Anfängerproblem
-
Hallo,
bin noch recht neu in der Materie und habe Probleme die PFsense als Firewall hinter Routern einzurichten.
Die Topologie ist wie folgt:FritzBox FritzBox
192.168.178.1 192.168.178.2
| |
192.168.178.3 192.168.178.4
pfsense WAN Pfsense Opt1
| |
–---------------
|
Pfsense LAN
192.168.188.1
|
SWITCH
|
Server und ClientsIch hoffe das kann man verstehen... DHCP ist deaktiviert auf der PFsense, da dies vom Server übernommen wird.
Die Fritzbox mit der 2 als IP-Adresse soll als Failover dienen...
Zur Konfig:
Als Gateways hab ich bei Fritzboxen eingetragen und unter Groups den Failover eingerichtet.
Die Schnittstellen WAN und OPT1 haben die Oben angegebenen Adressen und die entsprechenden Gateways zugeordnet.
Block private Networks ist ausgeschaltet.
Die LAN hat auch die oben angegebene Adresse zugeordnet aber keinen Gateway. Hier ist Block private networks auch ausgeschaltet.
Im General Setup hab ich als DNS Server 192.168.178.1 mit Gateway fritzbox 1 und 192.168.178.2 mit Gateway fritzbox 2 eingetragen.
Die Gateways zeigen allerdings immer offline an und ich kann die Fritzboxen und Internetseiten nicht anpingen.
Auf der Startseite wird aber bei Interfaces alles Grün makiert...
Muss ich in den Fritzboxen noch etwas einstellen?
Vielen Dank im Voraus.
Gruß
GoD -
Hallo Green,
was du da machst mit den beiden WAN Interfaces (WAN, Opt1) ist böse. Das geht nicht gut so, wenn beide Boxen und damit beide Gateways im gleichen Netz liegen. Nimm die Box auf IP2 in ein anderes Netz (192.168.168.1 z.B.) und passe das Opt1 Interface der Pfsense an (192.168.168.2 bspw.). Das WAN IF der PFsense der Vereinheitlichung auch besser auf die .2 legen.
Dann bitte die Gateways und Gateway Pools neu definieren.
Anschließend musst du noch in den FritzBoxen nachsehen, ob du das IF der pfSense als dedizierten Host bei den Weiterleitungen eingetragen hast. Der reinkommende Traffic auf beiden Boxen muss komplett auf die IP der pfSense geleitet werden. Danach sollte eigentlich alles soweit klappen.Grüße
-
Hallo,
vielen Dank erstmal.
Habe nun die IP-Adressen der Fritzboxen in zwei unterschiedliche Netze gesteckt und
entsprechend die Gateways und DNS am pfsense geändert.
In der Fritzbox habe ich nun über die Freigabe einen Exposed Host eingerichtet auf die pfsense.
So weit so gut.
Jetzt zeigen die Gateways zumindest online an und ich kann die Fritzboxen anpingen.
Aber mehr auch nicht. Also ich komm nicht nach draussen…
Noch ne Idee?
Danke nochmal. -
Hallo Green,
hast du denn an der pfsense für das LAN interface eine Firewall Regel erstellt, die es erlaubt, ins Internet zu kommunizieren?
Dort musst du auch als Gateway deine erstelle GatewayGroup eintragen, damit diese genutzt wird.Auch solltest du den DNS Forwarder in der pfsense aktiviert haben und deine Clients im LAN müssen ebenfalls gültige DNS Server eingetragen haben (über DHCP zum Beispiel).
Teste doch einmal von der pfsense GUI über DIAGNOSTICS ob du von dort google.de anpingen kannst. Und teste, ob du 8.8.8.8 anpingen kannst. Das gleiche von einem der Clients im LAN. Damit findest du heraus, ob es DNS oder Gateway Probleme sind.
Auf den WAN und OPT1 interfaces musst du "block private networks" ausschalten, aber das hast du bereits gemacht, sagst du.
Weiterhin könnte auch mal ein neustart der pfsense helfen - eigentlich nicht notwendig - hat aber schon manchmal geholfen. ;)
NAT hast du nicht ausgeschaltet, oder? Per default ist es an und in deinem Fall ist das auch gut so.
Das Setup, was du betreibst, ist kein ungewöhnliches und ich Nutze es zum Beispiel mit 3 FritzBoxen und ebenfalls mit ExposedHost und Gateway Gruppen. Die Konfiguration war eigentlich einfach und funktionierte recht schnell. Vielleicht probierst du es auch erst nochmal ohne Gateway Gruppe und erstmal nur mit einem Gateway, damit alles funktioniert bevor du dich nochmal an die Gateway Gruppe wagst.
