Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSense Routing WAN –> Lan

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 2 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Kr99
      last edited by

      Hallo Community,

      ich beschäftige mich erst seit ein paar Wochen mit PfSense aufgrund eines angemieteten Esxi Servers bei Hetzner.

      Nach nun mehr mehreren Versuchen PfSense ordnungsgemäss laut Hetzner Wiki einzurichten bin ich etwas am verzweifeln.
      Ich beschäftige mich nicht Primär mit Routing, DNS und IPv6 und bräuchte daher etwas Hilfe.

      Das Problem ist, das kein Traffic von Extern (WAN, IPv6) in das LAN (IPv6) weitergeroutet wird und umgekehrt.

      Aktuell sieht bei mir die Konfiguration wie folgt aus:

      WAN PFSense IPv4: 144.76.aa.aa/27
      WAN PFSense IPv6: 2a01:4f8:xxx:xxx::2/64

      LAN PFSense IPv4: 192.168.78.3/27
      LAN PFSense IPv6: 2a01:4f8:xxx:xxx::3/64

      Von Extern kann ich die WAN IPv6 Adresse pingen und auch per Tracerroute erreichen.
      Die jeweiligen IPv6 Clients im LAN Subnetz können untereinander kommunizieren. Aber ich kann die LAN Interface IPV6 IP nicht anpingen, obwohl ich bereits per Firewall Regel den gesammten Traffic erlaubt habe. Die Lan Server kommen mit IPv4 (192.168.78.x) ins Internet.

      LAN Firewall Rules

      ID Proto Source Port Destination Port Gateway Queue Schedule Description
      IPv4 * LAN net * * * *     none   Default allow LAN to any rule  
      IPv4+6 TCP/UDP LAN net * * * * none   LAN allow TCP UDP  
             IPv4+6 ICMP LAN net * * * * none   LAN allow ICMP IPV6

      WAN Firewall Rules

      IPv4 * * * * * *     none   Allow all via pfSsh.php  
      IPv4+6 TCP/UDP * * * * * none   IPv6 ICMP Allow  
             IPv4+6 ICMP * * * * * none   IPV6 allow all

      Ich bin mir sicher, dass es eine Kleinigkeit ist, damit diese 2 Interfaces miteinander kommunizieren und den Traffic weiterleiten. Aber ich komme nicht drauf welche dies sind.

      Nun meine verzweifelte Frage wie ich den Ankommenden IPv6 Traffic an die richtigen VM-Server im LAN weiter leiten kann und diese auch darauf antworten. ???

      /Update
      WAN und LAN Interfaces sind nun extern über IPv6 erreichbar. Nun fehlt nur noch das ich vom Ipv6 LAN Interface auf die IPv6 Clients zugreifen kann. Irgendwelche Ideen?

      Falls mehr Informationen benötigt werden, einfach Fragen.

      Danke

      Kr99

      1 Reply Last reply Reply Quote 0
      • D
        dimkyson
        last edited by

        Hi
        im Anhang ein NAT Beispiel anhand HTTPS auf einen Server im internen Netzwerk.

        Ich verstehe dein /Update nicht ganz… Du schreibst du möchtest vom Lan-interface aufs Lan zugreifen?! Kannst du das bitte etwas genauer beschreiben.

        Nat-Rule.png
        Nat-Rule.png_thumb

        1 Reply Last reply Reply Quote 0
        • K
          Kr99
          last edited by

          HI,

          erstmal danke für die Antwort. Ich weis nicht recht wo ich genau anfangen soll.

          Nach einigen Hin und Her mit dem Support bei Hetzner und verschiedenen Foren Posts hänge ich atm immer noch etwas in der Luft.

          Mein Update im ersten Post kann komplett ignoriert werden nach aktuellem Kenntnisstand.

          Das sogenannte Local-Link bei Hetzner hat mich verwirrt.

          Aktuell sieht es so aus:

          PFsense ist extern über WAN IPv4 erreichbar. Die IPv6 Adresse am WAN war ein Fehler, da durch den Local-Link eh alle IPv6 Pakete für mein Subnet an diese Adresse geroutet werden.

          Das aktuelle Problem ist, das ich die Clients im Subnet nicht erreichen kann. Diese können aber über Ipv6 ins Internet und andere ipv6 adressen (z.b. google.de) anpingen.

          LAN IPv6 Interface Adresse (2a01:4f8:xxx:xxx::3/64) im Subnet ist extern anpingbar aber andere clients über externe Verbindung (2a01:4f8:xxx:xxx::5/64) im Subnet nicht.

          Ich denke das es entweder an einer Firewall Regel oder am Routing liegt.

          Alles sehr komisch.

          Und NAT möchte ich eigentich umgehen, da ich verschiedene Server im Subnetz habe die alle auf dem selben port erreichbar sein sollten. Auch extern.

          thx

          Kr99

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.