Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSense blockiert zugriff auf externe IP Adresse

    Scheduled Pinned Locked Moved Firewalling
    16 Posts 3 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lordfire112
      last edited by

      Hallo,
      ich hoffe hier kann mir jemand helfen, wir haben vermutlich seit dem Update auf die aktuelle PFsense Version (2.4.3_1) ein merkwürdiges Problem.

      Wir können über unsere Pfsense eine Webseite nicht mehr erreichen.
      Es geht hierbei um eine externe IP Adresse der Telekom die bei einem Kunden steht.
      Auch OpenVPN vom Notebook aus geht nicht mehr auf nur diese eine externe IP.

      Sobald ich LTE nutze funktioniert es, hänge ich das Notebook direkt an das Modem von UnityMedia geht es auch.
      Nur sobald die PFsense dazwischen ist geht es nicht mehr. Wir haben nur eine einfache Regel, die eigentlich von intern nach extern alles zulässt.

      Habt ihr ideen?

      V 1 Reply Last reply Reply Quote 0
      • P
        phming
        last edited by

        Hast du dir die Logs schon angeschaut? Ich wette da könnte was nützliches drin stehen.

        Gruss

        1 Reply Last reply Reply Quote 0
        • L
          lordfire112
          last edited by

          ich hab mal in die Firewall logs geschaut, da taucht die Ziel Adresse aber nicht auf.
          EIn Tracert auf die Adresse bricht immer einen hop vor dem ziel dann mit zeitüberschreitung ab.

          1 Reply Last reply Reply Quote 0
          • V
            viragomann @lordfire112
            last edited by viragomann

            @lordfire112
            Hallo,

            dein Beitrag ist im falschen Bereich. Der sollte hier hin: https://forum.netgate.com/category/7/deutsch

            Zu deinem Problem fallen mir 3 mögliche Ursachen ein:

            • Firewall Regel
            • Outbound NAT
            • Routing

            Du hast nicht gerade viele Infos gegeben, so nehme ich an, dass deine pfSense so ziemlich die Standard-Einstellungen verwendet:
            Wenn die Standard-Erlaube-Alles Regel für dein Gerät zuständig ist, sollte nicht viel schief gehen. Die IP des Laptops fällt in das LAN Net?

            Outbound NAT arbeitet standardmäßig im Automatic-Mode. Hier muss aber eine Regel für das WAN Interface und die entsprechende Quelle vorhanden sein. Wenn man den interne Netzwerkbereich ändert, kann es sein, dass die entsprechende Regel nicht mitgezogen wird.

            Routing: Die Ziel-IP muss über das Default-Gateway geroutet werden. Prüfe dahingehend die Routingtabelle.

            Ach ja, pfBlockerNG oder Ähnliches könnte auch dafür verantwortlich sein.

            1 Reply Last reply Reply Quote 0
            • L
              lordfire112
              last edited by

              Das stimmt, wir haben Standard Firewall Regeln hinterlegt,
              Unser Outbound NAT sieht so aus
              0_1530721633120_Clipboard 1.jpg
              Auch da wurde nichts geändert.
              Und wie gesagt es hat ja vor dem Update Problemlos funktioniert.

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Na, da habt ihr ja 4 interne Netze. Das geht sich mit den Standard-Firewall-Regeln aber nicht mehr aus, da müsst ihr schon manuell welche hinzugefügt haben.

                @lordfire112 said in PFSense blockiert zugriff auf externe IP Adresse:

                EIn Tracert auf die Adresse bricht immer einen hop vor dem ziel dann mit zeitüberschreitung ab.

                Das Tracert führst du auf der pfSense aus oder auf einem Host im internen Netzwerk?

                1 Reply Last reply Reply Quote 0
                • L
                  lordfire112
                  last edited by

                  Wir haben zwei interne Netze eins an eth1 und das andere an eth2
                  jeweils mit den Standard Regeln, dazu noch eine VPN Verbindung auf unsere PFSense.

                  Ich habe den Tracert sowohl auf der PFSense gemacht als auch vom Notebook aus.
                  Er bricht immer an der gleichen Stelle nach 9 hops ab (Zeitüberschreitung) wenn ich es per LTE mache ist der 10 das Ziel

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann
                    last edited by

                    Ja, aber nach 9 Hops hast du wohl schon längst dein WAN Gateway überwunden und bist irgendwo im Internet. Ich frage mich, wie da die pfSense damit im Zusammenhang stehen soll.
                    Der Abbruch steht wohl auch nicht im Zusammenhang mit dem Zugriffsproblem auf diese IP. Das ist vermutlich einfach nur ein Router, der das Tracert nicht mitmacht.

