Anfänger braucht Hilfe bei Basiskonfiguration von NAT

9pi

Hi, guten Morgen!
Ja, NAT habe ich auf Automatic outbound gestellt.
Die anderen Regeln in der NAT Liste bleiben erhalten, werden aber nicht mehr angewendet - richtig?
So langsam gehts voran! Freu mich  :-)

peterhart

Guten Morgen,
das hört sich doch schon mal gut an.
Du brauchst i. d. R. für NAT Ausgang keine speziellen Regeln.
Wichtiger wäre ggf. Port Weiterleitungen, falls Du z. B. von extern auf Dein NW zugreifen willst.
Ein Anwendungsbeispiel wäre  eine Verbindung mit OpenVPN aus dem Internet zum Netzwerk zu hause.

Gruß
Peter

JeGr

Hallo zusammen,

mit einer any rule (also als Gateway * hat es nicht geklappt).

Stimmt das so immer noch? Wenn ja, hat Freund 9pi auf der pfSense einen Konfigurationsfehler, denn diese müsste das WANGW automatisch auch als Default GW nutzen, so dass die Regel mit * funktioniert. Tut sie das nicht, gibts ein Problem und ggf. später Probleme mit Diensten auf der pfSense die dann den richtigen Weg nicht finden.

Wichtig dazu: beim LAN Interface -> KEIN Gateway konfigurieren, nur beim WAN eines einrichten mit der IP der Fritzbox. Dann ggf. unter Routing mal prüfen, ob das WANGW als Default-GW konfiguriert ist, wenn nicht, nachholen. Dann sollte die Regel auch mit * greifen.

Aber ich sehe schon, dass der Betrieb pfSense hinter anderem Router (meist FB) wohl immer "berühmter" wird. Ist da vielleicht der Bedarf nach einem Howto da?

Grüße
Jens

9pi

Hi Jens,
vielen Dank für Dein Feedback. Die any-Rule funktioniert nicht, obwohl ich

• auf dem LAN-Interface kein Gateway konfiguriert habe
• nur beim WAN eins mit der IP der FB eingerichtet habe
• das Routing als default das WANGW der FB hat

Wenn ich nicht als erste Rule (auf jedem Interface) eine eintrage die für den gesamten Verkehr das WANGW nutzt, kann ich nicht ins Internet.

Sorry für diese unbefriedigende Antwort.
Ich find´s auch mittlerweile recht seltsam…

Danke für eure Unterstützung!

(mit 20 Stunden Konfigurationsarbeit nur ein Luxus-Switch ohne Zusatzfunktion zu bekommen, das allen Traffic durchlässt ist irgendwie frustrierend  :-[)

ljmarkus

Hallo..

Sind die Interfaces auch wirklich richtig zugeordnet und auch die richtigen Ports gesteckt wo sie hin sollen? Notfalls könne ich auch sonst mal per TeamView schaun.

lg, markus

peterhart

Guten Morgen,
hier scheint wirklich der Wurm drin zu sein.
Ich schlage vor darüber nachzudenken, nochmal von vorne anzufangen.

Also zurück zu den Werkseinstellungen und dann in der Console die neue Zuweisung der Schnittstellen und IP's.
Dann ggf. beim Einrichten der pfSense den Wizard verwenden.

Gruß
Peter

Wexxler

Guten Morgen,

ich habe jetzt zwar noch nicht alles gelesen aber anhand des letzten Eintrages wollte ich doch kurz mal meinen Senf dazu geben.

Das was peterhart im letzten Beitrag geschrieben hat kam mir dann doch ein bisschen bekannt vor.

Hast du denn schonmal versucht ohne die Werkseinstellungen auf default zu setzen die Interfaces per Console neu zu definieren?

Ich hatte bei 2-3 Kisten auch schon das Problem das die Sense einen Interfacewechsel nicht richtig geschluckt hat (glaube sogar speziell das LAN Interface) und mein LAN nie ins Internet konnte obwohl ich aus der Webgui prima ins WAN pingen konnte.

Geholfen hat immer per Console die Interfaces neu zu setzen und die IP Adresse neu einzurichten -> Reboot.

LG
Chris

9pi

Hi allerseits,

vielen Dank für die hilfreichen Anmerkungen!

Ich habe jetzt alles so weit zum Laufen bekommen.
Allerdings war doch einiges an Handarbeit nötig:

• beim Umstellen von NAT (also kein Automatic Outbound sondern manuell) zieht er sich nur die NATs von der WAN Schnittstelle, die anderen (LAN, WAP) musste ich manuell hinzufügen; btw.: was müsste ich konfigurieren, damit er sich die automatisch zieht?

• das Default Gateway der WAN Schnittstelle funktioniert auf den LAN/WAP Interfaces nicht mit any (*) - da habe ich den WANGW jeweils als Rule eingetragen; das Default Gateway ist richtig gesetzt

• der VPN-Client und das dazugehörige Gateway waren mussten mit der Sonderoption "route-nopull" konfiguriert werden, so dass jetzt der Traffic für ausgewählte Ziel-Server über die USA laufen kann (guter Test ist das Online-Radio: www.pandora.com - nur wenn da die richtige Zielrange eingetragen ist, läufts - sonst gibts eine entsprechende Fehlermeldung, dass man in Deutschland ist)

• per Console habe ich noch nicht auf der pfSense hantiert

puh, jetzt habe ich ein paar graue Haare mehr - aber es läuft erstmal so weit flüssig….

jetzt kann ich mich den "richtigen" Funktionalitäten der FW widmen...

