Konfiguration von einem Netzwerk - Erbitte Hilfe
-
Gateway kam auch mir in den Sinn. aber egal wie ich es eingetragen habe es ging nicht. Zumal ich, wenn ich auf dhcp stelle ich auch alles an Gateways raus gelöscht habe UND es geht nach wie vor…
Natürlich ist das Ziel den Ubuntu Server von seinen Pflichten zu entledigen; das geht aber nur langsam und schrittweise da in dem ubuntu alle netzwerkgeräte quasi manuell konfiguriert sind via dhcp und bind und ich das meiste davon auch für die hausautomation z.b. Brauche. Oder meine VPN ins Ausland in den Zweitwohnsitz. Kurzum. Das ist ne Menge Konfiguration und kann ich erst angehen wenn der Rest läuft. Aber ja, Danke, gehe ich an.
Weiter zum Problem fhem. Ich kann den Rechner anpingen und via ssh auch erreichen. Nur nicht auf die http oder https Seiten zugreifen. Der Rest im Netzwerk funktioniert. Auch das zugreifen auf Web Oberflächen. Und fhem selbst läuft auch. Nur kann ich auf nichts zugreifen. Weder fhem noch Webmin noch sonst was.
-
… Ubuntu Server ... hausautomation ... fhem ... VPN
Lehne Dich mal zurück und überlege, ob es nicht einfacher ist, fhem auf einem blanko-Server neu aufzusetzen und die aktuelle config zu importieren.
Ich habe das (fhem) nur als Bridge von einigen EQ3 Geräten zu meinen Crestron Steuerungen auf einem RPi laufen, meine aber, sowas wie ein config Backup dort gesehen zu haben (ich bin Crestron Systemintegrator, FWIW).Weiter zum Problem fhem. Ich kann den Rechner anpingen und via ssh auch erreichen. Nur nicht auf die http oder https Seiten zugreifen. Der Rest im Netzwerk funktioniert. Auch das zugreifen auf Web Oberflächen. Und fhem selbst läuft auch. Nur kann ich auf nichts zugreifen. Weder fhem noch Webmin noch sonst was.
s.o.
das würde ich nun auf eine Konfiguration des Ubuntu Servers schieben, die, sgaen wir mal: mit anderen Parametern arbeitet, als sie in einem sauber aufgebauten Netzwerk jetzt vorliegen. ;-) -
Ich hab kurzerhand die pfsense wieder raus genommen. Nun macht der ubuntu wieder alles.
U.a. Funktioniert auch das FHEM webinterface dann…
Also muss es an FHEM liegen.Klar kannst FHEM einfach neu aufsetzen und die config rüberkopieren. Aber das geht nicht in ein anderes subnet mal eben.. da sind dann Anpassungen an meiner FHEM config notwendig. Bei mehreren 1000 Zeilen, und verschachtelungen nicht mal eben erledigt..darum geht es aber auch nicht.. frage ist viel mehr was blockiert pfsense da, obwohl ich alles geöffnet habe..
-
Ich fang mal klein an.
Die pfSense hängt nun einfach bei mir im Netzwerk.
Die Firewall lässt nun mal alles einfach durch.
Um von einem ins andere Netzwerk zu pingen muss ich Routen erstellen?
Ich hab das mal so gelöst:
Ich kann zwar VON der pfsense auf beide netze pingen, aber nicht vom gerät aus einem Subnetz zu einem gerät in einem anderen Subnetz.
-
Das machst du am einfachsten erstmal mit
LAN4net darf auf jeden Port * auf jede Destination * auf jeden Port * über jedes Gateway *
Und schon steht alles offen wie ein Scheunentor und du kannst auf alle anderen Netze zugreifen.
-
Hilf mir mal bitte kurz vom Schlauch… Wo finde ich LAN4net?
-
Hilf mir mal bitte kurz vom Schlauch… Wo finde ich LAN4net?
Sorry, war nur ein Beispiel. Du gibst in jedem Netz das eigenen XX.net frei, das alle Clienten überall hin dürfen.
-
Ich dachte das hab ich oben in dem routing schon gemacht???
-
Ich dachte das hab ich oben in dem routing schon gemacht???
Auf dem ersten Bild sind deine Gateways zu sehen. Also ich habe nur 2 Gateways, einmal für WAN (was auch bei dir default ist) und dann noch eines für mein LTE Modem G4_WAN.
Darüber zeige ich meinen Internen Netzen den Weg ins internet, intern wird das default gateway für das jeweilige netz genommen. Die LAN Schnittstelle ist standardmässig offen und die Cliente in LAN dürfen alles. Alle anderen Netze darfst du erstmal nichts bis du eine Regel anlegst.
Um erst einmal zu testen ob die Verbindungen klappen alle LAN's mit der Regel wie in Bild 2 betreiben. Bild 3 sagt aus, 4_LAN ist das default LAN Netzwerk mit der Anti Lockout Regel. D.H LAN3 darf erstmal alles, abstellen kannst du das unter
System > Advanced > Admin Access > Anti-lockout rule
Hier ist allerdings Vorsicht geboten das du den Zugriff auf das web interface und ssh behälst.
-
Es tut mir leid aber ich steh auf dem Schlauch… Die Einzelnen Schnittstellen dürfen doch schon alles?
-
Lösche erst einmal diesen ganzen Gateway Quatsch.
Du brauchst nur ein default Gateway, nämlich Dein WAN. Bei den einzelnen Subnetzen lässt Du das (bis auf Sonderfälle) immer auf default stehen. Dann funktioniert das auch, wetten. -
So, Routen gelöscht -> Kein Erfolg.
