Gelöst: Probleme mit zwei lokalen Netzen
-
Noch zur Info, ich habe die Version 2.3.2-RELEASE-p1 am laufen.
-
Hi,
Wenn ich aus dem WLAN-Netz das Gateway..
Innerhalb einer LAN-WLAN Verbindung brachst Du kein Gateway. Bei mir ist der einzige unter System-Routing eingetragene GW, das WAN-Interface zum Internet.
Du musst nur am Client das GW, also die IP des entsprechenden pfSense-Interfaces eintragen.
Aber was sagt denn "nmap" von WLAN-Client zu LAN-Client, bzw. umgekehrt?
Gruß orcape -
Innerhalb einer LAN-WLAN Verbindung brachst Du kein Gateway.
Äh, doch, klar!
Das sind doch verschiedene Subnetze, und alles was nicht im gleichen L3 Bereich liegt muss immer über ein GW geroutet werden. Ob das nun ein weiteres lokales Netz oder eine public IP irgendwo anders ist, das spielt keine Rolle.Wenn einem der Hosts das GW fehlt, dann kann dieser zB auch nicht auf ein Ping antworten, da er nicht weiß, wohin die Antwort zurück geschickt werden muss.
-
Das sind doch verschiedene Subnetze, und alles was nicht im gleichen L3 Bereich liegt muss immer über ein GW geroutet werden.
Ich meinte damit keinen Gateway-Eintrag unter Routing. Das jedes Interface auf der pfSense für die Clients in diesem Netz das GW darstellen, ist klar.
Wenn einem der Hosts das GW fehlt, dann kann dieser zB auch nicht auf ein Ping antworten, da er nicht weiß, wohin die Antwort zurück geschickt werden muss.
Das hatte ich hiermit….
Du musst nur am Client das GW, also die IP des entsprechenden pfSense-Interfaces eintragen.
…..schon gepostet. ;)
-
Im WLAN Netz werden die Adressen per DHCP verteilt und wenn ich expilizit kein Gateway in der DHCP-Server-Config angebe, wird als Gateway die Adresse der Netzwerkkarte des Netzes mit übergeben. Ein IPCONFIG /ALL an der Windows-Maschine sagt mir, dass es auch geklappt hat.
Von der Firewall selbst kann ich Adressen in beiden Netzen pingen. Wenn ich von der Firewall ein nmap auf den Rechner im WLAN-Netz mache, dann bekomme ich ein völlig normales Ergebnis (wie man es von einer Windows-Maschine ohne Firewall erwartet).
Mache ich einen Traceroute von einem Rechner im LAN auf eine Adresse im WALN, dann komme ich genau bis zur Firewall, weiter nicht. Ein Traceroute ins Internet funktioniert tadellos.
Wie gesagt, sowohl für das LAN als auch für das WLAN gibt es die Any-Regel in den Rules.
Ich habe meine WAN-Karte nun wieder aktiviert und aus dem LAN komme ich wunderbar ins Internet, jede Regel, die ich eintrage greift. Nur ins WLAN komme ich nicht (und aus dem WLAN nicht in andere Netze). Es ist zum k… >:(
-
Ich meinte damit keinen Gateway-Eintrag unter Routing.
Das ist so wie Du es geschrieben hattest einfach nicht richtig. Du brauchst ein Gateway auch für das LAN-WLAN Routing.
-
Wenn das Windows Rechner sind, dann musst Du der Windows Firewall sagen, dass sie auch Zugriffe aus anderen Netzbereichen zulassen soll. Sonst werden diese blockiert.
Kannst Du denn vom WLAN aus auf's Internet zugreifen? Funktioniert die Namensauflösung, Ping auf 8.8.8.8, …
-
Wenn das Windows Rechner sind, dann musst Du der Windows Firewall sagen, dass sie auch Zugriffe aus anderen Netzbereichen zulassen soll. Sonst werden diese blockiert.
Die Firewall ist auf allen Clients deaktiviert. Die Windows Maschine lässt sich von der PFSense ja auch pingen, nur eben nicht aus einem anderen Netz.
Kannst Du denn vom WLAN aus auf's Internet zugreifen? Funktioniert die Namensauflösung, Ping auf 8.8.8.8, …
Nein, ich kann ja nicht mal die Firewall selbst (also das Gateway für das WLAN) pingen.
