Kein Internet auf der pfsense
-
Hallo Gemeinde
Ich habe eine kleine Testumgebung mit pfsense, welche in einem produktiven LAN installiert wurde.
Leider kommt meine pfsense nicht ins Internet, kann zwar IPs pingen jedoch die Namens Auflösung scheitert.WAN: 192.168.0.11, Gateway: 192.168.0.1 (Router von produktivem Netzwerk)
LAN: 192.168.1.1
OPT1: 10.55.0.1
OPT2: 10.60.0.1
OPT3: 10.65.0.1
OPT4: 10.70.0.1
pfsense DNS: 8.8.8.8Die Wan Schnittstelle blockiert keine private Netzwerke sowie bogon Netzwerke. Ebenfalls sind keine Firewall Regeln aktiv auf der WAN Schnittstelle und trotzdem kann die pfsense keine Update Überprüfung durchführen.
in dem LAN ist ein Windows DNS installiert für die restlichen Interfaces wurde auf der pfsense der DNS forwarder aktiviert (OPT1, OPT2, OPT3, OPT4).
Was übersehe ich?
Vielen Dank für eure Hilfe
-
Keine Regeln heißt alles wird blokiert.
Alles was nicht definiert ist wird blockiert.Das hat aber erst mal nur Auswirkungen auf eingehende Verbindungen in Richtung WAN Interface. Raus sollte trotzdem gehen.
Kannst du denn vom WAN Interface der PfSense die 192.168.0.1 oder 8.8.8.8 Pingen?
-
Ich habe auch schon zum Test eine Allow all Regel auf der WAN Schnittstelle erstellt.
Ich kann 192.168.0.1 und 8.8.8.8 von der WAN Schnittstelle aus pingen.
Was für mich bisschen verdächtig ist beim Ping Befehl kann man die "Source Address" auswählen.
Wenn ich explizit WAN auswählen geht der ping auf beide IP.
Wenn ich jedoch "Default" auswähle geht der ping auf 8.8.8.8 nicht.flix87, du hast mich noch auf eine weiter Frage gebracht und zwar habe ich noch eine 2. Firewall im Einsatz und dort musste ich auf der WAN Schnittstelle keine Allow Regel definieren und trotzdem können jegliche Clients und Geräte ins Internet kommunizieren.
Kann es sein das in früheren Versionen von pfsense diese Block All Regel nicht existiert? -
Diese Block Any gibt es schon immer alles was nicht definiert ist wird geblockt.
Die Regeln die du auf den Interfaces anlegst beziehen sich immer auf die Richtung eingehend.
Auf den WAN Interface ist normal auch alles geblockt was gut ist wir wollen ja die Bösen Hacker drauße lassen ;)Wenn du aus dem LAN kommt ist ja LAN eingehend und WAN nur ausgehend daher brauchst du wenn du nur aus dem LAN raus willst auf dem WAN dafür keine Regel.
Wenn du die 8.8.8.8 also DNS eingstellt hast was hast du unter System: General Setup für den DNS Server als Gateway unter Use gateway eingestellt?
Wenn none da steht heißt es das der DNS im selben Netz sein muss und ich gehe davon aus das 8.8.8.8 nicht bei dir im Netz steht ;) daher dort das Gateway vom WAN auswählen was bei dir 192.168.0.1 sein sollte. -
Na klar war es das, meinst du ich hätte diese kleinen Boxen gesehen? Natürlich nicht^^
Vielen vielen Dank
Wegen den Block Regeln, du sagst es ist nur für die eingehend was irgendwie noch logisch ist.
Doch wenn ich z.B. speziellen Traffic vom LAN ins WAN erlauben möchte, muss ich doch wie gewohnt auf beiden Seiten eine Allow Regeln erstellen, da ja auch eine Antwort vom Internet zurück kommt oder? -
Nein die Antwort lässt die PfSense automatisch durch.
Anhand der TCP/UDP Flows erkennt die PfSense ja Antwort Pakete auf einen Anfrage aus dem LAN.
Ist ja eine Dynamische Firewall bei einer Statischen wäre es so wie du sagst. Hier brauchen wir das nicht.
Es reicht eine Regel auf den LAN auf dem WAN muss man nichts machen. -
Wenn man den Filter kennt (pf) und sich ein wenig in pfSense einliest ist die Antwort relativ leicht. pfSense erstellt automatisch Regeln für ausgehenden Traffic, ansonsten müsste man pf immer vollständig konfigurieren nämlich den kompletten Weg, den das Paket durch die Firewall nimmt. Beispiel: Von LAN ins Internet kommt das Paket eingehend auf dem LAN IF rein, geht auf dem WAN IF raus. Ergo müsste man klassisch in pf eine incoming Regel auf LAN und eine outgoing Regel auf WAN erstellen. pfSense macht das outgoing aber automatisch. Was die Antworten von Traffic angeht, ist das bei TCP und ggf. bei UDP (etwas gemogelt) so, dass sich pfSense nach dem ersten Paket den State merkt (Stichwort Stateful Inspection, State Table). Danach werden alle Pakete die auf den selben State passen automatisch erlaubt. Dazu gehören auch Antwortpakete der Verbindung, die von außen zurück kommen.