierst. Wenn es dann geht, hast Du kein Routing-Problem, sondern ein Problem mit den lokalen Firewalls.
-
@Bob-Dig
Das dynamic ist weg. Habs gefunden und das Default gateway IPv4 auf "WAN_DHCP" sowie das Default gateway IPv6 auf "none" gesetzt.
Als blutiger Anfänger habe ich alle bisherigen Konfigurationen aus unterschiedlichen Foren und Youtube übernommen - wohl nicht immer ganz richtig.
Zumeinem Laptop kommen noch die von zwei weiteren Familienmitliedern hinzu.
Die 10.6.7.1 habe ich in der Peer-Config gelöscht. -
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Zumeinem Laptop kommen noch die von zwei weiteren Familienmitliedern hinzu.
Aber die bekommen sicher ihre eigene Peer Config, also das WG-Gateway muss weg. Ein Gateway würde man nur setzen, wenn es sich um einen Router handeln würde, aber nicht bei einem gewöhnlichen Laptop.
Wenn die Laptops aber alle am selben Standort sind, dann wäre es effizienter, gleich die anscheinend vorhandene Fritzbox (weil eine myfritz-adresse zu sehen ist) zu verbinden, statt jedes Laptop einzeln.
-
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Am einfachsten überprüfst Du das, indem Du die Windowsfirewall auf einem der Hosts, die Du erreichen willst, zuvor deaktivierst. Wenn es dann geht, hast Du kein Routing-Problem, sondern ein Problem mit den lokalen Firewalls.
Dazu muss ich einen Ortswechsel vornehmen. Das dauert etwas.
Schon mal vielen Dank bis hierher!
