Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wie einen Redirect für NTP machen

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 3 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      NOCling
      last edited by

      Ich habe das für DNS und NTP für die LAN Group erstellt, meine pfSense VM hat immer Probleme gehabt den Resolver zu starten. Wartete auf nen Timeout, seit dem ist der immer gleich fertig und der Boot ist erheblich schneller.

      Die Regeln auf der Gruppe oder den einzelnen Interfaces muss den Dienst Zugriff auf die Firewall IP aber zulassen.

      Netgate 6100 & Netgate 2100

      1 Reply Last reply Reply Quote 0
      • Bob.DigB
        Bob.Dig LAYER 8
        last edited by Bob.Dig

        @NOCling Ich habe hier keine Probleme mit dem Resolver.

        Ich habe einen Dienst installiert, der auf jedem Interface auf Port 1688 lauscht. Nun möchte ich, dass sich aus allen Subnetzen Hosts darauf verbinden können. Diese Hosts versuchen sich, wegen eines von mir im Resolver eingetragenen SRV-Records, allerdings auf die LAN-IP zu verbinden.
        Einen funktionierenden DNS-Override zu erzeugen, der immer auf die jeweilige Interface-IP der pfSense verweist, ist mir mit dem Resolver schon mal nicht gelungen (Name=127.0.0.1 funktioniert nicht 😉 ).
        Nun wollte ich trotzdem irgendwie erreichen, dass sich besagte Hosts nur mit ihrem pfSense Interface verbinden.
        Also dachte ich mir, löse ich das Ganze wieder mit einem Portforward und einer Gruppe wie oben gezeigt, bei dem ja auch noch eine entsprechende Firewallregel miterstellt wird.

        Aber das hat nicht das gewünschte Ergebnis gebracht, Fehlermeldung auf den Hosts, dass der Service nicht erreicht werden konnte.
        Nun kann ich z.B. auch einfach eine Gruppen-Regel machen, die den Zugriff auf das LAN-Interface mit dem entsprechenden Port erlaubt, das würde gehen.

        Aber warum hat der gewünschte Redirect eigentlich nicht funktioniert? Ich muss zugeben, dass mein Wunsch nach dem Redirect noch aus einer gedanklichen Phase kommt, der Stand jetzt eigentlich eh unnötig ist, aber dennoch. Es zeigt doch, dass ich es quasi nicht kapiert habe. 😢

        V 1 Reply Last reply Reply Quote 0
        • V
          viragomann @Bob.Dig
          last edited by

          @bob-dig said in Wie einen Redirect für NTP machen:

          Ich habe einen Dienst installiert, der auf jedem Interface auf Port 1688 lauscht.

          Auf der pfSense?

          @bob-dig said in Wie einen Redirect für NTP machen:

          Name=127.0.0.1 funktioniert nicht

          Überrascht mich nicht. Wenn die Clients 127.0.0.1 aufgelöst bekommen, werden sie sich eben genau damit verbinden wollen, mit dem eigenen localhost. Da läuft der angestrebte Service wohl nicht. 🙄

          @bob-dig said in Wie einen Redirect für NTP machen:

          Aber warum hat der gewünschte Redirect eigentlich nicht funktioniert?

          Wenn der Dienst auf der pfSense selbst läuft, lauscht er auch an allen Interfaces, oder auf jenem, das die Clients nun als Service mitgeteilt und aufgelöst bekommen?

          Bob.DigB 1 Reply Last reply Reply Quote 0
          • Bob.DigB
            Bob.Dig LAYER 8 @viragomann
            last edited by Bob.Dig

            @viragomann Auf allen Interfaces der pfSense. Die Clients versuchen von sich aus aber nur auf das "LAN-Interface" zu verbinden, wegen dem SRV Record. Ohne diesen würden sich sich allerdings gar nicht von alleine verbinden.

