Gelöst: Probleme mit zwei lokalen Netzen



  • Hallo.

    Hier mal (ganz einfach) mein Netz:

    LAN 1 | 192.168.128.0/24
                |
          .–---+-----. 
          |  pfSense 
          '-----+-----'
                |
            WLAN 1 | 192.168.1.0/24

    Ich habe mein Netz durch die Abschaltung meiner anderen Netze (Netzwerkkarten) auf diese Situation reduziert. Ich möchte von LAN1 ins WLAN1 (und umgekehrt). Alle Regeln, die ich mal hatte sind deaktiviert. Nun habe ich eine neue hinzugefügt (alles aus LAN1 mit Ziel WLAN1 erlauben). Aus LAN1 komme ich bis zur Adresse 192.168.128.254 (ist das Interface LAN1) und im Netz WLAN1 verhält es sich genau so. Nun habe ich gelesen, dass bei lokalen Netzen, also die, die der pfSense bekannt sind, weil sie ja über ein Interface an die Firewall angeschlossen sind, nicht extra eine Route gesetzt werden muss. Ich habe allerdings die Netzwerkkarten vor meinen Versuchen umkonfiguriert, genauer gesagt, ich habe dem Netz WLAN1 über den Menüpunkt "Interfaces / Interface Assignments" eine neue Karte zugeordnet, weil die alte nur eine 100MBit Karte war. War das ein Fehler? Wenn ja, wie kann ich mir ein zweites lokales Netz neu einrichten (mit den vorhandenen Karten).

    Gruß
    Carsten

    Nachtrag: Ich kann doch aus dem LAN 1 die WLAN1 Netzwerkkarte (192.168.1.254) anpingen, aber keinen Rechner in dem Netz.
    Nachtrag2: Von der Firewall aus kann ich die Rechner in den beiden Netzen pingen.



  • Hi,
    Du brauchst keine statische Route zu setzen. Es reicht für den Anfang, um es mal zu testen, eine LAN-Rule IPV4-to-any und eine WLAN-Rule IPV4-to-any. Damit hast Du auch Pings erlaubt.
    Funktioniert das nicht und ein "nmap -v -sn 192.168.89.2" (nmap zu PC im WLAN in meinem Netz)….

    root@orca:/#nmap -v -sn 192.168.89.2
    
    Starting Nmap 7.40 ( https://nmap.org ) at 2017-01-10 10:53 CET
    Initiating Ping Scan at 10:53
    Scanning 192.168.89.2 [4 ports]
    Completed Ping Scan at 10:53, 3.05s elapsed (1 total hosts)
    Nmap scan report for 192.168.89.2 [host down]
    Read data files from: /usr/bin/../share/nmap
    Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
    Nmap done: 1 IP address (0 hosts up) scanned in 3.19 seconds
               Raw packets sent: 8 (304B) | Rcvd: 0 (0B)
    

    …dann könnte eine locale Firewall auf dem Client die Ursache sein.
    Wenn auf Deinen Clients Windows läuft, dann ist hier wohl dessen Firewall aktiv.
    Gruß orcape



  • Hallo.

    Definitiv sind auf allen Rechnern die Firewalls deaktiviert. Ich habe in beiden Netzen die Any Regel eingetragen, keine Veränderung.
    Wenn ich aus dem WLAN-Netz das Gateway (oder halt die Netzwerkkarte - 192.168.10.254) anpinge, dann bekomme ich keine Antwort. Der Ping taucht aber in den Firewall-Logs auf. Nun habe ich versucht, das aus dem Logfile heraus zu erlauben, aber das funktioniert nicht. DIe Regel steht zwar im Regelset, aber der Ping wird weiterhin geblockt und erscheint auch weiterhin im Log. Das Spiel kann ich jetzt ewig wiederholen  :-[



  • Noch zur Info, ich habe die Version 2.3.2-RELEASE-p1 am laufen.



  • Hi,

    Wenn ich aus dem WLAN-Netz das Gateway..
    

    Innerhalb einer LAN-WLAN Verbindung brachst Du kein Gateway. Bei mir ist der einzige unter System-Routing eingetragene GW, das WAN-Interface zum Internet.
    Du musst nur am Client das GW, also die IP des entsprechenden pfSense-Interfaces eintragen.
    Aber was sagt denn "nmap" von WLAN-Client zu LAN-Client, bzw. umgekehrt?
    Gruß orcape



  • @orcape:

    Innerhalb einer LAN-WLAN Verbindung brachst Du kein Gateway.

