IP und DNS Konfigurationsproblem

TomNick

Liebe Forumgemeinde, vorweg, bin völlig neu in pfsense und dabei, mir etwas Wissen über das Programm und Funktion anzueignen. Dafür habe ich mir eine kleine Versuchsumgebung gebaut die wie folgt aussieht:

FritzBox mit DHCP aktiviert. Netz 192.168.2.0/24. Daran 4 Clients, also recht einfach. Mein Ziel ist es, wenn ich pfsense beherrsche, die FB als DSL Modem zu benutzen und pfsense die Arbeit machen zu lassen. Ich habe zunächst für die Versuchszwecke pfSense als virtuelle Maschine (Virtualbox) installiert. WAN bekam die IP 192.168.2.44, Gateway 192.168.2.1 (FritzBox) LAN 192.168.1.1. Soweit so gut, möchte ich allerdings nicht noch weiter virtuelle Maschinen installieren, nur um auf das 192.168.1.1 Netz zu gelangen sondern alles aus meinem jetzigen Netz (192.168.2.0) probieren und experimentieren.  Also habe ich die beiden Netzwerkadapter "gebridged" und LAN hat nun 192.168.2.45. PfSense hat Verbindung zum Internet und DNS Lookup in pfSense klappt auch super. Ich möchte nun als ersten Schritt den DNS Resolver aktivieren aber sobald ich an einem Client pfsense als DNS Server eingebe (192.168.2.44) dann geht nix mehr. Firewall TCP/UDP ist offen. Was mach ich da für einen Gedankenfehler? Vielen Dank für etwas Hilfe und sonnige Grüße Tom

pfadmin

Hi,

1. Fritzbox geht nicht mehr als reines Modem, zumindest mit aktueller Firmware.
2. würde ich den Versuchsaufbau dann auch so machen, wie er später laufen soll. Warum bridged du? Das machst du dann doch auch nicht!

Was geht denn nicht mehr, wenn der DNS Resolver an ist? Die DNS Auflösung oder gar kein Netz mehr? Ich behaupte, da du bridgest weiss dein DNS Resolver nicht, woher er die Infos bekommen soll. Woher weiss die pfsense die Namen ohne DNS Resolver? Oder meinst du etwas anderes/anders.

Gruß
Matthias

TomNick

Hi Matthias.

Fritzbox geht nicht mehr als reines Modem, zumindest mit aktueller Firmware

Oh Mensch, danke für den Hinweis, das habe ich noch gar nicht mitbekommen. Muss eben ne andre Kiste herhalten… ;)

Im Prinzip möchte ich im ersten Schritt pfsense als DNS Forwarding benutzen. Wenn ich dem Client in der Netzwerkverbindung pfsense als DNS Server eingebe, dann geht nix mehr seitens des Clients, pfsense hat aber nach wie vor Verbindung zum Internet. DNS Server Settings in pfsense sind ebenfalls gesetzt (8.8.8.8+8.8.4.4)

würde ich den Versuchsaufbau dann auch so machen, wie er später laufen soll. Warum bridged du? Das machst du dann doch auch nicht!

Ich will später eigentlich nichts anderes als die FritzBox ersetzen durch DSL Modem und pfsense. Damit nix schief geht will ich genau das jetzt simulieren, um das System besser kennen zu lernen…

pfadmin

Ich will später eigentlich nichts anderes als die FritzBox ersetzen durch DSL Modem und pfsense. Damit nix schief geht will ich genau das jetzt simulieren, um das System besser kennen zu lernen…

Ja eben! Warum bridged du also? Du wirst die pf als Router laufen haben. Oder verstehe ich dich falsch?

TomNick

Warum bridged du also

Damit ich für WAN und LAN die gleich IP Range habe, denke ich da verkehrt?

pfadmin

Ja, du willst da später routen dazwischen! Und da brauchst du unterschiedliche Ranges. Später wird das WAN ja die externe IP vom Provider bekommen und das LAN eine von dir vergeben IP aus den "Privaten" Bereichen.

Du könntest ja das GUI von der WAN Seite zulässig machen, es ist ja noch im sicheren Umfeld.

TomNick

Ok, das habe ich verstanden! Mein Hauptproblem liegt also darin, das mir nicht so recht klar ist, wenn WAN 192.168.2.0 ist indem sich auch meine Clients befinden, wie ich dann ins LAN von 192.168.1.0 mit meinen Clients komme ohne nun eine neue virtuelle Maschine im Netz 192.168.1.0 einzurichten, dann geht das natürlich alles. Die Simulation wäre dann aber komplett unter Virtualbox

pfadmin

Ganz ehrlich, lass die Experimentiererei! Kauf ein Modem (Vigor 130), halte die Fritz warm und schalte das Ganze scharf! Das ist echt nicht halb so schwierig, wie deine Testumgebung! Zum Lernen ist es aber ok wie man sieht.

Selbst wenn du noch eine VM aufsetzt (dazu sind die doch da!) brauchst du irgendwas mit VLANe, denn du hast doch nicht mehr als 2 Netzwerkkarten im VM-Server, oder? Nur mittels IP-Netze die Seiten auf dem Kabel trennen ist Müll!

Ich verstehe auch nicht ganz, was du damit

nur um auf das 192.168.1.1 Netz zu gelangen sondern alles aus meinem jetzigen Netz (192.168.2.0) probieren und experimentieren

meinst! Vielleicht zeichnest du mal ein Bild von der tatsächlichen Hardwarekonfiguration und was du genau meinst mit

alles aus meinem jetzigen Netz

hast du hier noch Clients auf der gleichen Hardware virtualisiert?

PFsense ist eine Firewall. Sie kann deswegen auch routen. Sie routet also auch zwischen WAN und LAN und ihr ist es schnurz, was was ist. Im Firewallteil wird nun der Verkehr der aus dem LAN (oder woher auch immer) ins WAN (also zum ISP/Fritzbox) gehen soll, genattet (nur IPv4), weil du im LAN private IPs benutzt und diese auf öffentliche umgesetzt werden müssen. Des Weiteren ist immer jeder Verkehrseingang default geblockt, also kommt nichts vom LAN ins WAN und umgekehrt. Du schaltest das i.d.R. vom LAN her frei, vom WAN her nicht. Und schon kommst du von der einen Seite durch und von der anderen nicht. Außer du änderst die Regeln und schaltest NAT ab (oder konfigurierst es um) oder schaltest die Firewall ganz ab. Beim WAN Interface ist oft auch noch ein Haken bei Block private Netze, den mußt du in deinem Fall ebenfalls rausnehmen, da du auf beiden Seiten in der Testumgebung private IPs hast.

Reicht erstmal  8) als Input?

Gruß
Matthias

Parsec

Eine ordentliches Board als Basis für die Pfsense und diese Karte sind evtl eine schöne Möglichkeit die extra Modemkiste zu sparen.

http://www.heise.de/newsticker/meldung/VDSL-Router-fuer-PC-Einbau-mit-Modem-Option-3246064.html

TomNick

Danke für den vielen Input, ich werde mich dann mal in die "scharfe" Umgebung begeben…. ;)