[gelöst ]Keine Internetverbindungvon LAN ins Internet

pfadmin

Moin,
FW-WAN und FB-LAN sind evtl nicht im gleichen SUBNetz. Das sieht man leider nicht, wenn du es nicht hin schreibst.

Gruß
pfadmin

JeGr

pfSense WAN Interface: da du dort nur mit privaten Adressen rummachst - Ist der Haken bei RFC1918 Blocks raus?

Guest

Moin zusammen,

in der Zeichnung hatte ich in der Tat einen Fehler drin. Danke für den Hinweis

In pfsense hatte ich testweise beide HAcken unter LAN und Wan bei Reserved Networks herausgenommen. Dennoch kein Netz.

Unter Static IPv4 Configuration ist für die WAN Schnittstelle konfiguriert.
Ein IPv4 Upstream gateway ist dort nicht vorhanden, kann das der Fehler sein?

Gruß
Mike

JeGr

Du hast das WAN ohne Gateway konfiguriert? Und wohin soll die pfSense dann ihren Traffic schicken!? Natürlich muss auf dem WAN ein Gateway angegeben werden! Das Interface der Firewall an der sie dranhängt wie bei jedem anderen Client in diesem Netzabschnitt.

Grüße

Guest

Betrifft das GW der LAN Schnittstelle.
Ich kenne es von anderen FW Produkten, dass nur ein GW konfiguriert wird. (WAN Only)

Somit hatte ich zu Testzwecken keins eingetragen, was auch keine kommunikation ist WAN lieferte.

Ich habe den pfsense selbst als GW eingetragen (LAN Schnittstelle 192.168.4.1) - funktioniert auch nicht.

Ein weiterer Test mit Schnittstelle worüber auch die Clients ins Netz gehen verlief auch negativ. (192.168.2.1)

WAN Schnittstelle zieht sich über DHCP die reservierte IP Adresse.

Diagnose Ping über WAN OK
Diagnose Ping über LAN scheitert.

Die Verbindung von LAN in das WAN Netz zur Schnitstelle der vorhanden FW funktioniert auch nicht.
Vielleicht stimmt eine Route nicht.

Hoffe ihr könnt mir etwas helfen.

Viele Grüße

Mike

Tobi

@Mike162:

Ich kenne es von anderen FW Produkten, dass nur ein GW konfiguriert wird. (WAN Only)

Somit hatte ich zu Testzwecken keins eingetragen, was auch keine kommunikation ist WAN lieferte.

Ich habe den pfsense selbst als GW eingetragen (LAN Schnittstelle 192.168.4.1) - funktioniert auch nicht.

Wenn Du es von anderen Produkten so kennst, wieso machst Du hier alles erdenkliche scheinbar anders?

Was hast Du jetzt bei pfSense als def.Gateway stehen?
Was hat Dein Klient hinter pfSense als def.Gateway stehen?

@Mike162:

WAN Schnittstelle zieht sich über DHCP die reservierte IP Adresse.

Ich kenne pfSense nicht gut genug, halte das aber für keine besonders gute Idee.

Und damit wäre jetzt noch interessant was für Routing hast Du auf dem "FW Gerät" eingetragen

Tobi

Guest

Wenn Du es von anderen Produkten so kennst, wieso machst Du hier alles erdenkliche scheinbar anders?

Weil andere Produkte anders arbeiten und diese Einstellungen wie unten beschrieben eben nicht vorhanden sind..

Was hast Du jetzt bei pfSense als def.Gateway stehen?

WAN GW ist die vorhandene FW. was ja auch sauber funktioniert.

Ping WAN ins Internet kein Problem.

Der Cleint hat die LAN Schnittstelle als GW drin.

WAN von DHCP auf statisch geändern.
Keine veränderung.

NAch wie vor keine Netzwerkverbindung von LAN auf das WAN Netz möglich.

Mike

pfadmin

Welche Rules hast du auf der Lanschnittstelle der pfsense? Als nächstes sollten wir deine Einstellungen sehen, also screenshots..

Guest

Hi anbei die Rules.

Gruß

Mike

Bild1.png_thumb

Bild2.jpg_thumb

pfadmin

Die FW kennt dein LAN Netz hinter der pfsense nicht, falls die pfsense kein NAT macht-> Route zu 192.168.4.1 in FW eintragen

Ansonsten nirgends ein Gateway in die pfsense eintragen, außer im WAN Interface die FW als default Gateway.

Guest

HAbe herausgefunden, dass die WAN Schnittstelle auf Pingabfragen blockt. Wie bekomme ich das hin, dass die Pings und Traffic ins WAN gelassen werden?

Oder ist die heransgehensweise falsch?

