Kabelmodem/Zwangsrouter und interne DHCP-Server Probleme mit WAN-IP PFSense



  • Hallo Forum,

    ich habe ein kleines Problem :-) Meine Pfsende-Kiste hängt an einem Kabelmodem und wird von dem Zwangsrouter meines Providers mit einer internen DHCP-Server mit der WAN-IP (Privat) versorgt.

    Ab und an, bekomme ich am Zwangsrouter eine neue öffentliche IP zugeteilt. Soweit auch alles OK -> im gesamten Web-GUI wird die Private WAN IP-Adresse angezeit und per DynDNS wird die öffentliche IP refresht.

    Mein Problem:
    Es kommt ab und an vor, dass durch einen Strom- oder Verbindungsausfall die PFSense WANIP mit 0.0.0.0 keine Verbindung aufbauen kann und somit kein Internet funkioniert.

    Um es besser zu Verdeutlichen das Netzschema:

    WAN / Internet
                :
                : Cable-Provider (Cablesurf-München)
                :
          .–---+-----.
          |  Gateway  |  (or Wlanf-Router CableModem, Technicolor 7200)
          '-----+-----'
                |
            WAN | IP or Protocol  IPV4 und IPV6 Öffentlich OK
                |
    |DHCP am Zwangsrouter auf Range 192.168.0.10 gesetz also eine IP das reicht für die PFSENSE WAN damit auch Portforwarding immer passt.
    |
    PFSENSE WAN 192.168.0.10 DHCP
          .-----+-----.  priv. DMZ  .------------.
          |  pfSense  +-------------+ DMZ-Server |
          '-----+-----' 192.168.1.1 '------------'
                |
            LAN | 192.168.1.0/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients/Servers)

    1. WAN Zwangsrouter und Internet IP sind ok, habe ich mittels Laptop am Zwangsrouter gecheckt.
    2. Der Zwangsrouter horcht auch auf die PFSENSE DHCP WAN IP -> in den Logs sehe ich was von DHCP OFFERS 192.168.1.1 rejected
    3. Über die PFSense Web-Gui schalte ich die Interfaces down und up, bekomme keine DHCP Adresse
    4. Neustart beider Geräte mit der Reihenfolge a, Kabelmodem UP und initialisiert, b, PFSense up; bekomme keine DHCP Adresse
    5. es geht nur wenn ich mit per Shell an der PFSense anmelde und dort den dhclient igb0 ausführe. Dann steht dort das bereits ein Prozess läuft.
    Erst wenn ich diesen kille und danach nochmals den dhclient igb0 ausführe erhalte ich die WAN DHCP IP vom Zwangsrouter.

    Could not deliver signal HUP to process because its pidfile (/var/run/unbound.pid) does not exist, No such process.
    DHCPACK from 192.168.1.1
    bound to 192.168.1.10 -- renewal in 4800 seconds.
    [2.3.4-RELEASE][root@guardian]/var/db: cat /var/run/unbound.pid
    21857
    [2.3.4-RELEASE][root@guardian.]/var/db: dhclient igb0
    dhclient already running, pid: 10301.
    exiting.
    [2.3.4-RELEASE][root@guardian]/var/db: ps 21857
      PID TT  STAT    TIME COMMAND
    21857  -  Ss  0:00.79 /usr/local/sbin/unbound -c /var/unbound/unbound.conf
    [2.3.4-RELEASE][root@guardian]/var/db:

    Im Verzeichnis: /var/db/dhclient.leases

    ist nach dem Befehl: "dhclient igb0" auch wieder eine File da: (Dann geht das Internet wieder und auf der Web-GUI ist auch wieder die PrivateIP an der WAN NIC vorhanden) also auch kein FW-Rule problem.

    lease {
      interface "igb0";
      fixed-address 192.168.1.10;
      next-server 192.168.1.1;
      option subnet-mask 255.255.255.0;
      option time-offset 0;
      option routers 192.168.1.1;
      option domain-name-servers XXXXXXXXX
      option default-ip-ttl 64;
      option dhcp-lease-time 1500;
      option dhcp-message-type 5;
      option dhcp-server-identifier 192.168.1.1;
      renew 2 2017/8/1 17:58:31;
      rebind 2 2017/8/1 18:07:53;
      expire 2 2017/8/1 18:11:01;
    }
    [2.3.4-RELEASE][root@guardian]/var/db:

    Es scheint mir als könnte die PHP Webgui den Prozess im unbound DNS nicht killen und deswegen erhalte ich dann ab und an keine IP an der WAN-NIC der PFSense per DHCP zugeteilt.
    Verstehe nur nicht was das damit auf sich hat.

    Kann das Problem jemand bestätigen, liegt hier an der Web-Gui ein Bug vor?

