Kein WAN am LAN
-
was für eine ip bzw. was für ein Netz hast du auf dem WAN Interfaces?
NAT ist im Default auf dem WAN Interface aktiv.
-
Hallo!
Um aus dem LAN ins Internet zu kommen, braucht es nur die richtigen Netzwerkeinstellungen und die Regel, die es erlaubt, wenn die pfSense bereits Internet hat, wie du schreibst.
Am LAN hat die pfSense standardmäßig eine Regel aktiv, die den Zugriff nach überall hin erlaubt. Wenn du diese nicht verändert hast, bleibt also die Netzwerkeinstellung, und zwar am LAN Host.
Hast du auf diesen die pfSense LAN IP, also 192.168.1.254, als Standardgateway eingestellt? Ohne diesen gibt es keinen Zugriff aufs Internet, weil der Host nicht weiß, wohin er die Pakete schicken soll.Den Ping auf den Webserver verhindert vielleicht dessen Windows-Firewall. Funktioniert ein Ping von einem anderen LAN Host?
-
Moin
habe zur veranschaulichung mal 2 Bilder angehängt
Standardgateway ist aber eingetragen und in dieser DMZ ist nur der Webserver!
Es kommt ein TestNetz am WAN Interface an ( enthält Internet)….
-
Entferne das LAN Gateway auf der pfSense.
-
Wenn ich das richtig sehe hat das WAN Interface die IP 10.255.3.151 und als Gateway ist auch die 10.255.3.151 eingetragen
Das geht natürlich nicht. Da muss dann das Gateway aus dem 10.255.3.x Netzwerk stehen ich vermute auch mal die 10.255.3.1Hast du das Gateway von Hand eingetragen?
Weil die IP bekommt er ja vom DHCP.
Dann sollte der DHCP ja eigentlich auch das richtige Gateway verteilenDas LAN Gateway brauch man recht selten.
Wenn du das nicht brauchst am besten wie viragomann sagt entfernen.Wenn du es brauchst was ist denn auf der PfSense ein Default Gateway?
Wenn es immer noch nicht geht am besten man ein Screenshot der Firewalleinstellungen schicken
-
Moin Moin,
Also ich habe jetzt das LAN Gateway einmal rausgenommen gehabt (disabled) Effekt war gleich null, also hab ich es wieder reingenommen ( da kommt später ein 2 pfsense hinter wenn es läuft)
Das Standardgatway habe ich angepasst (bekomme aber immer noch kein Inet auf dem Webserver)
Hab es jetzt auch per DHCP bekommen!
:-
Bildchen dazu habe ich wieder beigefügt!
;)
-
Die Regeln des LAN Interfaces wären interessanter.
Es ist sehr komisch das du per DHCP diese IP als Gateway bekommst vielleicht stimmt im Netz davor schon etwas nicht bzw. mit dem DHCP Server.
Wenn die PfSense auf DHCP Client steht sollte sie alle Infos vom DHCP Server bekommen und dann auch direkt ins Internet kommen.Hast du am NAT schon was geändert oder ist das noch default?
Und welches Gateway ist denn nun genau das Default Gateway in der PfSense?
-
Die Pfsense kommt ja auch ins Internet, nur der Webserver nicht !
Der NAT steht noch auf default….
Das 10.255.3.1 ist das default Gateway in der pfsense !
 -
sehr komisch. sollte so gehen
ist auf dem Webserver vielleicht noch was eingetragen?
Statische Routen oder so?
Zweite Netzwerkkarte?
Lokale Firewall?
Die Pfsense kann er erreichen?Weil komisch ist bei ping zur 8.8.8.8 das die IP des Webserver drin steht das keine Antwort zurück kommt.
Normal sollte da die PfSense stehen wenn die es nicht weiterleiten kann.
Ich vermute den Fehler weniger in der PfSense Config und vielmehr im Webserver bzw. dessen Config selber. -
Post bitte mal, was ein "route print" auf dem Webserver zurück gibt.
-
Was auch sehr komisch ist das bei den Netzwerkverbindungen 2 Netzwerke angezeigt werden, jedoch habe ich nur eine Netzwerkkarte Installiert (über die ESXI VM)
..und egal welche von den beiden Netzwerken ich konfigurieren möchte, so lande ich immer beim gleichen Netzwerkgerät.
