Anfänger: Neuinstallation keine Verbindung zum Internet aus dem LAN

carlo312

Oben im Schema steht nur eine Muster IP.

Das Modem  ist ein FRITZ!Box 6360 Cable mit einer festen IP. Die Box als Gatway die 94.79.157.197 und die pfSense die 94.79.157.198 mit der Subnetzmaske 255.255.252 .

Wenn ich den WLAN-Router direkt anschieße mit diesen Einstellungen hab ich ja kein Problem.
Ich kann von der pfSense das GW aus dem LAN nicht anpingen.

Ping auf die  94.79.157.198 / 197:

WAN
–- 94.79.157.198 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.101/0.150/0.232/0.059 ms

--- 94.79.157.197 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.361/0.414/0.495/0.058 ms

LAN:
PING 94.79.157.197 (94.79.157.197) from 10.1.0.1: 56 data bytes

--- 94.79.157.197 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Der Ping aus dem WAN funktioniert schon mal, aus dem LAN jedoch nicht. Ich hab an dem LAN-Port auch erstmal nur einen Rechner mit DHCP angeschlossen. Der Rest ist ersteimal egal.

EmL

Kannst Du aus dem LAN vom Client die pfSense LAN IP anpingen?
Geht das auch mit der WAN IP der pfSense selbst (also wohl 94.79.157.198) vom Client aus?

carlo312

Die LAN IP (10.1.0.1) kann ich erreichen, da liegt ja das WebGUI der pfSense, die WAN IP und auch das WAN-Gateway kann ich nicht erreichen vom Client aus.

Nachtfalke

Kannst du das WAN interface nicht einfach auf DHCP stellen?
Dann bekommst du DNS, Gateway und IP und Maske.

Wenn das Modem die öffentliche IP weiter gibt, bekommst du diese auch. Wenn nicht, bekommst du eine LAN IP vom Modem und dann kennst du dein problem schon.

carlo312

Ich glaub mal nicht, das es am WAN liegt, ich komm ja von WAN aus ins Netz.
Die Einstellungen sind identisch mit denen aus meinen alten Router. Irgendwie klappt das mit der WAN-LAN-Verbindung nicht.
Der Ping aus dem WebGUI über die WAN-Schnittstelle funktioniert ja ins Internet.

JeGr

Ich kenne die Umgebung von KabelD jetzt nicht im Detail, aber selbst wenn man eine feste IP bspw. bei KabelBW / Unitymedia bekommt, wird diese vom Provider immer noch per DHCP an die angeschlossene Box übergeben. Da die FB Cable aber selbst ein vollständiger Router ist, kann es durchaus sein, dass im WAN Segment dein Problem liegt. Die FB hat allerdings auch einen Modus für transparenten Modem-Betrieb. Wenn dieser aktiviert ist (das weiß keiner außer dir), dann wird die IP direkt an die pfSense vergeben. Deshalb ist der Rat, die pfSense mal auf DHCP zu stellen durchaus korrekt. Bekommt sie keine IP vom Modem oder eine private Adresse von der FB ist das Problem klar.

Wenn du von KabelD allerdings Anweisungen hast, dass bspw. die FB transparent läuft und dir garantiert die IP XY zugewiesen wird, können wir an der pfSense weitersuchen. Aber momentan sieht mir das ebenso nach einem Konfig-Problem im WAN zwischen FB und pfSense aus. Und dabei ist es ersteinmal nebensächlich, ob der WLAN Router das vielleicht OK macht oder nicht, bitte erstmal Stück für Stück klären :)

Das nächste wäre dann die Einstellung der anderen pfSense Interfaces, die Regeln und vor allem die NAT, die ausgehend definiert ist.

Gruß

carlo312

Also ich bekomm definitiv die o.a. IP's mit der Subnetzmaske zugewiesen. Ich kann ja auch aus der pfSense-Weboberflächen über das WAN-Interface z.b. Google oder anderen Adressen Pingen, da nehm' ich mal an, dass WAN-Seitig alles ok ist oder liege ich da so falsch?

Aber Stichwort NAT, da hab ich noch nichts eingerichtet. Gibt es da Beispiele, wie man das am Besten macht?

JeGr

NAT wird eigentlich standardmäßig von LAN->WAN immer eingerichtet. Deshalb der Schalter auf automatisch. Stellt man ihn auf manuell, sollten die geltenden Regeln angelegt werden damit sie editierbar sind.

carlo312

Ich habe jetzt einmal unter NAT -> Port Forward eine Regel eingestellt:

LAN -  TCP -  src adr * -  src. port * - Dest. addr. WAN net - Dest. port 80(http) -  NAT IP: 10.1.0.1  - eingerichtet.

