[gelöst] Kein Zugriff aub Web-Interface (Web-IF)



  • Hallo zusammen,

    bin pfsense Neuling.

    Bei mir tritt folgendes Problem auf:
    Installtion ist sauber alles läuft OK, Updates wurden auch erfolgreich über das Menü eingespielt.
    Die Konfiguration der WAN Karte lief auch super einfach. Anschließend habe ich zugriff auf das WEb IF.
    Sobald die LAN Karte konfiguriert wird in einem anderen Netz ist das Web IF weder aus dem LAN noch aus dem WAN Netz erreichbar.

    Zur Konfiguration des Netzes

    WWW –> FB (feste IP) --> FW --> PFsense -->

    die Clients hängen an der FW
    Der DHCP und DNS hängt in der DMZ der normalen FW was auch funktioniert.

    Könnt ihr mir da weiterhelfen?

    Viele Grüße

    Mike



  • Hallo Mike162,

    Also erstmal hast du keinen Zugriff über WAN auf pfsense, es sei denn du hast eine Regel erstellt. Nach der installation geht das nur über die LAN Schnittstelle.

    Was verwendest du denn für eine Hardware, wie viele Schnittstellen und in deiner Darstellung verstehe ich nicht so ganz was für eine Firewall zwischen FB und Pfsense gehört.



  • Hallo,
    der Zugriff auf WEb IF über WAN funktioniert nach der Installation.
    Hatte nur WAN konfiguriert.

    Sobald die LAN Schnittstelle konfiguriert wird habe ich kein Zugriff auf Web if.

    Als Hauptrouter wird ein Fritzbox verwendet, dahinter steht eine Firewall und dahinter pfsense.

    Als HW für pfsense wird ein Desktop PC mit 2 Nics verwendet.

    Gruß

    Mike



  • Dann musst Du den zum Zugriff benutzten Rechner jetzt an die LAN Schnittstelle der pfSense klemmen.



  • Hab 2 Rechner an dem pfsense hängen.
    Mit beiden komme ich nicht mehr dran wenn die LAN Schnittstelle aktiv und konfiguriert ist.


  • Moderator

    Als Hauptrouter wird ein Fritzbox verwendet, dahinter steht eine Firewall und dahinter pfsense.

    :o Sorry aber was gibt das denn für ein Konstrukt? Eine Fritz - mit Filter - dann noch eine Firewall und dann dahinter noch pfsense als Firewall? Bisschen chaotisch, oder?

    Die Konfiguration der WAN Karte lief auch super einfach. Anschließend habe ich zugriff auf das WEb IF.

    Warum "Installation" der WAN Karte? Ist das WAN auf einer extra Hardware? Oder onboard? Was ist mit dem LAN? Und warum wird die LAN "Karte" hinterher installiert? Fragen über Fragen…

    Normales Vorgehen ist ja bei der Installation:

    • Beide NICs werden erkannt
    • Welche ist WAN? xy0
    • Welche ist LAN? xy1
    • speichern
    • fertig

    Dann ist auf LAN 192.168.1.1 und DHCP konfiguriert, auf WAN ist DHCP an. Damit kann man dann problemlos konfigurieren, indem man aufs LAN einen PC hängt, wartet bis er eine IP bekommen hat und dann die IP der pfSense aufruft.

    Irgendwie hab ich die Vermutung, dass du da was ganz anderes gemacht hast?

    Gruß



  • Als Hauptrouter wird ein Fritzbox verwendet, dahinter steht eine Firewall und dahinter pfsense.

    :o Sorry aber was gibt das denn für ein Konstrukt? Eine Fritz - mit Filter - dann noch eine Firewall und dann dahinter noch pfsense als Firewall? Bisschen chaotisch, oder?

    Ja genau eine Fritzbox als Hauprouter da ich ein KAbelanschluss habe geht das nicht anders.
    Das ist kein Konstrukt, wenn man mehr als 10 Netze zu administrieren hat geht das manchmal nicht anders.
    Dienormale FW bitetet leider kein Captive Portal, somit wird dafür pfsense eingesetzt.

