pfSense macht kein Internet aber VPN, IPSEC funzt!?
-
Hallo,
ich hoffe Ihr könnt mir helfen...
Seit einigen Wochen habe ich permanente Probleme mit der pfSense. Ständig fällt das Internet aus aber nur an der pfSense. Wenn ich direkt ans Modem gehe ist die Verbindung da.
Zuerst hatte ich die Vermutung das der Vodafone Station Modem (in Bridge Mode) das Problem ist. Wechselte dann auf eine Fritzbox 6591, das Problem mit den Internet abbrüchen wurde behoben aber durch das doppel NAT gabs dann andere Probleme. Hab mir das Modem TC4400 geholt. Anfangs ging es doch nach ca 2 std brach die Internet Verbindung wieder zusammen. Einfach so!
Wenn ich direkt mich ans Modem anschließe habe ich Netz. Ich muss dazu sagen das ich eine feste IP habe. Ich habe in der pfSense auf der WAN Schnittstelle es mit fester oder mit DHCP getestet. Mit DHCP hat es geklappt. Die feste will er einfach nicht nehmen (hab das richtige GW und Cidr eingetragen).Ich habe euch ein paar Bilder dazu gemacht, wenn ich sonst was braucht bitte schreibt mir.
Mittlerweile geht mir echt die Fantasie aus was es das Problem sein könnte!
Ich hoffe Ihr könnt mir helfen!MFG Operator
-
Schaue mal in deinem Snort nach, das sieht für mich nicht nach einer sauber eingerichteten Installation aus, wenn der dann noch blockt, dann ist es fix vorbei mit dem Inet.
Also stoppe den Dienst mal und beobachte es dann.
Wenn da das Problem liegt, dann schalte Blocken aus und erweitere die suppression list bis alles was du nutzt sauber durch läuft ohne einen Alert zu erzeugen. -
Danke für die schnelle Antwort. SNORT blockiert gar nichts in meinem Falle. Habe es mal trotzdem mal ausgeschaltet, ohne Erfolg.
-
Kannst du das auf IPv4 oder IPv6 eingrenzen?
DNS Auflösung funktioniert aber sauber?
Bei mir läuft das TC-4400 ohne Probleme, aber ich habe bisher auch nur IPv4 eingerichtet, bei IPv6 hatte das Upstream GW vom Provider immer wieder Verluste erzeugt und dann habe ich das nach 2-3 Versuchen abgebrochen.
-
So sieht es auf dem Server aus :(
Wenn ich mich direkt an die LAN Schnittstelle der pfSense anschließe ist es dasselbe kein Internet :(
-
IP6 brauche ich eigentlich gar nicht. Das hatte ich nur angeschaltet da die pfSense irgendwie öfter IPV6 Adressen im Protokoll hatte u ich dachte vielleicht bringt das was.
Du meinst IPV6 direkt auf dem Modem abschalten?
Komme ich da mit 192.168.100.1 drauf?
-
Nein in der pfsense musst du das abschalten im Modem kannst du nur die Kennwörter für User und Admin ändern.
Ja aufs Modem kommst du mit der IP und dem Admin Default Kennwort.Kannst aber mal nachsehen ob es sauber provisioniert wurde, nicht das hier das Problem liegt.
Wenn du Firmware kleiner .42 hast, solltest du noch TCP/8080 zum Modem hin blocken um Cable Haunt zu unterbinden.
Also L2 geht, L3 prüfen, also Client bekommt sauber seine IP vom DHCP der pfsense?
DNS ist eingetragen.Ist dann was externes über ICMP erreichbar?
Ist die DNS Auflösung vom Client sauber möglich? -
Ich habe die neue Firmware habs ja erst vor paar Tagen gekauft.
Es scheint auch richtig provisioniert worden zu sein. Denn wenn ich mich mit einem Laptop testweise anschließe habe ich sofort Internetverbindung.
DHCP macht in meinem Fall der Server. Die Adressen sind statisch und die Auflösung zur pfSense funktioniert auch.
Wie gesagt ich bin per OpenVPN auf dem Server per RDP u es läuft alles nur eben kein Internet. Pingen etc funktioniert.
-
Was mir auffällt ist das die IP 192.168.100.20 (DomainController) oft nach dem DNS fragt...
-
Wie gesagt ich stecke die Fritz Büchse wieder dran und es läuft sofort ohne Probleme.
Bin echt ratlos :(
-
Wenn Ping nach extern funktioniert, dann hast du ein DNS Problem.
Du hast doch einen Unbound laufen, also sollte im DC Server die pfsense als DNS hinterlegt sein, die Clients gehen dann über den DC und er leitet weiter zur pfsense, die dann alles was nicht im Cache ist über die Provider DNS anfragt.
Dann sollte es funktionieren.
Du musst das aber per Regel auch zulassen.
-
Genau so wie du es beschrieben hast habe ich es auf dem DC eingestellt das ich extra noch eine Regel hinzufügen muss ist mir neu.
Auf einer anderen pfSense funktioniert es ja auch ohne diese Regel.
Ich werde es gleich mal testen u bescheid sagen.
DANKE für die Mühe!
-
Habe die Regel mal eingetragen... ohne Erfolg
Was die Sache mit dem Ping auf ein externes Gerät angeht muss ich mich korrigieren. Das ist nicht möglich.
Was könnte das Problem sein bzw. was muss ich tun?
-
Wenn das von intern nicht funktioniert, musst du auf der pfsense prüfen ob diese externe Ziele per ICMP erreichen kann und ob hier DNS möglich ist.
Die Regel ist aber falsch, du hast ja im DC die pfsense als Upstream DNS eingetragen, also musst du die LAN Seitig zulassen.
Achja und das Modem muss jedes mal neu gestartet werden, wenn sich das Routing Device dahinter ändert.
Es merkt sich die MAC und dann funktioniert nix, wenn du es tauscht. -
LAN seitig ist ja bei mir alle erlaubt zum Test. Also muss ich dort trotzdem noch ne DNS Regel hinzufügen?
Hab das Modem schon paar mal neugestartet, ohne Erfolg.
-
@NOCling said in pfSense macht kein Internet aber VPN, IPSEC funzt!?:
Wenn das von intern nicht funktioniert, musst du auf der pfsense prüfen ob diese externe Ziele per ICMP erreichen kann und ob hier DNS möglich ist.
wie genau prüfe ich das am besten?
-
-
-
Auf WAN brauchst du keine ausgehenden Verbindungen konfigurieren und auf LAN keine eingehdenden, das wird auch so durchgelassen.
Hast Du vielleicht einen VPN-Client konfiguriert, der möglicherweise alles umlenkt? -
Das scheint ein privater Eintrag zu sein, da hier die Domain fehlt und damit nicht als FQDN auflösbar.
Den kann deine pfsense nicht finden, da die Kette bei dir wie folgt aussieht.
Client -> DC -> pfsense -> public DNS Server
Daher kann deine pfsense auch keine Internen Einträge, denn dazu fehlt ihr die Zoneneweiterleitung auf deinen DC.
Und was soll 1.1.1.1 und 9.9.9.9 für ein DNS sein?
Google oder Cloudflare haben andere IPs.Kannst du hier
test.de
google.de
auflösen?
