Fritzbox –- PFsense --- 2 getrennte Netzwerke
-
Hi Philipp,
zur Anforderung 3 ist es ziemlich egal das es das selbe 'Interface' ist.
Die Clients welche sich als mobile Clients einwählen und deine Site-to-Site Verbindung arbeiten in zwei verschiedenen Subnetzen.
Daher brauchst du nur im IPSec Interface Regeln zu setzen die aussehen wie:
Client-Subnet pass LAN2
Client-Subnet block LAN1
Site1-Subnet pass LAN1
Site1-Subnet block LAN2Wenn es nur die Regeln gibt ist die Reihenfolge ziemlich egal.
Liebe Grüße
-
Hi Wexxler,
danke für deine Hilfe.
IPSec Regeln werde ich testen, wenn ich die Netze voneinander getrennt bekomme.
Ich habe gestern die Netztrennung zwischen LAN1: 172.31.20.0 /24 und LAN2/OPT1: 172.31.17.0 /24 veruscht, leider ohne Erfolg.
Ich werde heute oder morgen alles nochmasl komplett neu einrichten und ggfs hier screenshots hochladen, damit ihr mir beim Troubleshooting helfen könnt.
Grüße Philipp
-
Hallo nochmal,
ich hab jetzt deine Hauptprobleme mal kurz in ein paar Screenshots verpackt. Sorry, die sind von meiner Testmaschine mit pfSense 2.3RC, deshalb sehen die schon etwas anders aus, aber ich denke man kann das abstrahieren ;)
Bitte das MGMT Interface ignorieren, das ist mein "LAN" bzw. Management Interface über welches die pfSense administriert wird, deshalb ist auf einem der LANs nicht die Anti-Lockout Regel zu sehen, die sonst dort zu finden wäre.
-
NAT: Erstmal deine NAT Einstellungen prüfen, dass beide LANs sauber ins Internet via WAN dürfen. Sollte in etwa so aussehen wie im Bild, jeweils zwei Regeln mit den LAN Netzen und WAN als Gateway für NAT.
-
Alias anlegen: Hier ein Alias für mgmt Hosts anlegen, die dann eben vom LAN2 ins LAN1 dürfen, in dem Fall erstmal nur der PC Steffen.
-
WAN Regeln: Sind leer, es soll ja nichts vom Internet rein dürfen (VPN jetzt mal ausgenommen). Standard Bogon und Private Blocks sind an, es sei denn du bekommst das Internet selbst über einen zweiten Router und private Adressen, dann muss der Haken natürlich raus.
-
LAN1 Regeln: Sehen wahrscheinlich nach Neuinstallation so aus wie im "PRE" Screenshot: Default IPv4 und IPv6 allow any Regeln für transparenten Zugriff ins Internet - und ins LAN2, was wir nicht wollen
-
LAN1 Regeln danach: So blockst du den Zugriff ins LAN 2. Von LAN1 net nach LAN2 net - Rejecten/Blocken. Und die Regel muss natürlich ÜBER also VOR der allow any Regel sein, damit zuerst geblockt wird.
-
LAN2 Regeln: 1:1 wie auch auf dem LAN1 wird LAN2 konfiguriert mit einer Ausnahme. Wir fügen als oberste Regel noch die Erlaubnis für die Mgmt Hosts ein, dass diese ins LAN1 rüber dürfen, danach wird der Zugriff vom Rest des LAN2->LAN1 unterbunden und danach wird der Rest der Welt (Internet) freigegeben.
Das wars. So sollte es im Normalfall funktionieren. :)
-
-
Hallo :P
WOOOOOOW großes großes Danke Jens… :)
Da werde ich mich doch gleich mal ans Werk machen und alles testen.
Grüße Philipp
-
Guten morgen zusammen,
ich habe gestern Abend nochmals die Pfsense komplett neu aufgesetzt und alles nochmals korrekt eingerichtet.
Siehe da es funktioniert nun so wie es sein soll.
Die Netze LAN2 und LAN1 sind voneinander abgeschottet, der Client aus LAN2 darf aber auf LAn1 zugreifen.Nun eien Frage:
Ich habe ja dem Client aus LAN2 generell eine Regel mit Any gegeben.
Wenn ich ihm nur den Zugriff auf die Freigaben von LAN1 geben möchte (d.h. auf SMB Share) welche Ports muss ich denn dann freigeben ?Ich habe schon wie Wild rumgetestet. UDP Port 137 - 138, TCP Port 139 und 445. Leider alles ohne Erfolg.
Sobald ich die Ports wieder auf any konfiguriere komme ich ohne Probleme auf die Freigaben drauf mhh
Muss ich zusätzlich noch Ports freigeben ?
