[Solved] WAN - WAN Ping nur erfolgreich mit Packet Capture?



  • Hallo,
    habe folgende(s) Frage/Problem:

    Zwei pfSense Router (1.2.1-RC2) unter VMWare installiert (pfsense1 & pfsense2)
    je ein LAN und ein WAN interface.
    drei HostOnly Netze mit VMWare erstellt

    • 2 x LAN (192.168.64.0/24 & 192.168.66.0/24)

    • 1 x WAN (192.168.65.0/24)

    Zunächst fiel mir auf, dass sich keines der WAN-ifs von einem anderen Host pingen ließ (Masken stimmen und Firewall ist aus)
    Habe dann festgestellt, dass sobald beide router packet capturing eingeschaltet haben die Pings ohne Probleme hin und her wandern.
    Kennt Jemand dieses Phänomen? Hab ich einfach einen Denkfehler?
    Gruß
    Give



  • @Give:

    Hallo,
    habe folgende(s) Frage/Problem:

    Zwei pfSense Router (1.2.1-RC2) unter VMWare installiert (pfsense1 & pfsense2)
    je ein LAN und ein WAN interface.
    drei HostOnly Netze mit VMWare erstellt

    • 2 x LAN (192.168.64.0/24 & 192.168.66.0/24)

    • 1 x WAN (192.168.65.0/24)

    Zunächst fiel mir auf, dass sich keines der WAN-ifs von einem anderen Host pingen ließ (Masken stimmen und Firewall ist aus)
    Habe dann festgestellt, dass sobald beide router packet capturing eingeschaltet haben die Pings ohne Probleme hin und her wandern.
    Kennt Jemand dieses Phänomen? Hab ich einfach einen Denkfehler?
    Gruß
    Give

    1.) Hast du eine Rule erstellt, die ICMP Echo replies am WAN IF zulaesst?
    2.) Hast du unter Interfaces-WAN "Block private networks" weggenommen?

    lg rainer



  • @rainer:

    1.) Hast du eine Rule erstellt, die ICMP Echo replies am WAN IF zulaesst?
    2.) Hast du unter Interfaces-WAN "Block private networks" weggenommen?

    lg rainer

    Danke für die schnelle Antwort.
    "Block Private Networks" ist aus und derzeit wird laut Firewall-Regelwerk alles von überall nach überall durchgelassen und akzeptiert.
    Ich schätze es hat irgendwas mit dem Promiscious Mode zu tun, in dem die ifs arbeiten, wenn packet capturing auf dem WAN-IF aktiviert ist.



  • Auch für ICMP?
    Was hast du denn im protokoll-feld stehen?



  • @GruensFroeschli:

    Auch für ICMP?
    Was hast du denn im protokoll-feld stehen?

    Ja auch für ICMP
    alle Protokolle ('any' bzw. '*')
    Ich habs auch schon nur mit ICMP versucht.
    Ich weiß das klingt sehr dubios, ich werd's nochmal mit nem 'externen' Sniffer versuchen, evtl. kommt dabei mehr raus.
    Wie gesagt:

    • Packet Capturing auf den WAN-ifs aus: keine Antwort

    • Packet Capturing auf den WAN-ifs an: viele Antworten



  • ESX o. VMware Server?



  • @heiko:

    ESX o. VMware Server?

    VMWare Server 2.0



  • Im ESX muß auf den entsprechenden NICS und vSwitchen der Prom. Mode enabled sein, sonst gibts Probleme, kein CARP etc, vielleicht ist das bei VmServer 2.0 ähnlich, wenn man das da überhaupt einstellen kann..

    Gruß
    Heiko



  • @heiko:

    Im ESX muß auf den entsprechenden NICS und vSwitchen der Prom. Mode enabled sein, sonst gibts Probleme, kein CARP etc, vielleicht ist das bei VmServer 2.0 ähnlich, wenn man das da überhaupt einstellen kann..

    Gruß
    Heiko

    Das hab ich mir so beinahe gedacht. Das der Prom. Mode auch bei den virtuellen Adaptern Funktioniert seh ich ja deutlich daran, dass pfsense den modus beim packet capturing nutzt. Ich brauch jetzt also nur noch eine Möglichkeit finden, den Prom dauerhaft zu aktivieren ohne dabei sämtliche Pakete zu loggen.



  • Alles klar,
    Es lag am promiscuous mode beide WAN-ifs per

    #ifconfig <interface> promisc</interface>
    

    in den Prom. Mode gehoben.
    Jetzt flutscht's
    Vielen Dank für eure Zeit
    Gruß
    Give
    :D


Log in to reply