RFC1918 über WAN?
-
Was hast du denn im WAN Interface hier ausgewählt?
Siehe Screenshot
-
Beides. WAN zieht sich zudem alles via DHCP.
-
..das ist unerheblich, denn du initiierst ja eine Verbindung, auf die das Modem nur antwortet.
Die Haken bewirken nur, dass sich aus den beiden genannten Bereichen keine Verbindung zum WAN aufbauen kann.Das Netz 192.168.100.0/24 nutzt du intern sonst nirgendwo, ist das sicher?
Wie sehen deinen outbound NAT Regeln aus? Über die verschafft man sich ja im Normalfall Zugriff auf eine RFC1918 IP des Modems am WAN.
https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall
"Von alleine" funktioniert das sicherlich nicht - was sagt denn "Status: Interfaces" konkret zur WAN IP? -
Die 192.168.100.1 wird nirgends genutzt.
outing tables Internet: Destination Gateway Flags Netif Expire default 134.3.212.1 UGS re1 10.0.0.0/24 link#9 U re2.100 10.0.0.1 link#9 UHS lo0 127.0.0.1 link#4 UH lo0 134.3.212.0/22 link#2 U re1 134.xxx.xxx.xxx link#2 UHS lo0 192.168.1.0/24 link#3 U re2 192.168.1.1 link#3 UHS lo0 192.168.3.0/24 192.168.3.2 UGS ovpns1 192.168.3.1 link#10 UHS lo0 192.168.3.2 link#10 UH ovpns1An re1 hängt das Modem. Die 134.3.212.1 ist mir via DHCP vom ISP als Defaultgateway zugeteilt worden.
Kann es evtl. damit zu tun haben? Meine NAT steht auf Automatic.
-
Das ist schon ungewöhnlich.
Was sagt denn ein Traceroute zu der IP?
Ich kann kaum glauben, dass Du wirklich das Modem triffst. Hat das ein Web-Interface und auf das kannst Du von all Deinen Hosts aus zugreifen? -
Hallo,
ich halte das zwar für ungewöhnlich, aber nicht für undenkbar. Wenn dein ISP das Modem so konfiguriert hat, kann das schon sein.
Heißt dass dass meine Sense diese IP über die WAN Seite raus schickt? Das sollte bei einer RFC1918 Adresse jedoch nicht der Fall sein, oder?
Der pfSense ist es ganz einerlei, welche IP das ist, solange eine Firewall-Regel die Kommunikation erlaubt.
Ist die IP nicht Teil eines an der pfSense konfigurierten Netzwerks, wie in diesem Fall, schickt sie die Pakete zum Default Gateway, und das ist ja offenbar das Modem. Dass dieses die Pakete intern an ihre Interface-IP weitergibt, wäre durchaus denkbar.Grüße
-
Das Kabelmodem (Cisco EPC3212) hat eine Weboberfläche bei der man die Signalwerte usw. einsehen kann. Sowas hat jedes Kabelmodem. Mein ISP hat damit nichts zu tun, da ich es auch erreiche wenn es unprovisioniert ist. Ich erreiche es von allen Clients, sowie von der pfSense. Auch ein Ping von der pfSense mit Source WAN ist erfolgreich. Demnach geht es definitiv über die WAN Schnittstelle raus.
Routenverfolgung zu 192.168.100.1 über maximal 30 Hops 1 <1 ms <1 ms <1 ms pfsense.networks [192.168.1.1] 2 <1 ms <1 ms <1 ms 192.168.100.1 Ablaufverfolgung beendet.Der pfSense ist es ganz einerlei, welche IP das ist, solange eine Firewall-Regel die Kommunikation erlaubt.
Ist die IP nicht Teil eines an der pfSense konfigurierten Netzwerks, wie in diesem Fall, schickt sie die Pakete zum Default Gateway, und das ist ja offenbar das Modem. Dass dieses die Pakete intern an ihre Interface-IP weitergibt, wäre durchaus denkbar.Grüße
Mein Defaultgateway ist die Kopfstation des ISP, so wird es mir via DHCP mitgeteilt. Dieses Gateway muss demnach die IP erhalten und verwerfen. Zuvor scheint das Modem jedoch darauf zu antworten. An Firewallregeln habe ich nichts gesetzt bzgl. der IP.
-
Hallo,
Edit:
Mein bericht entfernt, lesen ist kunst ;DFrohe weinachten und ein guten rutsch gewünscht.
-
Wird dein Modem vom Provider provisioniert oder machst du das selbst, kommst an die gesamte Config heran?
Ist darauf auch ein DHCP Server aktiv, der deinem WAN erst einmal eine (Wegwerf-) IP mitteilt?Macht aber alles keinen Sinn, denn in deinem Routing-Table steht vom Modem-Subnetz nix drin. Demnach muss dein WAN alles, was nicht lokal aufgelöst werden kann, an das default Geteway schicken. "Durch" das Modem ja, aber nicht "auf" das Modem (Bridge-Mode und nicht Router-Mode).
Edit: kannst du die IP des Modems mal ändern und in ein anderes Subnetz legen? Ist es dann auch noch ohne Route oder NAT-Eintrag erreichbar?
-
Das Modem wird vom Provider provisioniert. Die Config kann ich komplett einsehen. Soweit ich weiß hat es keinen DHCP Server, wofür auch. Die 192.168.100.1 ist eine Standard IP die eigentlich jedes Kabelmodem hat. Die IP ist nicht änderbar. Es ist auch ohne Route und NAT Eintrag erreichbar.
