Erstkonfiguration
-
Es muss 192.168.178.100 /32 sein (/32 subnetz = Nur 1 IP) ;)
-
Danke die für den Hinweis. Nur dann funktioniert das Internet nicht!
192.168.178.100 /32 Internet geht nicht
192.168.178.100 /24 Internet gehtIch habe noch zwei Fragen;
1. habe ich eine Fritzbox, die ich als AP und VOIP nutzen möchte, diese ist auch entsprechend konfiguriert. Nur leider kommt dort kein Internet an. woran kann das liegen?2. möchte ich einen Port für den Server freigeben. Habe dazu das auf dem Bild gemacht, Klappt aber nicht.
DynDNS ist eingerichtet und auch mit grün als "geht" markiert.Vielen Dank!
-
1. Wenn die Clients hinter pfsense Internet haben, muss die fritzbox auch funktionieren, ich nutze das ebenfalls so! In der Registerkarte für die Zugangsdaten auch "Vorhandener Zugang über LAN" eingestellt?
2. An der NAT-Regel sehe ich nix falsches, Firewall Rule scheint ja auch angelegt worden zu sein, kann alles Mögliche sein.- pfsense hängt als einziges an der FB, die den Internetzugang herstellt?
- dhcp an der FB ausschalten, brauchst du bei static ip eh nicht.
- fritzbox ip: 192.168.178.1 pfsense WAN Interface: 192.168.178.2 (/24 müsste doch richtig sein, sonst kann pfsense ja garnicht auf die box zugreifen ;D )
- WAN ip von pfsense (192.168.178.2) in der fritzbox als exposed host einstellen (internetfreigabe)
- LAN Interface auf 192.168.1.1 (/24) OHNE einen IPv4 Upstream Gateway einzustellen!
- DHCP-Server für LAN-Interface (der pfsense) aktivieren
Tippe mal, das dein NAT daran scheitert, dass noch nicht alles von der fritzbox durchgeleitet wird (exposed host).
Gruß
Simon -
Ja. FB als "exposed host" -> APU -> Switch -> 2.FB als AP
Ich habe die FB als AP lt. AVM eingestellt. Handy verbindet sich mit WLAN sagt aber gleich keine Internet Verbindung!
-
Stell die FB mal auf DHCP um, dann müsste es sofort gehen ;)
-
@simposs Es muss 192.168.178.100 /32 sein (/32 subnetz = Nur 1 IP) ;)
Leider völlig falsch, es muss die korrekte Netzmaske - bei AVM default /24 - eingetragen werden, das hatte nima ganz korrekt drin. Man kann bei der Fritte auch problemlos das DHCP an lassen, nur sollte man den Bereich begrenzen (bspw. 100-200), damit man die pfSense selbst STATISCH auf die .2 oder .254 o.ä. konfigurieren kann und diese IP nicht versehentlich von der Fritte vergeben wird.
@nima: Zusätzlich: Du kannst nicht auf der FB, auf der 192.168.178.0/24 konfiguriert ist, dein WLAN Netz mit .1.1 betreiben. Das LAN, dass du hinter der pfSense aufziehst hat ja potentiell dieses Netz. Du kannst das dann nicht einfach auf der FB für WLAN konfigurieren, so läuft das nicht. Die Clients sind dann nicht automagisch hinter der pfSense nur weil es andere IPs sind ;)
-
@simposs Es muss 192.168.178.100 /32 sein (/32 subnetz = Nur 1 IP) ;)
Leider völlig falsch, es muss die korrekte Netzmaske - bei AVM default /24 - eingetragen werden, das hatte nima ganz korrekt drin. Man kann bei der Fritte auch problemlos das DHCP an lassen, nur sollte man den Bereich begrenzen (bspw. 100-200), damit man die pfSense selbst STATISCH auf die .2 oder .254 o.ä. konfigurieren kann und diese IP nicht versehentlich von der Fritte vergeben wird.
