Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    zusätzliches Interface kann pingen aber kein TCP traffic

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 3 Posters 892 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EnzephaloN
      last edited by EnzephaloN

      Hallo

      Ich habe auf einem ALIX ein pfSense laufen. Lief bisher alles bestens.
      LAN1 und WLAN sind zu einer BRIDGE zusammengefasst. LAN2 bietet ein weiteres Subnet an. Diese beiden Netze haben problemlosen Internetzugriff.
      Jetzt habe ich ein weiteres Netzwerkdevice angeschlossen und als LAN3 konfiguriert. Es hat analog die Einstellungen von LAN2 (bis auf die angepassten IP-Adressen) doch kann dieses Netzwerk nur nach innen & außen pingen und lokal per TCP auf Adressen zugreifen. Internet per TCP geht nicht.

      Hier mal Teile der Config:

      <interfaces>
          <wan>
              <enable></enable>
              <if>vr0</if>
              <ipaddr>dhcp</ipaddr>
              <ipaddrv6>dhcp6</ipaddrv6>
              <gateway></gateway>
              <blockpriv>on</blockpriv>
              <blockbogons>on</blockbogons>
              <media></media>
              <mediaopt></mediaopt>
              <dhcp6-duid></dhcp6-duid>
              <dhcp6-ia-pd-len>0</dhcp6-ia-pd-len>
          </wan>
          <lan>
              <enable></enable>
              <if>vr1</if>
              <descr><![CDATA[LAN1]]></descr>
              <ipaddr></ipaddr>
              <subnet></subnet>
              <ipaddrv6></ipaddrv6>
              <track6-interface>wan</track6-interface>
              <track6-prefix-id>0</track6-prefix-id>
              <spoofmac></spoofmac>
              <gateway></gateway>
              <subnetv6></subnetv6>
              <gatewayv6></gatewayv6>
          </lan>
          <opt1>
              <if>vr2</if>
              <descr><![CDATA[LAN2]]></descr>
              <enable></enable>
              <spoofmac></spoofmac>
              <ipaddr>192.168.102.1</ipaddr>
              <subnet>24</subnet>
          </opt1>
          <opt2>
              <if>ath0</if>
              <descr><![CDATA[WLAN]]></descr>
              <enable></enable>
              <spoofmac></spoofmac>
              <wireless>
                  <standard>auto</standard>
                  <protmode>off</protmode>
                  <channel>6</channel>
                  <distance></distance>
                  <regdomain></regdomain>
                  <regcountry></regcountry>
                  <reglocation></reglocation>
                  <txpower></txpower>
                  <mode>hostap</mode>
                  <ssid>Pofficewifi</ssid>
                  <authmode></authmode>
                  <wpa>
                      <macaddr_acl></macaddr_acl>
                      <wpa_mode>2</wpa_mode>
                      <wpa_key_mgmt>WPA-PSK</wpa_key_mgmt>
                      <wpa_pairwise>CCMP</wpa_pairwise>
                      <wpa_group_rekey>60</wpa_group_rekey>
                      <wpa_gmk_rekey>3600</wpa_gmk_rekey>
                      <passphrase>XXXXXXXXXXXXXXXXXXXXXXX</passphrase>
                      <ext_wpa_sw></ext_wpa_sw>
                      <enable></enable>
                  </wpa>
                  <auth_server_addr></auth_server_addr>
                  <auth_server_port></auth_server_port>
                  <auth_server_shared_secret></auth_server_shared_secret>
                  <auth_server_addr2></auth_server_addr2>
                  <auth_server_port2></auth_server_port2>
                  <auth_server_shared_secret2></auth_server_shared_secret2>
              </wireless>
          </opt2>
          <opt3>
              <descr><![CDATA[PSECURE]]></descr>
              <if>bridge0</if>
              <enable></enable>
              <spoofmac></spoofmac>
              <ipaddr>192.168.92.1</ipaddr>
              <subnet>24</subnet>
          </opt3>
          <opt4>
              <descr><![CDATA[LAN3]]></descr>
              <if>ue0</if>
              <enable></enable>
              <spoofmac></spoofmac>
              <ipaddr>192.168.112.1</ipaddr>
              <subnet>24</subnet>
          </opt4>
      </interfaces>
      