–----------------
Auch die IPSec VPN Verbindung funktioniert hinter der Fritzbox einwandfrei.
Sollte ich bei der IP Sec VPN Verbindung immer MUtual PSK + Xauth benutzen oder reicht auch nur Mutual PSK ??
Viele Grüße Philipp
-
Moin Gerber,
TCP 445 sollte vollkommen ausreichen bei Betriebssystemen Windows 7+, Windows 2008 R2+ für einen direkten Zugriff auf ein gemaptes Share.
Das Xauth steht für eine Benutzerauthentifizierung, sprich ein Benutzernamen und Passwort bei der Anmeldung im VPN Netz.
Das Mutual PSK ist die Authentifizierung für Client und Server. -
Genau, für Samba-Zugriff reicht eine einzig Regel mit ALLOW TCP/UDP port 445 an dem Interface, an dem der ANFRAGENDE Rechner sitzt (nicht das Samba-share…)
-
Morgen zusammen,
Danke euch.
Das komische ist.
Wenn ich den TCP/UDP Port 445 per Pass erlaube.Komme ich eben nicht auf die Freigaben des Rechners.
Erst wenn ich wieder den Port auf Any umändere –-> verstehe ich nicht ??? ???
@ Wexxler:
Alles klar, weis ich beim IPSec bescheid.
Grüße Philipp
-
Das komische ist.
Wenn ich den TCP/UDP Port 445 per Pass erlaube.Komme ich eben nicht auf die Freigaben des Rechners.
Erst wenn ich wieder den Port auf Any umändere –-> verstehe ich nicht ??? ???
Was meinst Du denn ganz genau mit 'komme nicht auf Freigaben'? Kannst Du nur die Shares im Browser / Explorer nicht sehen, oder ist ein Zugriff auch nicht möglich, wenn Du ein Share direkt eingibst?
-
Hi,
Was meinst Du denn ganz genau mit 'komme nicht auf Freigaben'?
Wenn ich im Explorer die Freigabe über "\172.31.20.150" zugreifen will bekomme ich eine Fehlermeldung.
Wenn ich nun die Port Regel Any einstelle und wieder auf die Freigabe "\172.31.20.150" zugreifen will, bekomme ich die Freigaben angezeigt.
-
…na dann würde ich mal nachschauen (firewall log), welche Anfragen geblockt werden, wenn nur 445 freigegeben ist ;-)
-
Ich habe den Log von dem Host schon mitgeschnitten.
Jedoch zeigt der Log nix an.
Welcher Log eignet sich denn dafür am besten ? -
Status -> System logs -> Firewall
ggf. in Status -> System logs -> Settings
"Log packets matched from the default block rules put in the ruleset"
mal das Häckchen (wieder?) setzen.
Aber nochmal: Ich kommen mit der 445-Regel mit einem Win7 64 auf einen Linux Samba share im anderen Netzwerk…
-
Okay danke dir…
Status -> System logs -> Firewall
ggf. in Status -> System logs -> Settings
Ich werde heute Abend das ganze nochmals im Log nachsehen, habe sie leider nicht auf der Arbeit dabei :D :D
Aber nochmal: Ich kommen mit der 445-Regel mit einem Win7 64 auf einen Linux Samba share im anderen Netzwerk…
Mhh selstam, die Regel ist auch bei mir an erster Stelle, d.h. es kann keine andere Regel dazwischen funken.
Grüße Philipp
-
Hi,
Was meinst Du denn ganz genau mit 'komme nicht auf Freigaben'?
Wenn ich im Explorer die Freigabe über "\172.31.20.150" zugreifen will bekomme ich eine Fehlermeldung.
Wenn ich nun die Port Regel Any einstelle und wieder auf die Freigabe "\172.31.20.150" zugreifen will, bekomme ich die Freigaben angezeigt.
Hast du denn das Share mal gemapt? Ich wäre mir nicht so sicher ob Windows vor dem Zugriff auf 445 nicht noch was anderes abfragen möchte für seine Statistiken/Heimnetze/Boradcast.
net use X: \172.31.20.150\share /user:username password
-
Hey,
danke an alle.
Ooooo man bin ich blööde.
Ich hatte einen ganz dummen Denkfehler :D sryyyy. :-\ :-\–> Ich hatte den TCP 445 Port bei Source mitgegeben und nicht auf Destination :-X.
Korrekte Portregel:
Source LAN2 Netz / Protokoll: any / Destination: LAn1 Net /Protokoll: TCP 445
Danke nochmals an alle für die Hilfe.
Grüße Philipp