Hilfe bei der Konfiguration von WAN, LAN, DMZ Schnittstellen



  • Hallo Leute,

    ich bin neu hier und habe mit pfSense bisher überhaupt keine Erfahrung gesammelt.
    Daher wäre ich euch sehr Dankbar, wenn ihr mir helfen könntet.
    Seit 1 Woche bin ich am recherchieren und am ausprobieren, konnte bisher leider mein Problem nicht lösen und bin mit mein Latein am Ende.

    Ich habe mir vor 1 Woche die Hardware "APU.2C4" gekauft und im Anschluss nach dem ich die Hardware zusammen gebaut habe die Software "pfSense-CE-memstick-ADI-2.3.1-RELEASE-amd64.img.gz" installiert.
    Die Installation war soweit erfolgreich.

    Jedoch komme ich gar nicht weiter und mein Problem ist, dass ich über die Schnittstelle "LAN" nicht ins Internet komme.
    Ich kann von meinem PC aus den LAN-Port, WAN-Port und mein DSL-Modem (Fritzbox) anpingen.
    Wenn ich aber Bspw. auf Google ein "ping" setzen möchte, scheitert diese.
    Ich gehe davon mal aus, dass der Firewall dies nicht erlaubt. Nur ich weiß nicht wo ich da ansetzten soll.

    Mein Vorhaben ist folgendes:

    • Von LAN ins Internet sowie zum DMZ soll der Zugriff erlaubt werden.

    • Von DMZ aus ins Internet soll der Zugriff ebenfalls erlaubt sein, jedoch von DMZ aus nicht zum LAN.

    • Vom Internet / WAN zum DMZ soll der Zugriff ebenfalls funktionieren.

    • Der WLAN, soll ähnlich wie der DMZ sein. Also WLAN hat Zugriff ins Internet, jedoch nicht zum LAN.
      Allerdings von außen aus, also von WAN soll kein Zugriff auf das WLAN-Netz erlaubt sein.

    Ich hoffe meine Beschreibung bzgl. meines Vorhabens war verständlich.

    Nach der Installation habe ich über die Konsole die einzelnen Schnittstellenen wie folgt konfiguriert:
    VLANs habe ich mit "no" bestätigt, somit existieren keine VLANs.
    Die 1. LAN-Port habe ich für den WAN-Port definiert. Der WAN-Port hat bei mir eine statische IP bekommen. Der Gateway hat ebenfalls die gleiche IP.

    Der 2. LAN-Port ist als DMZ. Dort ist DHCP ausgeschaltet. Hat ebenfalls eine statische IP der zu gleich auch die gleiche IP für den Gateway definiert ist.

    Der 3. LAN-Port ist mein "LAN"-Anschluss. Da habe ich DHCP aktiviert und ebenfalls für den Gateway und DHCP IPs vergeben.

    Der 4. LAN-Port ist bei mir der WLAN-Anschluss. Dort ist DHCP auch aktiviert und entsprechend dort IPs vergeben.

    Für alle 4 Schnittstellen habe ich quasi 4 unterschiedliche IP-Netze vergeben und alle Schnittstellen haben jeweils eine eigene Gateway-IP adressen.

    Ich hoffe, ich konnte für die Hilfen die benötigten Informationen euch geben.

    Gibt es irgendwo eine vernünftige deutsche Dokumentation, wo man die Grundlegende Sachen als Beispiel sich anschauen könnte?
    Bisher konnte ich Dokumentationen im Internet finden, wie man die Grundinstallation durchführt, aber nicht wie man die Firewall konfiguriert.

    Ich wäre euch sehr sehr Dankbar, wenn ihr mir helfen könntet.
    Bedanke mich im Voraus für die Mühe.

    Mit freundlichen Grüßen
    Daniel



  • Hi,

    wenn du keine Firewallregel erstellt hast, sollte nur Traffic vom LAN aus gehen, da diese automatisch erstellt wird (reine Mutmaßung). Alle anderen Traffic-Quellen sind dann tot.
    Für jeden Port außer WAN solltest du mit den angehängten Regelsatz starten, wobei die erste Regel auf deinem LAN Port schon existieren sollte und nur dort nötig ist.

    Gruß
    pfadmin




  • Hallo Pfadmin,

    danke für die schnelle Hilfe.

    Ich habe kein Regel erstellt, alles ist beim Grundeinstellung soweit und es funktioniert trotzdem nicht. Ich kann kein "ping -a google.de" setzen. Es scheitert immer.