@nima: Zusätzlich: Du kannst nicht auf der FB, auf der 192.168.178.0/24 konfiguriert ist, dein WLAN Netz mit .1.1 betreiben. Das LAN, dass du hinter der pfSense aufziehst hat ja potentiell dieses Netz. Du kannst das dann nicht einfach auf der FB für WLAN konfigurieren, so läuft das nicht. Die Clients sind dann nicht automagisch hinter der pfSense nur weil es andere IPs sind ;)
Klar /24, hatte ich ja anschließend auch nochmal korrigiert, kleiner Denkfehler ;)
So langsam komme ich nichtmehr mit… FB hier, FB da :o
Also mit der Ausnahme der IP der zweiten FB im DHCP und dann auf DHCP gestellt müsste es dann trotzdem sofort gehen und die WLAN-CLients landen ebenfalls im richtigen Netz oder kann man dann irgendwo noch gesondert den DHCP fürs FB WLAN einstellen, ich finde gerade nix!? -
Das ganze ist ziemlich tricky.
Man denkt es ist alles richtig eingestellt und es funktioniert trotzdem nicht.Also man kann dem WAN eine feste ip zuweisen. Dann muss man aber in der Fritte die Freigabe auch auf DIE IP machen und nicht auf den Gerätenamen. Bei DHCP ist es anders rum.
Aber es geht trotzdem nicht. Der "exposed Host" lässt nicht alle Ports zum WAN durch! Warum auch immer. Habe jetzt behelfweise einfach den Port-Bereich 80-10087 durchgereicht. Damit geht es erstmal.Man kann in der pfSense im WAN und LAN alles richtig eintragen, nützt aber nix. Erst wenn man die gleichen Werte in dem Wizzard eingetragen hat funktioniert es. Waum auch immer.
Das sind Fallstricke an denen man verzweifeln kann! :-\
-
Das ist natürlich schade, dass du solche Problem hast nima, ich kann das aber trotzdem nicht so stehen lassen:
Aber es geht trotzdem nicht. Der "exposed Host" lässt nicht alle Ports zum WAN durch! Warum auch immer. Habe jetzt behelfweise einfach den Port-Bereich 80-10087 durchgereicht. Damit geht es erstmal.
Ich habe hier sowohl 2 DSL Fritten als eine Kabel-FB und alle 3 verhalten sich identisch. Exposed Host eingetragen, fertig. Bei pfSense WAN kommt alles an. Selbst mit IPSec, was die FB selbst machen könnte, und es somit nicht wundern würde, wenn Sie die Ports wegfrisst.
Man kann in der pfSense im WAN und LAN alles richtig eintragen, nützt aber nix. Erst wenn man die gleichen Werte in dem Wizzard eingetragen hat funktioniert es. Waum auch immer.
Ich habe in meinem Leben noch nie den pfSense Startup Wizard benutzt ergo noch nicht benötigt. Trotzdem haben die Boxen bislang problemlos funktioniert. Natürlich muss man manuell nicht nur WAN + LAN konfigurieren sondern vielleicht nochmal nachsehen, dass NAT und Regeln OK sind. Aber das gehört bei der pfSense generell dazu.
Kann also leider deine Probleme nicht nachvollziehen :/
Nochmal der Einfachheit hier meine Konfiguration bei einer KabelFB:
- Die Fritten erstmal auf Ansicht Erweitert/Experte (je nachdem was da ist) stellen, sonst sieht man die Hälfte der Einstellungen schon nicht
- Heimnetz / Netzwerk/ Tab Netzwerkeinstellungen: Hier die IPv4 Adresse anklicken. Damit kann das LAN der Fritte verstellt werden und der DHCP eingegrenzt. Ist bei mir default 178.1, Netzmaske 255.255.255.0 (/24) und DHCP von 100 bis 200.
