DHCP Static Mappings Problem



  • Hallo,

    Nach langem überlegen will ich mir mal eine pfSense-Kiste zusammen basteln, die Router vom ISP taugen ja nichts…. Hitron.....
    Beim testen von statischen DHCP/IP Mappings ist mir aufgefallen das der Client, in meinem falle ein Windows (10) Laptop, der die IP zugewiesen bekommt danach nicht mehr in's Internet kann (keine Verbindung), sogar noch nichtmal mehr auf die Web-Oberfläche von pfSense zugreifen kann.

    Hab ich irgendwo etwa vergessen? DNS Resolver? Oder gar ganz wo anders?

    Vielen Dank!  :)



  • Hi,

    @Mitzsch:

    Hab ich irgendwo etwa vergessen? DNS Resolver? Oder gar ganz wo anders?

    ich muss zugeben, das Modul was auf pfSense läuft kenne ich nicht.
    Meine Vorgehensweise wäre:

    1. Hat der Klient eine IP bekommen und wenn ja mit welchen Informationen (ipconfig /all)
    2. Kann ich mit dem Klient sein default Gateway anpingen

    3. Wenn Du schreibst dass der nicht sorfen kann und die WEB-Seite von pfSense nicht aufrufen kann, wurde ich fast vermuten, mit der Namensauflösung passt was nicht. Vorausgesetzt die Punkte 1 und 2 sind richtig bzw. funktional.

    Tobi



  • Danke, für deine Antwort

    Ja, IP mit allen Informationen hat er, es ist auch die Statische die er zugewiesen bekommen sollte.
    Anpingen des Gateways endet in 100% Package Lost. :( Keine Verbindung

    Das kurriose ist, habe es heute mal mit meinem kleinen Linux NAS probiert, das man noch auf das WebUI des NAS connecten kann, auch wenn er seine statische IP erhalten hat. Aber er kann nichts aus dem Internet laden. (No Connection)

    Danke :)



  • Moin,

    wenn Du die Kiste frisch aufsetzt sind eigentlich alle Regeln soweit eingerichtet das Du einen normal funktionierenden Internetzugang erhältst, und auch via Web administrieren kannst. Was hast Du danach geändert? Statisches Mapping benutze ich einem VLan, funktioniert stressfrei. Ein Tippfehler im Mapping wurde bei einem Test hier sauber abgefangen: " The following input errors were detected:  The IP address must lie in the LAN subnet." Hast Du Firewall Regeln gelöscht? Ich hatte mal fehlende Konnektivität weil ich ein Interface mit einer /32 angelegt hatte, aber da gab es auch keine IP  8)…

    Kannst du denn von der pfSense den Client anpingen? Kannst Du von der pfSense externe Server anpingen? Bei den Einstellungen zum Interface hast "Block private networks and loopback addresses " nicht aktiviert?

    Welche genaue Version hast Du installiert?

    -teddy



  • Nach der Installation von pfSense 2.3.2_1 habe ich nichts weiter gemacht. Internet hatte ich auch auf allen Geräten. Den Firewall-Regel-Tab hab ich garnicht erst angefasst. ;)
    "Block private networks and loopback addresses " ist auch aktiv (auf dem WAN, auf dem LAN-Interface ist es aus, da geht's ja auch net)

    Ob pfSense den Client anpingen kann werde ich nochmal testen. pfSense kann auch externe Server anpingen, das funktioniert wunderbar. :)
    Kann es an meinem DHCP Pool liegen?, der ist relativ groß. (192.168.0.40 - 192.168.1.254) Ein /16 Netzwerk ;D Wäre es besser ihn in mehrere Pools aufzuteilen?
    Die IP's für den Rechner mit der statischen IP liegen natürlich außerhalb des Pools, im Pool geht ja net.

    Danke!



  • Hi,

    ich würde mal deine Subnetzmasken kontrollieren. Dein Pool sieht eher nach einem /23 Netz aus.
    Evtl. liegt der Fehler da.



  • Oh ok, Danke
    Wie wenn man ein /16 Netzwerk nimmt muss man den Pool auch komplett verwenden?
    Also man kann nicht einfach nur einen Teil davon nehmen ?, so wie bei mir. (192.168.0.40 - 192.168.1.254) Oder habe ich da was falsch verstanden?

    Danke! :)



  • Nein, Du kannst den Pool beliebig gross machen. Eine /16 Broadcast Domain würde ich aber nicht unbedingt bauen, da ist hinterher ein wenig zuviel los, wenn Du die wirklich füllst. Besser kleinere Netze und routen.



  • Nein Komplett muss nicht sein, aber ich würde in dem Fall gleich ein Class B Netz nutzen -> 17.16.X.X.
    Ist irgendwie übersichtlicher.


  • LAYER 8 Moderator

    Also "Class" Netze spielen heute doch eigentlich nirgends mehr eine Geige. Eher die Frage wieviel Adressen eben machbar sind.

    @OP: Ich würde ggf. überdenken ob ich ein /16 von der Masse her wirklich brauche und hinterfragen warum. Auch und gerade in Hinblick auf v6 ist solch eine Riesen Broadcast Domain mehr als ungeschickt und sollte vermieden werden. Oft genug ist es lediglich Faulheit oder Unwissen, wie man mit VLANs und kleineren Netzen wesentlich mehr erreichen kann. :)

    Grüße



  • Also Danke erstmal :)
    Habe es nochmal überdacht bleibe jetzt bei einem /22. Das sollte ja noch übersichtlich sein. Ein /16 Netzwerk ist wirklich etwas heftig.
    Zurück zu meiner ursprünglichen Frage, da habe ich weiter getestet und bin auf folgende Dinge gestoßen. Wenn man dem Client eine IP mit 192.168.1.xxx zuweist funktioniert alles (Internet ist da, kann andere Clients anpingen und lässt sich anpingen), wenn man jedoch eine IP wie zb 192.168.0.xxx zuweist funktioniert es nicht mehr. (Kein Internet, lässt sich aber ohne Probleme anpingen, jedoch kann er nichts anpingen). Das verwundert mich irgendwie. Pool habe ich auch schon mehrfach geändert,sowie die Adresse worüber das WebUI erreichbar ist (Von 192.168.1.1 auf 192.168.0.2 (welches ohne Probleme funktioniert hat)) in der Hoffnung das es daran liegt. Aber nichts. Es ist erstmal gut das etwas funktioniert, trotzdem wäre es schön wenn es
    auch mit 192.168.0.xxx… IPs funktionieren würde. Habt ihr da ne Idee?

    Danke! :)



  • Hi, wie wäre es, wenn du zunächst mal ganz klassisch bei 192.168.0.0/24 bleibst. Viel kann man nämlich nicht falsch machen bei einer frischen pfsense.

    Gruß
    pfadmin


Log in to reply