Zweite Netzwekkarte kein Internet

Hofcaboe

Hallo,

ich hatte vor einiger Zeit mit PF sense ein WLan Gastnetz mit Captive Portal gebaut. Auf einem alten Rechner mit zwei Netzwerkkarten war das kein großes Problem.

Nun versuche ich das mit einem ALIX Board mit zweimal Netzwerk und WLan Karte (zusammengebaut gekauft). Das Gerät an einen LAN Port der FritzBox angeschlossen, das PFsense Setup ausgeführt, Wan und Lan1 Netz eingestellt. Soweit kein Problem, Internet geht.
Wenn ich nun LAN2  auf eine feste IP einstelle (z.b. 192.168.2.1) und DHCP aktiviere, bekommt mein Rechner eine IP, Gateway und DNS zugewiesen. Die Weboberfläche kann aufgerufen werden. Leider komme ich nicht ins Internet, die Verbindung scheint entweder geblockt oder bei den Einstellungen etwas nicht in Ordnung. Hier meine Konfiguration:

Router am DSL Netz "FritzBoxFon 7390"

IP Bereich FritzBox:        192.168.171 …
IP PF-sense an FritzBox: 192.168.171.5
Gateway FritzBox:          192.168.171.1

Einstellungen PF-Sense:

WAN  (vr2):                 
LAN1  (vr1):
LAN2  (vr0):
WLAN (ath0)

WAN IP:          192.168.171.5
WAN GAteway: 192.168.171.1

LAN1 IP            192.168.1.1/24
DHCP LAN1      192.168.1.100 - 192.168.1.200

Firewall Rules LAN1: Standart (wie von PF-Sense gesetzt)

Mit dieser Standartkonfiguration komme ich ins Internet, soweit kein Problem:

Nun möchte ich mit LAN2 ebenfalls ins Internet, also folgendes eingestellt:

LAN2 IP          192.168.2.1/24
DHCP LAN2      192.168.2.100  -  192.168.2.200

Firewall Rules LAN2:

Proto    Source    Port  Destination  Port  Gateway  Queue

IPv4* Lan2 net    *    *            *              *              None
IPv6* Lan2 net    *    *            *              *              None

Das LAN Kabel in Port 2 gesteckt, LAN Karte erhält IP/Gateway/DNS von PFsense. Weboberfläche kann mit 192.168.2.1 aufgerufen werden.
Der Weg ins Internet funktioniert nich!!!!!!

Kann mir jemand sagen was ich falsch eingestellt habe?

Hofcaboe

Hallo noch einmal,

scheinbar hat noch niemand eine Lösung für mein Problem gefunden.
Testweise habe ich nun noch die Firewall - Regeln für alle Netzwerkkarten (WAN, LAN1, LAN2) auf "any - any" gesetzt. Eigentlich müsste jetzt doch jetzt alles offen sein.
Sieht dann für alle Karten so aus:

Proto    Source    Port  Destination  Port  Gateway  Queue
IPv4TCP  *          *          *            *        *          None

Leider keine Änderung:
Auf Lan1 komme ich ins Internet!!
Auf Lan2 kann ich nur die Weboberfläche von PFsense aufrufen. Die Verbindung ins Internet geht nicht. In den Netzwerkverbindungen wird "PC  –---- Netzwerk -- X – Internet" angezeigt.
Es scheint als käme keine Verbindung zwischen LAN2 und Gateway zustande.

Kennt niemand das Problem?
Könnte sein das bei LKGenesis (Eintrag von gestern at 08:37:23) gerade genau das gleiche Problem vorliegt?

Gruß

Hofcaboe

A Former User

Hi,

welches Gateway und welchen DNS-Server verteilst du im LAN2 via DHCP?
Wirf auch mal einen Blick in die Firewall Logs, vll. siehst du auch da noch was.

Gruß Sanches

Hofcaboe

Hi,

ich denke irgendwo da liegt das Problem. Der DHCP verteilt natürlich so wie der IP Bereich von LAN2 eingestellt ist:
DNS 192.168.2.1
DNS 192.168.2.1
Gateway 192.168.2.1

Im DHCP von LAN2 kann ich leider kein anderes Gateway einstellen sowohl bei 192.168.1.1 als auch bei 192.168.171.1 (FritzBox) kommt sinngemäß die Fehlermeldung "Einstellungen im DNS netz nicht erlaubt".
Von LAN2 funktioniert auch kein PING in eins der anderen beiden Netze (FritzBox oder LAN1).
Ping von LAN1 zur Fritzbox funktioniert z.B. problemlos, deshalb auch die Internetverbindung.
Bei den Firewall logs konnte bisher noch nichts feststellen.

Kann die Verbindung zwischen den Netzen fehlen???

