[gelöst] Anfänger braucht Hilfe - WAN/LAN



  • Hallo zusammen :)

    Ich bin relativ frisch aus der Ausbildung und neu in einer Firma, die seit Jahren keine IT Unterstützung bekommen hat. Da nun die Firewall abgeraucht ist soll ich eine aufsetzen. Natürlich möglichst kostenfrei :) Die benötigte hardware wird später gekauft wenn ich das Thema besser beherrsche.
    Ich hab hier also vorerst einen PC stehen mit 2 Netzwerkkarten und habe PFsense drauf installiert. Die Interfaces habe ich soweit eingestellt. Leider habe ich bereits am Anfang Probleme das teil richtig zu konfigurieren. Ich habe mich bereits durch zig Foren gelesen jedoch funktioniert keine vorgeschlagene Einstellung oder ich bin einfach zu unerfahren mit PFsense um die Einstellungen vorzunehmen. Ich habe hierzu erst mal ein Testsystem aufgebaut.
    Die Konstellation sieht vorerst mal so aus:

    Internet –--> (feste IP) Fritzbox (IP 192.168.178.1) ----> (WAN 192.168.178.100) PfSence (LAN 10.10.10.1) ----> (IP 10.10.10.10) PC

    An der PFsense ist der DHCP eingestellt und übergibt an den PC sauber die Daten weiter.

    Mein Problem ist nun, dass ich zwar laut Graph an der PFsense sowohl ein Signal von WAN und LAN bekomme jedoch wenn ich versuche mit dem PC ins Internet zu gehen keine Verbinung besteht.
    https://picload.org/view/ddipoiwr/s.jpg.html

    Ping zwischen PC und FW geht.
    Ping zwischen FW und Google geht.
    Ping zwischen PC und Google geht nicht.

    Ich hab oft über irgend ein Standart gateway gelesen und rumprobiert jedoch kam nie der gewünschte erfolg dabei raus.

    Da ich erst seit einem Tag mit der PFsense arbeite bin ich diesbezüglich unerfahren. Ich bin euch über jede detailliert Anleitung dankbar.

    Grüße



  • Hallo,

    mit pfSense hast du schon mal eine gute Wahl getroffen.  ;)

    Dein Standard-Gateway ist die FritzBox. Die IP 192.168.178.1 muss in den WAN Interface Einstellungen als Gateway angegeben sein.

    Prüfe auch mal das Outbound NAT. Firewall > NAT > Outbound.
    Arbeitet es im Automatik-Modus, muss für dein LAN eine Regel angelegt sein, diese fidest du unten auf der Seite.

    Überprüfe auch die Firewall Regeln am LAN Interface. Standardmäßig ist am LAN eine Regel angelegt, die alles erlaubt. Wenn du allerdings das Interface geändert hast, könnte die Regel auch weg sein, und du musst sie selbst erstellen.

    Grüße


  • LAYER 8 Moderator

    Internet –--> (feste IP) Fritzbox (IP 192.168.178.1) ----> (WAN 192.168.178.100) PfSence (LAN 10.10.10.1) ----> (IP 10.10.10.10) PC

    Und um da noch weiter zu gehen:

    Die IP auf der WAN Seite sieht nach DHCP aus. Mach das lieber nicht. WAN statisch auf .2 konfigurieren und in der Fritzbox unter Internet Freigaben dann die Adresse .2 als exposed Host konfigurieren. Dann sollte - wenn du eine Standard pfSense Installation hast erstmal schon alles gehen, da die Outbound NAT auf automatisch steht und somit passen sollte. Außerdem müsste auf dem LAN als Regel any any allow eingestellt sein. Damit sollte die Grundlegende Verbindung funktionieren.



  • Hallo,

    danke für die schnelle Antwort. Hier noch vielleicht nützliche Informationen:

    Die Installation ist praktisch nagel neu.
    Die WAN Einstellung für die IP war auf DHCP eingestellt, so dass die PFsense die IP von der Fritzbox bekommen hat.
    Ich habe sie nun auf statisch gestellt und die IP 192.168.178.100 vergeben sowie das Upstream-gateway 192.168.178.1 eingetragen. Ich hoffe das war soweit richtig.
    Die LAN IP ist ebenfalls statisch.

    Das Outbaund NAT arbeitet automatisch und es sind folgende Einträge unten:
    https://picload.org/view/ddipowli/1.jpg.html

    Bei den Regeln sind folgende Einträge:
    https://picload.org/view/ddipowlw/2.jpg.html

    laut meinem Verständniss sollte das ja eigentlich gehen.

    Wenn ich ein tracert auf 8.8.8.8 vom PC mache springt er auch zur FW aber dann nicht weiter.



  • Ich sehe jetzt keinen Grund dafür, dass es nicht funktioniert.
    Der Exposed Host ist nur für eingehende Verbindungen wichtig, Upstream sollte auch so gehen.

    Das Traceroute zeigt die pfSense LAN IP als ersten Hop?

    Damit du siehst, was auf der pfSense tatsächlich los ist, kannst du Diagnostic > Packet Capture benutzen.
    Wenn du bspw. einen Ping auf Google machst, ein Capture am LAN mit Filter auf ICMP machen, dann am WAN.
    Dafür empfiehlt sich, das Gateway-Monitoring auszuschalten (System > Routing > Gateway Einstellungen), denn sonst siehst du am WAN eine Menge Pings an die FB, die Verwirrung stiften könnten.



  • Hallo,

    der erste Hop beim tracert ist die PFsense. Hier sind jedoch gerade 2 neue Hops dazugekommen wovon mich einer etwas stutzig macht.
    Es sind insgesammt 3 Hops:
    1 PFsense
    2 * mit Zeitüberschreitung
    3 Fritz-NAS mit IP 192.168.78.1

    Ich glaub da ist was an der Fritzbox eingestellt was nicht so sein sollte. Ich such mir erst mal die Zugangsdaten zur Box und schau eben nach.
    Danke schon mal für eure Hilfe. Ich hoffe ich hab euch nicht umsonst befragt. Ich melde mich wenn ich mehr weiß.

    Grüße



  • Hi,

    ich glaube ich habe den Fehler soeben entdeckt. Laut den Unterlagen, die mir soeben gezeigt wurden wurde die Fritzbox im Bridge-modus ausgeliefert. Zugangsdaten sind nicht vorhanden, da es ein Providergerät ist. Hier steht auch ein interessanter Satz: "Kunde schließt eigenen Router an Port2 an".
    In meinen neuen Unterlagen ist auch die Konfiguration des WAN Anschlusses der alten FW und da steht die feste ip und ein Gateway, das der festen IP gleicht.

    Ich vermute, dass meine Einstellung soweit richtig ist, jedoch die Fritzbox an dem Port wo ich sie angeschlossen habe einfach nichts durchreicht. Mähhh  :o
    Die Ip der PFsense und das gateway trage ich mal so ein wie in der alten.

    Sobald sich mir die Möglichkeit bietet stöpsel ich die Kiste an den anderen Port und teste das Ganze nochmal und gebe euch Bescheid.

    Grüße



  • Wie ich es mir gedacht habe.
    Ich habe die feste IP Adresse als IP der PFsense richtung Fritzbox eingestellt und ebenfalls das Gateway aus den Unterlagen. Ein Neustart der PFsense und schwups hab ich Internet.

    Vielen Dank für eure Infos und Hilfe.

    Grüße


Log in to reply