    Die Konfiguration der WAN Karte lief auch super einfach. Anschließend habe ich zugriff auf das WEb IF.

    Warum "Installation" der WAN Karte? Ist das WAN auf einer extra Hardware? Oder onboard? Was ist mit dem LAN? Und warum wird die LAN "Karte" hinterher installiert? Fragen über Fragen…

    Mit Installation war legendlich die Installation von pfsense gemeint.
    Die WAN Karte ist im gleichen Client PC (on Board)
    LAN Karte ist als PCI Karte eingesetzt.

    Die LAN Karte habe ich hinterher installiert, da ich wie bekannt dannahc kein Web IF habe.
    HAtte gedacht da ist was bei der Install schief gelaufen als neuinstalliert.

    WAN ist DHCP aus, da dieser da nicht notwenig ist.

    habe im WAN halt mehrer Clients hängen und im LAN Bereich hängt ein PC.

    Ich hoffe ich konnte etwas Licht ins dunkle bringen. Sorry für mein etwas nicht nach zuvollzihendes vorgehen.



  • @Mike162:

    Fritzbox als Hauprouter da ich ein KAbelanschluss habe geht das nicht anders.

    Schade, dann durfte das bei mir also nie funktioniert haben, als ich noch einen Kabelzugang hatte.
    Natürlich funktioniert das auch allein mit Kabelmodem und pfSense. Zumindest bei KD.

    @Mike162:

    Das ist kein Konstrukt, wenn man mehr als 10 Netze zu administrieren hat geht das manchmal nicht anders.

    Gerade bei einem etwas größeren Setup ist doch die vorhergehende Planung wichtig.
    10 Netze über 3 Router zu verteilen ist schon deutlich unübersichtlich. Hinter der pfSense hast Du dann 3-faches NAT???

    @Mike162:

    Die LAN Karte habe ich hinterher installiert, da ich wie bekannt dannahc kein Web IF habe.

    Installiere mal pfSense, wenn in dem Gerät bereits beide NICs eingebaut sind!
    Sonst bekommst Du kein gescheites Routing mehr hin, da die standard Einstellungen nicht funktionieren.
    Mit nur einem Interface muss das zwangsweise neben WAN auch die WebGUI sein, wobei die im Regelfall dort genau nicht liegt sondern ausschließlich im LAN. Das kann man später dann via GUI ändern/einstellen/zugreifbar machen, aber eben erst später über den Zugriff per LAN.
    Wenn Deine pfSense ein regulärer PC ist, dann hast Du doch sicherlich Zugriff auf die Konsole über Monitor und Tastatur, oder?

    Hast Du am WAN der pfSense zufällig einen gemanageten Switch und kannst Du mit VLANs umgehen?

    @Mike162:

    habe im WAN halt mehrer Clients hängen und im LAN Bereich hängt ein PC.

    Du brauchst für EINEN PC ein Captive Portal?



  • @jahonix:

    Schade, dann durfte das bei mir also nie funktioniert haben, als ich noch einen Kabelzugang hatte.
    Natürlich funktioniert das auch allein mit Kabelmodem und pfSense. Zumindest bei KD.

    Wenn er bei Unitymedia ist, bekommt er als Endkunde kein Modem mehr, die teilen an Nicht-Businesskunden nur noch Router aus. Vielleicht könnte man eine selbstgekaufte 6490 in den Bridgemodus versetzen, oder es gibt mittlerweile schon passende Kabelmodems. Letztes mal als ich nachgesehen hab, war da aber noch nix…


  • Moderator

    Wenn er bei Unitymedia ist, bekommt er als Endkunde kein Modem mehr, die teilen an Nicht-Businesskunden nur noch Router aus. Vielleicht könnte man eine selbstgekaufte 6490 in den Bridgemodus versetzen, oder es gibt mittlerweile schon passende Kabelmodems. Letztes mal als ich nachgesehen hab, war da aber noch nix…

    Auch Unitymedia hat mit der Routerfreiheit zu liefern. Wenn du ein Kabelmodem kaufst und das ranhängst muss das gangbar gemacht werden von denen. Ist auch bekannt.
    Anyway...