Jetzt kann ich auch den Ping von pfSense über das LAN zum WAN ausführen.

Wenn ich die Regel deaktiviere erreiche ich das WAN nicht.

JeGr

Ich wiederhole mich aus meinem vorherigen Post: Der NAT Screen (Outbound NAT! NICHT port forward) hat keine Regel, weil pfSense selbst Regeln intern anlegt. Außer es hat jemand unter Advanced Settings auf Routing only umgeschaltet und damit das NAT abgedreht. Wenn du diese automatisch erzeugten Regeln sehen willst, klicke auf den Advanced Button und speichere, dann werden die OUTBOUND Regeln auch angezeigt und veränderbar.

Was du da gebastelt hast ist eine crude Form von DNAT. Port forwarding ist zum Weiterleiten von EXTERNEM Traffic an INTERNE PCs gedacht. (bspw. um ein NAS intern vom Internet aus erreichbar zu machen). Die Regel da am Besten löschen und nochmal genau lesen, was ich in diesem und dem letzten Posting geschrieben habe.

Grüße

carlo312

Was ich jetzt versucht habe:

WAN auf dhcp - > pf-IP 0.0.0.0

Ping weder intern noch extern geht

WAN IP fest 94.79.158 /30 ergo submaske 255.255.255.252 wie von provider angebeben

der Pin auf web.de

von LAN:
PING web.de ( 212.227.222.8 ) from 10.1.0.1: 56 data bytes
–- web.de ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

von WAN:

PING web.de (212.227.222.9) from 94.79.157.198: 56 data bytes
64 bytes from 212.227.222.9: icmp_seq=0 ttl=52 time=19.822 ms
64 bytes from 212.227.222.9: icmp_seq=1 ttl=52 time=20.977 ms
64 bytes from 212.227.222.9: icmp_seq=2 ttl=52 time=19.399 ms
–- web.de ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 19.399/20.066/20.977/0.667 ms

Also vermute ich mal, dass ich mit der pfSense schon im Internet bin, somit kann es ja kein Problem des Modems sein. Oder lieg ich da falsch?

In System: Advanced ist per default nach installation
NAT Reflection mode for port forwards -> Disabled
Enable automatic outbound NAT for Reflection -> nicht ausgewählt

in Firewall: NAT: Outbound
Automatic outbound NAT rule generation -> aktiviert

alle anden von mir getätigten Einträge sind wieder gelöscht.

Im Interface der WAN ist unter Private networks Block private networks und Block bogon networks ausgewählt.

EmL

@carlo312:

Die LAN IP (10.1.0.1) kann ich erreichen, da liegt ja das WebGUI der pfSense, die WAN IP und auch das WAN-Gateway kann ich nicht erreichen vom Client aus.

Da würde ich ansetzen. Normalerweise solltest Du die WAN IP selbst anpingen können. Ich hab grad bei mir am WAN ICMP komplett abgeschalten. Von extern ist ping nun auch nicht mehr möglich. Intern vom Client aus an die WAN IP klappt das aber!

Das heisst, du kannst nicht nur die Geräte hinter der pfSense erreichen, sondern irgendwie nicht mal die pfSense selbst. Internet an der pfSense selbst ist ja offensichtlich da. Du hast ja auch wohl schon einige Dinge geändert. Vielleicht wäre es sauberer und schneller, das Ganze nochmals frisch aufzusetzen, dann sollte das "out of the box" funktionieren!

JeGr

Zu:

In System: Advanced ist per default nach installation
NAT Reflection mode for port forwards -> Disabled
Enable automatic outbound NAT for Reflection -> nicht ausgewählt

Niemand hat etwas von NAT reflection gesagt, das ist eine ganz andere Baustelle und hat mit NAT nichts zu tun. Das regelt lediglich den Zugriff auf weitergeleitete IPs wenn man mit PortForwardings von extern herumspielt.

in Firewall: NAT: Outbound
Automatic outbound NAT rule generation -> aktiviert

Genau davon reden wir. Die Automatik ABschalten und speichern. Anschließend sollten die automatisch genutzten EInträge in der Liste darunter erscheinen und können dort dann bearbeitet werden. Das ist aber wichtig, da man daran dann erst einmal sehen kann, ob überhaupt die korrekten Einstellungen für intern erkannt worden sind, da sich bei dir Anfangs ja einige IP Bereiche überschnitten haben.