Ich hab jetzt mal meinen eigenen DHCP ausgeschaltet auf dem Ubuntu Srv und lasse die pfSense das machen. Und schon geht das ganze.
Ist aber nicht sinn und zweck, da ich einiges an Arbeit in den DHCP + Bind Gesteckt habe. Und ich lasse generell die IP immer über dhcp zuweisen, das das Gerät im Zweifelsfall überall anders angesteckt werden kann. Und lasse via dhcpd.conf die IP's statisch vergeben.
Woran kann das liegen, das mein eigener DHCP nicht geht? Ich hatte davor die FB als Gateway, und ich hatte die pfSense nun einfach die gleiche IP auf dem Port zuweisen lassen, sodass es sich dort nicht beißen sollte, egal wo ich mal das Gateway eingetragen hatte… Aber es geht nicht.
Deswegen, wenn ich das oben nicht gelöst bekomme:
Kann ich meine dhcpd.conf nach pfSense kopieren? Wo werden die statischen IP abgespeichert? -> DHCP Static Mappings for this Interface ? dort? Echt einzeln einzutragen oder kann das kopieren? Wo liegt die config-Datei für das jeweilige Interface?
Wie sieht es mit dem "Bind" aus?
-
Die gesamte pfSense config findest Du in einer config.xml Dastei, die Du unter Diagnostic: Backup/restore auch sichern kannst (und solltest) sowie nach dem Editieren mit einem Texteditor auch zurückspielen.
So kannst Du auch größere Mengen an DHCP Leases in der config eintragen.Edit:
Warum Deine Konfiguration vom Ubuntu Server aus nicht ging, das können wir hier kaum erkennen. Irgend ein Parameter wird nicht gepasst haben, was Du auf den Clients sehen solltest. -
OK, super, ist erledigt. Ist alles nun auf der pfSense. Ebenso ist die xml gesichert.
Ich wollte zwar das ganze DHCP und DNS auf dem Ubuntu Server lassen, aber es spricht ja eigentlich nix dagegen das die pfSense das alles regelt inkl. den Binds der Namen
Nächste Frage:
Welche "Adresse" muss ich angeben, damit ich ins WAN, respektive Internet komme? Es geht nur, wenn ich in der entsprechenden Regel auf "any" gehe. Ich habe schon die IP der zwei Interfaces versucht, die IP der Fritzbox, das Interface mit "Net" und "Adresse". Leider geht das nicht.
-
?
Du meinst jetzt die Regeln auf dem Interface, richtig?
Die Logik funktioniert anders herum: blockiere was du nicht willst (zB source * auf destination OPT2 oder so) und erlaube den Rest.
Immer von oben nach unten, die erste Regel die greift wird verwendet, der Rest ignoriert.Daher ist es "etwas" schwierig, das "Internet" in eine allow-Regel zu fassen…
-
ok. habe es soweit glaub mal geschafft… :-)
Gibt es eine Möglichkeit zu sehen, welche Geräte gerade verbunden sind? In der DHCP Static Mappings stehen leider alle drin und ich erkenne net, welchen Status sie haben
-
Also irgendwie funktioniert das immer noch nicht so wie ich das will.
Aktueller Stand:
Das ist die Konfiguration für das Gästenetzwerk.
Das ganz oben soll verhindern, das auf die Fritzbox zugegriffen werden kann, die die WLAN Verbindung bereitstellt. Geht aber trotzdem, warum?
Anbindung an die pfSense: 10.233.20.1
IP der Fritzbox 10.233.20.10
IP des Geräts im Gäste-Netzwerk: 10.233.20.201 via DHCP durch die pfSense
Weiter kann ich keine Geräte im Bereich LAN Anpingen, die im Bereich 192.168.4.x hängen. Warum?
Ich kann den Router selbst anpingen, der an WAN hängt.Dieser hat die IP 10.233.10.2
WAN-Interface der pfSense: 10.233.10.1
Die IP's werden vom Router selbst per DHCP vergeben.
-
Gibt es einen Grund, warum du wieder überall ein gateway (01_WAN_DHCP) eingetragen hast?
Lasse das Feld auf default stehen, dann sehen wir weiter.Ach, und könntest Du bitte die Bilder hier an deinen Post anhängen! Ich bin es leid, bei jedem Bild auf abload erst 5 Mal irgendwas wegclicken zu müssen.
-
Ach, und könntest Du bitte die Bilder hier an deinen Post anhängen! Ich bin es leid, bei jedem Bild auf abload erst 5 Mal irgendwas wegclicken zu müssen.
ist erledigt, sorry… ich dachte zur besseren Übersicht mach ich sie direkt an die jeweilige Zeile hin.
Gibt es einen Grund, warum du wieder überall ein gateway (01_WAN_DHCP) eingetragen hast?
Lasse das Feld auf default stehen, dann sehen wir weiter.Weiter verstehe ich nicht, warum ich Blocks in der Firewall habe, obwohl ich eine All Pass Regel drin habe?!
Das 01_WAN_DHCP ist das default GW. Ich dachte nur, das es einfacher ist, da gleich das Default einzutragen, net das ich mal das default ausersehen umstelle und dann geht gar nix mehr :-)
-
Die FA und RA bei 443 Verbindungen sind nicht sauber geschlossene TLS/SSL Verbindungen, das ist normal und nicht schlimm. Das oberste mit dem S Flag, kann man leider nicht sagen warum, es könnte gegen eine höher stehende Regel verstoßen haben, bspw. Block weil BOGON o.ä. das kann man schlecht sagen. Es steht ja leider nicht bei dir dabei WARUM geblockt wurde (kann man einblenden lassen).