                    1 Reply Last reply Reply Quote 0
                    • L
                      lordfire112
                      last edited by

                      Das ist ja was ich auch nicht verstehe.
                      Aber wie oben geschrieben wenn ich das Notebook direkt an das Unitymedia Modem anschließe geht es
                      Der einzige Unterschied ist die pfsense dazwischen aber nach meinem Verständnis müsste dann gleich der erste hop nicht funktionieren

                      1 Reply Last reply Reply Quote 0
                      • V
                        viragomann
                        last edited by

                        Wenn es ein Fehl-Routing wäre, ja.

                        Firewall-Regel schließt du aus.
                        Outbound-NAT kann man demnach auch ausschließen.

                        pfBlocker?

                        Anderenfalls würde ich mir mal mit Packet Capture (Diagnostic Menü) ansehen, was bei einem Zugriff von intern auf diese IP am jeweiligen internen Interface und am WAN abgeht.

                        1 Reply Last reply Reply Quote 0
                        • L
                          lordfire112
                          last edited by

                          Mhh, hab das das Capture laufen lassen
                          19:01:45.630793 IP 192.168.10.3.59308 > ziel IP.8090: tcp 0
                          19:01:45.894496 IP 192.168.10.3.59309 > ziel Ip.8090: tcp 0
                          19:01:48.639749 IP 192.168.10.3.59308 > ziel IP.8090: tcp 0
                          19:01:48.889444 IP 192.168.10.3.59309 > ziel IP.8090: tcp 0

                          was sagt mir das? Ist vom LAN Interface beim WAN Interface steht bei der ersten IP unsere exteren.

                          Könnte es sein dass wir auf einer Blacklist der Ziel Firewall gelandet sind?

                          1 Reply Last reply Reply Quote 0
                          • V
                            viragomann
                            last edited by

                            Das ist dann so wie es sein soll.
                            D.h. euer Modem arbeitet im Bridge-Mode (bzw. PPPoE) und die pfSense hat direkt die externe IP an ihrem WAN?

                            Auf der Blacklist kann ja nicht die pfSense, sondern bestenfalls die externe IP landen. Die ist ja wohl statisch. Und wenn du das UnityMedia-Modem als Router einsetzt, ist diese IP ja dieselbe. Und da funktioniert es doch, hast du geschrieben.

                            Und das betrifft wirklich nur diese ein IP?
                            Bin ratlos.

                            1 Reply Last reply Reply Quote 0
                            • L
                              lordfire112
                              last edited by

                              Normal ist es das Modem im Bridge-Modus an der PFsense genau, wenn ich aber mein Notebook an das Modem hänge bekomme ich eine andere externe IP, da bei UnityMedia die externe IP an die MAC Adresse der PfSense gekoppelt ist.

                              1 Reply Last reply Reply Quote 0
                              • L
                                lordfire112
                                last edited by

                                Ich habe jetzt mal die feste externe IP unserer PFSense entfernt und ihr eine freie von UnityMedia geben lassen, siehe da ich komm auf die Seiten und VPN´s
                                Es muss also was mit unserer Exteren IP Zutun haben.

                                Ich verstehe es nicht, aber vielleicht sind wir dann wirklich auf der Blacklist der ziel Firewall.

                                1 Reply Last reply Reply Quote 0
                                • V
                                  viragomann
                                  last edited by

                                  Ja, natürlich, wenn das nur bei einer bestimmten externen IP der Fall ist, kann das schon der Fall sein.

                                  Ich kenne leider das UnityMedia System und deren IP-Vergabe nicht. Kann mir immer noch nicht vorstellen, wie das vernünftig funktionieren soll, das ist aber hier nicht das Problem.
                                  Wenn die IP aus einem völlig anderen Bereich ist, könnte es auch ein Routing-Problem im Internet sein.

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    lordfire112
                                    last edited by

                                    Vielen Dank für die Hilfe und die Tipps ich werde jetzt mal die gegenstelle prüfen lassen

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.