[Gelöst] kein Ping aus dem LAN

eanneser

Hallo,

ich bin gerade dabei, eine IPCop FW durch pfSense zu ersetzen.

Über die Weboberfläche der pfSense kann ich überall hinpingen, aus dem LAN heraus nur in das LAN.

Folgende Konfiguration:
Mein Subnetz vom Provider: XX.XXX.97.40/29

WAN Interface: XX.XXX.97.44 als (Standard-)Gateway eingetragen XX.XXX.97.41
LAN Interface: 192.168.12.3 (kein Gateway eingetragen) -> virtuelle IP für das Interface ist 192.168.12.1

Damit ich kein Problem mit fehlerhaften FW-Rules bekomme, habe ich "Disable all packet filtering" für die Testphase eingestellt.

Wenn ich von der FW (über die Diagnostic) aus Pinge, komme ich überall hin. Auch die DNS-Auflösung funktioniert …

Wenn ich vom LAN aus pinge, komme ich zwar auf alle Rechner im LAN und auf die FW (alle Interfaces) aber sonst nirgends hin. Auch nicht auf das Gateway XX.XXX.97.41

Die Route auf dem Client im LAN stimmt:

edgar@xxxx:~$ /sbin/route
Kernel-IP-Routentabelle
Ziel            Router          Genmask        Flags Metric Ref    Use Iface
default        192.168.12.1    0.0.0.0        UG    0      0        0 eth0
192.168.12.0    *              255.255.255.0  U    0      0        0 eth0

Ich bin völlig ratlos. Wenn ich die Kabel wieder zurück an die Produktiv-IPCop-Firewall stecke und mir eine neue DHCP-Lease hole, schaut die exakt gleich aus, aber ich kann keine Verbindungen aus dem LAN heraus aufbauen.

["Disable all packet filtering" bedeutet doch, dass mir die FW-Rules nicht in die Quere kommen können?]

Wäre schön, wenn mir jemand aus der Patsche helfen könnte.

Danke schonmal

Edgar

JeGr

Damit ich kein Problem mit fehlerhaften FW-Rules bekomme, habe ich "Disable all packet filtering" für die Testphase eingestellt.

Ahoi,

das dürfte alleine schon dein Problem sein. In der Beschreibung steht hier klar geschrieben, dass das Abschalten des Filters auch (natürlich) die NAT etc. mit abschaltet und damit hast du keine Connectivity nach außen. Eine allow all any to any Regel (default) auf dem LAN ist zu Testzwecken wesentlich sinnvoller, zumal du ansonsten auch Attacken von außen einlädst. NIEmals ein Security Device (Firewall etc.) ohne aktiven Filter ans Netz hängen! :)

Grüße

eanneser

Danke, das hatte ich nicht richtig gelesen/interpretiert.

Nachdem ich die Checkbox deaktiviert habe, sind die Pings auch von den Rechnern im LAN möglich.

Allerdings habe ich noch heftige Schwierigkeiten mit der Erstellung der Regeln, insbesondere für die Portforwardings in die DMZ.
Gibt's da irgendwo eine Anleitung für Dumme, am Besten mit Beispielen?
In den HowTos und den Dokus, die ich gefunden habe steht dazu aus meiner Sicht zu wenig.

Danke für die schnelle Hilfe

Edgar

JeGr

Port Forwardings oder 1:1 NAT ist eigentlich relativ simpel und selbsterläuternd, aber vielleicht kannst du uns ja ein konkretes Beispiel geben, anhand dessen wir dich durch den Prozess führen können. Dann lichtet sich vielleicht die temporäre Verwirrung und weicht einer angenehmen Klarheit ;)

Grüße
Jens