kein Ping vom externen Client ins interne Netz
-
@fummeleisen
Nein, der Ping auf 192.168.10.10 vom WG Client funktioniert ja nach wie vor via IPv4, oder?
Aber im pcap sind die Pakete nicht zu sehen. Die aber da sein müssen, ansonsten würde der Ping nicht funktionieren.Warum da kein ICMP Paket zu sehen ist, kann ich mir im Augenblick auch nicht erklären. Es wäre aber für das Troubleshooting sehr hilfreich.
-
@viragomann
Was hältst du von folgender Idee:
Für heute Denkpause. Morgen Vormittag installiere ich die sense komplett neu, mit allem was ich bisher gelernt habe und gebe dann Bericht - so oder so. Eventuell auch in einer anderen Netzwerkumgebung. Vielleicht hat sich in dem Teil etwas verhakt bei all meiner Fummelei. -
@fummeleisen
Kannst du natürlich versuchen. So ein "Verhaken" gab es doch schon ab und zu mal, jedoch glaube ich in diesem Fall nicht so recht daran. Beim Packet Capture wird einfach ein tcpdump ausgeführt und der Output zur Anzeige gebracht. Der ausgeführte Befehl wird ja angezeigt und der ist OK, bis auf das Interface, das ich nicht interpretieren kann.
Aber gut, ich bin hier eh am Ende... -
Das kann ich mir vorstellen. Gute Erholung! Und tausend Dank!
-
Was ist denn das für ein Switch.
-
Netgear prosafe plus unmanaged. Den hatte ich auch als Fehlerquelle in Betracht gezogen. Allerdings funktionieren intern ja alle Pings und das Pacet Capture zeigt ICMP Pakete, wenn ich die Sense intern anpinge.
-
@Bob-Dig
Ich setze gerade eine neue sense auf anderer Hardware auf, aber mit gleichen Einstellungen, um einen technischen Fehler auszuschließen. -
Leider hatte ich heute nicht so viel Zeit, um weiter zu machen. Folgendes habe ich aber inzwischen vorgenommen, um dem Problem auf den Grund zu kommen (bin noch nicht ganz durch):
-
Auf einen zweiten PC eine neue sense aufgesetzt und diese mit dem Backup der alten gefüttert. Damit hatte ich den Hinweis, daß die Hardware wahrscheinlich nicht das Problem war. Außerdem hatte ich damit eine Referenz für die Einstellungen der Neuinstallation auf der alten Hardware.
-
Auf der alten Hardware ein älteres Backup installiert mit praktisch der gleichen Konfiguration (auch den kritisierten Einstellungen) wie die zu Beginn dieses Themas. Resultat: alle PCs im internen Netz lassen sich nun von aussen anpingen! Das heißt: die sensen-software hatte sich offensichtlich verhakt. Allerdings ließen sich nicht die Geräte anpingen, die per Weboberfläche verwaltet werden. Hier z.B. zwei alte Router, die dazu geschaltet wurden. Sie ließen sich über WG auch nicht über die IP-Adresse im Browser öffnen.
-
Auf dieser Basis führte ich Versuche mit unterschiedlichen WG-Einstellungen durch - leider ohne Erfolg.
Damit grenzt sich das Problem auf den GUI-Zugang über WG/pfsense ein.
Danke noch einmal für eure Hilfe. Ohne die Fehleranalyse per Paket Capture wäre ich nicht auf die Idee gekommen, dass hier zunächst erst einmal ein technischer fehler vorliegen könnte. Der ist nun beseitigt.
Die o.g. allowed ip habe ich wieder gelöscht. Das Gateway würde ich jetzt aber bestehen lassen, da ich demnächst die beiden sensen miteinander verbinden möchte.
Bleibt jetzt das Problem mit dem GUI-Zugang.
-
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Damit hatte ich den Hinweis, daß die Hardware wahrscheinlich nicht das Problem war. Außerdem hatte ich damit eine Referenz für die Einstellungen der Neuinstallation auf der alten Hardware.
Die funktionierte nämlich genau so wenig wie das Original.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Allerdings ließen sich nicht die Geräte anpingen, die per Weboberfläche verwaltet werden. Hier z.B. zwei alte Router, die dazu geschaltet wurden.
Bei Routern musst du deren Routing-Tabelle bedenken. Die haben möglicherweise nicht die pfSense als Standardgateway eingestellt, sondern eine andere IP. Und genau dahin würde sie ihre Antwortpakete schicken.
In diesem Fall müsstest to also entweder das Gateway auf den Routern ändern, oder, falls es bleiben soll, auf der pfSense Masquerading (outbound NAT) auf den entsprechenden Paketen machen.
-
@viragomann
Danke für den Tip! Das werde ich am Montag ausprobieren, wenn ich wieder zurück bin.