      <nat>
          <outbound>
              <mode>automatic</mode>
          </outbound>
      </nat>
      <filter>
          <rule>
              <type>pass</type>
              <ipprotocol>inet</ipprotocol>
              <descr><![CDATA[Default allow LAN to any rule]]></descr>
              <interface>lan</interface>
              <tracker>0100000101</tracker>
              <source>
                  <network>lan</network>
              </source>
              <destination>
                  <any></any>
              </destination>
          </rule>
          <rule>
              <type>pass</type>
              <ipprotocol>inet6</ipprotocol>
              <descr><![CDATA[Default allow LAN IPv6 to any rule]]></descr>
              <interface>lan</interface>
              <tracker>0100000102</tracker>
              <source>
                  <network>lan</network>
              </source>
              <destination>
                  <any></any>
              </destination>
          </rule>
          <rule>
              <id></id>
              <tracker>1496909451</tracker>
              <type>block</type>
              <interface>opt1</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <any></any>
              </source>
              <destination>
                  <network>opt3</network>
              </destination>
              <log></log>
              <descr></descr>
              <created>
                  <time>1496909451</time>
                  <username>admin@192.168.1.72</username>
              </created>
              <updated>
                  <time>1497285680</time>
                  <username>admin@192.168.92.51</username>
              </updated>
          </rule>
          <rule>
              <id></id>
              <tracker>1497285453</tracker>
              <type>pass</type>
              <interface>opt1</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt1</network>
              </source>
              <destination>
                  <network>opt1ip</network>
              </destination>
              <descr></descr>
              <updated>
                  <time>1497285453</time>
                  <username>admin@192.168.92.51</username>
              </updated>
              <created>
                  <time>1497285453</time>
                  <username>admin@192.168.92.51</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1497285593</tracker>
              <type>block</type>
              <interface>opt1</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt1</network>
              </source>
              <destination>
                  <address>192.168.0.0/16</address>
              </destination>
              <descr></descr>
              <updated>
                  <time>1497285593</time>
                  <username>admin@192.168.92.51</username>
              </updated>
              <created>
                  <time>1497285593</time>
                  <username>admin@192.168.92.51</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1496908992</tracker>
              <type>pass</type>
              <interface>opt1</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <any></any>
              </source>
              <destination>
                  <any></any>
              </destination>
              <descr></descr>
              <dnpipe>LimitLAN2down</dnpipe>
              <pdnpipe>LimitLAN2up</pdnpipe>
              <created>
                  <time>1496908992</time>
                  <username>admin@192.168.1.72</username>
              </created>
              <updated>
                  <time>1496911481</time>
                  <username>admin@192.168.102.51</username>
              </updated>
          </rule>
          <rule>
              <id></id>
              <tracker>1496909483</tracker>
              <type>block</type>
              <interface>opt3</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt1</network>
              </source>
              <destination>
                  <network>opt3</network>
              </destination>
              <log></log>
              <descr></descr>
              <created>
                  <time>1496909483</time>
                  <username>admin@192.168.1.72</username>
              </created>
              <updated>
                  <time>1497285652</time>
                  <username>admin@192.168.92.51</username>
              </updated>
          </rule>
          <rule>
              <id></id>
              <tracker>1497285844</tracker>
              <type>pass</type>
              <interface>opt3</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt3</network>
              </source>
              <destination>
                  <network>opt3ip</network>
              </destination>
              <descr></descr>
              <updated>
                  <time>1497285844</time>
                  <username>admin@192.168.92.51</username>
              </updated>
              <created>
                  <time>1497285844</time>
                  <username>admin@192.168.92.51</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1497285775</tracker>
              <type>block</type>
              <interface>opt3</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <any></any>
              </source>
              <destination>
                  <network>opt1</network>
              </destination>
              <descr></descr>
              <updated>
                  <time>1497285775</time>
                  <username>admin@192.168.92.51</username>
              </updated>
              <created>
                  <time>1497285775</time>
                  <username>admin@192.168.92.51</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1496908983</tracker>
              <type>pass</type>
              <interface>opt3</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt3</network>
              </source>
              <destination>
                  <any></any>
              </destination>
              <descr></descr>
              <created>
                  <time>1496908983</time>
                  <username>admin@192.168.1.72</username>
              </created>
              <updated>
                  <time>1497270381</time>
                  <username>admin@192.168.92.52</username>
              </updated>
          </rule>
          <rule>
              <id></id>
              <tracker>1533385424</tracker>
              <type>pass</type>
              <interface>opt4</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <any></any>
              </source>
              <destination>
                  <any></any>
              </destination>
              <descr></descr>
              <dnpipe>LimitLAN2down</dnpipe>
              <pdnpipe>LimitLAN2up</pdnpipe>
              <updated>
                  <time>1533385424</time>
                  <username>admin@192.168.92.110</username>
              </updated>
              <created>
                  <time>1533385424</time>
                  <username>admin@192.168.92.110</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1533385408</tracker>
              <type>block</type>
              <interface>opt4</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt4</network>
              </source>
              <destination>
                  <address>192.168.0.0/16</address>
              </destination>
              <descr></descr>
              <updated>
                  <time>1533385408</time>
                  <username>admin@192.168.92.110</username>
              </updated>
              <created>
                  <time>1533385408</time>
                  <username>admin@192.168.92.110</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1533385387</tracker>
              <type>pass</type>
              <interface>opt4</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <network>opt4</network>
              </source>
              <destination>
                  <network>opt4ip</network>
              </destination>
              <descr></descr>
              <updated>
                  <time>1533385387</time>
                  <username>admin@192.168.92.110</username>
              </updated>
              <created>
                  <time>1533385387</time>
                  <username>admin@192.168.92.110</username>
              </created>
          </rule>
          <rule>
              <id></id>
              <tracker>1533385358</tracker>
              <type>block</type>
              <interface>opt4</interface>
              <ipprotocol>inet</ipprotocol>
              <tag></tag>
              <tagged></tagged>
              <max></max>
              <max-src-nodes></max-src-nodes>
              <max-src-conn></max-src-conn>
              <max-src-states></max-src-states>
              <statetimeout></statetimeout>
              <statetype>keep state</statetype>
              <os></os>
              <source>
                  <any></any>
              </source>
              <destination>
                  <network>opt3</network>
              </destination>
              <log></log>
              <descr></descr>
              <updated>
                  <time>1533385358</time>
                  <username>admin@192.168.92.110</username>
              </updated>
              <created>
                  <time>1533385358</time>
                  <username>admin@192.168.92.110</username>
              </created>
          </rule>
          <separator>
              <opt2></opt2>
              <opt3></opt3>
              <opt1></opt1>
              <opt4></opt4>
          </separator>
      </filter>
      <bridges>
          <bridged>
              <members>lan,opt2</members>
              <descr><![CDATA[PSecure]]></descr>
              <maxaddr></maxaddr>
              <timeout></timeout>
              <maxage></maxage>
              <fwdelay></fwdelay>
              <hellotime></hellotime>
              <priority></priority>
              <proto>rstp</proto>
              <holdcnt></holdcnt>
              <ifpriority></ifpriority>
              <ifpathcost></ifpathcost>
              <bridgeif>bridge0</bridgeif>
          </bridged>
      </bridges>
      

