Probleem met port forward



  • Hallo Allemaal.

    Ik ben een relatief nieuwe pfsense gebruiker.
    Sinds een paar dagen heb ik een watchguard firebox e550x met pfsense draaiend als main router en firewall.
    Alle instellingen (static ip's en port forwards) heb ik vanuit mijn vorige router overgenomen.
    Het werkt erg mooi en ook mijn webserver is netjes vanuit buitenaf benaderbaar.

    Echter kan ik vanaf mijn webserver geen van mijn andere devices op het netwerk benaderen (zelfs geen ping). En volgens mij kan ik vanuit de webserver ook geen verbinding maken met dingen buiten mijn netwerk.
    Waarschijnlijk heb ik iets verkeerd gedaan met het forwarden. Maar ik zie mijn fout niet.

    Kan één van jullie me hiermee verder helpen?

    Achtergrond info:

    • Alle devices zitten op hetzelfde subnet. En ik gebruik (nog) geen vlan's
    • Nat reflection staat op disabled (andere opties geprobeerd maar maakt geen verschil)
    • De port forward instellingen:
    • De (automatisch gegenereerde) firewall rules:


  • devices in hetzelfde subnet gaan nooit langs je router wanneer ze onderling willen communiceren…. je probleem zal zich dus niet in je router bevinden



  • Alle devices kunnen met elkaar en met de buiten wereld communiceren. Behalve de webserver (waar de port forward op staat ingesteld). Deze kan de devices in het netwerk niet zien. En kan ook geen info ophalen van buitenaf. De webserver zelf is echter wel te bereiken (van binnen en van buitenaf).
    Daardoor vermoed ik dat het probleem zich bevind in het port forwarden.



  • Eens met Heper. Zelfs al zou je je pfSense uitzetten, moet je nog onderling kunnen pingen bijvoorbeeld, voorop gesteld dat je vaste IP adressen hebt of je DHCP lease nog niet is verlopen en dat je pingt op IP-Adres ;D

    Zou het eerder in je webserver zoeken, met name de gateway. Of firewall op de webserver.
    Wat voor een webserver is het? Linux? Windows?
    Als het Windows is, let er dan op dat het netwerk gedeelte van Windows als Private staat ingesteld en niet public!

    En even ter controle. Wat probeer je vanaf de webserver te pingen? Windows machine?
    Zorg dan wel dat op die windows machine die je wilt pingen "file & print services ECHO request ipv4" aanstaan voor inbound traffic!
    En natuurlijk wel ook opletten dat die windows machines op private network staan, en niet op public!

    en wat probeer je te pingen? een ip-adres of een DNS naam? Bij het laatste moet je in pfSense wel DNS goed geconfigureerd hebben.
    Dus DNS forwarder of DNS Resolver (Unbound) met de juiste Host Overrides. [onder Services/DNS forwarder of DNS Resolver]
    en moet natuurlijk DNS op je webserver wijzen naar de pfSense machine.

    Meer kan ik zo even niet bedenken.



  • Dank voor jullie berichten.
    De webserver is een synology nas (die virtueel draait binnen windows).
    Binnen windows heb ik verbinding met binnen en buiten mijn netwerk. Alleen kan synology geen verbinding maken met het internet en geen van de andere devices op het netwerk. Echter is de port forwarding wel succesvol en is alles netjes zichtbaar vanaf buitenaf (en ook binnen het netwerk).

    synology draait in vmware en staat ingesteld met de ethernet connectie op bridged. Dit heeft al jaren exact zo gewerkt. De nas en windows krijgen zo allebei een eigen IP. (alle IP's zijn static en dhcp pool start pas vanaf 192.168.1.200-192.168.1.254)
    In de Nas staat de gateway goed en met DNS heb ik nog niks gedaan. Is dat nodig?



  • hmm? wut?

    een synology nas die virtueel draait binnen windows? waar kan je synology software vinden?? ik ben enkel op de hoogte van hun hardware-appliances…



  • @heper:

    hmm? wut?

    een synology nas die virtueel draait binnen windows? waar kan je synology software vinden?? ik ben enkel op de hoogte van hun hardware-appliances…

    Zie hier:
    https://xpenology.club/
    Werkt erg leuk.



  • Ik denk dat het probleem ergens in de DNS zit.
    De NAS geeft het volgende weer:

    Nu is alleen nog de vraag; wat zit er fout en wat doe ik er aan?
    Iemand een idee?



  • DNS is poort 53; die moet van binnenuit naar je PFSense box open staan of verwijzen naar een externe DNS; bijvoorbeeld 8.8.8.8 (Google) of 8.8.4.4 (Google backup).

    Je kunt de DNS op je Synology hard instellen.
    Mocht je met SSH kunnen inloggen op je Synology dan kun je kijken waar de DNS op ingesteld is in de resolv:
    cat /etc/resolv.conf

    In principe moet je internet DHCP server aangeven waar de clients hun internet aanvraag naartoe moet gaan (Gateway) en welke host ze kan helpen met resolven (Meestal is deze gelijk aan het IP adres van de DHCP server of je Gateway/Modem)



  • Bedankt Genotix voor je tips.

    Ik heb poort 53 openstaan van binnenuit. En wat geprobeerd met dns forward ed. Helaas heeft dit nog niet geholpen

    Wanneer ik op de Synology het IP van mijn modem instel als dns, werkt het wel. Echter kunnen dan de lokale ip adressen niet meer worden geresolved.



  • Om op het lan een local address te krijgen dien je de host naam te registreren in "Services/DNS Resolver/General Settings => Host Overrides".
    Hier geef je de hostnaam, domain en local IP op.
    Vanaf het WAN krijg je het externe address van pfSense, op het LAN krijg je het local IP address.
    Bij mij werkt dat al jaren goed.