Client im Subnetz Firewall/NAT deaktivieren



  • Guten Morgen,

    ich wäre sehr dankbar wenn wir für folgendes Problem eine Lösung finden würden:

    Ich habe ein PC-Engines APU2 Board welches als Router/Firewall (192.168.1.1) dient unter PPoE Einwahl (vom ISP nur durch das Modem gespeist) und Via TP-Link AP kabellos verteilt wird, um mein Heimnetzwerk zu betreiben.

    Alle ans Netzwerk angeschlossenen Geräte laufen wunderbar bis meine bessere Hälfte mit ihren Firmen-Laptop ankam und von zu Hause aus arbeiten wollte. Auf dem Laptop welcher sich über direct acess (via IP HTTPS) mit dem Firmennetz verbindet sind unzählige Programme installiert bzw. werden virtualisiert (SAP Netweaver, SkypeBusiness, diverse Programme welche unter  Microsoft Application Virtualization laufen, VNC und andere hochspezielle ERP Software von denen ich noch nie gehört habe… - Es kommt zu massiven Kommunikationsproblemen/Timeouts der Anwendungen wegen PFSENSE.

    sobald ich mich mit dem Mobiltelefon verbinde funktionieren alle Programme deshalb meine Bitte mir kurz zu erklären wie ich  PFSENSE bestmöglichst einrichten kann um NAT und Firewall für das Subnetz (der Laptop) 192.168.1.13 zu deaktivieren aber gleichzeitig die restlichen Geräte im Netzwerk nicht zu gefährden.

    Ich dachte an folgende Maßnahmen:

    • für die 192.168.1.13 static route einzurichten
    • "Bypass firewall rules for traffic on the same interface" zu aktivieren um "Asymmetric Routing" zu verhindern
    • auf 192.168.1.13 alle ipv6 Regeln zu erlauben und die gesamten ports für TCP/UPD für ipv4
      -  Outbound Nat deaktivieren?

    Vielen Dank!


  • Moderator

    Es kommt zu massiven Kommunikationsproblemen/Timeouts der Anwendungen wegen PFSENSE.

    Nein. Die kommen nicht wegen pfsense. :)

    NAT und Firewall für das Subnetz (der Laptop) 192.168.1.13 zu deaktivieren aber gleichzeitig die restlichen Geräte im Netzwerk nicht zu gefährden.

    Nicht möglich. Du kannst nicht einfach "NAT" abschalten weil du dir das in den Kopf gesetzt hast. Ohne NAT funktioniert dein Netz nicht, weil du - wie du selbst schreibst - eine Einwahlverbindung per PPPOE hast. Punkt. Ohne NAT geht hier gar nichts.

    Es ist im Prinzip auch schnurzpiepegal, welche super-duper-hochspezialisierte-Software auf dem Notebook läuft. Ich bezweifle massiv, dass ein Firmen-Laptop, das SO viele Software wie du beschreibst drauf hat, die auch noch geschützt und blah sind, einfach per Internet arbeitet, sondern ein VPN aufbaut. Somit ist dein einziges Problem zu isolieren, was für ein VPN und warum ggf. das VPN nicht oder nicht richtig läuft. Fertig.

    Ansonsten irgendetwas einfach aus grobem Verdacht und Halbwissen mit Routen rumzukaspern macht dir definitiv mehr kaputt als ganz. Lass es bitte. Weder eine Static Rule noch der "Bypass" für Traffic auf dem gleichen Interface machen im Entfernten etwas, was mit deinem Problem zu tun hat - zumindest nicht nach der Beschreibung - und irgendwas mit V6 erlauben oder zu verbieten oder gar die outbound NAT zu deaktivieren spricht eher davon, dass du nicht weißt was du tust (no offense meant - aber das ist recht offensichtlich). Wie gesagt solltest du eher nachfragen oder schauen, was das Notebook/die Freundin da tatsächlich laufen lassen muss (VPN) und ggf. noch nachsehen, wie deine Regeln vom LAN/WLAN Interface der pfsense aussehen. per default ist hier ja meist eh eine any-any allow Regel eingetragen. Somit wäre eh schon alles erlaubt, es sei denn du hast hier ein ausgefeiltes Set an block Regeln, von dem du uns nichts erzählt hast ;)

    Grüße
    Jens



  • Hm.. danke für die schnelle Antwort und das ordnen der Verhältnisse  :D ich bin bei weitem kein Spezialist, aber sehr Technik-affin und bereit noch zu Lernen bzw. gerade dabei mich Einzulesen.. allerdings stresst sie mich das auf die Reihe zu bekommen und ihr ständig mein Mobiltelefon zu leihen kann nicht die Lösung sein  ::)

    ok, die Verbindung wird durch "direct acess" über das IP-HTTPS tunneling protokoll aufgebaut welches mit ipv6 arbeitet. Auf das Netzwerklauferk des Servers kann ich zugreifen und "My Workplace" zeigt den Status "verbunden" an. Einige Programme funktionieren aber noch nicht alle. Ich muss hier wahrscheinlich die ganzen Prozesse scannen und schauen auf was sie zugreifen wollen bzw. wie sie sich einwählen wollen. Allerdings bei den ganzen ipv6 Adressen kenne ich mich überhaupt nicht mehr aus. Hier werde ich wohl Geduld haben müssen.

