Über das LAN Interface geht nix (raus) - komme nicht weiter - wer hat eine Idee?
-
Hallo zusammen,
ich habe hier ein Problem, wo ich nicht weiterkomme. pfSense setze ich nun schon eine Zeit lang ein und habe gewisste Kenntnisse im Netzwerken… aber hier bin ich am Ende und frage euch, vielleicht hat mir jemand den entscheidenden Hinweis?
pfSense in aktueller Version auf APU 1D device. Speicher etc genug vorhanden.
Ich komme mit dem Client auf dem LAN Interface (re0) nicht auf die box und nicht ins inet.
Per DHCP bekommt der Client aber alles zugewiesen. Im FW-Log tauchen auch Verbindungsversuche zum DNS aufLANRE0 192.168.0.108:58538 192.168.0.254:53
in grün - habe das erlaubt und paket logging eingeschaltet.
Mehr passiert aber nicht.
Entsprechende outbound NAT regeln gibt es, aber es geht ja nichteinmal die Verbindung zur FW:
nslookup am client meldet timeout, ping auf die FW geht nicht.Mit dem DMZ Interface funktioniert alles super. IPV6 habe ich deaktiviert.
Auf dem LANRE0-if ist die Anti-Lockout Rule aktiv und LAN-NET to any * usw alles erlaubt. Im FW Log ist ja auch nix gegenteiliges vermerkt.
Hat jemand eine Idee? ::)
Danke und Viele Grüße, sensemann
-
Ping mal die Firewall an und schaue währenddessen auf der Firewall via tcpdump (Diagnostic -> Packet Capture) nach ICMP-Paketen.
Häng auch am besten mal Screenshots deiner Interfaces, Regeln und NAT-Regeln an.Gruß
-
Hi, danke dir für deine schnelle Antwort. Das mit dem capture muss ich in Ruhe machen, mit einem 2. notebook ,das dann am LAN if hängt während das andere über das DMZ if in der pfsense GUI das capture beobachtet.
Anbei schonmal Screenshots.
Grüße!
-
Schalte mal den pfBlocker aus und prüfe ob du Listen geladen hast, die Bogon oder Private Netzbereiche blocken, dann würde mich nicht wundern, warum du nicht ins Netz rauskommst. Ich hatte das gerade auch bei einem Kunden, der die Firehol Listen drin hatte und durch die privaten Adressen auf einer der Listen seine eigenen Netze geblockt hatte.
Gruß
-
Hi, pfBlocker ist deaktiviert, snort jetzt auch auf dem LAN if, aber auch davor waren keine blockings eingetragen.
Ich versteh die Welt nichtmehr. Wo ist der Fehlerteufel…Habe jetzt auch bei den anderen LANRE0 Regeln das Logging eingeschaltet.. also die ankommenden Pakete .. sei es ping, dns, TCP-S werden im FW-log als grün angezeigt. also pfSense sieht es... aber dann...?
-
Hallo,
betrifft das nur diesen einen Client oder auch andere LAN-Geräte?
Aktiviere auch das Logging der "Default Deny-Rule". Kann in den Logging-Settings gemacht werden.
Hast du das Packet Capture schon gemacht, wie von Kurzschluss empfohlen?
-
Ist mit mehreren verschiedenen Notebooks so.
Bin noch nicht dazu gekommen, habe gehofft es irgendwie lösen zu können. Werde nun alle LAN regeln löschen und dann eine allow all regel anlegen zum Test.
Grüße
-
@Kurzschluss:
Ping mal die Firewall an und schaue währenddessen auf der Firewall via tcpdump (Diagnostic -> Packet Capture) nach ICMP-Paketen.
Häng auch am besten mal Screenshots deiner Interfaces, Regeln und NAT-Regeln an.Gruß
Hi, also die Pakete kommen ja an:
12:41:25.690634 IP 192.168.0.99 > border.localdomain: ICMP echo request, id 1, seq 19, length 40
12:41:30.512028 IP 192.168.0.99 > border.localdomain: ICMP echo request, id 1, seq 20, length 40
12:41:35.505712 IP 192.168.0.99 > border.localdomain: ICMP echo request, id 1, seq 21, length 40
12:41:40.511987 IP 192.168.0.99 > border.localdomain: ICMP echo request, id 1, seq 22, length 40auch DNS - Anfragen usw…
12:43:24.309786 IP 192.168.0.99.62041 > border.localdomain.domain: UDP, length 41
12:43:25.309930 IP 192.168.0.99.62041 > border.localdomain.domain: UDP, length 41
12:43:27.002074 IP 192.168.0.99.51408 > 149.154.167.51.https: tcp 0
12:43:27.017817 IP 192.168.0.99.51409 > 149.154.167.51.http: tcp 0
12:43:27.309718 IP 192.168.0.99.51410 > relay-bc39bc7d.net.anydesk.com.https: tcp 0
12:43:27.310280 IP 192.168.0.99.62041 > border.localdomain.domain: UDP, length 41
12:43:29.309884 IP 192.168.0.99.51412 > relay-bc39bc7d.net.anydesk.com.http: tcp 0
12:43:30.309759 IP 192.168.0.99.51410 > relay-bc39bc7d.net.anydesk.com.https: tcp 0
12:43:31.310449 IP 192.168.0.99.62041 > border.localdomain.domain: UDP, length 41
12:43:31.993339 IP 192.168.0.99.51413 > 149.154.167.51.https: tcp 0
12:43:31.996492 IP 192.168.0.99.51414 > 149.154.167.51.http: tcp 0
12:43:32.309679 IP 192.168.0.99.51412 > relay-bc39bc7d.net.anydesk.com.http: tcp 0
12:43:34.993989 IP 192.168.0.99.51413 > 149.154.167.51.https: tcp 0
12:43:34.996844 IP 192.168.0.99.51414 > 149.154.167.51.http: tcp 0
12:43:36.309521 IP 192.168.0.99.51410 > relay-bc39bc7d.net.anydesk.com.https: tcp 0
12:43:36.653552 IP 192.168.0.99.51004 > border.localdomain.domain: UDP, length 33
12:43:36.653693 IP 192.168.0.99.60649 > border.localdomain.domain: UDP, length 33
12:43:37.653924 IP 192.168.0.99.60649 > border.localdomain.domain: UDP, length 33
12:43:37.654044 IP 192.168.0.99.51004 > border.localdomain.domain: UDP, length 33
12:43:38.315579 IP 192.168.0.99.51412 > relay-bc39bc7d.net.anydesk.com.http: tcp 0
12:43:38.654004 IP 192.168.0.99.60649 > border.localdomain.domain: UDP, length 33
12:43:38.654126 IP 192.168.0.99.51004 > border.localdomain.domain: UDP, length 33
12:43:39.998825 IP 192.168.0.99.51416 > 149.154.167.51.https: tcp 0
12:43:40.004099 IP 192.168.0.99.51417 > 149.154.167.51.http: tcp 0
12:43:40.654739 IP 192.168.0.99.51004 > border.localdomain.domain: UDP, length 33Allerdings nichts in die andere Richtung... als ob das if als "Datendiode" fungiert... kan es auch ein Hardwareschaden geben?
Viele, ratlose, Grüße
-
"Problem" gelöst…
Seitdem jemand unseren WAN Router resettet hat, hatte dieser 192.168.0.0/24 als LAN Netz - genau das gleiche, wie ich es in pfsense nutze.
Das kann natürlich nicht gehen. Nun hat der WAN Router wieder 2.1 - und es geht ;)Danke!!
