Auf Webkonfiguration über WAN zugreifen

tpf

machn NAT- eintrag:

wan port xx    ip(ip der pfs ausm lan) port xx

also z.b.  172.0.0.1:443 192.168.1.1:443
das rule wird automatisch gesetzt.

sollte so funzen

GruensFroeschli

Den Port vom externen Interface auf das interne Interface zu NATen ist eine ziemlich unsaubere Lösung.

Um auf das Webinterface vom WAN her zugreifen zu können brauchst du lediglich eine Firewallrule auf dem WAN-tab.
Ich habe mein Webinterface als https auf dem Port 444.
Im Anhang ein Screenshot von der Rule mit der ich den Zugriff von aussen her zulasse.

michlG

Hallo,

vielen Dank für eure Antworten.
Aber bei mir funktionieren beide Lösungsvorschläge nicht.
Ich habe schon im Firewall Log nachgeschaut und da wird nichts geloggt (d.h. die Firewall blockt nichts).
Aber wenn ich versuche mich zu verbinden (https://WAN-IP-Adresse:444) dann funktioniert es nicht => aber der Firewall log zeigt nur massenweise UDP - Anfragen an die geblockt wurden (Netbios).

Ich habe das Webinterface jetzt auch auf HTTPS Port 444 gesetzt und die Firewall Regel hinzugefügt.
Das NATen habe ich auch versucht. Dabei gab es aber das selbe Problem.

Ich habe auch versucht bei der Firewall Regel das Loggen immer zu aktivieren (d.h. auch Pakete die nicht geblockt werden werden geloggt).
Aber auch dann wird nix angezeigt.

Kennt ihr evtl. die Lösung des Problems, oder den Grund für mein Problem?

Gruss
Michael

GruensFroeschli

Hast du ein DSL Modem mit einem integrierten Router vor deiner pfSense?
Wenn ja musst du dort die Ports natürlich auch auf die pfSense forwarden.

michlG

Nö,
ich habe nichts vor dem Router.
Habe mich über einen Switch an den WAN-Port gehängt.
D.h. so

Internet => Router => Switch => PfSense => Ferienwohnung
                                        => Laptop

Dabei dürfte der Router keine Rolle spielen.

Gruss
Michael

GruensFroeschli

Also hast du ein privates subnet auf dem WAN der pfSense?
Hast du das Häckchen "block RFC1819 subnets" auf der WAN-config-page deaktiviert?

michlG

Hallo und nochmals danke für deine Hilfe,

ja ich habe ein privates Subnetz am WAN-Port (192.168.1.3)
Und am Lanport habe ich ein anderes Subnetz (192.168.2.3)

Also habe ich mich mit dem Laptop auch in das 1-er netzwerk gehängt. Dabei kann ich aber nicht auf die 192.168.1.3 zugreifen. Pingen kann ich die auch nicht.
Wenn ich mich hingegen im .2er Netz (also am Lanport) ranhänge so kann ich problemlos auf die Webkonfiguration zugreifen und ich komme dann auch über PfSense in das Internet.

Das "block RFC1819 subnets" häckchen habe ich auch schon entfernt.

Ich versuche mich am Wan-Port mit https://192.168.1.3:444 zu verbinden.
Dann bekomme ich die Meldung dass die Seite nicht gefunden wird.

Woran kann es da noch liegen dass es nicht funktioniert?
Ich habe jetzt die Vermutung dass es nicht funktioniert weil ich 2 verschiedene Subnetze habe. Evtl. müsste ich da etwas durchrouten?

Gruss
Michael

GruensFroeschli

Der Port 444 ist nur mein eigenes ding.
Ich würd den zum Debuggen auf 443 standardmässig lassen.

Mir ist es extrem selten schon passiert das beim ändern des Ports der Webserver etwas komisches gemach hat und danach nicht mehr richtig funktioniert hat.
Ein neustart der pf hat dem aber Abhilfe leisten können.

Bist du ganz sicher das die meldung "die seite wurde nicht gefunden" kam?
Weil beim firefox sehen die Meldungen dass die seite nicht gefunden wurde und die meldung dass das zertifikat der seite nicht auf der akzeptierten liste stehe sehr sehr ähnlich aus.

michlG

HI,

ja es war sicher die Meldung dass die Seite nicht gefunden wurde.
Dass die Seiten sehr ähnlich aussehen war mir schon bewusst, deshalb habe ich darauf geachtet. Und da steht wirklich => Die Seite wurde nicht gefunden
Komisch ist, dass auch ein Ping auf den WAN-Port nicht funktioniert. Aber die Firewall zeigt im LOG trotzdem nichts an, dass sie etwas anderes als port 138 (WINS).

Ich habe das Ganze zuvor auch schon mit Port 443 versucht, aber dabei hatte ich das selbe Problem.

Ich habe das Ganze in einer Virtual Machine laufen, aber das dürfte eigentlich keine Rolle spielen.

Gruss
Michael

GruensFroeschli

Das ändert alles !
Bridgest du das WAN zu einem interface oder NATest du es?
Da du überhaupt gar nichts an das WAN schicken kannst tippe ich mal auf das zweite.
Hast du noch eine firewall im host-system am laufen?

michlG

Hi,

vielen Dank für deine Antwort.
Ich habe heute mal den ganzen Rechner neu gestartet (auch das Windows in dem die VM läuft).
Nun kann ich plötzlich über den WAN-Port ganz normal zugreifen.
Ein Problem an der Konfiguration der VM war es nicht, denn ich habe da ja nichts geändert.
Somit ist das Problem gelöst und ich kann über den WAN-Port zugreifen :)

Vielen Dank

Gruss
Michael