            1 Reply Last reply Reply Quote 0
            • N
              NOCling
              last edited by

              Der Resolver meine Test VM pfSense lief beim Starten immer erst in den Timeout, nicht der meiner produktiven Appliance, der läuft immer wenn die Kiste läuft.

              Baust du die Regel so auf, wie oben, wird alles was auf eine Firewall IP zielt und den Port 1688 nutzt, auf der 127.0.0.1 landen.

              Netgate 6100 & Netgate 2100

              Bob.DigB 1 Reply Last reply Reply Quote 0
              • Bob.DigB
                Bob.Dig LAYER 8 @NOCling
                last edited by Bob.Dig

                @nocling said in [Wie einen Redirect für NTP machen](/post

                Baust du die Regel so auf, wie oben, wird alles was auf eine Firewall IP zielt und den Port 1688 nutzt, auf der 127.0.0.1 landen.

                Das dachte ich auch. Ggf. war es auch ein Firewall-Problem, d.h. die automatisch erzeugte Regel greift vielleicht nicht richtig? Muss zugeben, dass ich anfangs noch nicht alle Umstände kannte, meine Tests daher nicht so aussagekräftig waren. Muss mich heute noch mal ransetzen. Wäre es möglich, dass die Clients einen Redirect auch einfach nicht akzeptieren?

                V 1 Reply Last reply Reply Quote 0
                • N
                  NOCling
                  last edited by

                  Kann aber auch mit der 2.5.1 CE und dem NAT Problem bei mehr als 2 WAN Verbindungen zusammen hängen.
                  Im Zweifel ist Wireshark dein Freund.

                  Netgate 6100 & Netgate 2100

                  V 1 Reply Last reply Reply Quote 0
                  • V
                    viragomann @Bob.Dig
                    last edited by

                    @bob-dig said in Wie einen Redirect für NTP machen:

                    Wäre es möglich, dass die Clients einen Redirect auch einfach nicht akzeptieren?

                    Das passiert in der pfSense. Die Clients sollten davon gar nichts mitbekommen.

                    Wichtig ist, dass die pfSense mit der LAN IP antwortet. Das müsste aber aufgrund der NAT Regel gegeben sein.
                    Und auf allen beteiligten Interfaces muss der Zugriff auf die LAN IP erlaubt sein.

                    Bob.DigB 1 Reply Last reply Reply Quote 0
                    • V
                      viragomann @NOCling
                      last edited by

                      @nocling said in Wie einen Redirect für NTP machen:

                      Kann aber auch mit der 2.5.1 CE und dem NAT Problem bei mehr als 2 WAN Verbindungen zusammen hängen.

                      Soweit ich das Problem verstanden habe, betrifft das Multi-Gateway Installationen. Replies gehen dann zum falschen Gateway.

                      1 Reply Last reply Reply Quote 0
                      • Bob.DigB
                        Bob.Dig LAYER 8 @viragomann
                        last edited by Bob.Dig

                        @viragomann said in Wie einen Redirect für NTP machen:

                        Wichtig ist, dass die pfSense mit der LAN IP antwortet. Das müsste aber aufgrund der NAT Regel gegeben sein.
                        Und auf allen beteiligten Interfaces muss der Zugriff auf die LAN IP erlaubt sein.

                        Verstehe ich jetzt nicht. Die Regel ist ja oben quasi abgebildet, die LAN-IP (im Sinne von LAN1) kommt darin nicht vor. Und was die Firewall betrifft, beim Portforward wird ja eine Regel erstellt, die sollte dann auch keine weitere Intervention nötig machen.

                        Aber wie gesagt, ist ja hier alles mehr theoretisch. Tatsächlich habe ich kein Problem, wenn ich eine Gruppe erstelle und einfach Zugriff auf die LAN-IP gebe, ganz ohne Portforward.
                        Capture22.PNG
                        Nur wollte ich halt ursprünglich, dass jeder seines benutzt.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.