-
Hallo,
Danke für die Antwort.hast du denn an der pfsense für das LAN interface eine Firewall Regel erstellt, die es erlaubt, ins Internet zu kommunizieren?
Dort musst du auch als Gateway deine erstelle GatewayGroup eintragen, damit diese genutzt wird.In der Default konfig ist bereits die Regel "Any" eingetragen. Sollte die nicht alles durchlassen? Muss ich da noch eine spezielle Regel eintragen? Wie genau trage ich denn die GatewayGroups als Gateway in die Regel ein?
@Nachtfalke:Auch solltest du den DNS Forwarder in der pfsense aktiviert haben und deine Clients im LAN müssen ebenfalls gültige DNS Server eingetragen haben (über DHCP zum Beispiel).
Grundsätzlich ist unser Server DNS und auch DHCP-Server. Das soll eigentlich auch so bleiben. Muss ich hierfür spezielle was einstellen?
Der DNS-Forwarder in der pfsense ist aktiviert. Bei den Clients wird der Server als DNS eingetragen.
@Nachtfalke:Teste doch einmal von der pfsense GUI über DIAGNOSTICS ob du von dort google.de anpingen kannst. Und teste, ob du 8.8.8.8 anpingen kannst. Das gleiche von einem der Clients im LAN. Damit findest du heraus, ob es DNS oder Gateway Probleme sind.
Das hab ich auch schon versucht. Habe verschiedene Adressen angepingt, auch die des Google-DNS die du erwähnst, aber alles keine Wirkung. Ich komme vom Webinterface bis zur Fritzbox und nicht weiter. Der Pfsense findet auch keinen Server für sein Update.
@Nachtfalke:Auf den WAN und OPT1 interfaces musst du "block private networks" ausschalten, aber das hast du bereits gemacht, sagst du.
Ja das habe ich gemacht.
@Nachtfalke:Weiterhin könnte auch mal ein neustart der pfsense helfen - eigentlich nicht notwendig - hat aber schon manchmal geholfen. ;)
Habe ich als Windowsuser natürlich auch schon versucht ;)
@Nachtfalke:NAT hast du nicht ausgeschaltet, oder? Per default ist es an und in deinem Fall ist das auch gut so.
NAT habe ich nicht ausgeschaltet, es sind aber keine NAT-Routen von mir eingerichtet worden.
@Nachtfalke:Das Setup, was du betreibst, ist kein ungewöhnliches und ich Nutze es zum Beispiel mit 3 FritzBoxen und ebenfalls mit ExposedHost und Gateway Gruppen. Die Konfiguration war eigentlich einfach und funktionierte recht schnell. Vielleicht probierst du es auch erst nochmal ohne Gateway Gruppe und erstmal nur mit einem Gateway, damit alles funktioniert bevor du dich nochmal an die Gateway Gruppe wagst.
Freut mich auf jeden Fall, dass es so in der Konfig laufen kann. Ich wollte vorerst versuchen die Sache komplett zum rennen zu bringen, gelingt mir das nicht, werde ich natürlich nochmal von vorne anfangen und erst versuchen mit einer Verbindung zu arbeiten.
Vielen dank für eure Hilfe -
Hallo,
di "any" Regel auf dem LAN interface sollte alles durch lassen. Wenn du die hast, ist das erstmal ok.
Wenn du diese Regel editierst und ganz nach unten scrollst, findest du "advanced" options. Dort kannst du auch den Gateway auswählen. Hier müsste deine Gateway Group hinein, ansonsten ist nur der "default" Gateway eingetragen. Das sollte aber an deinem generellen Problem nichts ändern.NAT Regeln werden automatisch - glaube ich - auf den interfaces eingerichtet, auf denen ein Gateway vorhanden ist. Also WAN und OPT1 in deinem Fall.
Man kann diese aber nochmal generieren lassen, indem du auf Firewall –> NAT --> Outbound NAT gehst.
Dort lässt du die Option "Automatic generated NAT rules" ausgewählt und klickst nochmal "Save". Wenn du die NAT rules sehen möchtest, dann gehst du auf "Manual generated NAT rules" und klickst "Save". Es werden dir dann alle Regeln angezeigt, die pfsense zuvor automatisch generiert hat.Ich würde an deiner Stelle nochmal prüfen, dass die WAN und OPT1 interfaces korrekt konfiguriert sind. Die korrekte IP und SubnetMask haben.
Auch solltest du unter SYSTEM --> Routing nochmal deine Gateways prüfen für WAN und OPT1.
Unter SYSTEM --> General Setup muss ein DNS eingetragen sein. Diesen DNS benutzt pfsense selbst um zum Beispiel den pfsense Update server zu finden. Aber auch der DNS Forwarder nutzt diese DNS Server. Du kannst dort aber natürlich auch deinen externen DNS Server im Netz angeben.
