Anfänger braucht Hilfe bei Basiskonfiguration von NAT

peterhart

Hallo,
ja natürlich kann man es auch anders machen und Wege gibt es viele.
Die FB hat m. M. n. keine Probleme, wenn hinter ihr ein Router (oder mehrere) ohne NAT ankommen.
Ähnliche Konstrukte habe ich schon oft gesehen und auch konfiguriert.

So oder so, es funktionieren sicher beide Varianten.
Und der Vorschlag mit dem NAT auf der pfSense ist nicht von der Hand zu weisen.

Wichtig ist, dass Christian erst einmal eine funktionierende Grundkonfiguration aufbaut.
Wenn das Routing sauber funktioniert und der Zugang zum WWW steht, kann man dann
weiter in Details gehen :-))

Gruß
Peter

9pi

Hallo ihr beiden,
vielen Dank für eure hilfreichen Tipps. Ich werde diese versuchen, in dieser Woche umzusetzen.
Ich melde mich dann (sicherlich!) wieder mit meinen Folgefragen  :-)

Beste Grüße und euch einen guten Start in die Woche,
Christian

9pi

Hallo, vielen Dank für eure stete Hilfe.
Meine Internet-Verbindung über LAN und WLAN steht.
Alle Geräte, die darüber connecte können surfen und auf die FritzBox und die pfsense zugreifen.
So weit so gut.

Die WAN Schnittstelle bekommt allerdings immer noch über DHCP (statisch?) die 192.168.178.29.
Wenn ich jetzt dort bspw. 10.10.10.10 eingebe als statische IP-Adresse (müsste eine für den privaten Gebrauch sein, oder?), was muss ich dann bei der Fritz-Box einstellen? Die FB ist ja im 192.168.178.0/24 als DHCP unterwegs.
Muss ich dort eine statische Route setzen? (und wenn ja, wie?)

Ich poste mal meine Regeln, die mir noch etwas wirr vorkommen - könnt ihr da mal durchgucken?
Ich bin mir nicht sicher, welche davon wirklcih wirksam zum Einsatz kommen…

WAN							
Proto 		Source 		Port 	Destination 	Port 	Gateway 		Queue	
IPv4 TCP	*		*	*		*	WAN_DHCP		none	
IPv4 TCP	*		*	WAN net		*	*			none	
IPv4 IGMP	192.168.178.1	*	224.0.0.1	*	*			none	Easy Rule: Passed from Firewall Log View 

LAN							
IPv4 *		VPN_Hosts	*	VPN_Targets	*	VPN_GATEWAY_VPNV4	none	
IPv4 *		192.168.1.0/24	*	*		*	WAN_DHCP		none	
IPv4 *		LAN net		*	*		*	*			none	
IPv6 *		LAN net		*	*		*	*			none	

WLAN							
IPv4 TCP	192.168.2.0/24	*	VPN_Targets	*	VPN_GATEWAY_VPNV4	none	
IPv4 *		*		*	*		*	WAN_DHCP		none	
IPv4 *		CISCO_WAP net	*	*		*	*			none	
IPv6 *		*		*	*	*	*	none	

Die jeweils erste Regel bei LAN und WLAN soll dazu führen, dass die definierten Aliases VPN_Hosts beim Ansurfen definierter VPN_Targets über das VPN_Gateway geleitet werden. Klappt aber nicht. Die per IP definierten Seiten sind einfach gar nicht mehr erreichbar.

Vielen Dank für eure weitere Unterstüztung und Gruß,
Christian

peterhart

Guten Morgen Christian,
Ich verstehe nur Bahnhof!

Wenn das Netzwerk zwichen der FB und der pfSense das 192.168.178.0/24 ist, musst Du auf beiden Seiten auch eine IP-Adresse
aus diesem Netzwerk vergeben.
z. B.
FB: 192.168.178.1/24
pfSense: 192.168.178.254/24

DHCP solltest Du in diesem Netzwerk (zwischen FB und pfSense) ausschalten!

Das mit Deinen VPN's habe ich nicht verstanden.

Mach doch mal einen Netzwerkplan.

Gruß
Peter

9pi

Eigentlich ist mein Szenario ganz einfach (dachte ich).

