Komme einfach nicht weiter -> DMZ [SOLVED]
-
Das was da an 192.168.43.1 geht, ist eine DNS-Abfrage. Vermutlich ist diese IP als DNS konfiguriert (ev. im DHCP).
Die DMZ Regeln 2 - 4 bewirken nun nur, dass auch ins LAN erlaubt sind. Ich weiß nicht, ob das so deine Absicht ist.
-
Genau. Die DNS Abfrage funktioniert aber bei dem anderen PI richtig, denn da steht dann 192.168.178.1.
Wieso ins LAN? "Destination" ist doch any.
Grüsse
-
Dann überprüfe mal die Netzwerkkonfiguration am RPI1Tor.
Die Firewall-Regeln werden von oben nach unten durchgearbeitet. Treffen die Bedingungen einer zu, wird diese angewandt und die Prüfung beendet, also nachfolgende Regeln werden ignoriert.
Deine 1. DMZ-Regel erlaubt jeden IPv4 Zugriff auf alle Ports und alle Adressen außer aufs LAN. Damit wirken sich nachfolgende Regeln nur noch aufs LAN aus.Grüße
-
Ah, ich verstehe dich. Das heisst also auch, dass ich die Regeln 2-4 gar nicht brauche!?
Somit habe ich einfach unbewusst einen Workaround gemacht, der aber gleichzeit meine erste Regel aushebelt.
Denn die 192.168.178.1 ist der gateway von meinem LAN und der macht DNS.
Ich habe in meiner DMZ alles statisch konfiguriert, d.h. mir fehlt wohl der DNS, weil ich aus der DMZ nix großartig machen kann.
Wie verpasse ich der DMZ einen DNS?Grüße
-
Ob du die Regeln benötigst, hängt vo deiner Konfiguration ab. Mich hat vor allem die HTTP-Regel ohne Zieleinschränkung verwundert, die aber nicht mehr bewirkt, als HTTP nach LAN zu erlauben. Ein Webserver hat zudem im LAN eigentlich nichts zu suchen, wenn es eine DMZ gibt.
Wenn du einen eigenen DNS und einen NTP-Server im LAN betreibst, brauchst du die beiden Regeln dafür.
Aber ich nehme an, dein DNS 192.168.178.1 ist die pfSense selbst und vermutlich macht sie auch den NTP-Server. Beide Services kannst du auch für mehrere Interfaces gleichzeitig konfigurieren, dann erreichst du sie jeweils mit der nächstgelegenen Interface-Adresse und du benötigst die Regeln gar nicht. -
Ein Webserver hat zudem im LAN eigentlich nichts zu suchen, wenn es eine DMZ gibt.
Genau, das will ich auch gar nicht.
Das komische ist auch, mit der ersten Regel erlaube ich doch alles aus der DMZ raus, also auch ping. Der funktioniert auch nicht.
Ich will, dass meine PIs in der DMZ die PFsense als DNS Server (static IPs) benutzen. Aus dem LAN Funktioniert das (DHCP).
Nur wie mache ich das? Was ist der Unterschied…wieso funktioniert das im LAN einfach und in der DMZ nicht? Oder mache ich einen grundsätzlichen Denkfehler?
Meine /etc/network/interfaces auf den PIs sieht so aus:
 -
Das komische ist auch, mit der ersten Regel erlaube ich doch alles aus der DMZ raus, also auch ping. Der funktioniert auch nicht.
Die Outbound NAT Konfiguration schon überprüft?
Ich will, dass meine PIs in der DMZ die PFsense als DNS Server (static IPs) benutzen. Aus dem LAN Funktioniert das (DHCP).
Du willst, dass ein DMZ-Host eine IP vom DHCP im LAN bekommen?? Geht nicht, nicht ohne weitere Maßnahmen. DHCP ist auf Broadcasts angewiesen und die gehen über keinen Router.