Bin auch noch für Tipps dankbar, wie ich ein Standardverhalten der pfSense erreichen kann (denn scheinbar hätten ja einige Sachen einfacher sein soll, oder?)...

peterhart

Hallo Christian,
da ist bei Deiner Config was nicht i. O.
Ich würde damit auf keinen Fall weiter arbeiten, auch wenn es z. Z. scheinbar funktioniert.
Du fängst Dir damit u. U. eine Menge anderer Probleme ein.

Ich habe heute in meiner VM mal von DHCP (WAN) auf static IP (WAN) umgestellt.
Da gibt es einiges zu beachten!

Wenn Du willst, kannst Du mich anrufen.

Gruß
Peter

JeGr

beim Umstellen von NAT (also kein Automatic Outbound sondern manuell) zieht er sich nur die NATs von der WAN Schnittstelle, die anderen (LAN, WAP) musste ich manuell hinzufügen; btw.: was müsste ich konfigurieren, damit er sich die automatisch zieht?

Warum sollte er sich andere ziehen? Er soll ja nur abgehend auf dem WAN NAT'ten. NAT Regeln gibt es nicht auf jedem Interface - ist auch besser so.

das Default Gateway der WAN Schnittstelle funktioniert auf den LAN/WAP Interfaces nicht mit any (*) - da habe ich den WANGW jeweils als Rule eingetragen; das Default Gateway ist richtig gesetzt

Das ist wie Peter richtig sagt ein eindeutiges Problemzeichen, denn da stimmt was Grundlegendes darunter nicht. Das MUSS einfach mit any any * funktionieren, ansonsten schleppst du Fehler mit dir herum.

per Console habe ich noch nicht auf der pfSense hantiert

Sollte man im Normalfall auch nicht müssen, von der Installation mal abgesehen.

jetzt kann ich mich den "richtigen" Funktionalitäten der FW widmen…

Negativ. Das würde ich lassen, denn irgendwas scheint bei dir vom Start weg schon falsch gelaufen zu sein. Mit Reset und Minimal Setup via Wizard bspw. sollte das direkt ohne großen Akt laufen, ansonsten hast du entweder ein exotisches Setup und musst manuell ran (hast du nicht) oder irgendwas läuft gründlich falsch.

Grüße

9pi

@peterhart:

Ich habe heute in meiner VM mal von DHCP (WAN) auf static IP (WAN) umgestellt.
Da gibt es einiges zu beachten!

Hi Peter,
vielen Dank für das Angebot! Heute schaffe ich es leider nicht mehr, weil die Arbeit mich fest im Bann hat  ;)
Ist es möglich, dass Du die zu beachtenden Punkte hier postet?
Dann hätten andere Mitleser auch gleich einen AHA-Effekt  ;D

Denn in vielen How-Tos, Anleitungen und Guides wird ja empfohlen, den WAN IP auf static zu setzen.
Ich hätte gedacht, dass das ganz einfach ist :-)
Ich kann aber einfach auch nochmal alles resetten und von Vorne anfangen -  da ich da schon so viele Stunden dran rumgeprokelt habe, werde ich das auch nochmal hinbekommen.
War zwar bisher ein steiniger Weg - macht aber Spaß!
…und ich werde auch nicht aufgeben, bis es so läuft, wie ich das möchte...

thumbsup

peterhart

Hallo,
ja, kann ich nächste Woche noch mal Schritt für Schritt machen und die wichtigsten Pkt. dabei aufschreiben.

Gruß
Peter

9pi

Hi, ein einfacher REBOOT hat genau zu dem gewünschten Systemverhalten geführt!
Die ANY rule funktioniert und alles geht genauso, wie ihr es beschrieben habt.
Wie oft startet ihr die pfSense neu?

…Have you tried turning it off and on again?!... (IT Crowd)

Jetzt komme ich langsam zum spaßigen Teil. puhh...    ;)

Lord-of-Chaos

@JeGr
du hattest mal gefragt ob bedarf nach einem howto besteht.
Von meiner Seite aus ja. Habe auch eine Fritzbox und pfsense dahinter auf einem apu1d4.

Leider habe ich auch noch Probleme alles einzurichten und ins Internet zu kommen. Der Grund ist zum einen nicht genügend Wissen der Funktionen und zum anderen was das ganze noch erschwert teil das englisch.

Ich hatte for einiger Zeit ipfire getestet. Hatte hier auch Internetzugang hinbekommen nur Probleme gehabt Ports für z.B ftp oder samba frei zu schalzen. So bin ich auf pfsense gekommen da mir scheint das trotz des ganzen englischen Aufbaues die Kommunikation/Hilfe im Forum besser.

Werd wohl nochmal alles neu aufsetzten und dann versuchen alles von hier umzusetzen.

Wie ist den die Grundeinstellung von pfsense. Es wird alles blockiert und nichts ist erlaubt?

Auric

Jepp, alles zu, alles verboten.

Alles andere wäre für ein Gerät das Sicherheit verspricht wohl Unsinn