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (FritzBox)
      '-----+-----'
            |
        WAN | 192.168.178.1/24
            |
      .-----+-----.  WLAN          .------------.
      |  pfSense  +----------------+ WLAN-Server |
      '-----+-----' 192.168.2.1/24 '------------'
            |
        LAN | 192.168.1.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)

VPN soll von Clients für bestimmte Seiten (bspw. Gema-geblockte YouTube-Seiten) genutzt werden, um "frei" im Internet über OpenVPN surfen zu können.

Warum nur scheint das bei mir alles so total schwierig zu sein - bin schon am verzweifeln…  :'(

Vielen Dank für Deine bisherige Hilfe!

Beste Grüße,
Christian

peterhart

Hallo Christian,
also Dein Netzwerkplan ist einfach.
Wie bereits gesagt, solltest Du die NW-Karten Deiner pFsense mit festen IP-Adressen belegen.

Ich würde das NW so konfigurieren (ein Vorschlag!)
FB:
-> WAN Internet mit DHCP
-> 192.168.178.1/24
pfSense:
-> 192.168.178.254/24
-> 192.168.2.254/24 - Den WLAN Server mit einer festen IP-Adresse 192.168.2.1/24
-> 192.168.1.254/24 - Für die Clients kannst du dann DHCP unter Ausschluss der pfSense IP-Adresse (192.168.1.254) verwenden.

Zum Thema VPN:
So wie ich Dich verstehe wird das nicht funktionieren.
Dazu benötigst du ja einen VPN-Server in einem "Gema freien Raum", welcher Dich dann durch den Tunnel wieder ins Internet routet.

Gruß
Peter

9pi

Hi Peter,
vielen Dank für Deine schnelle Antwort! Es ist und bleibt aber (noch) zum Haare raufen.
Wenn ich beim WAN Interface eine statische IP Adresse zuweise - bspw. 192.168.178.254/24 komme ich nicht mehr ins Internet (weder über LAN noch über WLAN).

Muss ich zusätzlich etwas bei NAT oder den Rules einstellen?

VPN habe ich bereits mit Hilfe eines Tutorials erfolgreich eingerichtet und zum Laufen gebracht. Ich nutze dazu einen Sever in den USA auf den ich mich erfolgreich connecten kann.
Wenn ich dann eine NAT einrichte, biegt er aber immer den ganzen Verkehr um. Wenn ich allerdings eine Rule einrichte, kommt gar kein Traffic mehr durch. Das ist noch alles sehr verworren…  :o

Danke für Deine Unterstützung und Gruß,
Christian

peterhart

Hallo,
nicht verzagen :-))

Du hast doch an den Rules zunächst erst einmal "any" eingestellt?
Und wenn du NAT verwendest, dann zunächst Automatic outbound verwenden.

Hast du denn auf Deiner pFSense WAN Schnittstelle, neben der IP-Adresse auch ein GW + ggf. DNS zugewiesen?

Zu VPN kann ich noch nichts sagen.
Erst muss das Routing sauber laufen.

Ich biete Dir an mal ggf. mit mir zu telefonieren.

Gruß
Peter

9pi

Hallo, super!
Ok, schwitz - das habe ich hinbekommen.

• an der WAN Schnittstelle habe ich jetzt die feste IP 192.168.178.254
• als IPv4 Upstream Gateway habe ich jetzt die FB mit 192.168.178.1 definiert (das sog. WANGW)
• eine any Rule hat nicht funktioniert, ich musste auf dem WAN und LAN Interface diese Rule eintragen:

Proto 	Source 	Port 	Destination 	Port 	Gateway 	
IPv4 * 	* 	* 	* 		* 	WANGW 	 

mit einer any rule (also als Gateway * hat es nicht geklappt).

Internet läuft jetzt wieder. Woran sehe ich, dass das Routing "sauber" läuft?

Als DNS habe ich die beiden von Google und die freien DNS Server eingetragen - welches Gateway würde ich denen zuordnen?
Wieder den 192.168.178.1 (also WANGW) vermute ich, oder?

Das Angebot zu telefonieren würde ich sehr gerne annehmen.
Können wir ja über PM absprechen.