-
Hallo
Wenn du diese Regel editierst und ganz nach unten scrollst, findest du "advanced" options. Dort kannst du auch den Gateway auswählen. Hier müsste deine Gateway Group hinein, ansonsten ist nur der "default" Gateway eingetragen.
Das war tatsächlich der Knackpunkt. Hier muss ein anderer Gateway als Default eingestellt sein.
Nun aber meine Frage, welchen failover trage ich denn nun hier ein?
Also ich habe ja zwei Failover eingerichtet, für jede Leitung einen, muss ich dann immer zwei Regel einrichten oder ist
es generell Blödsinn zwei failover einzurichten?Ferner seh ich das jetzt richtig, das ich allen Zugriff erlaube?
Also im Moment, solange die "Any" Regel existiert, ist es genauso als hätte ich keine Firewall? -
Hallo,
im Normalfall hast du - wenn du alles richtig gemacht hast - nur eine Gateway Group.
Du erstellst eine Group.
In diese Gruppe packst du sowohl WAN als auch OPT1.
Der Gateway, welcher FAILOVER sein soll, bekommt eine höhere "Tier" als der gateway, der im Normalfalls genutzt werden soll.
Fällt der gateway mit Tier 1 aus, dann springt automatisch der Gateway mit der nächst höheren Tier ein.
Gateways mit gleicher Tier betreiben Loadbalancing im Round Robin Verfahren. Fällt ein gateway aus, ist der andere weiterhin aktiv.Du hast also vermutlich die gateway Gruppe falsch erstellt.
Weiterhin hast du bzgl. der Funktionsweise einer Firewall glaube ich einen Gedankenfehler oder ich habe es missverstanden:
Die "any" Regel auf dem LAN interface erlaubt selbstverständlich sämtlichen Traffic vom LAN ins WAN (WAN oder OPT1) (wie als gäbe es keine Firewall).
Der Verkehr aus dem Internet in dein LAN hinein wird hingegen über die Firewallregelns von WAN/OPT1 geregelt. Und diese haben standardmässig keine Regel eingerichtet, was bedeutet, dass alles blockiert wird. -
Hallo,
die Grundsätzliche Failovereinstellung hatte ich verstanden und auch richtig eingestellt aber ich hatte für beide Fälle, also wan fällt aus opt1 übernimmt und opt1 fällt aus und wan übernimmt ein Failover eingerichtet. Ist aber ja Blödsinn…
Was die Funktionsweise angeht, hatte ich tatsächlich einen Denkfehler in der Konfiguration der Regeln der Interfaces.
Zusätzlich würde ich gerne den gesamten Netzwerkverkehr loggen. Ist das Möglich.
Vielen Dank. -
Ahoi,
nein das ist nicht unbedingt Unsinn. Man kann zB 2 Failover Gruppen nutzen. Eine mit WAN primary, OPT1 secondary und eine umgekehrt. Gerade wenn OPT1 zB die kleinere Leitung ist aber einen höheren Upstream hat (bspw. sync. 10MBit/s) und WAN async ist (100MBit/s down, 2,5MBit/s Up) kann das durchaus Sinn machen.
Dann würde man nämlich bspw. Dienste, die stark Upstream gebunden sind (bspw. einen inhouse Webserver) über OPT1 per default schicken, aber den typischen Fall "LAN nach draußen downloadet das Internet" über das Downstream-starke WAN. Trotzdem sollen ja aber beide weiterhin erreichbar sein, wenn eine Leitung ausfällt, und dazu würden 2 verschiedene Failover Gruppen mit unterschiedlichen Priorisierungen Sinn machen.Logging wäre bspw. über Netflow o.ä. möglich.
-
Hallo,
da ich hier nur 2 DSL Leitungen habe und nix synchrones, ist meine alte Konfig mit den 2 Failovers wohl hinfällig.
Btw. Kann man den Default Gateway ändern? also hinter welchem Gateway "Default" steht?
und muss überhaupt bei einem "Default" stehen?
Habe mir gerade mal netflow angesehen. Sehe ich das richtig, dass es nur den aktuellen Traffic zeigt?
Ich hatte mir eigentlich vorgestellt, zu sehen auf welchen Seiten die User gesurft sind.
Ist das denn überhaupt möglich?
Geht das mit Squid?
Danke nochmal -
JeGr hat absolut Recht, was das Failover diesbezüglich angeht. Auch bei LoadBalancing macht das Sinn, denn nicht alle Protokolle/Dienste (https) können LoadBalancing. Hier sollte man dann über ein Gateway routen. Wer weiss, vielleicht brauchst du es mal ;-)
Netflow ist - soweit ich weiss - eher für das Loggen von Datenmengen. Wenn du Webseiten loggen möchtest, dann benötigst du einen Proxyserver. Hierbei bietet sich squid an zum loggen und SARG oder lightsquid zum analysieren und optischen aufbereiten von den logs, die squid erstellt hat.
