Kein Mailempfang im WLAN Bereich

MarcM

Moin,

daran liegt es leider nicht. Ich habe alles bis auf die "raus darf alles" - Regel deaktiviert.

Das iPhone zeigt ach wenigen Sekunden:
"E-Mails können nicht empfangen werden. Die Verbindung mit dem Server ist fehlgeschlagen."

Dazu zu sagen ist, ich habe noch ein Exchange-Konto auf meinem Handy eingerichtet - mein Firmenkonto. Das funktioniert reibungslos. Nur das Konto bei Office 365 nicht. Obwohl es nahezu gleich sein sollte - beides Exchange.

EDIT:
Das Log sieht so aus:
Date IP Status Address User Destination
20.01.2016 17:08:25 192.168.2.5 TCP_MISS/200 web.firmenaccount.de:443 - 85.xx.xx.70
20.01.2016 17:07:54 192.168.2.5 TCP_MISS/503 outlook.office365.com:443 - -
20.01.2016 17:07:54 192.168.2.5 TCP_MISS/200 p06-keyvalueservice.icloud.com:443 - 17.248.146.108
20.01.2016 17:07:51 192.168.2.5 TCP_MISS/503 outlook.office365.com:443 - -

viragomann

Dann scheint es ein Routing-Problem zu sein.

Die FritzBox arbeitet als reiner WLAN-AP oder macht die auch noch NAT?

Wie sehen deine Outbound NAT Regeln aus?

MarcM

Die FrizuBox am WLAN (alt DMZ) Port der pfSense ist so eingerichtet, dass sie als externes Modem oder Router an einem vorhandenen Internet Anschluss. Ebenso ist die Option bei Betriebsart auf "Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)" eingestellt.

Somit sollte diese kein NAT machen - jedenfalls habe ich da nichts seperat eingestellt.

Die Outbound NAT Regeln sehen so aus (siehe Screen)


viragomann

Die diversen Modi der FB kenne ich nicht. Aber sie macht wohl kein NAT, das verrät ja die IP im Log oben, die ja vermutlich dem iPhone gehört.

Und das Outbound NAT auf der pfSense sieht auch gut aus.

Schau mal am iPhone, ob du mit dem Webbrowser auf outlook.office365.com kommst.
Oder ob du den Hostnamen überhaupt auflösen kannst ("dig outlook.office365.com" in der Konsole).

MarcM

Hallo

Also per Browser komme ich nicht auf die Seite. Da meldet sich der Squid mit der angehängten Meldung. Ja die IP gehört dem iPhone, richtig.

viragomann

Verstehe, der will sich via IPv6 verbinden. Hast du das auf der pfSense überhaupt freigeschaltet und konfiguriert?
Ich nehme an, nein, deswegen fehlt ihm die Route.

Welchen DNS Server verwendet das iPhone?

MarcM

Das ist sehr komisch. Ich dachte eigentlich, dass ausgehende v6 Adressen erreichbar sind. Intern habe ich v6 blockiert, da hier kein PC / Gerät v6 nutzt.

Der Harken bei

Allow IPv6
All IPv6 traffic will be blocked by the firewall unless this box is checked.
NOTE: This does not disable any IPv6 features on the firewall, it only blocks traffic.

unter System -> Advanced -> Networking war nicht gesetzt. Muss ich noch mehr einrichten oder reicht das?

Als DNS Server stehen diese in der pfSense:
127.0.0.1
192.168.178.1 - Haupt FritzBox
192.168.1.1 - pfSense LAN

Das WLAN Netz ist 2.0/24 ich denke die nehmen dann auch die pfSense oder?

viragomann

Bei IPv6 kann ich auch nicht weiterhelfen. Verwende ich bislang nirgends.

Teste es einfach mit Allow IPv6.

Wegen dem DNS: Ich dachte, wenn der DNS Server nur IPv4 Adressen liefert, würde es auch funktionieren.
Da wäre interessant, welchen Server das iPhone nimmt. Aber vermutlich macht die pfSense DHCP für WLAN und übermittelt auch die Server. Dann werden verwendet, die in der DHCP Konfig eingetragen sind.

MarcM

Ich verwende auch kein IPv6, daher habe ich es wohl unwissentlich abgestellt. Oder auch nicht weit genug gelesen. Ich wollte IPv6 in meinem Netz verbieten, aber nicht die Verbindung zu externen IPv6 Adressen / Servern.

Oh, ich sehe grade im DHCP ist gar kein DNS eingetragen. Alles leer bis auch die DHCP Range! Wird dann automatisch die pfSense der DNS oder was macht er dann genau?

viragomann

Dann werden die genommen, die in der pfSense im General setup eingetragen sind. Also die FB, wenn erreichbar, weil sie an erster Stelle steht.

