Webinterface nicht erreichbar
-
Hallo Sandro,
PS: Was meinst du mit "Wie sieht die Konsole aus?" Wie ne BSD-Konsole halt, weisse Schrift auf schwarzem Grund
Scherzkeks ;) Wie es auf der Console aussieht meinte ich natürlich :)
Im Prinzip sieht die Interface Zuordnung erstmal gut aus. Aber wenn du keinen Client im LAN hast, wird auch die Auto-Lockout Rule dir nicht weiterhelfen können, denn default erlaubt ist auf dem LAN nur Traffic aus LAN_Network und deine Clients sitzen in einem anderen Netz.
Aha…! Da haben wir doch mein Problem. Wie kriege ich diese Beschränkung weg?
Was ich nicht verstehe ist:
Damit Firewall und Clients nicht mehr im gleichen Netz sind, soll die neue Version nun also im VLAN2 stehen.
Hö? ;) Warum sollte die Firewall (die meist ja auch noch Gateway ist) nicht im gleichen Netz wie die Clients stehen? Hört sich irgendwie nicht ganz so sinnvoll an. Mir fiele jetzt zumindest kein 1a Grund ein, warum das der Sicherheits-Burner ist aber man lernt nie aus deshalb: Warum so umständlich bauen? Wenn man noch mehr Geräte / Netze / etc. trennen möchte, kann man das per Interfaces/VLANs gerne tun.
Das hört sich für mich etwa so an:
WAN –> bce1 --> pfSense (neu) --> bce0_vlan2 --> <interface>--> pfsense (alt) oder Switch --> <interface>_vlan1> --> Clients
Muss das so umständlich? ;)</interface></interface>
Rein "kosmetische" Gründe.. Server stehen in VLAN 2, Clients in VLAN 1. Und natürlich, um den Traffic ein bisschen zu splitten..
Historisch gewachsene Struktur halt.. VLAN 2 ist ein /24, VLAN 1 ein /16 …Mit deinem Schema hast du fast recht, lass nur die alte pfsense außen vor. Ich baue die neue parallel auf und sobald das Teil läuft, biege ich halt das Routing auf die neue um. Ein neues Gateway ist schnell verteilt.
Aber so wie ich das verstanden habe, würde es mir ja schon ausreichen, den Traffic erst mal zusätzlich aus bestimmten Netzen zuzulassen?
Was zur Folgefrage führt: Wie mache ich das? -
Aha…! Da haben wir doch mein Problem. Wie kriege ich diese Beschränkung weg?
Einloggen, Regel hinzufügen, Speichern -> was in deinem Fall nicht geht, weil du keinen Client in dem Netz hast.
Rein "kosmetische" Gründe.. Server stehen in VLAN 2, Clients in VLAN 1. Und natürlich, um den Traffic ein bisschen zu splitten..
Server/Clients in VLANs zu splitten, dagegen ist nichts einzuwenden und es ist sinnig.
Nur: Warum legst du nicht einfach sternförmig alles auf der pfSense auf?
Was spricht dagegen, VLAN 1 und 2 auf der pfSense aufzulegen, VLAN2 mit Servern auf OPT1 (umbenennen dann nach SRV oder DMZ o.ä.) und VLAN1 als LAN für die Clients? Dann fällt dein ganzes Problem weg (was auch Sinn macht) und du kannst ganz normal mit einem "Dreibein" arbeiten (WAN/DMZ/LAN) und die Regeln ordentlich bauen (WAN<->DMZ, WAN<->LAN, DMZ<->LAN).Gerade wenn man so ein Gerät neu ausrollt, macht es ja Sinn, wenn man problematische Strukturen bemerkt, die dann zu ändern - sonst passiert es nie ;) Und wenn ich für die Aussage von Kunden "hysterisch gewachsen" einen Cent bekommen würde, hätte ich vielleicht schon ne Million zusammen :D
Mein Rat wäre:
WAN / Internet : : DialUp-/PPPoE-/Cable-/whatever-Provider : .-----+-----. | Gateway | (or Router, CableModem, whatever) '-----+-----' | WAN | bce1 | +... .-----+-----. Server DMZ | .------------. | pfSense +-----------------+-+ DMZ-Server | '-----+-----' bge0_vlan2 | '------------' | +... LAN | bge0_vlan1 | .-----+------. | LAN-Switch | '-----+------' | ...-----+------... (Clients)Ist das nicht machbar?