      Hat jemand Hilfe hierzu für mich?
      Danke!

      Johannes

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        hast du es schon mit einem Neustart der Kiste versucht? Eventuell hat sich das Outbound NAT nicht aktualisiert, das braucht manchmal einen Neustart.
        Du kannst die automatisch erstellten Outbound NAT Regeln aber auch überprüfen.

        Grüße

        1 Reply Last reply Reply Quote 0
        • E
          EnzephaloN
          last edited by

          Hallo

          Ja, natürlich habe ich das Device komplett neu gestartet. Leider ohne Erfolg.

          Johannes

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Hallo,

            das Phänomen, dass Pings funktionieren, TCP od. UDP aber nicht, ist oft ein Indiz für ein asymmetrisches Routing. D.h. dass die Pakete in Richtung Internet einen anderen Weg nehmen als die Antwortpakete vom Internet zum LAN Gerät.

            Hast du ein paralleles Gateway?
            Findet sich was in den Logs? Wenn das Login der Default-Block-Regel aktiviert ist, würden derartige Blocks geloggt.

            1 Reply Last reply Reply Quote 0
            • E
              EnzephaloN
              last edited by

              Hallo

              Nein, es gibt nur einen Gateway an WAN1.
              Leider kann ich auf die Logs nicht zugreifen, da das Gerät woanders steht und es auch keinen Remote-Zugriff gibt.

              Aber die Konfiguration sollte passen?

              Johannes

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Klar sind mir die Filter-Regeln nicht.

                Als erstes hast du eine Regel, die Limiter verwendet. Die Limiter selbst sind aber nicht Teil dieser Konfig.

                Dann blockierst du alles auf deine internen Netze. Alle weiteren Regeln kommen damit gar nicht mehr zum Tragen.

                Es hängt also von der ersten Regeln mit den Limiter ab, was erlaubt ist. Funktionieren diese überhaupt?

                Stelle mal fest, ob die Namensauflösung aus dem Netz funktioniert.

                1 Reply Last reply Reply Quote 0
                • E
                  EnzephaloN
                  last edited by

                  Moin

                  Die Limiter-Regeln kann ich hier nachliefern:

                  <dnshaper>
                  		<queue>
                  			<name>LimitLAN2down</name>
                  			<number>1</number>
                  			<qlimit></qlimit>
                  			<plr></plr>
                  			<description></description>
                  			<bandwidth>
                  				<item>
                  					<bw>512</bw>
                  					<burst></burst>
                  					<bwscale>Kb</bwscale>
                  					<bwsched>none</bwsched>
                  				</item>
                  			</bandwidth>
                  			<enabled>on</enabled>
                  			<buckets></buckets>
                  			<mask>dstaddress</mask>
                  			<maskbits>32</maskbits>
                  			<maskbitsv6>128</maskbitsv6>
                  			<delay>0</delay>
                  		</queue>
                  		<queue>
                  			<name>LimitLAN2up</name>
                  			<number>2</number>
                  			<qlimit></qlimit>
                  			<plr></plr>
                  			<description></description>
                  			<bandwidth>
                  				<item>
                  					<bw>1</bw>
                  					<burst></burst>
                  					<bwscale>Mb</bwscale>
                  					<bwsched>none</bwsched>
                  				</item>
                  			</bandwidth>
                  			<enabled>on</enabled>
                  			<buckets></buckets>
                  			<mask>srcaddress</mask>
                  			<maskbits>32</maskbits>
                  			<maskbitsv6>128</maskbitsv6>
                  			<delay>0</delay>
                  		</queue>
                  		<queue>
                  			<name>LimitLAN3down</name>
                  			<number>3</number>
                  			<qlimit></qlimit>
                  			<plr></plr>
                  			<description></description>
                  			<bandwidth>
                  				<item>
                  					<bw>512</bw>
                  					<burst></burst>
                  					<bwscale>Kb</bwscale>
                  					<bwsched>none</bwsched>
                  				</item>
                  			</bandwidth>
                  			<enabled>on</enabled>
                  			<buckets></buckets>
                  			<mask>dstaddress</mask>
                  			<maskbits>32</maskbits>
                  			<maskbitsv6>128</maskbitsv6>
                  			<delay>0</delay>
                  		</queue>
                  		<queue>
                  			<name>LimitLAN3up</name>
                  			<number>4</number>
                  			<qlimit></qlimit>
                  			<plr></plr>
                  			<description></description>
                  			<bandwidth>
                  				<item>
                  					<bw>1</bw>
                  					<burst></burst>
                  					<bwscale>Kb</bwscale>
                  					<bwsched>none</bwsched>
                  				</item>
                  			</bandwidth>
                  			<enabled>on</enabled>
                  			<buckets></buckets>
                  			<mask>srcaddress</mask>
                  			<maskbits>32</maskbits>
                  			<maskbitsv6>128</maskbitsv6>
                  			<delay>0</delay>
                  		</queue>
                  	</dnshaper>
                  

                  Die Shaper-Regeln funktionieren an LAN2 hervorragend, ich habe sie da einfach nur für LAN3 abgeschrieben. Ebenso sind die Firewall-Regeln Kopien derern von LAN2 (auf das richtige Interface umgestellt).

                  Ich hatte testweise auch alle Firewall- und Limiter-Regeln entfernt - das brachte auch keine Verbesserung.

                  Die Namensauflösung hat bei ping und traceroute funktioniert, aber zB wget konnte die Domain nicht finden - soweit ich mich erinnere, wie gesagt habe ich jetzt keinen Zugriff mehr auf das Device.

                  Viele Grüße
                  Johannes

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann
                    last edited by

                    Zum Testen würde ich schon eine Regel erstellen, die erstmal alles erlaubt, ohne Limiter. Denn, wie erwähnt, deine 2. Regel blockiert alle internen Netze, also auch den Zugriff auf die pfSense selbst (vielleicht zwecks DNS nötig).

                    Der Limiter "LimitLAN3up" erlaubt nur 1 kb, das ist doch etwas wenig. LimitLAN2up erlaubt 1 Mb.
                    Ich weiß aber nicht, ob das überhaupt zum Tragen kommt, denn in deinen obern geposteten Regeln verwendest du am LAN3 auch den LimitLAN2up und LimitLAN2down.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Ich denke zur wirklichen Diagnose - wenn er die möchte - wären auch sinnvolle Screenshots besser als das Config File, was man auf den ersten Blick so gar nicht einschätzen kann. Zudem gibt es Situationen, in denen Regeln anders angeordnet sind, wie sie im File gespeichert werden, somit ist die Aussagekraft doch relativ ungeschickt. Und wenn ich mich durch 2km XML wühlen soll statt einen kurzen prägnanten tabellarischen Screen zu sehen, wo die Regeln stehen - you see what I mean?

                      Danke und Gruß

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      E 1 Reply Last reply Reply Quote 0
                      • E
                        EnzephaloN @JeGr
                        last edited by EnzephaloN

                        @jegr said in zusätzliches Interface kann pingen aber kein TCP traffic:

                        Ich denke zur wirklichen Diagnose - wenn er die möchte - wären auch sinnvolle Screenshots besser als das Config File, was man auf den ersten Blick so gar nicht einschätzen kann.

                        Whaaaat? 😱

                        Sorry, sehe ich anders und wie schon mehrfach erwähnt habe ich aktuell keinen Zugriff mehr auf die Kiste - erst wieder nächstes Jahr. Ich wollte nur das Problem rechtzeitig lösen, da nächstes Jahr die Kiste einfach laufen muß.

                        Trotzdem danke.
                        Johannes

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.