    Die LAN Karte habe ich hinterher installiert, da ich wie bekannt dannahc kein Web IF habe.

    Und genau das ist/war der Fehler. Du installierst jedes Mal die pfSense mit einem Interface - da steht dann groß und breit, dass dann KEINE Firewall und NAT etc. an ist. Nachdem du dann dein eigentliches LAN installierst und hinzufügst geht immer noch nix, denn von allein stellt sich der Routing Modus nicht ein. Dazu müsste man in System Advanced / Firewall / Disable Firewall rausnehmen und dann alles neu durchkonfigurieren.

    Das ist aber quatsch und bei der Installation von "Karten" kann nichts schief gehen. Die bleiben eingebaut und bei der Installation wird dein Interface gefunden oder nicht. So einfach. Also bitte einmal neu installieren mit BEIDEN Karten aktiv im Gerät, damit auch beide bei der Installation gefunden und zugewiesen werden können. NUR dann ist auch echter Firewall Betrieb aktiv und nicht Routing-only. Und auch nur dann wird auf dem LAN die Anti-Lockout Regel aktiv sein, damit man auf die WebUI zugreifen darf.

    Allerdings stimme ich Chris zu, dein Netz ist schon ziemlich "durchwachsen". Wegen einem Captive Portal eine pfSense aufsetzen? Ist schon ziemlicher Overkill. Warum dann nicht die Firewall hinter der Fritte ersetzen und dann gleich alles (richtig) mit der pfSense machen, anstatt mit 3x NAT und Filtern das Netz zu verkomplizieren?

    Grüße



  • @JeGr:

    Wenn er bei Unitymedia ist, bekommt er als Endkunde kein Modem mehr, die teilen an Nicht-Businesskunden nur noch Router aus. Vielleicht könnte man eine selbstgekaufte 6490 in den Bridgemodus versetzen, oder es gibt mittlerweile schon passende Kabelmodems. Letztes mal als ich nachgesehen hab, war da aber noch nix…

    Auch Unitymedia hat mit der Routerfreiheit zu liefern. Wenn du ein Kabelmodem kaufst und das ranhängst muss das gangbar gemacht werden von denen. Ist auch bekannt.
    Anyway...

    Habe nie was anderes behauptet, es gibt aber halt leider keine Modems am freien Markt. :)



  • @athurdent:

    Habe nie was anderes behauptet, es gibt aber halt leider keine Modems am freien Markt. :)

    ??? Seit wann gibt es denn zB das Cisco DOCSIS3 Kabelmodem nicht mehr?



  • Für 400 Mbit taugt das leider nicht. Aber Du hast recht, Unitymedia hat die Vorraussetzungen nachträglich wohl nochmal korrigieren müssen.
    https://www.unitymedia.de/privatkunden/beratung/info/routerfreiheit/
    Da stand mal "muss" 24/8 Kanäle haben, nun ist es "sollte".
    Ich nehme alles zurück und behaupte das Gegenteil.



  • Es gibt einen Unterschied zwischen "keine Modems" und "taugt nicht für 400 Mbit", zumal bislang von der Geschwindigkeit keinen Rede war.



  • @jahonix:

    Es gibt einen Unterschied zwischen "keine Modems" und "taugt nicht für 400 Mbit", zumal bislang von der Geschwindigkeit keinen Rede war.

    Den Unterschied gab es - zumindest im Hinblick auf die Cisco Modems - bei Unitymedia initial nicht.

    muss das Gerät zum Datenübertragungsstandard DOCSIS 3.0 kompatibel sein sowie 24 Download- und 8 Upload-Kanäle bieten.

    https://blog.unitymedia.de/2016/07/11/freie-routerwahl-bei-unitymedia-kunden-fragen-unitymedia-antwortet/

    Kann man die von Dir empfohlenen Cisco Modems mittlerweile offiziell und neu in Deutschland kaufen? "Kellerfunde" bei ebay.de wären mir persönlich zu heikel, aber da sind die Geschmäcker ggf. verschieden.



