Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [SOLVED] pfSense Interfaces & Rules

    Scheduled Pinned Locked Moved Deutsch
    19 Posts 3 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • nodauN
      nodau
      last edited by

      Moin, ändere mal am Plex den NTP Server auf die IP der Sense, wenn diese als Zeitserver in deinem Netzwerk fungiert. Wenn nicht, auf der Sense einfach den Zeitserver konfigurieren.

      Norman

      virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

      cyruzC 1 Reply Last reply Reply Quote 1
      • cyruzC
        cyruz @nodau
        last edited by cyruz

        @bahsig Der NTP-Server der Sense lief natürlich nicht 😑 Nach dessen Aktivierung zeigten Hits der entsprechenden Regel, dass der RasPlex eine Zeit auf der 192.168.5.1 abfragt. Als ich das auf dem Client verifizieren wollte, zeigte diese irgendne Zeit aus 2018 ...

        Prüfe ich das auf unter Linux gegen per sntp -d sense.localdomain

        Ruperts-Air:~ meinuser$ sntp -d sense.localdomain
sntp 4.2.8p10@1.3728-o Tue Mar 21 14:36:42 UTC 2017 (136.200.1~4588)
kod_init_kod_db(): Cannot open KoD db file /var/db/ntp-kod: No such file or directory
handle_lookup(sense.localdomain,0x2)
move_fd: estimated max descriptors: 256, initial socket boundary: 20
sntp sendpkt: Sending packet to 192.168.5.1:123 ...
Packet sent.
sock_cb: sense.localdomain 192.168.5.1:123
2019-08-08 15:41:52.358644 (-0200) +0.013712 +/- 0.207317 sense.localdomain 192.168.5.1 s2 no-leap

        Zeit scheint korrekt ausgegeben zu werden.

        NTP-Log

        Aug 7 15:14:01	ntpd	64747	Listen normally on 15 igb1.50 192.168.50.1:123

        @cyruz said in pfSense Interfaces & Rules:

        Einzig der RasPlex findet nach wie vor meine Syno nicht ... Er "sucht" sich nen Wolf ...(da wo sonst die Bibliotheken angegeben sind steht über "SUCHEN").

        Mich beschleicht ein Layer 8 Problem .... und zwar gibt es beim RasPlex 2 mir bekannte Anmeldearten. Einmal per plex.tv/link , bei dem man seinen RasPlex per OnlineAccount verlinkt und er so "automatisch" seine entsprechend registrierten Server findet (...setzt natürlich Onlineverbindung voraus...und warum er beim booten ständig versucht externe Dienste zu erreichen). Und einmal eine "fixe" Verlinkung per IP / Port unter Angabe seines im Server hinterlegten Benutzers. Ich vermute mal, dass ich aus Gründen der Bequemlichkeit in der Testphase des Clients Ersteres gewählt habe. Werde also heute Abend einmal den RasPlex resetten und eine Offline-Verlinkung direkt zur Syno probieren.

        1 Reply Last reply Reply Quote 0
        • nodauN
          nodau
          last edited by

          Na dann sollte ja heute Abend alles laufen.

          Norman

          virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

          cyruzC 1 Reply Last reply Reply Quote 0
          • cyruzC
            cyruz @nodau
            last edited by

            @bahsig In der Tat ... das tut es !

            299cc912-944a-45d3-8674-f01255022bf9-image.png

            • NTP Server (sense) fix im RasPlex hinterlegt
            • Link zur Syno per IP / Port klappt
            • externe Adressen werden brav geblockt

            RasPlex läuft nu auf nem anderen, frisch installierten RPi - d.h. der IP-Wechsel.

            Vielen, vielen Dank !!! 😎

            Das war der erste Streich. Nun folgt noch die WLAN Geschichte per Zyxel AP (NWA1123-AC-Pro):

            • WLAN Guest -> Wie bekomme ich VLAN 40 ins WAN mit DNS Auflösung am pfBlockerNG vorbei und ohne Zugriff auf meine andere Netze ?
            • WLAN Intern -> Zugriff per OVPN (Smartphone von unterwegs) auf die WLAN-fähigen Schalter, welche aktuell noch über die Fritte (VoIP-Netz) angebunden sind, jedoch selbst kein Zugriff ins INet brauchen - außer NTP Abfragen für Zeit/Wetter-gesteuerte Aktionen (App ELESION)

            OVPN ist bereits eingerichtet und funktioniert sehr gut. Nur eben der Zugriff auf das steuerbare WLAN Geraffel nicht. Auf andere Ressourcen (Fritte selbst & Repeater im gleichen Netz) komme ich per OVPN problemlos. OVPN hat eine Scheunentorregel

            aba83497-2184-4209-86a1-80458be2a12e-image.png
            356e50f9-34d4-4349-8e82-6d2d56ccca13-image.png
            6cc4fc45-3ed9-4e2d-b0ae-973ca00adeae-image.png
            Datenvolumen Mobile & Leitung zu Hause gibt´s her...
            470cbaba-4112-4947-a3bf-599d8e85d245-image.png

