PfSense auf ESXi Hetzner Server



  • Hallo zusammen,

    Ich benötige eure Hilfe.

    Ich habe bei Hetzer einen Server und habe diesen jetzt mit VMWare ESXi und PfSense ausgestattet.
    Ebenso besitze ich 2 VMs Eine Debian 8 und eine Windows Server 2016.

    Mein Problem: Ich kann untereinander mit den VMs kommunizieren aber extern geht es nicht.

    Die IP welche die Windows-VM nach draußen hat ist die von der PfSense.

    Habe bereits ein Subnetz und dieses auf die zusätzliche IP Routen lassen welche die PfSense hat.

    Kann mir einer sagen was die Grundlegenden Einstellungen sind?

    Ein 1:1 NAT habe ich bereits versucht aber komme dennoch nicht von Außen auf die Server.

    Die WAN-IP bekommt die PfSense per Hetzer-DHCP. Dies funktioniert auch.
    Die zusätzliche MAC-Adresse ist ebenfalls in PfSense beim WAN-Interface eingetragen.

    Seit 3 Tagen versuche ich es jetzt, Leider ohne Erfolg.
    Ich hoffe ihr könnt mir helfen.

    Gruß

    Vincenzo



  • hast du nach der pf-installation auch regeln erstellt, damit die vms über die pf ins internet dürfen?
    standardmäßig gibt es keine freigaben. gerade am anfang macht es sinn, auch das logging der einzelnen regeln zu aktivieren.

    kommen die vms auf das webinterface der pf?



  • Nein, mit der Windows VM komme ich ins Internet und auch auf das Web-Interface.

    Kann aber nicht auf einen TS der aus dem Windows-Server liegt zugreifen.

    Wenn ich ein 1:1 NAT mache, dann sind doch alle Ports die ich in der VM selber in die Firewall eintrage frei, oder verstehe ich das Falsch?

    ![PfSense 1-1.png](/public/imported_attachments/1/PfSense 1-1.png)
    ![PfSense 1-1.png_thumb](/public/imported_attachments/1/PfSense 1-1.png_thumb)



  • gibt es passende firewall-regeln für die 1:1 nats beim wan? wenn die nicht angelegt sind, wird alles geblockt.

    wenn es ausserdem "nur" um einen teamspeak server geht, würde ich dir empfehlen, nur die teamspeak-ports per port forward freizugeben. das ist sicherer, als sich zb auf eine windows-firewall zu verlassen.
    @http://www.teamspeak.de/support/antworten/182767/Allgemeines%2Fa%2F1.html:

    Ein Teamspeak3 Server benutzt folgende Ports:

    Default  port (UDP eingehend): 9987
        Default filetransfer port (TCP eingehend): 30033
        Default serverquery port (TCP eingehend): 10011
        Default weblist port (UDP ausgehend): 2010
        Default tsdns port (TCP eingehend): 41144
        Default accounting port (TCP ausgehend): 2008


  • LAYER 8 Moderator

    wenn es ausserdem "nur" um einen teamspeak server geht, würde ich dir empfehlen, nur die teamspeak-ports per port forward freizugeben. das ist sicherer, als sich zb auf eine windows-firewall zu verlassen.

    Der Satz alleine ist so ja nicht richtig. Zum NAT gehört immer eine Firewall Regel. 1:1 NATs erstellen deshalb absichtlich KEINE Regel automatisch, sondern man muss händisch eine erstellen - und diese kann wiederum nur TS3 Traffic erlauben, trotzdem ist dann der Host/Server 1:1 verbunden und mann muss nicht umständlich Port Forwards & Outbound NAT separat erstellen, damit der Host nach draußen auch mit der richtigen IP seine Verbindung aufbaut (sofern das relevant ist). Das ist durchaus nicht unwichtig :)

    Gruß


Log in to reply