kein Ping vom externen Client ins interne Netz
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
die sind WG_Tunnel1 definiert. Unter Wireguard gibt es keine Regeln. Dieses Vorgehen wird in mehreren Foren empfohlen.
Gut so, aber hast Du das Interface selbst auch schon konfiguriert? Es sieht nicht so aus. Da muss die statische IP und Maske drauf, die schon in deinem ersten Bild zu sehen sind. Bei deiner Peer Config auf der Sense sollte sie dafür weg. MTU und MSS noch auf 1420 setzen.
-
@Bob-Dig
Die Gateway-Einstellung unter Routing lässt sich nicht verstellen.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die Gateway-Einstellung unter Routing lässt sich nicht verstellen.
Eine Ebene zurück. Es ging um das Default Gateway.
-
@Bob-Dig
Habs gefunden und unter IpV4 auf WAN_DHCP , unter IpV6 auf none gesetzt.Im WG-Interface habe ich noch MTU und MSS ergänzt:
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Bei deiner Peer Config auf der Sense sollte sie dafür weg.
Das habe ich nicht verstanden.Pardon, meine Antworten dauern immer etwas lange, weil ich die Einstellung auf 0.0.0.0/0 inden allowed Ips immer wieder zurücksetzen muss. da ja sonst der gesamte Internetverkehr über die sense führt, was (noch) nicht funktiopniert.
-
@Bob-Dig
Hallo Bob,
erst einmal Danke für Deine Geduld! Ich verstehe noch nicht so ganz den ortsüblichen Slang... ;-)
Hartmut -
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Bei deiner Peer Config auf der Sense sollte sie dafür weg.
Das habe ich nicht verstanden. Wie soll ich das umsetzen?
So, das war jetzt mit richtiger Formatierung (ich lerne gerade dazu)!
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Das habe ich nicht verstanden.
Die 10.6.7.1 hat in der Peer-Config auf der Sense nicht zu suchen. Die eigene Adresse gehört da nicht rein.
Pardon, meine Antworten dauern immer etwas lange, weil ich die Einstellung auf 0.0.0.0/0 inden allowed Ips immer wieder zurücksetzen muss. da ja sonst der gesamte Internetverkehr über die sense führt, was (noch) nicht funktiopniert.
Dann mach das wieder raus. War auch mehr dazu gedacht, die Config zu vereinfachen, das scheint hier aber nicht der Fall zu sein.
Ist das dynamic jetzt weg beim Gateway? Bzw. wozu hast Du das Gateway dort überhaupt angelegt? Wenn das nur ein einziges Laptop ist, wird kein Gateway benötigt.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die anderen Geräte im internen Netz lassen sich nicht anpingen oder per RDP oder Browserfenster öffnen.
Das ist z.B. für Windows durchaus normal, da dieses sich gegen fremde Geräte, also Geräte aus einem anderen Subnetz, abschottet.
Das Fritzbox-WireGuard ist da besonders, indem es einem direkt eine IP aus dem LAN gibt, also kein fremdes Subnetz.
Am einfachsten überprüfst Du das, indem Du die Windowsfirewall auf einem der Hosts, die Du erreichen willst, zuvor deaktivierst. Wenn es dann geht, hast Du kein Routing-Problem, sondern ein Problem mit den lokalen Firewalls.
-
@Bob-Dig
Das dynamic ist weg. Habs gefunden und das Default gateway IPv4 auf "WAN_DHCP" sowie das Default gateway IPv6 auf "none" gesetzt.
Als blutiger Anfänger habe ich alle bisherigen Konfigurationen aus unterschiedlichen Foren und Youtube übernommen - wohl nicht immer ganz richtig.
Zumeinem Laptop kommen noch die von zwei weiteren Familienmitliedern hinzu.
Die 10.6.7.1 habe ich in der Peer-Config gelöscht. -
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Zumeinem Laptop kommen noch die von zwei weiteren Familienmitliedern hinzu.
Aber die bekommen sicher ihre eigene Peer Config, also das WG-Gateway muss weg. Ein Gateway würde man nur setzen, wenn es sich um einen Router handeln würde, aber nicht bei einem gewöhnlichen Laptop.
Wenn die Laptops aber alle am selben Standort sind, dann wäre es effizienter, gleich die anscheinend vorhandene Fritzbox (weil eine myfritz-adresse zu sehen ist) zu verbinden, statt jedes Laptop einzeln.