Beste Grüße und noch einen schönen Abend,
Christian

peterhart

Gut gemacht :-))))

Mit "any" meinte ich Regeln, welche den Verkehr komplett durchlassen.
Das hast Du ja hinbekommen.

Das Routing funktioniert, wenn Du  alle Schnittstellen z. B. per Ping erreichen kannst und auch ins Internet kommst.

Hast du jetzt eigentlich NAT auf der pfSense verwendet?

Ich sende Dir per PM mein Tel. Nr., dann können wir ggf. Morgen mal telefonieren.

Gruß
Peter

9pi

Hi, guten Morgen!
Ja, NAT habe ich auf Automatic outbound gestellt.
Die anderen Regeln in der NAT Liste bleiben erhalten, werden aber nicht mehr angewendet - richtig?
So langsam gehts voran! Freu mich  :-)

peterhart

Guten Morgen,
das hört sich doch schon mal gut an.
Du brauchst i. d. R. für NAT Ausgang keine speziellen Regeln.
Wichtiger wäre ggf. Port Weiterleitungen, falls Du z. B. von extern auf Dein NW zugreifen willst.
Ein Anwendungsbeispiel wäre  eine Verbindung mit OpenVPN aus dem Internet zum Netzwerk zu hause.

Gruß
Peter

JeGr

Hallo zusammen,

mit einer any rule (also als Gateway * hat es nicht geklappt).

Stimmt das so immer noch? Wenn ja, hat Freund 9pi auf der pfSense einen Konfigurationsfehler, denn diese müsste das WANGW automatisch auch als Default GW nutzen, so dass die Regel mit * funktioniert. Tut sie das nicht, gibts ein Problem und ggf. später Probleme mit Diensten auf der pfSense die dann den richtigen Weg nicht finden.

Wichtig dazu: beim LAN Interface -> KEIN Gateway konfigurieren, nur beim WAN eines einrichten mit der IP der Fritzbox. Dann ggf. unter Routing mal prüfen, ob das WANGW als Default-GW konfiguriert ist, wenn nicht, nachholen. Dann sollte die Regel auch mit * greifen.

Aber ich sehe schon, dass der Betrieb pfSense hinter anderem Router (meist FB) wohl immer "berühmter" wird. Ist da vielleicht der Bedarf nach einem Howto da?

Grüße
Jens

9pi

Hi Jens,
vielen Dank für Dein Feedback. Die any-Rule funktioniert nicht, obwohl ich

• auf dem LAN-Interface kein Gateway konfiguriert habe
• nur beim WAN eins mit der IP der FB eingerichtet habe
• das Routing als default das WANGW der FB hat

Wenn ich nicht als erste Rule (auf jedem Interface) eine eintrage die für den gesamten Verkehr das WANGW nutzt, kann ich nicht ins Internet.

Sorry für diese unbefriedigende Antwort.
Ich find´s auch mittlerweile recht seltsam…

Danke für eure Unterstützung!

(mit 20 Stunden Konfigurationsarbeit nur ein Luxus-Switch ohne Zusatzfunktion zu bekommen, das allen Traffic durchlässt ist irgendwie frustrierend  :-[)

ljmarkus

Hallo..

Sind die Interfaces auch wirklich richtig zugeordnet und auch die richtigen Ports gesteckt wo sie hin sollen? Notfalls könne ich auch sonst mal per TeamView schaun.

lg, markus

peterhart

Guten Morgen,
hier scheint wirklich der Wurm drin zu sein.
Ich schlage vor darüber nachzudenken, nochmal von vorne anzufangen.

Also zurück zu den Werkseinstellungen und dann in der Console die neue Zuweisung der Schnittstellen und IP's.
Dann ggf. beim Einrichten der pfSense den Wizard verwenden.

Gruß
Peter

Wexxler

Guten Morgen,

ich habe jetzt zwar noch nicht alles gelesen aber anhand des letzten Eintrages wollte ich doch kurz mal meinen Senf dazu geben.

Das was peterhart im letzten Beitrag geschrieben hat kam mir dann doch ein bisschen bekannt vor.

Hast du denn schonmal versucht ohne die Werkseinstellungen auf default zu setzen die Interfaces per Console neu zu definieren?