    System:
    [2.3.4-p1-RELEASE]
    [2.3.4-RELEASE]
    Board PCENGINE APU.2C4 (4 GByte APU2C4 Board und 240 GByte Kingston SSDNow mS200 mSATA SSD)

    Viele Grüße

    Andreas



  • Hallo Andreas, dass Problem kenne ich mit meinem Kabelrouter von Vodafone auch. Bisher hatte immer nur ein Reset des Gerätes und die Installation einer USV das Problem gelöst. Es ist kein Fehler in der pfSense sondern eher im Kabelmodem. Das die Dinger eigentlich nichts taugen, ist ja hinlänglich bekannt. ;-)



  • "Zwangsrouter" wurden doch inzwischen per Gesetz abgeschafft.
    Nimm ein dediziertes Kabelmodem im Bridge-Mode und pfSense dahinter. Kündige, wenn der Provider nicht mitspielen will. Dann kann er plötzlich auch, wetten?!



  • Ich verstehe das nicht so ganz, laut Zeichnung müsste doch eine IP aus 192.168.0.x im WAN vergeben werden und nicht 192.168.1.x?
    Abgesehen davon, was spricht dagegen, der pfSense einfach eine statische WAN IP zu konfigurieren?



  • Hallo

    @Elektronick
    Ja das kann ich bestätigen das Kabelmodem/Router Technicolor kannst in die Tonne treten. So gut Internet auch sein mag über Kabel aber das nervt.

    @jahonix
    Du hast natürlich recht, die Zwangsrouter wurden abgeschafft aber, leider müsste ich mir dazu dann eine Fritzbox Cable holen die kostet auch wieder und diese muss dann vom Provider freigeschaltet werden mit VOIP SIP und Internet. Glaube da war was das das Kabelmodem auch noch per MAC Authentifiziert wird. Naja

    Kündigen ist der hit, also auf einen Telefonanbieter an sich habe ich auch wieder keine Lust. Du hast schon recht die sollten sich bewegen wenn der Kunde mit Kündigung droht aber meiner Erfahrung nach sitzen da nur einfache Supporter die auch nur Ihren Job machen. Die Kündigung ist also keine Drohung das der Kunde unzufrieden ist sondern geht dann hald auch durch ohne das Problem zu lösen.

    @athurdent
    Sorry wenn die Zeichnung nicht ganz eindeutig war. Du hast recht die PFSense erhält anhand der Zeichnung eine 192.168.0.10 vom Kabelmodem als WAN, intern im LAN hat die PFSense 192.168.1.1
    Eine Statische WAN IP habe ich natürlich auch schon probiert. Allerdings habe ich nie eine Internetverbindung erhalten. Ich habe zwar alle Einstellungen die ich per DHCP erthalten habe gespeichert und dann statisch umgesetzt. Auch das GW wurde dann statisch gesetzt.
    Ich konnte aber das Kabelmodem 192.168.0.1 nicht pingen geschweige den das die PFSense darüber eine Verbindung aufbauen konnte.
    Keine Ahnung, das war auch so ein Punkt mit einer Statischen IP wäre das ganze Thema warscheinlich auch durch aber das geht ebenso wenig.
    Habe keine Idee warum.



  • @lordjadencorr:

    @athurdent
    Sorry wenn die Zeichnung nicht ganz eindeutig war. Du hast recht die PFSense erhält anhand der Zeichnung eine 192.168.0.10 vom Kabelmodem als WAN, intern im LAN hat die PFSense 192.168.1.1
    Eine Statische WAN IP habe ich natürlich auch schon probiert. Allerdings habe ich nie eine Internetverbindung erhalten. Ich habe zwar alle Einstellungen die ich per DHCP erthalten habe gespeichert und dann statisch umgesetzt. Auch das GW wurde dann statisch gesetzt.
    Ich konnte aber das Kabelmodem 192.168.0.1 nicht pingen geschweige den das die PFSense darüber eine Verbindung aufbauen konnte.
    Keine Ahnung, das war auch so ein Punkt mit einer Statischen IP wäre das ganze Thema warscheinlich auch durch aber das geht ebenso wenig.
    Habe keine Idee warum.

    Ich würde es nochmal mit der statischen IP probieren. "Block private networks and loopback addresses" Häkchen beim WAN Interface hast Du aus?
    Das wäre schon ein sehr merkwürdiger Router, wenn man dahinter keine statischen IPs verwenden könnte. Mir sowas zumindest bisher noch nie untergekommen.





  • Danke für die Antworten

    "Block private networks and loopback addresses" Häkchen ist an der WAN ist aus.

    Also ich habe mittlerweile alles Probiert,
    das mit der Statischen IP funktioniert einfach nicht, ich weis nicht mehr weiter.

    Das einzige ist wirklich eine Private DHCP Adresse per Kabelrouter zu erhalten und dann mittels dhclient.

    Werde erstmal mit dem Workaround leben.

    Vielen Dank erstmal für eure Zeit und ideen


Log in to reply