[gelöst ]Keine Internetverbindungvon LAN ins Internet



  • Hallo zusammen,

    ich habe keine Internetverbindung von LAN ins Internet.

    Netzwerkkonfiguration:
    www–-> FB -->              FW -->                                pfsende --Cleint
                192.168.0.1        192.168.0.2 --> WAN          192.168.2.2 WAN
                                          192.168.2.1  --> LAN1      192.168.4.1 LAN
                                          192.168.3.1  --> LAN2

    Der pfsense Server ist nur so zu Testzwecken intrigiert. Er zieht später in das vorhandene Netz um.

    Die FW Regel in PFsense wurde automatisch gesetzt.
    Ping von Wan ins www geht von LAN nicht.

    Viele Grüße

    Mike



  • Moin,
    FW-WAN und FB-LAN sind evtl nicht im gleichen SUBNetz. Das sieht man leider nicht, wenn du es nicht hin schreibst.

    Gruß
    pfadmin


  • LAYER 8 Moderator

    pfSense WAN Interface: da du dort nur mit privaten Adressen rummachst - Ist der Haken bei RFC1918 Blocks raus?



  • Moin zusammen,

    in der Zeichnung hatte ich in der Tat einen Fehler drin. Danke für den Hinweis

    In pfsense hatte ich testweise beide HAcken unter LAN und Wan bei Reserved Networks herausgenommen. Dennoch kein Netz.

    Unter Static IPv4 Configuration ist für die WAN Schnittstelle konfiguriert.
    Ein IPv4 Upstream gateway ist dort nicht vorhanden, kann das der Fehler sein?

    Gruß
    Mike


  • LAYER 8 Moderator

    Du hast das WAN ohne Gateway konfiguriert? Und wohin soll die pfSense dann ihren Traffic schicken!? Natürlich muss auf dem WAN ein Gateway angegeben werden! Das Interface der Firewall an der sie dranhängt wie bei jedem anderen Client in diesem Netzabschnitt.

    Grüße



  • Betrifft das GW der LAN Schnittstelle.
    Ich kenne es von anderen FW Produkten, dass nur ein GW konfiguriert wird. (WAN Only)

    Somit hatte ich zu Testzwecken keins eingetragen, was auch keine kommunikation ist WAN lieferte.

    Ich habe den pfsense selbst als GW eingetragen (LAN Schnittstelle 192.168.4.1) - funktioniert auch nicht.

    Ein weiterer Test mit Schnittstelle worüber auch die Clients ins Netz gehen verlief auch negativ. (192.168.2.1)

    WAN Schnittstelle zieht sich über DHCP die reservierte IP Adresse.

    Diagnose Ping über WAN OK
    Diagnose Ping über LAN scheitert.

    Die Verbindung von LAN in das WAN Netz zur Schnitstelle der vorhanden FW funktioniert auch nicht.
    Vielleicht stimmt eine Route nicht.

    Hoffe ihr könnt mir etwas  helfen.

    Viele Grüße

    Mike



  • @Mike162:

    Ich kenne es von anderen FW Produkten, dass nur ein GW konfiguriert wird. (WAN Only)

    Somit hatte ich zu Testzwecken keins eingetragen, was auch keine kommunikation ist WAN lieferte.

    Ich habe den pfsense selbst als GW eingetragen (LAN Schnittstelle 192.168.4.1) - funktioniert auch nicht.

    Wenn Du es von anderen Produkten so kennst, wieso machst Du hier alles erdenkliche scheinbar anders?

    Was hast Du jetzt bei pfSense als def.Gateway stehen?
    Was hat Dein Klient hinter pfSense als def.Gateway stehen?

    @Mike162:

    WAN Schnittstelle zieht sich über DHCP die reservierte IP Adresse.

    Ich kenne pfSense nicht gut genug, halte das aber für keine besonders gute Idee.

    Und damit wäre jetzt noch interessant was für Routing hast Du auf dem "FW Gerät" eingetragen

    Tobi



  • Wenn Du es von anderen Produkten so kennst, wieso machst Du hier alles erdenkliche scheinbar anders?

    Weil andere Produkte anders arbeiten und diese Einstellungen wie unten beschrieben eben nicht vorhanden sind..

    Was hast Du jetzt bei pfSense als def.Gateway stehen?

    WAN GW ist die vorhandene FW. was ja auch sauber funktioniert.

    Ping WAN ins Internet kein Problem.

    Der Cleint hat die LAN Schnittstelle als GW drin.

    WAN von DHCP auf statisch geändern.
    Keine veränderung.

    NAch wie vor keine Netzwerkverbindung von LAN auf das WAN Netz möglich.

    Mike



  • Welche Rules hast du auf der Lanschnittstelle der pfsense? Als nächstes sollten wir deine Einstellungen sehen, also screenshots..



  • Hi anbei die Rules.

    Gruß

    Mike






  • Die FW kennt dein LAN Netz hinter der pfsense nicht, falls die pfsense kein NAT macht-> Route zu 192.168.4.1 in FW eintragen

    Ansonsten nirgends ein Gateway in die pfsense eintragen, außer im WAN Interface die FW als default Gateway.