    Äh, doch, klar!
    Das sind doch verschiedene Subnetze, und alles was nicht im gleichen L3 Bereich liegt muss immer über ein GW geroutet werden. Ob das nun ein weiteres lokales Netz oder eine public IP irgendwo anders ist, das spielt keine Rolle.

    Wenn einem der Hosts das GW fehlt, dann kann dieser zB auch nicht auf ein Ping antworten, da er nicht weiß, wohin die Antwort zurück geschickt werden muss.



  • Das sind doch verschiedene Subnetze, und alles was nicht im gleichen L3 Bereich liegt muss immer über ein GW geroutet werden.
    

    Ich meinte damit keinen Gateway-Eintrag unter Routing. Das jedes Interface auf der pfSense für die Clients in diesem Netz das GW darstellen, ist klar.

    Wenn einem der Hosts das GW fehlt, dann kann dieser zB auch nicht auf ein Ping antworten, da er nicht weiß, wohin die Antwort zurück geschickt werden muss.
    

    Das hatte ich hiermit….

    Du musst nur am Client das GW, also die IP des entsprechenden pfSense-Interfaces eintragen.
    

    …..schon gepostet. ;)



  • Im WLAN Netz werden die Adressen per DHCP verteilt und wenn ich expilizit kein Gateway in der DHCP-Server-Config angebe, wird als Gateway die Adresse der Netzwerkkarte des Netzes mit übergeben. Ein IPCONFIG /ALL an der Windows-Maschine sagt mir, dass es auch geklappt hat.

    Von der Firewall selbst kann ich Adressen in beiden Netzen pingen. Wenn ich von der Firewall ein nmap auf den Rechner im WLAN-Netz mache, dann bekomme ich ein völlig normales Ergebnis (wie man es von einer Windows-Maschine ohne Firewall erwartet).

    Mache ich einen Traceroute von einem Rechner im LAN auf eine Adresse im WALN, dann komme ich genau bis zur Firewall, weiter nicht. Ein Traceroute ins Internet funktioniert tadellos.

    Wie gesagt, sowohl für das LAN als auch für das WLAN gibt es die Any-Regel in den Rules.

    Ich habe meine WAN-Karte nun wieder aktiviert und aus dem LAN komme ich wunderbar ins Internet, jede Regel, die ich eintrage greift. Nur ins WLAN komme ich nicht (und aus dem WLAN nicht in andere Netze). Es ist zum k…  >:(



  • @orcape:

    Ich meinte damit keinen Gateway-Eintrag unter Routing.

    Das ist so wie Du es geschrieben hattest einfach nicht richtig. Du brauchst ein Gateway auch für das LAN-WLAN Routing.



  • Wenn das Windows Rechner sind, dann musst Du der Windows Firewall sagen, dass sie auch Zugriffe aus anderen Netzbereichen zulassen soll. Sonst werden diese blockiert.

    Kannst Du denn vom WLAN aus auf's Internet zugreifen? Funktioniert die Namensauflösung, Ping auf 8.8.8.8, …



  • @jahonix:

    Wenn das Windows Rechner sind, dann musst Du der Windows Firewall sagen, dass sie auch Zugriffe aus anderen Netzbereichen zulassen soll. Sonst werden diese blockiert.

    Die Firewall ist auf allen Clients deaktiviert. Die Windows Maschine lässt sich von der PFSense ja auch pingen, nur eben nicht aus einem anderen Netz.

    @jahonix:

    Kannst Du denn vom WLAN aus auf's Internet zugreifen? Funktioniert die Namensauflösung, Ping auf 8.8.8.8, …

    Nein, ich kann ja nicht mal die Firewall selbst (also das Gateway für das WLAN) pingen.



  • @jahonix

    Das ist so wie Du es geschrieben hattest einfach nicht richtig. Du brauchst ein Gateway auch für das LAN-WLAN Routing.

    Sorry, der einzige Gateway, der unter Routing bei mir eingetragen ist, ist der WAN-Gateway.

