2 Probleme: Firewall blockt willkürlich Port 80/443 & NAT für Portweiterleitung



  • Hallo zusammen,
    ich habe gleich zwei Probleme für die ich keine Lösung finde, da ich keine zwei Threads aufmachen wollte hab ich jetzt beide hier:

    Zunächst mein Aufbau:
    Ich habe zwei Gateways, einen Kabelanschluss und einen DSL Anschluss. Beide führen zur pfSense. Hinter der pfSense ist ein Heim-Netzwerk und ein Datacenter-LAN.

    Problem 1: Firewall blockt willkürlich Port 80/443 Anfragen obwohl ich alles Freigegeben habe
    Wenn ich bei mir ins Dashboard gucke, sehe ich unter den Firewall Logs die blockierten anfragen. Soweit so gut. Das Problem ist nur, dass dort blockierte Verbindungen auftauchen, obwohl ich alles zugelassen habe. Diese blockierten Verbindungen sind aus meinem Heimnetzwerk ins Internet, alles Port 80 oder 443. In der Firewall habe ich eine Regel, dass ich aus dem Heimnetzwerk alles in jedes Netz zulasse. Eine Allow-Any halt. Trotz dieser Regel werden aber scheinbar willkürlich irgendwelche Verbindungen blockiert. Man kann ja ganz normal im Netz suften und so nur solche Anfragen die scheinbar im Hintergrund von Smartphones (da ist es mit aufgefallen) getätigt werden, werden geblockt. Warum? Ich erlaube aus dem Netz doch alles…

    Problem 2: NAT für Portweiterleitungen
    Ich möchte ein paar Server übers Internet erreichbar machen. Da ich ganz normale private-Anschlüsse habe, muss ich mit PAT arbeiten, welches meine beiden Fritzboxen übernehmen. Bei meiner Kabelfritzbox kann ich auch ohne Probleme eine Portfreigabe in ein anderes Subnetz einrichten, da richte ich dann die normale Portweiterleitung ein und erlaube diese noch in der Firewall.
    Bei meiner Fritzbox für den DSL Anschluss kann ich aber keine Portweiterleitung in ein anderes Subnetz anlegen, da bekomme ich ein Fehler bei der Fritzbox. Die Idee war eigentlich, dass ich in der pfSense ein 1:1 NAT mache, das funktioniert aber leider auch nicht. Gibts da nen Ansatz, wie man das am besten macht?

    Vielen Dank :)



  • Hallo!

    @Speeedymauss:

    Problem 1: Firewall blockt willkürlich Port 80/443 Anfragen obwohl ich alles Freigegeben habe

    Schwer zu sagen, wenn man selbst die Logs nicht kennt. Ich könnte mir vorstellen, dass du ein asymmetrisches Routing hast und es keine Syn Pakete sind, die da geblockt werden.
    Vielleicht könntest du ein paar Log-Einträge posten. Aber per Screenshot von Status > System Logs > Firewall
    Und vorher in der Log Setting die Beschreibung einblenden; "Display as column" bei "Where to show rule descriptions".

    @Speeedymauss:

    Problem 2: NAT für Portweiterleitungen
    Ich möchte ein paar Server übers Internet erreichbar machen. Da ich ganz normale private-Anschlüsse habe, muss ich mit PAT arbeiten, welches meine beiden Fritzboxen übernehmen.

    ?
    Was bringt PAT da?

    Du brauchst normale Weiterleitungen (Port Forwarding).
    So weit ich weiß, setzt man auf der vorgeschalteten FB die pfSense als "Exposed Host". Dann werden sämtliche eingehende Verbindungen auf die pfSense weitergeleitet. Ist aber kein Problem, pfSense ist ja eine Firewall und per default ohnehin dicht.  :)

    @Speeedymauss:

    Die Idee war eigentlich, dass ich in der pfSense ein 1:1 NAT mache, das funktioniert aber leider auch nicht.

    Darin kann ich keinen Sinn erkennen.
    1:1 NAT heißt ja, alles was von außen auf eine bestimmte WAN IP geht, wird auf eine bestimmte interne IP weitergeleitet (Beides kann auch ein Range sein). Und alles was von genau dieser internen IP nach außen geht, wird auf genau diese externe IP umgesetzt.
    Das mag Sinn machen, wenn man mehrere öffentliche IPs an der pfSense hat, um einen internen Host genau mit einer öffentlichen IP zu verbinden, aber deine beiden WAN IPs sind ja privat.
    ???



  • Ich hab mal als Anhang einen Screenshot von den Firewall Logs hochgeladen.

    Zum PAT: Das PAT läuft auf der äußeren Fritzbox zum Provider, nicht auf der Firewall. An den Exposed-Host hatte ich gar nicht gedacht :o den könnte ich natürlich in der FB aktivieren. In der pfSense muss man dann nur nen "Port forward" hinzufüen oder? Das war aber schonmal ein guter Hinweis!