Wenn du squid nutzt, solltest du dir aber im Forum die threads durchlesen, die sich auf "Multi-WAN" und squid beziehen. Hier muss man ein paar Einstellungen durchführen, damit das (zuverlässig) funktioniert.
-
Und beachten, dass Squid, Sarg und Konsorten als Dienste auch durchaus ihre Power brauchen. Ich weiß jetzt nicht was deine pfSense Maschine CPU und RAM hat, aber gerade wenn man so tief filtern möchte, sollte man da durchaus eher mehr als weniger von haben.
Richtig, Netflow war eher IPs und Traffic. Da war die Angabe "Netzwerkverkehr" ein wenig weit gefasst, deshalb dachte ich mehr in Traffic als in User-Logging.
-
Ich kann zwar mit den Clients Grundsätzlich ins Netz aber leider sagt mir die PFsense, das Sie keine Verbindung zum Updateserver hat.
Somit kann ich natürlich auch keine Packets hinzufügen.
Was mag denn hier das Problem sein?
Ferner öffnen sich bei mir an dem PC mit dem ich in der PFsense weboberfläche arbeite hin und wieder PopUp Fenster.
Dies passiert nur im Webinterface und nur solange der PC im Netz ist.
Das sind doch wohl kaum Werbemaßnahmen? Habe ich doch irgendetwas mit dem Regeln noch falsch verstanden?
Was die Hardware angeht, habe ich denk ich n bisschen Luft nach oben.
Ist ein Dual Core mit 4GB RAM.
Einzig die SSD mit 8GB ist vll. etwas knapp gewählt aber im Zweifelsfall ja durchaus austauschbar… -
Also Werbung kommt im Webinterface zu 100% nicht. Wenn das bei dir aufploppt, dann ist das etwas lokales bei deinem Client, was das auslöst.
Keine Verbindung zum Updateserver kann einiges sein. Z.B. welchen GW nutzt die pfSense selbst? Welchen DNS? Ist für jeden Uplink ein eigener (anderer) DNS Server angegeben? Wenn das alles der Fall ist, kann es auch sein, dass der falsche Updatepfad ausgewählt ist. Einfach im Pulldown Menü nochmal den richtigen Pfad auswählen, speichern und dann nachschauen ob der Updater dann läuft (kann vorkommen, wenn man bspw. direkt 2.1RC installiert, dort hat sich 1-2x der Pfad geändert).
-
Danke schonmal.
Kann ich bei den Gateways ändern welcher als (Default) steht? -
Danke schonmal.
Kann ich bei den Gateways ändern welcher als (Default) steht?Ja, wenn du unter System –> Routing --> Gateways den haken entsprechend setzt.
-
Unter System -> Routing -> Gateways kann immer nur ein Gateway Default sein.
Jetzt habe ich gelesen, dass, damit squid funktioniert, kein Gateway auf Default stehen darf.
Ist das richtig? oder einfach nur Humbug? -
Unter System -> Routing -> Gateways kann immer nur ein Gateway Default sein.
Jetzt habe ich gelesen, dass, damit squid funktioniert, kein Gateway auf Default stehen darf.
Ist das richtig? oder einfach nur Humbug?Jetzt bin ich verwirrt. Du willst festlegen, welcher deiner vielen gateways der DEFAULT ist und dann sagst du, dass du nur einen und nicht mehrere festlegen kannst. Es kann nur einen default Gateway geben ;-)
Squid:
Keine Ahnung ob man das muss oder nicht. Was man aber braucht sind "Floating rules" anstelle der normalen Firewall Regeln - zumindest was die Ports 80 und 443 angeht, da diese durch squid geleitet werden.
Weiterhin benötigt man "tcp_outgoing_address 127.0.0.1" oder so ähnlich as squid custom options. -
Jetzt bin ich verwirrt. Du willst festlegen, welcher deiner vielen gateways der DEFAULT ist und dann sagst du, dass du nur einen und nicht mehrere festlegen kannst. Es kann nur einen default Gateway geben ;-)
Ich will nicht mehere Gateways als "Default" angeben, sondern garkeinen, da ich las das squid sonst nicht funktioniert. ;-)
Werde es aber erstmal in Ruhe ausprobieren.
Gibt ja ne Menge Infos im Netz und hier im Forum darüber.
Die PFsense an sich und das Failover laufen auf jeden Fall zuverlässig.
Vielen Dank dafür.
Sollte ich noch Probleme haben melde ich mich.