Zudem gebe ich EmL recht, es wäre wahrscheinlich einfacher, das ganze nochmal schnell frisch aufzusetzen, das WAN zu konfigurieren, das LAN auf 10.1.0.1/16 aufzulegen und ansonsten noch gar kein weiteres Interface zu konfigurieren. Erst einmal abwarten und testen.

Gruß

carlo312

Ich bin ja nicht ganz Beratungsresitent, so hab ich das Sytem noch einmal komplett neu installiert.

Danke für die Geduld, die ersten 5 Versuchen waren nicht so Erfolgreich.

Jetzt komm ich mit meinem Cient ins Internet so wie es soll und euch mein WLAN über ein Switch angeschlossen tut eine Arbeit.

Jetzt möchte ich aus dem Internet über eine definierten Port auf ein Gerät mit einer LAN-IP zugreifen. An welcher stelle muss ich jetzt die Firewall einstellen, damit nicht wieder alles offen ist? Bsp. ich möchte über Port  606 auf die IP 10.1.3.254:606 zugreifen.

Und noch eine Frage als Ergänzung: Ich habe jetzt DHCP auf dem LAN aktiviert und der WLAN macht ebenfalls DHCP (ich hab darauf geachtet, das die IP-Ranges sich nicht überschneiden). Íst das richtig so?

Nachtfalke

@carlo312:

Ich bin ja nicht ganz Beratungsresitent, so hab ich das Sytem noch einmal komplett neu installiert.

Danke für die Geduld, die ersten 5 Versuchen waren nicht so Erfolgreich.

Jetzt komm ich mit meinem Cient ins Internet so wie es soll und euch mein WLAN über ein Switch angeschlossen tut eine Arbeit.

Jetzt möchte ich aus dem Internet über eine definierten Port auf ein Gerät mit einer LAN-IP zugreifen. An welcher stelle muss ich jetzt die Firewall einstellen, damit nicht wieder alles offen ist? Bsp. ich möchte über Port  606 auf die IP 10.1.3.254:606 zugreifen.

Und noch eine Frage als Ergänzung: Ich habe jetzt DHCP auf dem LAN aktiviert und der WLAN macht ebenfalls DHCP (ich hab darauf geachtet, das die IP-Ranges sich nicht überschneiden). Íst das richtig so?

Portweiterleitung richtest du ein unter:
Firewall –> NAT
Dort erstellst du deine passende Portweiterleitung mit deinen Wunschports und am Ende der Konfigurationsseite gibt es den Punkt "Create associated Firewall rule". Dann wird dir die passende Firewall Regel zu der NAT Regel erstellt und du musst sie ggfl. nur noch in die richtige Reihenfolge bringen, wenn du noch andere WAN Regeln hast.

DHCP:
Du kannst es so machen, wie du es gemahct hast, also verschiedene Ranges. Ich würde aber sagen, schalte den DHCP am WLAN Router aus und nutze nur die pfsense als DHCP. Dann hast du alles auf einem Gerät und kannst auch intern die Namensauflösung nutzen. Du kannst es natürlich auch genau andersherum machen, was ich persönlich aber nicht empfehle ;)

JeGr

Zu DHCP: Wenn der WLAN AP mit LAN auf dem gleichen Interface liegt (also der WiFi AP hängt am Switch mit PCs im LAN), dann MUSS! auf jeden Fall der DHCP aus. Es kann in einem Netzsegment nur einen DHCP Server geben, der auf discover Pakete antwortet. Wenn ein anderer DHCP Server da noch mit rumfunkt, antwortet im dümmsten Fall mal der WLAN AP, mal die pfSense auf die Anfragen. Das geht schief.

Wenn der WiFi an einem eigenen Interface der pfSense hängt, muss einer von beiden eingestellt werden. Dann ist es egal welcher. Aber zwei DHCP im gleichen Netzabschnitt gehen nicht! Ganz egal ob sich die Ranges überschneiden. Ein DHCP Client schickt udp/67 Pakete per Broadcast ins Netz um eine IP zu bekommen. Da er broadcastet, sieht das jeder im gleichen Netzsegment und jeder kann drauf antworten. Deshalb darf es nur einen geben, der das ganze regelt.

Grüße

carlo312

Danke nochmal für die Hilfe!

Intern hab ich das jetzt soweit wie ich das wollte. Von Extern komm ich noch nicht an meine IP.
Die NAT-Regel für den Port habe ich eingerichtet, ist auch bei den Rules zu sehen. Aber bis jetzt ohne Erfolg.
Später will ich einen php-Server laufen lassen, der dann auch von Extern erreichbar sein soll. Stell ich den in die DMZ?