    Laut deinem Screenshot, habe ich diese mit meinen verglichen und muß sagen, dass ich da kein unterschied erkennen kann. Die 3 Zeilen sind haar genau bei mir auch so vorhanden.

    Woran kann das sein und warum funktioniert das nicht.
    Habe zum testen den WAN-Port auf mein funktionales Netz angehängt und dem WAN über DHCP IP vergeben lassen.
    Leider funktioniert es trotzdem nicht.

    Ich werde Wahnsinnig. Warum funktioniert das nicht. Bin schon seit über 1 Woche mit dem Hardware/Firewall zugange und habe nichts erreicht.

    Ich bitte um Hilfe. Ohne euch habe ich 0 Chancen.

    Mit freundlichen Grüßen
    Daniel



  • *Du hast den unterschiedlichen physikalischen Ports unterschiedliche Interfaces vergeben (WAN, LAN1, LAN2 usw,)
    *Du hast keine Bridges eingerichtet
    *Du hast unterschiedliche IP Netze jeweils auf den Interfaces vergeben, manchmal mit und manchmal ohne DHCP Server. Die Interface haben eine IP aus dem jeweiligen Subnet bekommen (bitte exemplarisch ein Screenshot)
    *Du hast jeweils ein Gateway und DNS vergeben  ->> Falsch!  Die Ip, die du dem Interface vergeben hast, ist das Gateway/DNS für die Clients an dem jeweiligem Adapter

    Kommen wir dem so näher?

    Gruß
    pfadmin



  • @pfadmin:

    *Du hast den unterschiedlichen physikalischen Ports unterschiedliche Interfaces vergeben (WAN, LAN1, LAN2 usw,)

    Ja habe ich.

    @pfadmin:

    *Du hast keine Bridges eingerichtet

    Wie richte ich das ein?

    @pfadmin:

    *Du hast unterschiedliche IP Netze jeweils auf den Interfaces vergeben, manchmal mit und manchmal ohne DHCP Server. Die Interface haben eine IP aus dem jeweiligen Subnet bekommen (bitte exemplarisch ein Screenshot)

    Ich füge hierzu mehrere Screenshots ein.

    @pfadmin:

    *Du hast jeweils ein Gateway und DNS vergeben  ->> Falsch!  Die Ip, die du dem Interface vergeben hast, ist das Gateway/DNS für die Clients an dem jeweiligem Adapter

    Aha und wie muss ich da was eingeben?
    In der Konsole musste ich ja für jeden Adapter eine Gateway-IP-Adresse eingeben.
    Sollte ich die anderen Gateways entfernen?

    MfG
    Daniel














  • Ok, keine Bridge einrichten!

    Upstream Gateway muß raus!

    Firewallregeln müssen auch bei DMZ und WLAN rein!

    Die beiden 192.168.x dürfen nicht im gleichen Subnet sein. Also bei /24 muß das x unterschiedlich sein.



  • Könnt Ihr mir sagen was in der Konsole diese komische ausgabe bedeutet?
    Siehe Screenshot.

    MfG
    Daniel




  • Dein WLAN kommt nicht hoch…



  • @pfadmin:

    Ok, keine Bridge einrichten!

    Upstream Gateway muß raus!

    Firewallregeln müssen auch bei DMZ und WLAN rein!

    Die beiden 192.168.x dürfen nicht im gleichen Subnet sein. Also bei /24 muß das x unterschiedlich sein.

    Wo genau muss Upstream Gateway raus?

    Habe ich bereits gefunden - Danke  :)

    Wie genau setze ich den Regel auch bei DMZ und WLAN?
    Könntest du mir Schritt für Schritt eine Beschreibung geben?
    Habe echt keine Erfahrung hier bei.

    Okay normalerweise war das mit dem WAN + DHCP ein Test. Bei WAN kommt eine statische IP rein …



  • Oh okay und wieso kommt mein WLAN nicht hoch?
    Was müsste ich dafür tun?



  • WLAN weiß ich nicht.

    https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html

    Ein bischen mußt du schon selbst machen. Klick auf Firewall Rules/DMZ/Add Rule * * * * *  (alles erlauben egal woher) speichern geht.



  • Upstream Gateway habe ich bereits raus genommen.
    Firewallregel für DMZ und WLAN kümmere ich mich später.
    Wichtig ist erst einmal LAN->WAN->Internet.

    Die Subnets sind auch unterschiedlich.