Hofcaboe

Hallo zusammen,

habe erneut probiert und festgestellt, das ich vom LAN2 nun die Fritzbox Weboberfläche (192.168.171.1) aufrufen kann. Ping an "192.168.171.1" funktioniert nicht (Zeitüberschreitung). Die Verbindung ins Internet funktioniert ebenfalls NICHT! Es könnte also auch ein DNS Problem sein, aber nur an LAN2 und WLAN?
Testweise hatte ich die WLan Karte am ALIX Board aktiviert. Dort genau das gleiche Problem. Client verbindet sich, Erhält IP von DHCP, kann nicht ins Internet.

Ich habe PFsense Version "2.1-RELEASE  (i386)". Liegt evtl. in der Version ein Fehler vor? Hat noch niemand in diesem Forum das Problem gehabt?

Gruß

Hofcaboe

orcape

Hi,
sieht ganz  so aus, wie wenn du die DNS nicht weitergeleitet bekommst.
Das heißt, Du solltest bei any-to-any Rule eine Verbindung bekommen, wenn Du Direkt eine IP ins Browserfenster eingibst.
173.194.112.55    = google
Wenn dem so ist, einfach den DNS-Forwarder für das entsprechende Interface aktivieren.
Die Firewallregeln für das Interface musst Du dann entsprechend modifizieren, any-to-any ist keine Dauerlösung. ;)
Gruß orcape

Hofcaboe

Hallo,

ja es scheint ein DNS Problem zu sein. Wenn ich o.g. IP eingebe erscheint sofort Google.
Der DNS Forwarder ist für alle Interfaces aktiv (siehe Foto), es funktioniert aber nicht.
Muss ich dort (oder an anderer Stelle) noch besondere Einstellungen vornehmen?

DANKE und Gruß

Hofcaboe

orcape

Hi,
Du musst das zusätzliche Interface explizit mit entsprechenden Rules freigeben.
Standartmäßig ist hier erst mal alles geblockt.
Die Rules am Interface ausgehend…

Proto                Source    Port  Destination   Port     Gateway       Queue

IPv4 TCP/UDP  Lan2 net     *         *              53               *              None                         (DNS)
IPv4 TCP/UDP  Lan2 net     *         *              80               *              None                         (http) 

…sollten für das freigeben einer normalen http-Internetseite erst mal genügen.
Dann kannst Du ja noch entsprechend Rules hinzufügen.
Gruß orcape

Hofcaboe

Hi,

Wenn das DNS Problem gelöst ist, werde ich natürlich sofort die Firewall regeln so optimieren, das nur HTTP und HTTPs funktioniert. Die Rules einzustellen bereitet mir keine Probleme.

Wie bereits gesagt, die Firewall Regeln (Rules) hatte ich bei allen Netzwerkkarten testweise (!) auf "any - any" gesetzt um zu prüfen ob ich überhaupt "rauskomme". Ping auf  "173.194.112.55 = Google" funktioniert.
Es geht um den DNS Server. Der DNS-Forwarder ist aktiviert (siehe Foto vom 02.02.2014).
Problem, Namen werden nicht aufgelöst! Gebe ich www.google.de ein, kommt "die Seite kann nicht angezeigt werden".

Warum funktioniert DNS an den weiteren LAN Ports (LAN2 und WLAN) nicht? Kann/muss ich den DNS - Forwarder pro Netzwerkkarte einschalten??

Gruß

Hofcaboe

PS: hat nicht jemand hier im Forum eine ähnliche Konfiguration laufen, oder könnte es einmal bei sich testen?

orcape

Hi,

Kann/muss ich den DNS - Forwarder pro Netzwerkkarte einschalten??

Stell den einfach auf "all", dann dürfte das ganze auch funktionieren.
Gleiches Prinzip wie bei den Firewall-Rules, zusätzliche Interfaces sind geblockt.
Gruß orcape

Hofcaboe

Hallo zusammen,

ich verzweifele immer mehr. Egal was ich einstelle, an einer zweiten Netzwerk bzw. W-Lan-Karte komme ich nicht ins Internet. Habe jetzt die Firewallregeln auf "any - any" gestellt, den DNS Forwarder "all" eingestellt, einen externen DNS Server eingetragen (Standard war Fritz Box 192.168.171.1) usw. Es funktioniert nicht!!!
(INFORMATION: 1xWan;1xLan, nach Standart-Installationssetup funktionierte auch weiterhin).

Stelle ich die weiteren Karten (vr0;ath0_wlan1) ein komme ich über die zusätzlichen Anschlüssen nicht ins Netz. Auch im "Bridge Modus" komme ich nicht ins Internet. Man kann alle Karten im Bridge zusammen zu schalten. Der Bridge macht dann DHCP, alle LAN/WLAN Geräte erhalten eine IP im gleichen IP Bereich. Internet geht aber auch dann nicht!