Grüße
-
Wenn ich dein Schaubild richtig verstehe, würde ich dafür 3 physikalische NICs benötigen.
Ja… da haben wir mein Problem... Ich hab nur 2 NICs in der Kiste :)Kann man diese Regel von der du sprichst nicht auch über die Shell hinzufügen?
-
Nein, das hast du mißverstanden. Wie du siehst habe ich bge0_vlan1 / vlan2 geschrieben. Das sind VLANs auf dem gleichen physikalischen Interface (bge0), da du ja in deinem OP bereits von VLAN1 & 2 gesprochen hattest!?
Grüße
-
Ah ok…
Ich hab das ganze jetzt zu Testzwecken erst mal so einfach wie möglich gebaut...
Also pfSense ins VLAN2, IP ist demnach aus VLAN2 auch pingbar, aber die WebGUI erreiche ich trotzdem nicht.
Ist doch wie verhext, da kann man doch so fürchterlich viel nicht verkehrt machen :(pfctl -d habe ich probiert, bringt nix.
Die anderen Vorschläge aus https://doc.pfsense.org/index.php/I_locked_myself_out_of_the_WebGUI,_help! taugen leider auch nix.Andere Vorschläge?
Danke und Gruß
Sandro -
Kannst du Nicht einfach Erstmal Direkt an die PFsense dran und Von Dort aus Ping´s machen um zu schauen ob es Dort Überhaupt Funktioniert. :)
Grüße Kira
-
Hallo Kira,
ich bin per ILO natürlich direkt an der pfSense, weil ich bisher anders keine Chance hab ;)
Bzw. SSH funktioniert mittlerweile auch, putty ist also auch kein Problem.
Von der pfSense komme ich auch ohne Probleme per Ping an sämtliche Hosts im VLAN2 .. nur andersrum nicht. Ich kann die pfSense zwar pingen, aber Port 80 und 443 sind nach wie vor über den Browser nicht erreichbar.Ich könnte jetzt natürlich spaßeshalber mal mit nmap prüfen, ob die Ports überhaupt offen sind, aber selbst wenn dem so wäre, wüsste ich nicht, wo ich ansetzen kann, damit ich endlich auf die WebGUI komme.
Gruß
Sandro -
Kannst du Mall Von dir aus Eine ASCII Zeichnung machen Wie es aus sieht Mit den IP Adressen, Weil Ich hatte auch so ein Ähnlichen Fehler, Und wo ich diese ASCII Zeichnung gemacht habe Verstand ich mein Problem. Poste sie Dann mal hier rein Deine Zeichnung.
So Ähnlich kannst du sie Auf bauen Deine ASCII Zeichnung https://forum.pfsense.org/index.php?topic=20279.0
Grüße Kira
-
Ich weiß zwar nicht, inwiefern das helfen sollte, weil ich ja eigentlich kein Routing Problem oder so habe, aber Bitte schön :)
WAN / Internet : : CompanyConnect : .-----+-----. | Router | '-----+-----' | | 62.153.x | .-----+-----. | pfSense | '-----+-----' | LAN | 10.10.2.0/24 | .-----+------. | LAN-Switch | '-----+------' | ...-----+------... (Clients/Servers)Wie gesagt… Ping funktioniert in beide Richtungen, SSH auf die pfSense geht auch.
-
Mir Fällt es dann einfach Mir das besser zu Merken und auch besser um nach zu denken, Und Du hast dann Wirklich keine Routing Probleme, Weil wenn Alles Funktioniert und Du kommst dann doch noch nicht in die GUI und ins Internet Dann ist bei mir wen ich daran denke, Ein Fehler An der pfsense oder am Server,
-
Also wenn SSH läuft und du auf die pfSense kommst, ist was wirklich sehr komisch. Ich würde fast sagen, wenn du per iLO draufkommst, installiere die pfSense nochmal mit 2.1.4 komplett frisch und setz sie genau nochmal so einfach auf. Im dümmsten Fall hat sich jetzt die Autolockout Rule verklemmt oder was anderes durch die Umkonfiguration, deshalb einfach auf Nummer sicher gehen. Denn normalerweise solltest du nach einem pfctl -d auf jeden Fall dann auch per Browser draufkommen. Dann blockt der Filter erstmal gar nichts mehr, NATtet aber auch nicht etc., deshalb kann man meist dann auch nur von LAN Seite drauf. Nicht dass du jetzt unglücklicherweise die WAN Seite zum LAN gemacht hast und dort dann automatisch rausgeworfen wirst ;)
Grüße