-
Das ist so wie Du es geschrieben hattest einfach nicht richtig. Du brauchst ein Gateway auch für das LAN-WLAN Routing.
Sorry, der einzige Gateway, der unter Routing bei mir eingetragen ist, ist der WAN-Gateway.
GW_WAN (default) WAN 192.168.219.1 192.168.219.1 Interfacewandynamic gateway
In den 2 NAT/Outbound Rules, die auf Automatic stehen, sind meine Netze (LAN, WLAN, DMZ) aber alle aufgeführt.
Hier liegt wohl das Problem von @Timeboy-SH.
Wie sehen die NAT-Outbound-Rules aus?
Gruß orcape -
Wie sehen die NAT-Outbound-Rules aus?
Gruß orcapeHabe ich angehängt.
Colt ist mein ausgehendes Interface.
-
Für die Kommunikation zwischen 2 direkt an der pfSense anliegenden Netze ist doch kein NAT nötig, auch kein Outbound NAT.
Gegeben müssen sein:
-
Die Netzwerk-Konfiguration aller beteiligten Geräte muss passen (IP, Maske, Gateway (außer pfSense))
-
Die pfSense ist das Standard-Gateway für beide Hosts der Kommunikation
-
Die Firewall-Regeln müssen die Kommunikation erlauben (am eingehenden Interface)
Ich hoffe, du testet das über IP Adressen und nicht über Hostnamen! Ansonsten kommt auch DNS ins Spiel.
Wenn das Windows Rechner sind, dann musst Du der Windows Firewall sagen, dass sie auch Zugriffe aus anderen Netzbereichen zulassen soll. Sonst werden diese blockiert.
Die Firewall ist auf allen Clients deaktiviert. Die Windows Maschine lässt sich von der PFSense ja auch pingen, nur eben nicht aus einem anderen Netz.
Das ist kein gültiges Argument. Wenn du sie von der pfSense anpingst, verwendet die als Quell-IP die Interface-IP, die im selben Subnetz wie der Windows Rechner liegt.
Pingst du ihn vom anderen Netz aus an, bleibt die Quell-IP (ohne NAT) unverändert und für die Windows-Maschine kommt die Anfrage aus einem "nicht vertrauenswürdigen", weil unbekannten, Netz.Du kannst aber bei der pfSesen in Diagnostic > Ping die Quell-Adresse auswählen. Feine Sache fürs Troubleshooting. Nimm da mal die Adresse des anderen Interfaces und schau, ob du eine Antwort erhältst.
Wenn die Windows Firewall allerdings deaktiviert ist, sollte sie auch nichts blockieren, obwohl, bei Windows weiß man nie.
Zum Troublshooting mache ein Packet Capture (Diagnostic Menü) auf beiden beteiligten Interfaces, während du einen Ping versuchst. Filtere nach dem ICMP Protokoll, damit nicht so viel Müll im Ergebnis ist.
Das trifft eindeutige Aussagen. -
-
Sorry, der einzige Gateway, der unter Routing bei mir eingetragen ist, ist der WAN-Gateway.
::)
Du hast nicht antizipiert, dass ich Deine Ausdrucksweise meinte, die so reduziert war, dass die Aussage insgesamt falsch wurde. -
Moin.
Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt ;D Das war kein Problem, da die Firewall eh im Preproduktivstatus war und ich ich die Einstellungen so oft geändert hatte, dass ich bereits Nachts davon geträumt habe ;) WLAN Netz eingerichtet, Default Rule eingetragen und sofort kam ich aus dem WLAN Netz ins Internet.
Trotzdem danke für die vielen guten Tipps, ich merke, hier wird einem geholfen.
Gruß
Carsten -
Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt
Ganz im Gegenteil! Und toll, dass es nun läuft.
-
Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt
Ganz im Gegenteil! Und toll, dass es nun läuft.
Also ich vermute stark, dass es damit zusammen hing, dass ich die Zuordnung der Karte zum Netz geändert habe. Ich habe neue Karten verbaut und alles einmal durchmischt. Allerdings hat es beim LAN funktioniert und bei den beiden WAN Netzen hat es auch tadellos funktioniert. Warum es ausgerechnet bei dem "WLAN" LAN nicht funktioniert hat, das wissen die Götter (nur dummerweise sagen sie es mir nicht ;D ).