Pfsense blockt WAN
-
Hallo zusammen,
ich kämpfe seit geraumer Zeit damit einen Server sowohl als Webserver, Nextcloud und Minecraft Server aus dem Internet erreichbar zu machen, als auch aus dem internen Netz als Medienserver zu erreichen. Ich weiss, dass eine DMZ die sehr viel bessere Wahl wäre, aber ich bin einfach noch nicht erfahren genug um das realisieren zu können.
Den auf der Zeichnung umkreisten Server habe ich als exposed host in der Fritzbox eingetragen und kann nur aus dem Internet darauf zugreifen. Leider besteht keine Möglichkeit von genau diesem Rechner ins LAN oder ins WLAN zu kommen. Umgekehrt geht es eigenartigerweise. Ich kann von jedem Interface der pfsense den Server pingen.
An der Rechnerkonfiguration sollte es nicht liegen, da ich den gleichen Effekt mit anderen Clients habe. Wenn ich auf dem WAN Interface der pfsense (aktuelles Release) eine Regel eintrage, die den Verkehr any to any zuläßt, läßt die FW trotzdem nichts durch. Auf der pfsense ist zusätzlich noch PfBlockerNG, Google Safesearch und Avahi konfiguriert.Kann mir jemand weiterhelfen und hat eine Idee, woran das liegen könnte?
-
Irgendwie vermisse ich eine Regel, dass der Server auch auf das LAN/WLAN zugreifen darf?! Die würde ich an deiner Stelle mal erstellen…
Sollte dann in etwa so aussehen (Firewall->Rules):
am WAN-Interface ein:
Add Rule:
Source: Single Host 172.16.1.15
Destination: LAN net oder halt WLAN netFalls es nicht klappt, bitte ich um Nachsicht, habe erst seit ein paar Tagen pfSense im Einsatz! :)
EDIT: By the way, weshalb hast du eigentlich auf der 7430 Routing-Einträge? Hast du da hintendran nochmal ein anderes Netz? Die dient ja nur als AP oder nicht?! Ich würde den "Router" auf dieser komplett ausschalten und die Box als reine Bridge verwenden. Falls du den Router UNBEDINGT (ich würde ihn ausschalten) anlassen willst/musst, dann brauchst du trotzdem keine Routing-Einträge setzen, die pfSense ist eh dein Default-Gateway.
Dein Setup ist irgendwie echt viel komplizierter, als es eigentlich sein müsste… ;)Grüße
-
Hallo Mitsch,
vielen Dank für Deine Antwort.
Ich habe auf dem WAN Interface (siehe Anhang) testweise any to any zugelassen. Leider kann ich weiterhin nicht auf das LAN/WLAN zugreifen.
Was mich etwas irritiert ist, dass der traceroute zeigt, dass die Pakete zur 172.16.1.1 und dann ins Internet geschickt werden.
Innerhalb des Subnetzes 172.16.1.0 sind alle Clients zu erreichen.Die Routingeinträge auf der Fritzbox 7430 müssen wirklich nicht sein. Ich habe sie gelöscht.
Viele Grüße
-
Hatte wohl einen Denkfehler -> hast du an der pfSense das NAT an? Dann wirst du eh nicht auf die Clients hinter der pfSense zugreifen können.
-
Ich befürchte fast, dass das der Fehler ist. Ich dachte mit einer FW-Regel würde ich den Zugriff auf die Clients hinter der FW zulassen.
Vielen Dank für den Denkanstoß!!
Nun stehe ich vor dem nächsten Problem, was mich vermutlich das komplette Konzept ändern läßt.
Verstehe ich es richtig, dass ich NAT vom WAN nur auf einzelne Clients und Ports hinter der FW einstellen kann?
Heißt das im Umkehrschluß, dass ich den Server ins Segment LAN verschieben, dann die für Nextcloud-, Webserver- und Minecraft-Ports per NAT explizit freigeben und die pfsense als Exposed Host in der FB eintragen muß? -
:) Es hat geklappt! Vielen Dank für die Hilfe!!
