1WAN 1 LAN 1 DMZ DMZ kriege ich nicht hin !!



  • Hallo Leute

    ich plage mich schon den ganzen Tag …
    was geht ist LAN to WAN entsprechend den Regeln ...tolle sache

    was nicht geht ist das DMZ

    WAN per DHCP -> DSL Router
    LAN  10.10.10.0/24
    DMZ 100.100.100.0/24

    NAT:Outbound
    WAN    100.100.100.0/24  *  *  *  *  *  NO

    DHCP Server ist für LAN u DMZ aktiv und funktioniert auch

    und

    virtual ip address
    100.100.100.0/24  [Proxy ARP]

    habe ich auch noch gefunden.

    Erst durch die Proxy ARP kann ich überhaupt auf den DSL Router (auf der WAN Seite) zugreifen.

    Aber in das Internet komme ich nicht von der DMZ … ich verstehe es nicht !!!!

    Rules

    LAN

    TCP  LAN net  *  *  80 (HTTP)  *
    TCP  LAN net  *  *  443 (HTTPS)  *
    TCP  LAN net  *  *  21 (FTP)          *
    TCP  LAN net  *  *  25 (SMTP)  *
    TCP  LAN net  *  *  110 (POP3)  *
    TCP  LAN net  *  *  995 (POP3/S)  *
    TCP  LAN net  *  *  143 (IMAP)  *
    TCP  LAN net  *  *  993 (IMAP/S)  *
    TCP  LAN net  *  *  22 (SSH)          *
    TCP  DMZ net  *  *  *                  *

    DMZ
    TCP  *          *  *  *                  *

    kann mir da jemand helfen ?
    Alles andere funtioniert top

    Danke



  • Könnte daran liegen, dass Du das NAT-Forwarding nicht richtig konfiguriert hast. Gehe auf Firewall -> NAT -> Outbound und setze es auf manual. Dann musst Du beide Subnetze (LAN und DMZ) einsetzen und es sollte funktionieren.



  • Hallo auch

    ok habe das nun mit eingebaut

    NAT:Outbound
    WAN        10.10.10.0/24      *      *      *      *      *    NO

    leider tut es nochimmer nicht

    ist das mit dem Virtual IP-Address richtig ?

    virtual ip address
    100.100.100.0/24      [Proxy ARP]

    gruß und danke



  • 100.100.100.x/24 is keine private range. Da ich extrem stark bezweifle, dass du diesen IP space besitzt darfst du nicht benutzen.
    Zulässige IP's sind
    192.168.0.0/16
    172.16.0.0/12
    10.0.0.0/8

    Advanced outbound NAT brauchst du nicht.
    @http://forum.pfsense.org/index.php/topic:

    Every locally connected subnet, whether defined and reachable via a static route or attached to a LAN or OPT interface, will have its outbound traffic leaving any WAN interfaces NATed to that WAN interface's IP. You can change this behavior by enabling Advanced Outbound NAT (AON) but this is usually unnecessary and adds unneeded complexity.
    For OpenVPN if you want the OpenVPN subnet NAT'ed to WAN, you will have to use AON.

    Du brauchst keine PARP VIP auf deinem WAN.
    Wenn du welche bräuchtest, dann wüsstest du wie bedienen, da es praktisch nur in grossen IT-Infrastrukturen zum einsatz kommt.
    –> Lösche alle VIP's die du hast und es sollte funktionieren.

    Das du nicht auf das DSL-modem zugreifen kannst:
    Hast du das modem als bridge eingerichtet oder als modemrouter?
    Wenn es als modemrouter arbeitet benutzt es wahrscheinlich eine IPrange aus dem 192.168.x.x bereich.
    --> pfSense verwendet denselben bereich per default am LAN.
    --> Ändere eines der beiden subnets.



  • @megazocker:

    DMZ
    TCP  *           *  *  *                   *

    Könnte auch daran liegen, dass DNS ja auch UDP nutzt und Du ohne UDP 53 keine Namensauflösung bekommst…



  • Hallo auch

    also VIP's brauch man nicht (hab ich auch festgestellt)
    IP-Range hab ich nur zum testen genommen.

    nachdem ich heute auf die gloreiche idee kamm alle protokolle zuzulassen hat es auch funktioniert.
    anschliessend habe ich ip's entsprechend eingestellt und die passenden regeln gebaut.
    es funktioniert :)

    mein prob war im prinzip das ich im firewall log nicht gesehen habe was an protokollen oder ähnliches geblockt wurde.
    ich hätte meine brille putzten sollen.

    Danke für eure hilfe…. hat mir so oder geholfen.

    chu


Log in to reply