  • HAbe herausgefunden, dass die WAN Schnittstelle auf Pingabfragen blockt. Wie bekomme ich das hin, dass die Pings und Traffic ins WAN gelassen werden?

    Oder ist die heransgehensweise falsch?



  • @Mike162:

    Weil andere Produkte anders arbeiten und diese Einstellungen wie unten beschrieben eben nicht vorhanden sind..

    Im Moment reden wir über nichts was pfSense spezifisch wäre sondern um ganz normale Netwerkkommunikation -> wer was kennen muss damit eine Kommunikation möglich sein kann.

    Du hast die Frage nach dem Routing auf Deinem "FW Gerät" unterschlagen.

    Und ja normale Firewalls so wie ich die kenne, blocken erst alles. Aus dem Grund hast Du auf pfSense die "Anti Lockout Rule". Ergo icmp will auch erlaubt sein.

    Und sehr viele von den Sachen findest Du in im pfSense log.


  • LAYER 8 Moderator

    HAbe herausgefunden, dass die WAN Schnittstelle auf Pingabfragen blockt. Wie bekomme ich das hin, dass die Pings und Traffic ins WAN gelassen werden?

    Das WAN der pfSense ist auch irrelevant. Du schreibst immer LAN Clients HINTER der pfSense gehen nicht. Jetzt willst du das WAN eingehend aufmachen -> wozu? Warum soll jetzt Traffic vom WAN reingelassen werden? Ich dachte nur deine Clients sollen raus!?

    Ansonsten überprüfe mal bitte deine (Outbound) NAT Einstellung noch.



  • @JeGr:

    Das WAN der pfSense ist auch irrelevant. Du schreibst immer LAN Clients HINTER der pfSense gehen nicht. Jetzt willst du das WAN eingehend aufmachen -> wozu? Warum soll jetzt Traffic vom WAN reingelassen werden? Ich dachte nur deine Clients sollen raus!?

    Er schreibt ja auch ein wenig "wirr". Ich verstehe seine Aussage so, dass er von einem Klient HINTER pfSense die WAN Schnittstelle der pfSense nicht anpingen kann, weil "keine icmp Rule".



  • Sorry für die verwirrung….

    Ich habe nun einwenig Protokolle gesucht um etwas klarheit zu bekommen.

    Zum einen kann ich von der normalen FW den  PFsense auf der WAN Schnittstelle nicht erreichen.
    Clients die sich im gleichen Netzsegment befinden erreiche ich ohne Probleme

    Zum anderen funktioniert die Inernetverbindung vom Pfsense und vom Client der an der LAN Schnittstelle hängt nicht.
    Ein Ping vom Client auf die FW funktioniert hingegen.

    Habe auch Clients VOR im gleichen Netz wie die WAN Schnittstelle vom Pfsense da geht ping nicht.

    Dachte die 2 Probleme hängen irgendwie zusammen....
    Ziel ist es das die Clients HINTEr dem pfsense ins Netz kommen.


  • LAYER 8 Moderator

    HINTER pfSense die WAN Schnittstelle der pfSense nicht anpingen kann, weil "keine icmp Rule".

    Das passt dann aber nicht, das Regelset sagt klar auf den LAN: any any. Regeln auf dem WAN Interface sind nur nötig wenn Verbindungen von außen initiiert werden, nicht für Antwort auf dem Weg, das ist durch Stateful abgedeckt.

    Zum einen kann ich von der normalen FW den  PFsense auf der WAN Schnittstelle nicht erreichen.

    Legitim. Die pfSense sieht das als WAN und WAN Verbindungen sind verboten per default.

    Zum anderen funktioniert die Inernetverbindung vom Pfsense und vom Client der an der LAN Schnittstelle hängt nicht.

    Also kommt weder die pfSense noch die Clients dahinter an deiner vorgeschalteten FW vorbei? Dann würde ich da mal sehen warum.



  • Das passt dann aber nicht, das Regelset sagt klar auf den LAN: any any.

    Stimmt

    Wir wissen aber nach wie vor nicht ob seine FW das Netz hinter pfSense kennt.

    @Mike
    Deine letzte Antwort hatte zumindest mir nicht mehr Klarheit verschafft.

    Im ersten oder 2-ten Post schreibst Du "ping von WAN ins www geht". Damit sollte es auch von pfSense funktionieren - außer auf der "FW" ist nicht das Netz sondern einzelne IP Adresse freigeschaltet.

    Dass du von "Außen" die WAN Schnittstelle der pfSense nicht anpingen usw. kannst ist normal. Um das zu ermöglichen musstest Du auch Regelwerk an die WAn Schnitstelle legen - das willst Du aber nicht.

    Damit kommt man zu den 2 Sachen

    • Routing auf der FW
    • Freischaltungen auf der FW


  • Hallo zusammen,

    Vielen Dank für eure Hilfe Lösung gefunden.

    Es waren mehrere Einstellungen falsch.
    Neuinstallation und dann Stück für Stück Testen hat das Ziel nun erreicht.


Log in to reply