Das mit dem 2. DHCP werde ich nochmal Testen, ob die WLAN-Clienst dann auch die richtigen IP:s bekommen.

Nachtfalke

@JeGr:

Zu DHCP: Wenn der WLAN AP mit LAN auf dem gleichen Interface liegt (also der WiFi AP hängt am Switch mit PCs im LAN), dann MUSS! auf jeden Fall der DHCP aus. Es kann in einem Netzsegment nur einen DHCP Server geben, der auf discover Pakete antwortet. Wenn ein anderer DHCP Server da noch mit rumfunkt, antwortet im dümmsten Fall mal der WLAN AP, mal die pfSense auf die Anfragen. Das geht schief.

Wenn der WiFi an einem eigenen Interface der pfSense hängt, muss einer von beiden eingestellt werden. Dann ist es egal welcher. Aber zwei DHCP im gleichen Netzabschnitt gehen nicht! Ganz egal ob sich die Ranges überschneiden. Ein DHCP Client schickt udp/67 Pakete per Broadcast ins Netz um eine IP zu bekommen. Da er broadcastet, sieht das jeder im gleichen Netzsegment und jeder kann drauf antworten. Deshalb darf es nur einen geben, der das ganze regelt.

Grüße

Das ist so leider nicht ganz richtig.

Wichtig ist erstmal, dass sich die ranges nicht überschneiden und es somit keine doppelten IP Adressen im Netz gibt und somit keinen Adresskonflikt.

Es ist richtig, dass die erste Anfrage per Broadcast geschieht, diesen Broadcast erreicht beide DHCP Server. Die Antworten der DHCP Server kommen aber unterschiedlich beim Client an. Der DHCP Server, der zuerst den OFFER sendet wird normalerweise vom Client verwendet, der OFFER der später eintrifft verworfen bzw. ignoriert.

Der restliche Verkehr läuft als UNICAST ab zwischen dem client und einem DHCP server. Zur erneuerung der DHCP Lease fragt der Client auch nur per Unicast den DHCP Server an, von dem er bereits die IP hat.

Es kann also nichts passieren. Im schlimmsten Fall bekommt ein Client einmal eine IP von DHCP-1 und am nächsten Tag nach einem Neustart eine IP von DHCP-2. Funktionieren tut das - aber es ist nicht der Königsweg.

@carlo312:

Danke nochmal für die Hilfe!

Intern hab ich das jetzt soweit wie ich das wollte. Von Extern komm ich noch nicht an meine IP.
Die NAT-Regel für den Port habe ich eingerichtet, ist auch bei den Rules zu sehen. Aber bis jetzt ohne Erfolg.
Später will ich einen php-Server laufen lassen, der dann auch von Extern erreichbar sein soll. Stell ich den in die DMZ?

Das mit dem 2. DHCP werde ich nochmal Testen, ob die WLAN-Clienst dann auch die richtigen IP:s bekommen.

In die DMZ gehört eigentlich alles, worauf man von aus dem Internet zugreifen soll/kann. Das Sicherheitskonzept dahin bedingt, dass man die Firewall Funktionalität versteht:

Internet–---FW1-----DMZ----FW2----LAN

Man möchte ja verhindern, dass jemand aus dem Internet auf das LAN zugreifen kann, sondern nur auf die Rechner in der DMZ.

Deswegen erstellt man an der FW1 eine Regel, die den Zugriff aus dem Internet in die Rechner der DMZ erlaubt, aber eben nicht ins LAN, denn das verhindert die FW2, die Zugriffe, die aus dem Internet kommen, blockiert.

Somit stellt man also Webserver und E-Mailserver in die DMZ.

carlo312

OK, das mit dem Server muß ich mir nochmal näher ansehen. Beim Test mit dem DHCP bin ich aber auch einen anderes Problem gestoßen.

Mein Netzwerk ist jetzt folgendermaßen aufgebaut:

WAN->pdSense -> Switch -> Clients / Drucker 10.1.0.x /255.255.0.0
                                          -> WLAN-Router -> Clients  10.1.5.x/255.255.0.0

Die Clients aus dem WLAN können nicht auf den Drucker und die Laufwerke der direckt am Switch hängenden Clints zugreifen. Der Router ist ein Buffalo WZR-HP.
Hat da jemand eine Idee wie ich das bewerkstelligen kann?