            • per ACL das OVPN Netz 10.8.8.0/32 auf den DNS Resolver
            • pfBlockerNG Listener auf das OVPN Netz gesetzt .... funktioniert tadellos !
            • OVPN & VoIP Netz any to any allow

            Ideen / Vorschläge ? (zu beidem)

            1 Reply Last reply Reply Quote 0
            • nodauN
              nodau
              last edited by nodau

              Erstelle einfach einen Alias, der alle Netzwerke außer WLAN Guest enthält. Dann erstellst du eine Inversregel mit dem Alias als Ziel. Somit hast du Internet aber blockierst den Zugriff auf alle anderen Netze.

              Und bei OpenVPN die Netze in der Serverconfig hinzufügen, auf die du Zugriff haben willst.

              Norman

              virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

              cyruzC 1 Reply Last reply Reply Quote 0
              • cyruzC
                cyruz @nodau
                last edited by

                @bahsig said in pfSense Interfaces & Rules:

                Erstelle einfach einen Alias, der alle Netzwerke außer WLAN Guest enthält. Dann erstellst du eine Inversregel mit dem Alias als Ziel. Somit hast du Internet aber blockierst den Zugriff auf alle anderen Netze.

                Danke ... es kann so einfach sein !
                8155285d-3960-4543-9c3e-06b1d4b6e051-image.png
                323137fa-4fd8-46f1-a4f5-98ad0d8eea5a-image.png
                Komme aus dem WLAN Guest brav ins Netz, aber auf absolut nix Internes ! 👌

                @bahsig said in pfSense Interfaces & Rules:

                Und bei OpenVPN die Netze in der Serverconfig hinzufügen, auf die du Zugriff haben willst.

                Nur nochmal kurz zusammengefasst ... das WLAN Geraffel hängt aktuell noch im WLAN provided by FritzBox (VOIP). WLAN der FritzBox hat Allow IP4 * to ** ** none .... OVPN ebenfalls ... ich kann alles vom OVPN Netz erreichen - auch alles im WLAN der FritzBox (VOIP). Ich kann die Steckdosen, etc. auch vom OVPN Netz aus pingen, nur nicht mehr über die App vom Smartphone mit VPN Verbindung steuern, was bin vor kurzem noch tadellos ging. Ich bekomme leider nicht mehr rekonstruiert, seit wann und das "warum".
                Kann also nicht ganz nachvollziehen, warum ich in der Server Config etwas angeben sollte. Du meinst bestimmt VPN -> OpenVPN -> Server -> Edit
                d13451f1-99da-42eb-a693-1fd60b2547ef-image.png

                1 Reply Last reply Reply Quote 0
                • cyruzC
                  cyruz
                  last edited by

                  alle Pferde zurück ! Ich sag lieber nicht, was es war 😡 Auch das Steuern der WLAN-fähigen Geräte per VPN klappt.

                  1 Reply Last reply Reply Quote 0
                  • nodauN
                    nodau
                    last edited by

                    Schön, dass jetzt alles so läuft, wie du dir das vorgestellt hast. Am besten oben noch den Thread als gelöst setzen.

                    Norman

                    virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                    1 Reply Last reply Reply Quote 1
                    • cyruzC
                      cyruz
                      last edited by

                      Was mich natürlich trotzdem interessieren würde, was für die pfSense das WAN Interface sein soll, wenn nicht Internetzugriff (?) Ich kann natürlich Rulesets invertieren und das so lösen, wie ich´s nu gelöst habe .... aber für´s Verständnis - vielleicht kann mir das jemand erklären ...

                      Wenn bei ner FortiGate am (phys.) Interface (i.e. "WAN") den I-Net Zugriff vom Provider anliegen habe, eine IPv4 Policy baue die besagt

                      • Von Interface LAN (Aggr.) , Source: "IP/Alias der berechtigten Quellen" per Protokoll "Bla" mit Security Profile "Blubb" -> nach "WAN" -> Allow
                        ...dann geht das auch raus. Bei der Sense offensichtlich nicht - ich möchte es halt einfach nur verstehen.
                      1 Reply Last reply Reply Quote 0
                      • nodauN
                        nodau
                        last edited by

                        Moin,

                        du sprichst doch vom Client nicht direkt das WAN Interface an, um ins Internet zu kommen, sondern die IP des LAN Interfaces (Gateway) an die der Client angebunden ist. Die Sense routet anschließend den Verkehr vom LAN zum WAN.
                        Mit deiner Regel block LAN to WAN versuchst du den Zwischenschritt über die Sense zu umgehen, was folglich nicht möglich ist.

                        Norman

                        virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.