Wenn ohnehin die pfSense den DHCP-Server macht, dann aktiviere ihn einfach auch am DMZ Interface. Wenn es ein anderer Host ist, dann aktiviere und konfiguriere das DHCP-Relay auf der pfSense, so werden Anfragen auf den DHCP-Server weitergeleitet. -
Die Outbound NAT Konfiguration schon überprüft?
Ja. -> Bild 1
Du willst, dass ein DMZ-Host eine IP vom DHCP im LAN bekommen?? Geht nicht, nicht ohne weitere Maßnahmen. DHCP ist auf Broadcasts angewiesen und die gehen über keinen Router.
Wenn ohnehin die pfSense den DHCP-Server macht, dann aktiviere ihn einfach auch am DMZ Interface. Wenn es ein anderer Host ist, dann aktiviere und konfiguriere das DHCP-Relay auf der pfSense, so werden Anfragen auf den DHCP-Server weitergeleitet.Nein. Ich will, dass die PIs die eine statische IP Konfiguration bekommen haben den DNS von der PFsense benutzen. Was sie meiner Meinung nach nicht tun, obwohl der DNS Resolver läuft. -> Bild 2
Ich habe auch jetzt die PFsense als DNS Server in die IP Konfiguration der PIs aufgenommen. Trotzdem kein Erfolg.
Deine Vorschlag alles auf DHCP umstellen, habe ich auch mal umgesetzt. Leider auch kein Erfolg. :(Ich habe gerade mit der "Packet Capture" nachgeschaut. Eine Anfrage vom PI an die Pfsense mit z.B. UDP an Port 53 geht raus. Ich weiß aber nicht wo in der Firewall die Pakete versickern.
Es liegt glaube ich nicht am DNS. Ich kriege einfach keine Verbindung nach aussen. Aber Wieso?Grüße
 -
Okay, mal schön langsam. Ich habe dein Eindruck der Thread schlägt Haken wie ein Hase und hängt mich dabei immer wieder ab.
Versuchen wir ein Problem nach dem anderen zu lösen.Das Problemind ist nun der PI mit der 192.168.1.2, okay?
DNS:
Der Resolver auf der pfSense ist nun eingestellt. Die pfSense selbst hat auch einen DNS-Server konfiguriert, d.h., es wird am Dashboard der Update-Status angezeigt?
Hast du nun den PI so konfiguriert, dass er die pfSense DMZ 192.168.1.1 als DNS verwendet?Verbindung nach draußen:
In Reply #25 hast du geschrieben, dass ein ping auf 8.8.8.8 nicht funktioniert. Wenn das immer noch so ist, dann mach bitte ein Packet Capture mit Filter auch ICMP während des Pings, einmal auf dem DMZ und einmal auf dem WAN und poste diese. -
Ich weiss. Entschuldige für die Aufregung, aber ich habe mich wie gefühlt wie als stehe ich mitten im Wald und weiss den Weg nicht raus.
Jetzt habe ich aber einen Weg gefunden! ;D
Jetzt haben beide PIs Internetzugang. Ich kann Mails versenden. Ping geht auch. Und apt-get funktioniert auch.
Aus der DMZ kann ich auch keine Geräte an pingen.Zwei "Dinge" habe ich dazu gebraucht:
I. Die PIs auf DHCP umgestellt.
II. https://doc.pfsense.org/index.php/Example_basic_configuration
| DMZ Configuration
Allow TCP/UDP from DMZ subnet to DMZ Address port 53 for DNS from the firewall
Allow TCP from DMZ subnet to DMZ address port 443 for accessing the GUI (optional)
Allow ICMP from DMZ subnet to DMZ address to ping the firewall from the DMZ
Allow any traffic required from DMZ to LAN (if any)
Reject Any from DMZ subnet to RFC1918 – Do not allow DMZ to reach LAN or other private networks
Allow Any from DMZ subnet to any -- Internet access rule|
So sehen meine Regeln jetzt aus -> Bild
Jetzt klappt auch alles, so weit ich das jetzt sehen kann! ;D
Vielen Dank für deine Hilfe!
Grüße