  • @athurdent:

    Kann man die von Dir empfohlenen Cisco Modems…

    Keine Ahnung, ich habe keinen Kabelanschluss mehr.
    Und empfohlen habe ich das Modem nicht - lediglich durch eine rhetorische Frage angedeutet, dass es entgegen der Aussage, es gäbe keine Kabelmodems, diese zumindest einmal gab.

    Eine kurze Befragung einer Suchmaschine zeigt, dass es zumindest von Linksys und Netgear entsprechende DOCSIS 3.0 Geräte mit 24x8 Streamt gibt. Das sind vermutlich auch nicht die einzigen Hersteller mit solchen Geräten im Angebot. Ich würde bei Interesse noch bei TP-Link und Arcadyan nachschauen, habe daran jedoch selbst kein Interesse…



  • Guten Morgen,

    danke für die zahlreichen infos…

    Am Kabelmodem kann es definitiv nicht liegen, da eben andere FW Produkte keine Probleme aufweisen.

    Kenne mich mit VLANS aus was letzenendes schon der SW übernimmt.

    Captive Portal benutze ich in der Tat in der Entwicklung -und Testumgebung mit einem PC.
    Wenn der Produktiv geht kommen da natürlcih mehrere dran.

    Werde nun pfsense erneut aufsetzen dann melde ich mich erneut.

    Update
    Pfsense neuinstalliert
    LAN und WAN Schnittstelle über Install routine hinzugefügt bzw konfiguriert
    Optional 1 mit a bestätigt
    VLAN nicht kofiguriert

    –> Zugriff weder von WAN noch von LAN möglich.

    Viele Grüße

    Mike



  • @Mike162:

    LAN und WAN Schnittstelle über Install routine hinzugefügt bzw konfiguriert

    Mich macht das "hinzugefügt" etwas stutzig.
    Im Normalfall werden die Interfaces erkannt und Du musst den Schnittstellen WAN und LAN dann die Interfaces zuweisen. Wie heißen Deine Interfaces (zB igb0 oder em0 oder re1 oder…), sind die auf dem Board oder als Karte eingesteckt?
    ...hoffentlich kommt jetzt keine Antwort mit "USB" ...  ;)



  • Hallo,

    hinzugefügt = zugewiesen.

    Ich habe em0 und Pcn0 zur Auswahl

    em0 soll WAN abbilden und pcn0 LAN (ist eine Kupfer/LWL Karte)



  • Funktioniert pcn0 ansonsten, hast du einen Link, kannst du pingen, … ?
    Nicht, dass die Karte nicht unterstützt wird oder so. Steht die im FreeBSD Hardware guide?



  • Diese Karte ist bei der anderen FW auch verbaut.

    Link ja
    ping nein.

    Wo bekomme ich denn raus ob diese unterstützt wird?
    Kann man dieses trotzdem verwendetn treiber hinzufügen etc?

    Update
    Die Karte ist im Menü der Kartenzuordnung als down gekennzeichnet
    Erkannt wird dieses als AMD PCnet/PCI 10/100 BaseTX
    Genauer Kartentyp lt Typenschild ist AT-2701FTX


  • Moderator

    Du kannst deine eigenen Beiträge auch editieren und ggf. Edits in FETT oder Rot drunterschreiben. Du musst nicht deinen Eigenen Beitrag Full-Quoten…



  • Wenn das Interface "down" ist, dann kannst Du es natürlich auch nicht pingen.
    Kabelproblem? Was sagt der Switchport, zeigt der einen Link? …



  • Moin
    @JEGR Vielen Dank wenn das hier besser gesehen wird gerne..

    Es liegt kein Kabel Problem vor, da anderes OS keine Probleme damit hat bei gleicher Hardware.



  • Mache doch mal einen Screenshot von  Status: Interfaces



  • Hallo,

    hab pfsense nur in einer VM laufen und es funktioniert.

    Zugriff auf Web if 2 Netzwerkkarten anpingbar.

    Nur noch netzwerkprobleme bzw Rule in der LAN Schnittstelle glaube das mache ich als seperaten Eintrag hier auf.

    Vielen Dank



  • Und was war's jetzt?



  • Hi,

    die Vermutung liegt nahe, das die AT 2701 Netzwerkkarte nicht erkannt wird.

    Gruß

    Mike