Tobi

@Mike162:

Weil andere Produkte anders arbeiten und diese Einstellungen wie unten beschrieben eben nicht vorhanden sind..

Im Moment reden wir über nichts was pfSense spezifisch wäre sondern um ganz normale Netwerkkommunikation -> wer was kennen muss damit eine Kommunikation möglich sein kann.

Du hast die Frage nach dem Routing auf Deinem "FW Gerät" unterschlagen.

Und ja normale Firewalls so wie ich die kenne, blocken erst alles. Aus dem Grund hast Du auf pfSense die "Anti Lockout Rule". Ergo icmp will auch erlaubt sein.

Und sehr viele von den Sachen findest Du in im pfSense log.

JeGr

HAbe herausgefunden, dass die WAN Schnittstelle auf Pingabfragen blockt. Wie bekomme ich das hin, dass die Pings und Traffic ins WAN gelassen werden?

Das WAN der pfSense ist auch irrelevant. Du schreibst immer LAN Clients HINTER der pfSense gehen nicht. Jetzt willst du das WAN eingehend aufmachen -> wozu? Warum soll jetzt Traffic vom WAN reingelassen werden? Ich dachte nur deine Clients sollen raus!?

Ansonsten überprüfe mal bitte deine (Outbound) NAT Einstellung noch.

Tobi

@JeGr:

Das WAN der pfSense ist auch irrelevant. Du schreibst immer LAN Clients HINTER der pfSense gehen nicht. Jetzt willst du das WAN eingehend aufmachen -> wozu? Warum soll jetzt Traffic vom WAN reingelassen werden? Ich dachte nur deine Clients sollen raus!?

Er schreibt ja auch ein wenig "wirr". Ich verstehe seine Aussage so, dass er von einem Klient HINTER pfSense die WAN Schnittstelle der pfSense nicht anpingen kann, weil "keine icmp Rule".

Guest

Sorry für die verwirrung….

Ich habe nun einwenig Protokolle gesucht um etwas klarheit zu bekommen.

Zum einen kann ich von der normalen FW den PFsense auf der WAN Schnittstelle nicht erreichen.
Clients die sich im gleichen Netzsegment befinden erreiche ich ohne Probleme

Zum anderen funktioniert die Inernetverbindung vom Pfsense und vom Client der an der LAN Schnittstelle hängt nicht.
Ein Ping vom Client auf die FW funktioniert hingegen.

Habe auch Clients VOR im gleichen Netz wie die WAN Schnittstelle vom Pfsense da geht ping nicht.

Dachte die 2 Probleme hängen irgendwie zusammen....
Ziel ist es das die Clients HINTEr dem pfsense ins Netz kommen.

JeGr

HINTER pfSense die WAN Schnittstelle der pfSense nicht anpingen kann, weil "keine icmp Rule".

Das passt dann aber nicht, das Regelset sagt klar auf den LAN: any any. Regeln auf dem WAN Interface sind nur nötig wenn Verbindungen von außen initiiert werden, nicht für Antwort auf dem Weg, das ist durch Stateful abgedeckt.

Zum einen kann ich von der normalen FW den PFsense auf der WAN Schnittstelle nicht erreichen.

Legitim. Die pfSense sieht das als WAN und WAN Verbindungen sind verboten per default.

Zum anderen funktioniert die Inernetverbindung vom Pfsense und vom Client der an der LAN Schnittstelle hängt nicht.

Also kommt weder die pfSense noch die Clients dahinter an deiner vorgeschalteten FW vorbei? Dann würde ich da mal sehen warum.

Tobi

Das passt dann aber nicht, das Regelset sagt klar auf den LAN: any any.

Stimmt

Wir wissen aber nach wie vor nicht ob seine FW das Netz hinter pfSense kennt.

@Mike
Deine letzte Antwort hatte zumindest mir nicht mehr Klarheit verschafft.

Im ersten oder 2-ten Post schreibst Du "ping von WAN ins www geht". Damit sollte es auch von pfSense funktionieren - außer auf der "FW" ist nicht das Netz sondern einzelne IP Adresse freigeschaltet.

Dass du von "Außen" die WAN Schnittstelle der pfSense nicht anpingen usw. kannst ist normal. Um das zu ermöglichen musstest Du auch Regelwerk an die WAn Schnitstelle legen - das willst Du aber nicht.

Damit kommt man zu den 2 Sachen

Routing auf der FW
Freischaltungen auf der FW

Guest

Hallo zusammen,

Vielen Dank für eure Hilfe Lösung gefunden.

Es waren mehrere Einstellungen falsch.
Neuinstallation und dann Stück für Stück Testen hat das Ziel nun erreicht.