Vielleicht macht das Sinn die Netzwerkkarte mal zu deinstallieren und dann wieder neu zu installieren ?
Hab jetzt beim Standartgateway mal die 192.168.1.230 rausgenommen, die neben der 192.168.1.254 mit drinnen stand, jetzt ist das 2 Netzwerk mit verschwunden… ;D
Dafür kommt jetzt auf beim trace rt 8.8.8.8Update
Hab mal den aktuellen route print eingefügt
-
das ist komisch das da zwei Netzwerkkarten auftauchen das sollte nicht sein.
Du sagst du hast es nun raus genommen?
Im route print steht aber noch die 192.168.1.230 also Default Gateway drin.
Das solltest du erst mal bereinigen.
Scheint so als wäre die Config nicht ganz sauber auf deinem Webserver/ESXi.Geht es denn nun oder gibt es immer noch Probleme?
Prüfe auf jeden Fall noch mal ob nun alles passt ob die Netzwerke im ESXi richtigt zugeordnet sind.
-
Du hattest 2 Default Routen mit derselben Metrik in deiner route print Ausgabe, die 2. auf 192.168.1.230 wird aber verschwunden sein, nehme ich an. Damit sollte die Sache in Ordnung sein.
Das "tracert 8.8.8.8" listet nun schon mal das richtige Gateway auf. Kontrolliere aber mal auf der pfSense Diagnostic > Packet Capture, ob das da auch ein ping 8.8.8.8 ankommt, oder ob dir der ESXi einen Streich spielt. Wenn er ankommt, schau dir die Sache auch auf dem WAN Interface an.
-
auf pfsense kommt auch etwas an, aber jetzt komme mit dem ping überhaupt nicht mehr durch….
da steht jetzt beim webserver nur noch Zeitüberschreitung der Anforderung???
 -
Im WAN trace sieht man nur die Pings auf das Gateway um zu prüfen ob es UP ist.
Auf den LAN Trace sieht man nur DNS Anfragen vom Webserver auf die PfSense und einmal eine Ping Anfrage aber keine Antwort (zumindest nicht in diesem Trace sichtbar)
Bei Welchem Ping kommt Zeitüberschreitung auf die 8.8.8.8 oder auf die PfSense?
Hast du schon sehr viel eingerichtet auf der PfSense? Wenn nicht würde ich empfelen einmal die PfSense zurück zu setzen und nochmal von vorne.
Wenn dein Netzwerk soweit stimmt müsste die PfSense direkt gehen. -
Da arbeitet dein Outbound NAT nicht ordnungsgemäß. Der ping request auf 8.8.8.8 müsste am WAN Interface die WAN-IP als Quelle haben. Bei dir ist das die originale Quell-IP, ergo wird sie nicht transferiert und nicht geroutet, weil dieses Netz auf der WAN-Seite unbekannt ist.
Wie hast du das Outbound NAT konfiguriert? Manuell? Die nötige Regel wird nämlich automatisch erstellt. Wenn du aber auf manuelle Regel Generation umgestellt hast und die WAN-IP sich ändert, was bei DHCP kaum zu vermeiden ist, klappt es nicht mehr, wie es soll.
Wenn du es auf Automatic oder Hybrid (auto + manuell) stellst und Save klickst, sollte die richtige Regel generiert werden.
Im Zweifel poste einen Screenshot vom Outbound NAT. -
@viragomann
Danke für deinen Hinweis, es war eigentlich ganz simpel.. es hatte sich die CIDR verändert gehabt aber ich hatte es beim Outbound nicht angepasst gehabt.
das Trace rt funktioniert.
Leider hapert es an der DNS auflösung, was könnte ich da verstellt haben ?
Irgendwann muss ich den DNS Resolver ausgeschaltet haben! Jetzt gehts….
:/
Hab mal den aktuellen trace angehängt ( natürlich etwas geschwärzt) ;)
....es Funktioniert jetzt!!
Vielen Dank an alle die mir geholfen haben !!