Kann mir jemand eine einfach Anleitung geben wie ich PFsense auf dem ALIX Board (1xWAN; 2xLan, 1xWLan) so konfigurieren kann, das es als herkömmlicher Router mit 1xWan, 2xLan, 1xWlan läuft.
Könnte mal jemand testweise den Aufbau nachstellen um sicherzugehen das man es überhaupt realisieren kann? Irgendwo im Forum schrieb jemand er habe das gleiche Problem wenn er sich über WLan mit PFsense verbindet. Liegt ein Problem in der Version "2.1-Release (i386)" vor?

Vielen Dank und Gruß

Hofcaboe

orcape

Hi,

Könnte mal jemand testweise den Aufbau nachstellen um sicherzugehen das man es überhaupt realisieren kann?

Das funktioniert bei mir seit Jahren problemlos, da braucht man nichts nachstellen.

Stelle ich die weiteren Karten (vr0;ath0_wlan1) ein komme ich über die zusätzlichen Anschlüssen nicht ins Netz.

Von vorn gesehen (NIC-Anschlüsse hinten) ALIX 2D3/2D13….
links-----vr0-----LAN
mitte-----vr1-----WAN
rechts---vr2-----OPT1 (LAN2)
Für  OPT1 und WLAN musst Du zwingend Firewallregeln definieren, dann klappt das auch.
Vielleicht hilft Dir ja das....
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall-im-eigenbau-oder-fertiggerät-149915.html
Gruß orcape

eSpezi

Servus,

die Kollegen haben Recht.
Du brauchst ZWINGEND eine für Deine LAN2 und WLAN Interfaces wenigstens eine Allow-All Firewall Rule.
Standardmäßig blockt pfSense alles, was reinkommt, wenn es nicht explizit per Regel erlaubt ist.

Am einfachsten ist, Du gehst in Firewall –> Rules auf den Reiter LAN (oder wie auch immer Dein LAN benannt ist) und schaust Dir die Regeln dort an. Genau diese erstellst Du dann auch jeweils in den Reitern LAN2 und WLAN.
Damit sollte es dann klappen.

Gruß
Harry

Hofcaboe

Hallo zusammen,

es hat dann funktioniert. PFsense auf Werkseinstellungen zurückgesetzt und anschließend neu aufgebaut.
Der Reihe nach die weiteren LAN Ports hinzugefügt und eine Bridge erstellt.
Letzendlich ist sogar gelungen, die Bridge für alle Ports (LAN und WLan) im gleidhen IP Bereich laufen zu lassen (192.168.1.1).
Warum das vorher nicht funktioniert hat kann ich nicht sagen. PF sense scheint sehr empfindlich mit der Reihenfolge der Vorgänge und den Neustarts an der richtigen Stelle zu sein.
Die Firewall regeln hatte ich vorher genauso konfiguriert. Trotzdem ging es nicht. 
Eine seltsame Sache ist noch. Es funktioniert nur wenn PF Sense an der FritzBox als DHCP betrieben wird. Es funktioniert nicht auf "statische IP", warum auch immer das so ist, ich kann damit leben!

Abschließend noch eine ganz andere Frage, die nicht direkt hier hingehört.

Früher gab es das Modul "Lightsqid", nach dessen Installation in den SYSlog Files der Name anstelle der zugehörigen IP angezeigt wurde. Im Syslog stand dann z.b. "Google.de" und nicht "173.194.69.94".
Das "Lightsquid" wird aber scheinbar nicht mehr unter den Packages angeboten. Funktioniert das auch mit dem normalen "Squid", muss ich dabei noch etwas konfigurieren? Wie löst ihr das?

Gruß
Hofcaboe

gesichtsfuss.de

Hatte das selbe Problem. schau mal in system/routing/gateway und stelle da den standart gateway ein.

viragomann

@gesichtsfuss-de

Der Thread ist über 5 Jahre alt! Der TO hat mittlerweile vermutlich ganz andere Sorgen.

orcape

@viragomann said in Zweite Netzwekkarte kein Internet:

Der Thread ist über 5 Jahre alt! Der TO hat mittlerweile vermutlich ganz andere Sorgen.

Hi,
das denke ich auch. Ich habe mich schon gewundert, das hier mein Nic auftaucht, obwohl ich in der letzten Zeit gar nicht gepostet habe.

JeGr

Mache hier sicherheitshalber mal zu - bei Bedarf einfach nen neuen Thread gern mit Verweis öffnen, aber steinalte Topics sind hier IMHO nicht zielführend, da es um völlig andere zu Grunde liegende Systeme (OS/Firmware etc.) geht.