Wie einen Redirect für NTP machen

Bob.Dig

@viragomann Jau. Ich hatte mich auch an den Docs orientiert, aber den invert leider übersehen. Anschließend habe ich mich gefragt, wie das überhaupt funktionieren soll und hier gefragt. D'oh!

NOCling

Warum TCP, NTP ist doch reiner UDP Trafic?

Bob.Dig

Muss das doch noch mal hoch holen.
Ich habe eine ganz ähnliche Regel für einen anderen Anwendungsfall gemacht und da hat das Ganze nicht funktioniert.

Daher mein konkrete Frage:
Funktioniert das wirklich so mit 127.0.0.1, wenn das Interface eine Gruppe ist? Habe den Eindruck, irgendwas geht nicht, z.b. die Firewall Rule.

NOCling

Ich habe das für DNS und NTP für die LAN Group erstellt, meine pfSense VM hat immer Probleme gehabt den Resolver zu starten. Wartete auf nen Timeout, seit dem ist der immer gleich fertig und der Boot ist erheblich schneller.

Die Regeln auf der Gruppe oder den einzelnen Interfaces muss den Dienst Zugriff auf die Firewall IP aber zulassen.

Bob.Dig

@NOCling Ich habe hier keine Probleme mit dem Resolver.

Ich habe einen Dienst installiert, der auf jedem Interface auf Port 1688 lauscht. Nun möchte ich, dass sich aus allen Subnetzen Hosts darauf verbinden können. Diese Hosts versuchen sich, wegen eines von mir im Resolver eingetragenen SRV-Records, allerdings auf die LAN-IP zu verbinden.
Einen funktionierenden DNS-Override zu erzeugen, der immer auf die jeweilige Interface-IP der pfSense verweist, ist mir mit dem Resolver schon mal nicht gelungen (Name=127.0.0.1 funktioniert nicht ).
Nun wollte ich trotzdem irgendwie erreichen, dass sich besagte Hosts nur mit ihrem pfSense Interface verbinden.
Also dachte ich mir, löse ich das Ganze wieder mit einem Portforward und einer Gruppe wie oben gezeigt, bei dem ja auch noch eine entsprechende Firewallregel miterstellt wird.

Aber das hat nicht das gewünschte Ergebnis gebracht, Fehlermeldung auf den Hosts, dass der Service nicht erreicht werden konnte.
Nun kann ich z.B. auch einfach eine Gruppen-Regel machen, die den Zugriff auf das LAN-Interface mit dem entsprechenden Port erlaubt, das würde gehen.

Aber warum hat der gewünschte Redirect eigentlich nicht funktioniert? Ich muss zugeben, dass mein Wunsch nach dem Redirect noch aus einer gedanklichen Phase kommt, der Stand jetzt eigentlich eh unnötig ist, aber dennoch. Es zeigt doch, dass ich es quasi nicht kapiert habe.

viragomann

@bob-dig said in Wie einen Redirect für NTP machen:

Ich habe einen Dienst installiert, der auf jedem Interface auf Port 1688 lauscht.

Auf der pfSense?

@bob-dig said in Wie einen Redirect für NTP machen:

Name=127.0.0.1 funktioniert nicht

Überrascht mich nicht. Wenn die Clients 127.0.0.1 aufgelöst bekommen, werden sie sich eben genau damit verbinden wollen, mit dem eigenen localhost. Da läuft der angestrebte Service wohl nicht.

@bob-dig said in Wie einen Redirect für NTP machen:

Aber warum hat der gewünschte Redirect eigentlich nicht funktioniert?

Wenn der Dienst auf der pfSense selbst läuft, lauscht er auch an allen Interfaces, oder auf jenem, das die Clients nun als Service mitgeteilt und aufgelöst bekommen?

Bob.Dig

@viragomann Auf allen Interfaces der pfSense. Die Clients versuchen von sich aus aber nur auf das "LAN-Interface" zu verbinden, wegen dem SRV Record. Ohne diesen würden sich sich allerdings gar nicht von alleine verbinden.

NOCling

Der Resolver meine Test VM pfSense lief beim Starten immer erst in den Timeout, nicht der meiner produktiven Appliance, der läuft immer wenn die Kiste läuft.

Baust du die Regel so auf, wie oben, wird alles was auf eine Firewall IP zielt und den Port 1688 nutzt, auf der 127.0.0.1 landen.

Bob.Dig

@nocling said in [Wie einen Redirect für NTP machen](/post

Baust du die Regel so auf, wie oben, wird alles was auf eine Firewall IP zielt und den Port 1688 nutzt, auf der 127.0.0.1 landen.

Das dachte ich auch. Ggf. war es auch ein Firewall-Problem, d.h. die automatisch erzeugte Regel greift vielleicht nicht richtig? Muss zugeben, dass ich anfangs noch nicht alle Umstände kannte, meine Tests daher nicht so aussagekräftig waren. Muss mich heute noch mal ransetzen. Wäre es möglich, dass die Clients einen Redirect auch einfach nicht akzeptieren?

NOCling

Kann aber auch mit der 2.5.1 CE und dem NAT Problem bei mehr als 2 WAN Verbindungen zusammen hängen.
Im Zweifel ist Wireshark dein Freund.

viragomann

@bob-dig said in Wie einen Redirect für NTP machen:

Wäre es möglich, dass die Clients einen Redirect auch einfach nicht akzeptieren?

Das passiert in der pfSense. Die Clients sollten davon gar nichts mitbekommen.

Wichtig ist, dass die pfSense mit der LAN IP antwortet. Das müsste aber aufgrund der NAT Regel gegeben sein.
Und auf allen beteiligten Interfaces muss der Zugriff auf die LAN IP erlaubt sein.

viragomann

@nocling said in Wie einen Redirect für NTP machen:

Kann aber auch mit der 2.5.1 CE und dem NAT Problem bei mehr als 2 WAN Verbindungen zusammen hängen.

Soweit ich das Problem verstanden habe, betrifft das Multi-Gateway Installationen. Replies gehen dann zum falschen Gateway.

Bob.Dig

@viragomann said in Wie einen Redirect für NTP machen:

Wichtig ist, dass die pfSense mit der LAN IP antwortet. Das müsste aber aufgrund der NAT Regel gegeben sein.
Und auf allen beteiligten Interfaces muss der Zugriff auf die LAN IP erlaubt sein.

Verstehe ich jetzt nicht. Die Regel ist ja oben quasi abgebildet, die LAN-IP (im Sinne von LAN1) kommt darin nicht vor. Und was die Firewall betrifft, beim Portforward wird ja eine Regel erstellt, die sollte dann auch keine weitere Intervention nötig machen.

Aber wie gesagt, ist ja hier alles mehr theoretisch. Tatsächlich habe ich kein Problem, wenn ich eine Gruppe erstelle und einfach Zugriff auf die LAN-IP gebe, ganz ohne Portforward.

Nur wollte ich halt ursprünglich, dass jeder seines benutzt.