Port-Weiterleitung geht nicht an LAN-IP

baunty

Habe die Weiterleitung wie folgt angelegt.
und ein Check bringt das Ergebnis Port geschlossen. Kann mir jemand sagen wo mein Fehler ist.
ich habe die PFsense an einem Modem und bekomme eine Öffentliche IP.

viragomann

Hinter der Firewall funktioniert die Zugriff auf 192.168.10.119:55467?

Wenn ja, überprüfe, ob die Pakete überhaupt am WAN ankommen. Diagnostic > Packet capture ist ein geeignetes Werkzeug dafür.

baunty

intern klappt

test ergebnis:

11:04:48.425481 IP **.55.75.40.3861 > **.151.7.243.55467: tcp 0
11:04:48.425653 IP **.151.7.243.55467 > **.55.75.40.3861: tcp 0
11:04:48.580537 IP **.151.7.243.55467 > **.55.75.40.4273: tcp 0
11:04:49.124544 IP **.151.7.243.55467 > **.51.161.119.40430: tcp 0
11:04:49.444609 IP **.151.7.243.55467 > **.55.75.40.3861: tcp 0
11:04:49.604484 IP **.151.7.243.55467 > **.55.75.40.4381: tcp 0
11:04:50.112103 IP **.122.2.27.4310 > **.151.7.243.55467: tcp 0
11:04:50.112293 IP **.151.7.243.55467 > **.122.2.27.4310: tcp 0
11:04:50.116458 IP **.151.7.243.55467 > **.130.60.20.2867: tcp 0
11:04:50.132337 IP **.130.60.20.2867 > **.151.7.243.55467: tcp 0
11:04:50.237900 IP **.217.58.52.58444 > **.151.7.243.55467: tcp 0
11:04:50.238080 IP **.151.7.243.55467 > **.217.58.52.58444: tcp 0
11:04:50.372473 IP **.151.7.243.55467 > **.55.75.40.1045: tcp 0

viragomann

Das zeigt jetzt aber nicht die in der NAT-Regel angegebene Ziel-IP.

baunty

Ich hatte Quelle WAN angegeben und Port 55467
und das ist das Ergebnis soll ich die lokale iP auch mit eintragen?

wenn ich den Test wie folgt mache kommen 0 Ergebnisse.

viragomann

Okay, das war schon das Ergebnis des Packet capture am WAN?
"Intern klappt es" hatte ich anders verstanden.

Wenn das das Pacekt capture zeigt, dann bekommst du aber auch Antworten am WAN raus und der Zugriff müsste eigentlich funktionieren.
Wo liegt nun das Problem?

baunty

@viragomann

Das jetzt aktuell nur teilweise Zugriffe stattfinden. Komischerweise zb Telekom Anschluss aus Dortmund kommt durch Telekom aus Bochum nicht. Kann es an anderen regeln liegen? Hatte regeln für Telekom Entertainment eingetragen obwohl ich keinen habe ich schmeiß die mal raus und hoffe

Gladius

Schalte mal "logging" für die zu NAT gehörende Regel in WAN-Interface ein.
Horch was kommt von draußen rein.

baunty

@gladius
ist eingeschalte wo sehe ich den nun das Ergebnis?

Gladius

@baunty said in Port-Weiterleitung geht nicht an LAN-IP:

wo sehe ich den nun das Ergebnis?

Dashboard Widget -> Firewall Logs

sollte eingehende Pakete zeigen.

LG

baunty

@gladius
die die durchkommen sehe ich aber nicht die die keine Verbindung bekommen.
kann es vielleicht was mit ipv6 Anschlüssen zu tun haben?

Sep 23 12:57:35	WAN	 NAT CC (1537690293)	  **.**.75.40:2741	  192.168.10.119:55467	TCP:S
Sep 23 12:57:34	WAN	 NAT CC (1537690293)	  **.**.58.52:59290	  192.168.10.119:55467	TCP:S
Sep 23 12:57:32	WAN	 NAT CC (1537690293)	  **.**.204.254:2872	  192.168.10.119:55467	TCP:S
Sep 23 12:57:31	WAN	 NAT CC (1537690293)	  **.**.2.27:1671	  192.168.10.119:55467	TCP:S
Sep 23 12:57:30	WAN	 NAT CC (1537690293)	  **.**.75.40:1356	  192.168.10.119:55467	TCP:S
Sep 23 12:57:29	WAN	 NAT CC (1537690293)	  **.**.8.56:40778	  192.168.10.119:55467	TCP:S
Sep 23 12:57:27	WAN	 NAT CC (1537690293)	  **.**.161.119:40576	  192.168.10.119:55467	TCP:S

viragomann

@baunty said in Port-Weiterleitung geht nicht an LAN-IP:

Das jetzt aktuell nur teilweise Zugriffe stattfinden. Komischerweise zb Telekom Anschluss aus Dortmund kommt durch Telekom aus Bochum nicht.

Dann trifft das Thema "Port-Weiterleitung geht nicht an LAN-IP" nicht wirklich zu.

Kann es an anderen regeln liegen? Hatte regeln für Telekom Entertainment eingetragen obwohl ich keinen habe ich schmeiß die mal raus und hoffe

Ich gehe davon aus, dass du in deinen verantwortlichen Firewall-Regeln keine bestimmte Quelle angegeben hast, also die Quelle in den Regeln "any" ist. Ist das so, können die Regeln dafür auch nicht verantwortlich sein und ich würde ein Routingproblem außerhalb deines Einflussbereichs vermuten (bei einem Provider oder im Quell-Netzwerk).

Um der Sache auf den Grund zu gehen, ist wieder Packet Capture geeignet. Einfach prüfen, ob die Pakete am WAN Interface ankommen, wenn aus Bochum eine Verbindung versucht wird.

baunty

Anfragen kommen an aber werden wohl nicht weitergegeben:

13:17:18.571691 IP **.**.161.119.40620 > **.**.7.243.55467: tcp 0
13:17:23.353130 IP **.**.161.119.40621 > **.**.7.243.55467: tcp 0
13:17:24.355816 IP **.**.161.119.40621 > **.**.7.243.55467: tcp 0

Gladius

@baunty said in Port-Weiterleitung geht nicht an LAN-IP:

werden wohl nicht weitergegeben

Die Pakete kommen also am lokalen Host mittel Portweiterleitung an?
So sollte es sein.

LG

baunty

@gladius
ne sie kommen auf der WAN IP an und das wars nicht am lokalen Server :(

viragomann

@baunty
Ob die Firewall hier die Verbindung blockiert, kannst du auch einfach mit Packet Capture prüfen, in dem du es auf dem internen Interface laufen lässt, dann aber mit der Ziel-IP des internen Hosts oder eben mit der Quell-IP.

Möglicherweise blockieren pfBlocker oder ein Proxy die Verbindung?

nodau

mal die Firewall auf dem lokalen Host überprüft? Die Regeln sehen sauber aus. Vielleicht sind weitere Ports oder zusätzlich Protokolle für die Software notwendig, auf die du zugreifen willst/musst.

Gladius

Analysiere die Kommunikation zwischen pfSense (Packet Capture) und dem lokalen Host.

LG

baunty

Entweder ist das Problem bei Pfsense oder am Modem das vielleicht nicht so viele Verbindungen zugelassen sind. Fritzbox als Router am dsl geht alles. Nur das ist ja nicht mein Ziel. Ziel ist eine Firewall und nicht fritzbox.

Überlegung ist alles platt machen und von 0 neu anfangen.
Noch ne idea Modem vor fritzbox und fritzbox soll über Modem dsl aufbauen

baunty

@viragomann was ist bfBlocker?