    Das mit der NAT Lösung war halt der Ansatz, damit ich irgendwie meiner Fritzbox eine IP aus ihrem Adressbereich geben kann. Ist aber durch den Exposed Host ja jetzt überfällig.

    EDIT: Ich habe das gerade mit dem Exposed Host und Port Forwarding konfiguriert -> funktioniert jetzt. Das zweite Problem ist also damit schon gelöst. Danke dafür  :)

    ![FW Log.png](/public/imported_attachments/1/FW Log.png)
    ![FW Log.png_thumb](/public/imported_attachments/1/FW Log.png_thumb)



  • Ja, wie vermutet, es sind keine Syn-Paket, die geblockt werden, sondern Folge-Pakete.
    Zu dem Thema gibt es eine Menge Infos und Forenbeiträge, bspw. https://doc.pfsense.org/index.php/Asymmetric_Routing_and_Firewall_Rules

    Jetzt gilt es herauszufinden, warum es dazu kommt. Die Vermutung liegt ja nahe, dass du für den Upstream irgendwie beide Router verwendest.
    Wie hast du die auf der pfSense konfiguriert und angeschlossen?
    Hängen die an getrennte Interfaces?

    DUAL-WAN betreibe ich selbst nicht. Vielleicht wär es geschickt zu dem Thema doch einen eigenen Thread zu starten.



  • Die beiden Router hängen an zwei physikalischen Interfaces, also komplett getrennt. Die Gateways sind ganz normal als Gateways eingetragen, ich habe keine besonderen Einstellungen vorgenommen. Mein Kabelanschluss ist dabei als Default-Gateway eingetragen. Beide Gateways sind in einer Gateway-Gruppe, dabei ist das KabelGW Tier 1 und das DSL Tier 2, umgeschaltet wird bei "Member Down".
    Ansonsten habe ich noch das Default-Gateway-Switching aktiv, use-sticky-connections ist inaktiv
    In den FW Regeln habe ich unter Gateway "default" stehen.

    hab ich irgendeine relevante Einstellung vergessen?



  • Sieht für mich gut aus, mit Ausnahme der Firewall-Regeln. Ist da nicht die Gateway-Group auszuwählen? Das GW wird dann entsprechend der Hierarchie in der Gruppe ausgewählt.

    Gibt es GW-Fehler? In Status > System Logs > Gateway
    oder Status > Monitoring > Quality > Gateway irgendwelche Downzeiten?



  • Ich habe die Gateways in den Regeln jetzt angepasst, leider war das nicht der Fehler.

    Bei den Gateways habe ich nur ab und zu das Problem, dass mein DSL hin und wieder die Verbindung verliert, dann wird das Gateway für ein paar Minuten als Down angezeigt. Da dies aber als Backup-gateway eingetragen ist und eigentlich nicht genutzt wird, sollte das doch eigentlich kein Problem sein oder?



  • Wie gesagt, bin nicht der MultiWAN-Experte, doch eine Idee habe ich noch, was ein Problem sein könnte:

    Die Gateways sind ja typischerweise beim ISP, deine sind allerdings "im Haus" und haben eine private IP. Und diese Gateways werden standardmäßig mit ihrer IP per dpinger gemonitort um Downs festzustellen. Das bringt natürlich gar nix. Wenn die DSL-Verbindung ausfällt, wird das von der pfSense so nicht erkannt, weil die FB internen dennoch auf Pings antwortet.
    Heißt, du musst das Monitoring beider Gateways auf eine externe IP umstellen. Das geht in den Gateway Einstellungen in System > Routing > Gateways
    Da kannst du bei jedem Gateway eine beliebige IP im Feld "Monitoring IP" eintragen. Da musst du eine externe IP angeben, die auf Pings antwortet.

    Ob das dein Problem löst, weiß ich nun nicht, sollte aber so gemacht werden.



  • Deine Idee habe ich schon seit Anfang an so eingestellt. Ich benutze Google-Server zum Überwachen meiner Gateways. Das ist also nicht das Problem.

    Sonst mach ich noch mal einen anderen Thread auf nur für dieses eine Problem, sofern sich hier nicht noch jemand anderes meldet der eine Idee hat :)


  • Moderator

    Die Einträge im Log sehen nach ganz normalen Web Traffic aus. Ich mutmaße einfach mal, dass wir hier eher wieder den alten Fall mit out of order oder deceased state traffic haben:

    https://doc.pfsense.org/index.php/Why_do_my_logs_show_"blocked"_for_traffic_from_a_legitimate_connection
    https://forum.pfsense.org/index.php?topic=39960.0

    Da ich dein Regelset auf HOME nicht kenne, könnte es auch von der Loadbalancing Gateway Funktion her rühren, dass hier noch Verbindungsdaten über GW1 rausgehen obwohl schon GW2 am Zug wäre oder umgekehrt. Prinzipiell wie es im Dok steht ist das aber "Rauschen" und meist kein wirkliches Problem, dass eine Verbindung geblockt wurde, sondern nur, dass ggf. ein FIN oder Paket den falschen Weg nahm oder zu spät ankam.

    Gruß