- Internet / Freigaben / Portfreigaben: Portfreigabe aktiv für exposed Host, dort dann pfSense ausgewählt (mit Namen, IP steht in Grau drunter!) Der Name kommt eigentlich automatisch sobald das Gerät hintendran mal funkt und dann kann man auch manuell nen Namen vergeben und den zuweisen
- Internet / Freigaben / Fritzbox-Dienste: Den Port der FB von außen gedreht auf einen anderen Port, dass ggf. notfalls Login via non-standard Port möglich ist. Nicht zum Verstecken, sondern für die Freigabe von 443 auf der pfSense später.
aller anderer Kram und Dienste NAS/USB/etc. inkl. WLAN aus. Das wars bezüglich Netzwerk auf der vorderen FB bei mir.
Die pfSensen hängen bei mir dann auf .251 und .252 sowie .254 (CARP VIP) als WAN, haben die .1 als Gateway und können nach der Einstellung auf jeden Fall schon ins Netz. Das Netz dahinter hat einen eigenen Range, Maske etc. und ggf. noch VLANs nach eigenem Gusto, aber das ist OK.
Grüße
-
Okay.
Dann muss es an der Regel liegen.
Wenn ich einen Port s. Bild in der FB freigebe (also zu dem exposed host), dann geht es. Dass heißt doch das es ein NAT Problem ist, oder nicht?
-
Da du leider nichts von der vorgeschalteten Fritzbox angehängt hast, kann man das schlecht sehen.
-
Was genau ist denn die 192.168.178.20?
Weil für mich sieht das so aus als wolltest du etwas vom WAN auf die 192.168.178.20 NATen aber die 192.168.178.20 müsste ja vor dem WAN der PfSense sein und nicht dahinter.
Hinter der PfSense hast du ja wohl 192.168.1.x
Was genau möchtest du denn erreichen?
Wie JeGr schon sagt man müsste mehr wissen.
Vielleicht eine kleine Skizze mit IP's wie es nun aussieht und was du genau vorhast.
Dann kann man dir sicher helfen. -
Nein. Wan ist 10.0.0.2
Und 192.168.178.20 ist die NAS im LAN.
Dass müsste also eigentlich so funktionieren. -
Darf ich mal ganz doof HÄÄ? sagen? Sorry, aber inzwischen verstehe ich nur noch Bahnhof. pfSense WAN soll 10.0.0.0/24 sein? mit 10.0.0.2? Du hattest doch was von einer vorgeschalteten Fritte und einer WLAN FB gesagt? Und 192.168.178 ist das Default Netz einer FB. Wo hängt nun eigentlich was? Ohne Bild verstehe ich den Zusammenhang inzwischen leider nicht mehr.
Vielleicht schaust du bei den angepinnten Beiträgen mal nach, da habe ich mehrere Ascii Zeichnungen in einem Beitrag zusammengefasst wie man das darstellen kann ohne gleich ein Zeichenprogramm zu brauchen. Man kann aber auch fix bei Gliffy o.ä. was zeichnen, exportieren und hier einfügen. Aber ohne das, wirds langsam sehr schwierig, da ständig Infos von anderen Geräten/Einstellungen fehlen.
-
-
Noch mal alles neu gemacht:
Fritte: 10.0.0.1
WAN: 10.0.0.2
LAN: 192.168.1.1
NAS: 192.168.1.10Internet geht. NAS lässt sich von aussen nicht erreichen. Wo könnte der Fehler sein?
Habe alles angehängt. Weiß langsam nicht mehr weiter. :'(
-
Mache bei den Regeln auf der pfSense mal den Haken bei Logging rein und prüfe beim Zugriff von außen mal, ob das überhaupt im Log auftaucht oder auf der Fritte versauert.
-
Du hast am WAN Interface "block private networks" an. Vielleicht das mal rausnehmen.
-
l4k3k3m4an: Stimmt das hatte ich übersehen.
-
Ich muss doch WAN rules machen, oder LAN rules?