     	GW_WAN (default)		WAN 	192.168.219.1 	192.168.219.1 	Interfacewandynamic gateway 
    

    In den 2 NAT/Outbound Rules, die auf Automatic stehen, sind meine Netze (LAN, WLAN, DMZ) aber alle aufgeführt.
    Hier liegt wohl das Problem von @Timeboy-SH.
    Wie sehen die NAT-Outbound-Rules aus?
    Gruß orcape



  • @orcape:

    Wie sehen die NAT-Outbound-Rules aus?
    Gruß orcape

    Habe ich angehängt.
    Colt ist mein ausgehendes Interface.




  • Für die Kommunikation zwischen 2 direkt an der pfSense anliegenden Netze ist doch kein NAT nötig, auch kein Outbound NAT.

    Gegeben müssen sein:

    • Die Netzwerk-Konfiguration aller beteiligten Geräte muss passen (IP, Maske, Gateway (außer pfSense))

    • Die pfSense ist das Standard-Gateway für beide Hosts der Kommunikation

    • Die Firewall-Regeln müssen die Kommunikation erlauben (am eingehenden Interface)

    Ich hoffe, du testet das über IP Adressen und nicht über Hostnamen! Ansonsten kommt auch DNS ins Spiel.

    @Timeboy-SH:

    @jahonix:

    Wenn das Windows Rechner sind, dann musst Du der Windows Firewall sagen, dass sie auch Zugriffe aus anderen Netzbereichen zulassen soll. Sonst werden diese blockiert.

    Die Firewall ist auf allen Clients deaktiviert. Die Windows Maschine lässt sich von der PFSense ja auch pingen, nur eben nicht aus einem anderen Netz.

    Das ist kein gültiges Argument. Wenn du sie von der pfSense anpingst, verwendet die als Quell-IP die Interface-IP, die im selben Subnetz wie der Windows Rechner liegt.
    Pingst du ihn vom anderen Netz aus an, bleibt die Quell-IP (ohne NAT) unverändert und für die Windows-Maschine kommt die Anfrage aus einem "nicht vertrauenswürdigen", weil unbekannten, Netz.

    Du kannst aber bei der pfSesen in Diagnostic > Ping die Quell-Adresse auswählen. Feine Sache fürs Troubleshooting. Nimm da mal die Adresse des anderen Interfaces und schau, ob du eine Antwort erhältst.

    Wenn die Windows Firewall allerdings deaktiviert ist, sollte sie auch nichts blockieren, obwohl, bei Windows weiß man nie.

    Zum Troublshooting mache ein Packet Capture (Diagnostic Menü) auf beiden beteiligten Interfaces, während du einen Ping versuchst. Filtere nach dem ICMP Protokoll, damit nicht so viel Müll im Ergebnis ist.
    Das trifft eindeutige Aussagen.



  • @orcape:

    Sorry, der einzige Gateway, der unter Routing bei mir eingetragen ist, ist der WAN-Gateway.

    ::)
    Du hast nicht antizipiert, dass ich Deine Ausdrucksweise meinte, die so reduziert war, dass die Aussage insgesamt falsch wurde.



  • Moin.

    Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt  ;D Das war kein Problem, da die Firewall eh im Preproduktivstatus war und ich ich die Einstellungen so oft geändert hatte, dass ich bereits Nachts davon geträumt habe  ;) WLAN Netz eingerichtet, Default Rule eingetragen und sofort kam ich aus dem WLAN Netz ins Internet.

    Trotzdem danke für die vielen guten Tipps, ich merke, hier wird einem geholfen.

    Gruß
    Carsten



  • @Timeboy-SH:

    Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt

    Ganz im Gegenteil! Und toll, dass es nun läuft.



  • @jahonix:

    @Timeboy-SH:

    Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt

    Ganz im Gegenteil! Und toll, dass es nun läuft.

    Also ich vermute stark, dass es damit zusammen hing, dass ich die Zuordnung der Karte zum Netz geändert habe. Ich habe neue Karten verbaut und alles einmal durchmischt. Allerdings hat es beim LAN funktioniert und bei den beiden WAN Netzen hat es auch tadellos funktioniert. Warum es ausgerechnet bei dem "WLAN" LAN nicht funktioniert hat, das wissen die Götter (nur dummerweise sagen sie es mir nicht  ;D ).


Log in to reply