Für alle, die das gleiche Problem haben, habe ich als Ergänzung die Portfreigabe auf der Fritzbox und die NAT Einträge auf der pfsense im Attachment angegeben
 -
Ehrlich keine Ahnung was du da so anstellst, aber ich habe meinen Server (OwnCloud u.s.w.) direkt
hinter der FRITZ!Box stehen und greife IMMER auf die URL (also die externe Internet-IP der FRITZ!Box)
zu…So müsstest du ja immer Private IP ändern zur URL?!
-
Naja, genau das hatte ich ja auch gemacht und konnte wie von Dir beschrieben auf die Nextcloud zugreifen. Nur da ich auf dem Server auch einen Medienserver unterbringen möchte und der per DLNA seine Medien verteilen soll, hat das nicht geklappt.
Jetzt kann ich über CNAME auf den Nextcloud Server zugreifen und intern sowohl als auch über die direkte IP. Klappt also beides.Woraus leider gleich das nächste Problem entsteht, da DLNA Server und Clients in unterschiedliche Subnetzen liegen und das DLNA nicht übertragen wird. Avahi hilft nicht weiter. Aber dafür wird sich schon eine Lösung finden. Du weißt nicht zufällig, wie das geht? Notfalls lege ich die Netze zusammen.
Auf jeden Fall habe ich mich darüber gefreut, dass ich nun NAT verstanden habe und weiß, wie man einen Server in die DMZ bekommt. Danke
-
Nun gut, ob und wie das geht… Da bin ich nun ehrlich gesagt auch raus... Bei mir steht der DLNA Server im gleichen Subnetz wie die Clienten... Das läuft dann natürlich...
Aber mit 30 Sekunden googeln ist auch das erledigt...
https://forum.pfsense.org/index.php?topic=37075.0Grüße Michael
-
Ich frage mich da eher, warum der Rechner überhaupt vor der pfSense steht. Das Setup macht mir keinen Sinn. Und die Aussage dass du für DMZ nicht "erfahren genug" bist, ist zum einen quatsch (wie anders als durch Einsatz will man das denn lernen) und zum anderen ist eine DMZ im Grundprinzip auch erstmal nichts anderes als ein weiteres "Bein" bzw. Netz an deiner Firewall das eben andere Behandlung bekommt. Die wenigstens werden hier ein Multi-Tier-Firewall Konstrukt aufmachen, weil das allein schon wieder zusätzlichen Aufwand bedeutet was Routing und Regelwerk etc. angeht.
Und dein WLAN bspw. ist ja bereits ebenfalls eine separate Zone - also fast schon DMZ Behandlung. Darum erschließt sich das ganze Setup nicht wirklich.Den auf der Zeichnung umkreisten Server habe ich als exposed host in der Fritzbox eingetragen und kann nur aus dem Internet darauf zugreifen. Leider besteht keine Möglichkeit von genau diesem Rechner ins LAN oder ins WLAN zu kommen. Umgekehrt geht es eigenartigerweise. Ich kann von jedem Interface der pfsense den Server pingen.
Nicht wirklich ungewöhnlich, da die pfSense logischerweise abgehend beide Netze nach draußen NATtet und damit den Weg ebnet. Umgekehrt hat dieses Zwischennetz auf dem WAN natürlich keinerlei Rechte bis du auch was aufmachst.
Zusätzlich müsstest du wahrscheinlich die Outbound NAT Settings ändern, dass nur Verbindungen ins Internet genattet werden, aber in das Zwischennetz der Fritzbox wo der Rechner steht nicht. Ansonsten werden die Pakete da nie korrekt ankommen.Das ist aber alles wie du siehst ziemliche Fummelei die komplett unnötig wird, wenn man einfach alles als einzelnes LAN bzw. VLAN hinter der pfSense konfiguriert.
Dann muss lediglich in der Fritzbox die pfSense als exposed Host wie du richtig erkannt hast eingetragen werden und fertig. Keine zusätzlichen seltsamen Regeln in der FB mehr. Alles andere kannst du dann auf WAN Seite der pfSense konfigurieren.Grüße