-
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Am einfachsten überprüfst Du das, indem Du die Windowsfirewall auf einem der Hosts, die Du erreichen willst, zuvor deaktivierst. Wenn es dann geht, hast Du kein Routing-Problem, sondern ein Problem mit den lokalen Firewalls.
Dazu muss ich einen Ortswechsel vornehmen. Das dauert etwas.
Schon mal vielen Dank bis hierher!
-
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
das WG-Gateway muss weg. Ein Gateway würde man nur setzen, wenn es sich um einen Router handeln würde, aber nicht bei einem gewöhnlichen Laptop.
Die FritzBox soll, wenn die sense fertig konfiguriert ist, durch ein Modem ersetzt werden. Spielt dann das Gateway eine Rolle?
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die FritzBox soll, wenn die sense fertig konfiguriert ist, durch ein Modem ersetzt werden. Spielt dann das Gateway eine Rolle?
Die abgebildete Fritzbox spielt dabei keine Rolle, es geht ja um die Verbindung zwischen pfSense und Laptop, also Gateway weg, weil das Laptop ist kein Router.
-
@Bob-Dig
So, bin wieder zurück. Bei PC1 habe ich die Winows-Firewall deaktiviert. in der sense habe ich das Gateway gelöscht.
Leider hat das bisher zu keiner Änderung der Situation, wie ich sie zu Anfang geschildert hatte, geführt.Ich habe mir mal die Routing-Tabellen ausgeben lassen. Hier aus der Sicht des externen Laptops:
Schnittstellenliste
22...........................WireGuard Tunnel
11...08 00 27 9d aa d7 ......Intel(R) PRO/1000 MT-Desktopadapter
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.27.1 192.168.27.112 10
10.6.7.0 255.255.255.0 Auf Verbindung 10.6.7.2 5
10.6.7.2 255.255.255.255 Auf Verbindung 10.6.7.2 261
10.6.7.255 255.255.255.255 Auf Verbindung 10.6.7.2 261
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.10.0 255.255.255.0 Auf Verbindung 10.6.7.2 5
192.168.10.255 255.255.255.255 Auf Verbindung 10.6.7.2 261
192.168.27.0 255.255.255.0 Auf Verbindung 192.168.27.112 266
192.168.27.112 255.255.255.255 Auf Verbindung 192.168.27.112 266
192.168.27.255 255.255.255.255 Auf Verbindung 192.168.27.112 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.27.112 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.27.112 266St„ndige Routen:
KeineIPv6-Routentabelle
Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
1 306 ff00::/8 Auf VerbindungSt„ndige Routen:
KeineAus der Sicht der sense:
-
@Bob-Dig
Oops - jetzt d
ie Sicht des Laptops besser formatiert: -
@fummeleisen
Hallo,
der Thread ist schon ziemlich lange, und du kannst immer noch nicht auf die Remoteseite zugreifen?Damit man da wieder einen Überblick bekommt, kannst du bitte Folgendes prüfen und dokumentieren:
Vom WG Client:- Ping auf 10.6.7.1 (WG Server).
- Ping auf die LAN IP der pfSense
- Ping auf ein LAN Gerät (dessen Firewall deaktiviert ist)
Wenn nur letzteres nicht klappt, mach bitte auf der pfSense am LAN ein Packet Capture und poste das Ergebnis. Diagnostic > Packet Capture
interface: LAN
protocol: ICMP
host address: die Ziel-IP -
@viragomann
Pardon, ich hatte zwischendurch noch andere Termine.Hier schon mal die Pings auf
Ping auf 10.6.7.1 (WG Server). Ping auf die LAN IP der pfSense Ping auf ein LAN Gerät (dessen Firewall deaktiviert ist) (PC1)(in der Reihenfolge)
Packet Capture folgt.
-
-
@fummeleisen
Den einzigen Fehler, den ich sehe, ist dass das Netzwerk keine Netzerk-IP hat. Wenn du nur die eine IP möchtest, kannst du die Subnetzmaske weglassen.
Allerdings wird das hier problemlos akzeptiert, soweit ich das getestet habe.Wenn du am LAN nichts siehst, gehe mal auf das WG Interface.
-
Wenn ich die Einschränkung ICMP weglasse, kommt folgendes:
Ich gehe jetzt auf das WG-Interface.