    Es funktioniert aber trotzdem nicht  :'( :'( :'(



  • Nimm noch die eine Regel aus dem WAN raus, solange du einen Router davor hast. Dort ist ja auch ein nicht öffentliches IP-Netz…

    Beim WAN Interface sind unten zwei Haken, die rausnehmen. Die genannte Regel ist eine automatisch erstellte.



  • Okay das habe ich alles gemacht.

    Nun bin ich einen kleinen Schritt weiter gekommen.
    Der Ping, kann die DNS auflösen, jedoch bekomme ich als Resultat ständig "Zeitüberschreitung" …

    Was kann es noch sein, was das ganze blockiert?
    Bitte um Hilfe.

    MfG
    Daniel



  • "ping -a google.de" ist eigentlich nicht so gedacht. ping google.de wäre richtig oder ping -a 8.8.8.8

    Es funktioniert aber trotzdem.

    Da du den WAN Port als WAN Port eingerichtet hast, läuft das Ganze mit NAT und alles dicht von außen.

    Schau dir die LOGS an, speziell die FW logs, evtl könnte bei deiner Bastelei auch einmal Werkseinstellungen helfen oder ein einfacher reboot…

    Gruß
    pfadmin



  • Hallo Leute,

    ich habe es geschafft …
    Es funktioniert.
    Das problem lag einzig und allein, dass nur WAN einen Gateway haben darf und alle anderen kein Gateway.

    Jetzt muss ich irgendwie WLAN zum laufen bringen.

    Mit freundlichen Grüßen
    Daniel



  • Ja, das mit mit dem Gateway hattest du aber schon als erledigt gemeldet! Es darf kein Gateway drin stehen. Nur das WAN braucht ein Standard-Gateway. Ist auch logisch, da die pfsense ja alle angeschlossenen Netze kennt und die Clients jeweils die IP Ihres pfsense-Anschlusses als Default-Gateway nutzen. Die Pfsense muß dann nur noch wissen, wohin mit Paketen deren Zielnetz sie nicht kennt. Und das ist dann das WAN-Default Gateway.

    Die Firewallregeln für DMZ und WLAN sind für diese dann aber trotzdem noch nötig.

    Gruß
    pfadmin



  • Hallo Pfadmin,

    ja ich dachte bzw. habe es so verstanden, dass ich nur bei dem einen den Gateway raus nehmen sollte.
    Ja im Nachhinein wo du es sagst und ich es dank deine Hilfe gelöst habe, scheint alles nun logischer zu sein, wenn man das genauer sich betrachten würde.

    Allerdings stehe ich nun vor einer anderen Problematik.
    Mein WLAN habe ich zwar zum laufen bekommen aber kann meine Geräte nicht mit dem WLAN verbinden.
    Der Zugang ist soweit vorläufig offen.
    Ich bekomme als Resultat folgendes angezeigt: "Netzwerk wegen langsamer Internetverbindung deaktiviert"

    Was genau kann es sein?
    Habe auch "Captive Portal" aktiviert, WLAN ist auf 802.11ng gestellt.
    Mode = Access Point.
    Minimum wireless standard = any.

    Bei Captive Portal habe ich folgende Einstellungen:
    Interface = WAN, WLAN (selektiert) .

    Wenn ihr Screenshot braucht, kann ich diese hier gerne hochladen …

    MfG
    Daniel



  • Hallo Leute,

    auch dieses Problem mit der WLAN habe ich gelöst.
    Ich danke euch für die Unterstützung.

    Gruß
    Daniel



  • Und die Lösung wolltest du nicht zur Verfügung stellen, weil sie so peinlich ist  ::) ?

    Gruß
    pfadmin



  • Hallo Pfadmin,

    klar würde ich gerne die Lösung zur Verfügung stellen, aber ich weiß nicht woran es gelegen hat.
    Es hat einfach funktioniert.

    Peinlich braucht eigentlich nichts hier im Forum sein.
    Man lernt nie aus und dafür gibt es ja diese Plattformen.

    Aber ich danke dir für deine Hilfe.

    Aber mal was ganz anderes:
    Ich komme bei der Proxy Einstellung nicht ganz klar.
    Sollte ich dafür einen neuen Thread eröffnen oder kann ich das hier niederschreiben?

    Gruß
    Daniel



  • Naja, es gibt schon peinliche Sachen ;D

    Mach einen neuen Thread auf!

    Gruß
    pfadmin



  • Hehe, okay dann glaube ich dir mal als Erfahrener hier im Forum.  ;D ;D

    Okay dann mache ich das mal  ;)

    Gruß
    Daniel