-
Bin davon ausgegangen, dass das Modem Router und Gateway ist, ansonsten könnte ich mir nicht vorstellen wie es über diese IP zu erreichen wäre.
Dass es sich dabei um ein Kabelmodem handelt, ist jetzt neu, wurde zuvor nicht erwähnt. Ich habe keine Ahnung, welches Protokoll da zwischen Modem und Provider gefahren wird.
Wenn das Gateway aber beim Provider sitzt, sollte das ähnlich funktionieren wie PPPoE, was ich hier habe, und da ist ein Erreichen des Modem über das Default-Gateway nicht möglich.An Firewallregeln habe ich nichts gesetzt bzgl. der IP.
Die Standard Allow-Any-to-Any Regel am LAN würde diese IP ja bspw. mit einschließen.
-
Das Kabelmodem (Cisco EPC3212) hat eine Weboberfläche …
;)
Die Standard Allow-Any-to-Any Regel am LAN würde diese IP ja bspw. mit einschließen.
Das ist zwar richtig, gibt jedoch noch keinen Hinweis darauf, wieso das Modem am WAN mit einer RFC1918 Adresse erreichbar ist, zu der es keine Route gibt.
Soweit ich weiß hat es keinen DHCP Server, wofür auch.
Das Ding kann im Bridge-Modus oder als Router arbeiten. Wenn Router, dann vergibt es auch per DHCP die Adressen an die Clients. Im Bridge-Mode ist der Server (meistens) ausgeschaltet.
Wie authentifizierst du dich denn beim Provider? Mit in der pfSense eingetragenen Daten oder geschieht das über die MAC das Modems oder eine dritte Variante, die ich gerade übersehe? -
Nein, es kann nur Bridge da es ein reines Modem ist und kein Router oder Gateway. Konfiguriert wird das Modem vom Provider anhand seiner CM MAC, das ist Standard bei DOCSIS.
-
Welcher Kabel-Provider ist denn das bei Dir?
Ich hatte mich von einem solchen Screenshot "verwirren" lassen, sorry!
Darin sieht man halt auch einen DHCP Server, nur ist das gar nicht Dein Modem…
-
Unitymedia. Meine Oberfläche sieht ähnlich aus. Ist aber nur zur Logeinsicbt und für die Signalwerte.
-
Ich glaube aber, es gibt schon eine Art DHCP Server. Als ich das gleiche Modem vor einiger Zeit in Betrieb hatte (auch UM), konnte ich im WebUI die IP Adresse des Modems einsehen (192.168.100.1) und die IP, welche dem angeschlossenen Gerät zugeteilt wurde (192.168.100.10). Das angeschlossene Gerät selbst zeigte lediglich nur die öffentliche IP an und es war nirgendwo die .10-er zu sehen.
Ich bin mir jetzt nicht ganz sicher, ob damals der Zugriff ganz ohne Regeln funktionierte, da bei mir eine Pass-[IP des Modems] angelegt war. -
DHCP ist da m.W. schon aktiv, aber nur wenn das Modem keine Verbindung zu UM bekommt. Also wenn die Leitung abbricht und keine Kabelverbindung via DOCSIS möglich ist, dann startet das Ding DHCP und gibt dem WAN via DHCP eine private Adresse, damit man auf das Modem kommt. So war es zumindest mal vor einigen Jahren bei einer Firma, wo das genau zu Verwirrungen führte, dass die pfSense immer bei Leitungsverlust extern ne andere Adresse (privat) bekam und sobald alles wieder ging wieder eine public IP.
Grüße Jens
-
Kann sein dass es ohne Kabelverbindung dann DHCP macht. Spätestens wenn man jedoch die pfSense neu startet und eine Public IP erhält, weiß sie ja nichts mehr vom privaten Netz des Modems. Dennoch kommt man sofort drauf. Daher muss die IP vom Modem abgegriffen und beantwortet werden für mein Verständnis.
-
Der DHCP wäre für das Verhalten auch gar nicht relevant. Dieser würde lediglich bewirken, dass ein angeschlossenes Gerät eine IP Adresse erhält. Das ist aber nach der Schilderung der Umstände nicht der Fall. Die pfSense als einziges angeschlossenes Geräte bekommt ja lediglich die öffentliche IP vom Provider.
Noch einmal, warum soll es nicht möglich sein, dass das Gerät auf ein und demselben Ethernet Anschluss neben dem Protokoll zur Internet-Herstellung via Kabel auch ein einfaches TCP/IP fährt?
Mein DSL-Modem kann das ja auch. Neben PPPoE macht es auch TCP/IP auf demselben Anschluss. Allerdings ist es bei diesem so, dass ein auf die Gateway-Adresse geschicktes TCP Paket nicht vom Modem abgefangen wird, selbst wenn es auf dessen IP adressiert ist. Bei dir ist es ja nach deiner Beschreibung so. Technisch halte ich das für machbar, gesehen habe ich das aber bislang noch nirgends. -
Was virago sagt. Das Modem hört intern trotz Bridge auf seine private IP und die pfSense schickt alles ans Default GW raus. Warum sollte sie das auch nicht tun? Jedes Interface ist de facto bei der Sense "gleich" und nur weil auf einem WAN ggf. eine private IP hängt, wird diese deshalb nicht einfach geblockt. In genug Szenarien ist das ja wichtig (private IP auf WAN wegen 2. Router vornedran). Also nochmal: Warum sollte es ein Problem sein, dass die pfSense RFC1918 aufs WAN routet? Das ist alles völlig normal.
Gruß
