[Solved] WAN - WAN Ping nur erfolgreich mit Packet Capture?

Give

Hallo,
habe folgende(s) Frage/Problem:

Zwei pfSense Router (1.2.1-RC2) unter VMWare installiert (pfsense1 & pfsense2)
je ein LAN und ein WAN interface.
drei HostOnly Netze mit VMWare erstellt

• 2 x LAN (192.168.64.0/24 & 192.168.66.0/24)

• 1 x WAN (192.168.65.0/24)

Zunächst fiel mir auf, dass sich keines der WAN-ifs von einem anderen Host pingen ließ (Masken stimmen und Firewall ist aus)
Habe dann festgestellt, dass sobald beide router packet capturing eingeschaltet haben die Pings ohne Probleme hin und her wandern.
Kennt Jemand dieses Phänomen? Hab ich einfach einen Denkfehler?
Gruß
Give

rainer

@Give:

Hallo,
habe folgende(s) Frage/Problem:

Zwei pfSense Router (1.2.1-RC2) unter VMWare installiert (pfsense1 & pfsense2)
je ein LAN und ein WAN interface.
drei HostOnly Netze mit VMWare erstellt

• 2 x LAN (192.168.64.0/24 & 192.168.66.0/24)

• 1 x WAN (192.168.65.0/24)

Zunächst fiel mir auf, dass sich keines der WAN-ifs von einem anderen Host pingen ließ (Masken stimmen und Firewall ist aus)
Habe dann festgestellt, dass sobald beide router packet capturing eingeschaltet haben die Pings ohne Probleme hin und her wandern.
Kennt Jemand dieses Phänomen? Hab ich einfach einen Denkfehler?
Gruß
Give

1.) Hast du eine Rule erstellt, die ICMP Echo replies am WAN IF zulaesst?
2.) Hast du unter Interfaces-WAN "Block private networks" weggenommen?

lg rainer

Give

@rainer:

1.) Hast du eine Rule erstellt, die ICMP Echo replies am WAN IF zulaesst?
2.) Hast du unter Interfaces-WAN "Block private networks" weggenommen?

lg rainer

Danke für die schnelle Antwort.
"Block Private Networks" ist aus und derzeit wird laut Firewall-Regelwerk alles von überall nach überall durchgelassen und akzeptiert.
Ich schätze es hat irgendwas mit dem Promiscious Mode zu tun, in dem die ifs arbeiten, wenn packet capturing auf dem WAN-IF aktiviert ist.

GruensFroeschli

Auch für ICMP?
Was hast du denn im protokoll-feld stehen?

Give

@GruensFroeschli:

Auch für ICMP?
Was hast du denn im protokoll-feld stehen?

Ja auch für ICMP
alle Protokolle ('any' bzw. '*')
Ich habs auch schon nur mit ICMP versucht.
Ich weiß das klingt sehr dubios, ich werd's nochmal mit nem 'externen' Sniffer versuchen, evtl. kommt dabei mehr raus.
Wie gesagt:

• Packet Capturing auf den WAN-ifs aus: keine Antwort

• Packet Capturing auf den WAN-ifs an: viele Antworten

heiko

ESX o. VMware Server?

Give

@heiko:

ESX o. VMware Server?

VMWare Server 2.0

heiko

Im ESX muß auf den entsprechenden NICS und vSwitchen der Prom. Mode enabled sein, sonst gibts Probleme, kein CARP etc, vielleicht ist das bei VmServer 2.0 ähnlich, wenn man das da überhaupt einstellen kann..

Gruß
Heiko

Give

@heiko:

Im ESX muß auf den entsprechenden NICS und vSwitchen der Prom. Mode enabled sein, sonst gibts Probleme, kein CARP etc, vielleicht ist das bei VmServer 2.0 ähnlich, wenn man das da überhaupt einstellen kann..

Gruß
Heiko

Das hab ich mir so beinahe gedacht. Das der Prom. Mode auch bei den virtuellen Adaptern Funktioniert seh ich ja deutlich daran, dass pfsense den modus beim packet capturing nutzt. Ich brauch jetzt also nur noch eine Möglichkeit finden, den Prom dauerhaft zu aktivieren ohne dabei sämtliche Pakete zu loggen.

Give

Alles klar,
Es lag am promiscuous mode beide WAN-ifs per

#ifconfig <interface> promisc</interface>

in den Prom. Mode gehoben.
Jetzt flutscht's
Vielen Dank für eure Zeit
Gruß
Give
:D