    Ich dachte nur dass es evtl. möglich wäre den Laptop Internetverkehr ungefiltert in beide Richtungen (bei aktivem NAT) :-) passieren zu lassen.

    danke


  • Moderator

    Das war weniger als ordnen der Verhältnisse gemeint, sondern nur ein "stop what you're doing!" ;) Außer dass du dir dein Internet absäbelst wäre nämlich nichts passiert und deine "Lösungsansätze" sind einfach komplett grundlegend falsch gewesen, da sie ganze andere Dinge tun als du von ihnen willst.

    allerdings stresst sie mich das auf die Reihe zu bekommen und ihr ständig mein Mobiltelefon zu leihen kann nicht die Lösung sein  ::)

    Das wiederum ist das altbekannte Problem beim WAF :D

    ok, die Verbindung wird durch "direct acess" über das IP-HTTPS tunneling protokoll aufgebaut welches mit ipv6 arbeitet

    http://www.microsoft.com/en-us/download/confirmation.aspx?id=41938
    Direct Access ist relativ neu und schwierig zu debuggen, evtl. mal das Tool von MS selbst runterladen. Ist das ein Windows 10 EE Notebook?

    Und bist du sicher, dass es IPv6 ist? Ich hatte in deiner Aufstellung nichts zu IPv6 gelesen. Ist deine Sense überhaupt mit IPv6 konfiguriert? Ansonsten läuft da gar nix via v6 sondern via legacy IPv4.

    Auf das Netzwerklauferk des Servers kann ich zugreifen und "My Workplace" zeigt den Status "verbunden" an.

    Heißt aber im Normalfall dass die Verbindung steht. Wenn dann was nicht klappt liegts meist an was anderem, sonst gäbe es überhaupt keine Verbindung. Möglich wären, dass DNS o.ä. nicht funktionieren und deshalb die ein oder anderen Programme aus dem Tritt kommen. Das hat aber - wie gesagt - eher weniger bis nichts mit pfsense zu tun.

    Gruß



  • Das wiederum ist das altbekannte Problem beim WAF :D

    hehe, ja die Akzeptanz bei solchen Dingen ist sehr nieder :-)

    Direct Access ist relativ neu und schwierig zu debuggen, evtl. mal das Tool von MS selbst runterladen. Ist das ein Windows 10 EE Notebook?

    Ja, ist ein Windows 10 EE Notebook. Das Tool werde ich probieren sobald ich das Teil wieder in den Händen halte. Danke hierfür.

    Und bist du sicher, dass es IPv6 ist? Ich hatte in deiner Aufstellung nichts zu IPv6 gelesen. Ist deine Sense überhaupt mit IPv6 konfiguriert? Ansonsten läuft da gar nix via v6 sondern via legacy IPv4.

    Ich habe am LAN nur einen DHCP ipv4 Server aktiv der die Leases verteilt. Unter den Netzwerkeinstellungen hat mir das Aktivieren der Option "allow ipv6" und "ipv6 over ipv4" (was das IP-HTTPS Protokoll ja auch macht - Zitat: "transports IPv6 packets across non-IPv6 networks") inklusive der WAN Regel den Ipv6 Verkehr weiterzuleiten (zu Testzwecken) weitergeholfen.

    Möglich wären, dass DNS o.ä. nicht funktionieren und deshalb die ein oder anderen Programme aus dem Tritt kommen
    danke für den Hinweis.


  • Moderator

    Ich habe am LAN nur einen DHCP ipv4 Server aktiv der die Leases verteilt.

    Ist für IPv6 egal, hier wäre DHCP6 zuständig oder SLAAC mit Autokonfiguration wenn es einen Router gibt der v6 spricht und das entsprechend annonciert.

    Unter den Netzwerkeinstellungen hat mir das Aktivieren der Option "allow ipv6" und "ipv6 over ipv4" (was das IP-HTTPS Protokoll ja auch macht - Zitat: "transports IPv6 packets across non-IPv6 networks") inklusive der WAN Regel den Ipv6 Verkehr weiterzuleiten (zu Testzwecken) weitergeholfen.

    Das ist wieder Unverständnis. Die Aussage ist lediglich, dass v6 Daten via Tunnel / DirectAccess eben weitergegeben werden. Das läuft aber dann DURCH den Tunnel und gar nicht mehr an der pfSense vorbei, ergo ist es entweder egal oder DA stellt die Verbindung per v6 her, dann MUSS deine pfSense v6 am WAN und LAN haben und konfiguriert haben. Nochmal: wenn die Sense KEIN v6 kann (auf WAN Seite) dann ist es komplett egal, was du mit irgendwelchen v6 Schaltern einstellst :) Die zitierten Schalter hier sind für völlig andere Zwecke. IPv6 erlauben ist per default immer an und sollte auch NICHT angefasst werden. Das wegnehmen setzt lediglich einen unsichtbaren BLOCK IPv6 ALL Filtereintrag mit dem man nix anfangen kann (IMHO) und daher ist der kontraproduktiv.
    IPv6 über v4 WILLST du nicht. Entweder du hast v6 oder nicht. Einfach irgendeinen local private v6 Matsch via v4 NAT rauszuschieben bringt mehr Probleme als Lösungen. Entweder man fährt v6 (DualStack) oder nicht. Aber nicht irgendwas rumNATten, das führt genau zu solchen Problemen. Bei NAT von v6 in v4 wird zusätzlich der Header draufgesetzt, das Paket zu groß, muss fragmentiert werden, kommt dann in Größenprobleme wegen MTU etc. etc. - will keiner.

    Gruß