MarcM

Okay, sehr gut. Das kann ja auch so bleiben. Die Fritte bekommt ja DNS Server von 1 und 1 zugewisen bei jeder Einwahl. Das passt doch, denke ich.

Was mich allerdings wundert ist, wenn ich outlook.office365.com aus der Konsole der pfSense anpingen möchte, meldet sich eine IPv4 Adresse. Die pfSense meldet auf dem Screen aber eine IPv6. Was ist das denn? Merkwürdigerweise ging der Mailempfang vorgestern Abend. Gestern Abend wieder nicht.

viragomann

Wenn sowohl IPv4 als auch IPv6 aktiviert sind, ist das, denke ich, nicht ungewöhnlich.

Funktioniert nun der die Verbindung mit aktiviertem Allow IPv6 auf der pfSense?

Du könntest am iPhone IPv6 am WLAN Adapter deaktivieren, wenn du es ansonsten nicht benötigst. Dann sollte die Verbindung auf jeden Fall über IPv4 laufen.

MarcM

Ich bin noch im Büro. Ich werde Feedback geben, sobald ich zu Hause bin.
Ich denke nicht, dass ich so eine Einstellung im iPhone habe, um IPv6 zu deaktivieren. Muss ich mal genauer nachschauen.

Ich melde mich auf jeden Fall heute Nachmittag noch mal dazu.

JeGr

aber nicht die Verbindung zu externen IPv6 Adressen / Servern.

Öhm, doofe Frage, aber wie soll das denn Bitte gehen? Du kannst nicht intern IPv6 verbieten und dann erwarten, dass sich ein IPv4 Client von intern nach IPv6 extern verbinden kann!? IPv6 ist KEIN Protokoll, sondern eine komplette parallele Infrastruktur. Verbietest du intern v6 brauchst du entweder nach außen hin Proxies, die dann v4->v6 Umsetzung vornehmen oder sonstige Hilfsmittel. Wenn deine DNS Server/Forwarder dann natürlich externe DNSe auflösen und die v6 Antworten geben kann sich dein Client natürlich nicht verbinden. Deshalb gibts u.a. in den Einstellungen außer "v6 abschalten" auch noch sowas wie "IPv4 Antworten bevorzugen" etc. damit der Forwarder sinnvollerweise kein v6 ausgibt. Dass die pfSense ggf. beim Abfragen eines externen DNS eine v6 Antwort bekommt ist logisch, der interne Forwarder sollte aber nach Möglichkeit v4 präferiert antworten. Habe jetzt aber live noch nie erlebt, dass das ein Problem war in irgendeinem Setup.

MarcM

Mahlzt,

also ich bin jetzt zu Hause und teste die Verbindung erneut. Leider ohne Erfolg (siehe Screen).

Die Verbindung per Browser geht auf die IPv6 Adresse, aber die Mail-App löst es auf der IPv4 Adresse auf. Ich habe wie bereits erwähnt IPv6 Aktiviert. Der Browser öffnet es nicht, am PC aus dem 192.168.1.0/24-Netz geht es. Das iPhone öffnet die Seite nach wie vor nicht. nicht.

Das web.xxx.de:443 ist ebenfalls die Mail-App zum Firmen-Exchange.


flix87

IPV6 kenn ich leider auch noch nciht so gut
aber selbst wenn du es aktiv hast gibt es bei dir keine Regel die das erlaubt.

Im einem Screenshot steht nur IPv4 * allow all aber nichts von IPv6 kann es das schon sein?

MarcM

Genau das habe ich auch grade gedacht als ich das sah.
Nun habe ich alle Block IPv6 Regeln dekativiert und alle raus darf alles Regeln v4+6 gemacht.. Leider nach wie vor ohne Erfolg.

Edit:
Per Safari geht es jetzt. Daran hat es gelegen. Über die Mail-App allerdings noch nicht (siehe wieder Screen).
Schwarz ist die App und Rot Safari (Browser).


JeGr

Die Frage ist ja auch, ob dein LAN im gegensatz zum WLAN Interface eine v6 Adresse hat und weitergibt, also ob du im LAN überhaupt v6 rausgibst. Wie sind denn LAN und WLAN Interface konfiguriert?

viragomann

Könnte das auch was mit Squid zu tun haben?
Warum schickst du den Traffic überhaupt drüber?

Versuch mal die Domäne an Squid vorbei zu schleusen.

MarcM

ch mach das um ein wenig den Überblick und die Kontrolle über den Traffic zu haben. Der Nachwuchs fängt langsam auch an einen eigenen PC zu nutzen. Da würde ich schon gerne etwas die Hand drauf haben. Derzeit läuft der Squid als transparenter Proxy, soll sich aber bald ändern.

LAN, WAN und WLAN IF Config, siehe Screen.