Ich hatte bei 2-3 Kisten auch schon das Problem das die Sense einen Interfacewechsel nicht richtig geschluckt hat (glaube sogar speziell das LAN Interface) und mein LAN nie ins Internet konnte obwohl ich aus der Webgui prima ins WAN pingen konnte.

Geholfen hat immer per Console die Interfaces neu zu setzen und die IP Adresse neu einzurichten -> Reboot.

LG
Chris

9pi

Hi allerseits,

vielen Dank für die hilfreichen Anmerkungen!

Ich habe jetzt alles so weit zum Laufen bekommen.
Allerdings war doch einiges an Handarbeit nötig:

• beim Umstellen von NAT (also kein Automatic Outbound sondern manuell) zieht er sich nur die NATs von der WAN Schnittstelle, die anderen (LAN, WAP) musste ich manuell hinzufügen; btw.: was müsste ich konfigurieren, damit er sich die automatisch zieht?

• das Default Gateway der WAN Schnittstelle funktioniert auf den LAN/WAP Interfaces nicht mit any (*) - da habe ich den WANGW jeweils als Rule eingetragen; das Default Gateway ist richtig gesetzt

• der VPN-Client und das dazugehörige Gateway waren mussten mit der Sonderoption "route-nopull" konfiguriert werden, so dass jetzt der Traffic für ausgewählte Ziel-Server über die USA laufen kann (guter Test ist das Online-Radio: www.pandora.com - nur wenn da die richtige Zielrange eingetragen ist, läufts - sonst gibts eine entsprechende Fehlermeldung, dass man in Deutschland ist)

• per Console habe ich noch nicht auf der pfSense hantiert

puh, jetzt habe ich ein paar graue Haare mehr - aber es läuft erstmal so weit flüssig….

jetzt kann ich mich den "richtigen" Funktionalitäten der FW widmen...

Bin auch noch für Tipps dankbar, wie ich ein Standardverhalten der pfSense erreichen kann (denn scheinbar hätten ja einige Sachen einfacher sein soll, oder?)...

peterhart

Hallo Christian,
da ist bei Deiner Config was nicht i. O.
Ich würde damit auf keinen Fall weiter arbeiten, auch wenn es z. Z. scheinbar funktioniert.
Du fängst Dir damit u. U. eine Menge anderer Probleme ein.

Ich habe heute in meiner VM mal von DHCP (WAN) auf static IP (WAN) umgestellt.
Da gibt es einiges zu beachten!

Wenn Du willst, kannst Du mich anrufen.

Gruß
Peter

JeGr

beim Umstellen von NAT (also kein Automatic Outbound sondern manuell) zieht er sich nur die NATs von der WAN Schnittstelle, die anderen (LAN, WAP) musste ich manuell hinzufügen; btw.: was müsste ich konfigurieren, damit er sich die automatisch zieht?

Warum sollte er sich andere ziehen? Er soll ja nur abgehend auf dem WAN NAT'ten. NAT Regeln gibt es nicht auf jedem Interface - ist auch besser so.

das Default Gateway der WAN Schnittstelle funktioniert auf den LAN/WAP Interfaces nicht mit any (*) - da habe ich den WANGW jeweils als Rule eingetragen; das Default Gateway ist richtig gesetzt

Das ist wie Peter richtig sagt ein eindeutiges Problemzeichen, denn da stimmt was Grundlegendes darunter nicht. Das MUSS einfach mit any any * funktionieren, ansonsten schleppst du Fehler mit dir herum.

per Console habe ich noch nicht auf der pfSense hantiert

Sollte man im Normalfall auch nicht müssen, von der Installation mal abgesehen.

jetzt kann ich mich den "richtigen" Funktionalitäten der FW widmen…

Negativ. Das würde ich lassen, denn irgendwas scheint bei dir vom Start weg schon falsch gelaufen zu sein. Mit Reset und Minimal Setup via Wizard bspw. sollte das direkt ohne großen Akt laufen, ansonsten hast du entweder ein exotisches Setup und musst manuell ran (hast du nicht) oder irgendwas läuft gründlich falsch.

Grüße