zusätzliches Interface kann pingen aber kein TCP traffic
-
Hallo
Ich habe auf einem ALIX ein pfSense laufen. Lief bisher alles bestens.
LAN1 und WLAN sind zu einer BRIDGE zusammengefasst. LAN2 bietet ein weiteres Subnet an. Diese beiden Netze haben problemlosen Internetzugriff.
Jetzt habe ich ein weiteres Netzwerkdevice angeschlossen und als LAN3 konfiguriert. Es hat analog die Einstellungen von LAN2 (bis auf die angepassten IP-Adressen) doch kann dieses Netzwerk nur nach innen & außen pingen und lokal per TCP auf Adressen zugreifen. Internet per TCP geht nicht.Hier mal Teile der Config:
<interfaces> <wan> <enable></enable> <if>vr0</if> <ipaddr>dhcp</ipaddr> <ipaddrv6>dhcp6</ipaddrv6> <gateway></gateway> <blockpriv>on</blockpriv> <blockbogons>on</blockbogons> <media></media> <mediaopt></mediaopt> <dhcp6-duid></dhcp6-duid> <dhcp6-ia-pd-len>0</dhcp6-ia-pd-len> </wan> <lan> <enable></enable> <if>vr1</if> <descr><![CDATA[LAN1]]></descr> <ipaddr></ipaddr> <subnet></subnet> <ipaddrv6></ipaddrv6> <track6-interface>wan</track6-interface> <track6-prefix-id>0</track6-prefix-id> <spoofmac></spoofmac> <gateway></gateway> <subnetv6></subnetv6> <gatewayv6></gatewayv6> </lan> <opt1> <if>vr2</if> <descr><![CDATA[LAN2]]></descr> <enable></enable> <spoofmac></spoofmac> <ipaddr>192.168.102.1</ipaddr> <subnet>24</subnet> </opt1> <opt2> <if>ath0</if> <descr><![CDATA[WLAN]]></descr> <enable></enable> <spoofmac></spoofmac> <wireless> <standard>auto</standard> <protmode>off</protmode> <channel>6</channel> <distance></distance> <regdomain></regdomain> <regcountry></regcountry> <reglocation></reglocation> <txpower></txpower> <mode>hostap</mode> <ssid>Pofficewifi</ssid> <authmode></authmode> <wpa> <macaddr_acl></macaddr_acl> <wpa_mode>2</wpa_mode> <wpa_key_mgmt>WPA-PSK</wpa_key_mgmt> <wpa_pairwise>CCMP</wpa_pairwise> <wpa_group_rekey>60</wpa_group_rekey> <wpa_gmk_rekey>3600</wpa_gmk_rekey> <passphrase>XXXXXXXXXXXXXXXXXXXXXXX</passphrase> <ext_wpa_sw></ext_wpa_sw> <enable></enable> </wpa> <auth_server_addr></auth_server_addr> <auth_server_port></auth_server_port> <auth_server_shared_secret></auth_server_shared_secret> <auth_server_addr2></auth_server_addr2> <auth_server_port2></auth_server_port2> <auth_server_shared_secret2></auth_server_shared_secret2> </wireless> </opt2> <opt3> <descr><![CDATA[PSECURE]]></descr> <if>bridge0</if> <enable></enable> <spoofmac></spoofmac> <ipaddr>192.168.92.1</ipaddr> <subnet>24</subnet> </opt3> <opt4> <descr><![CDATA[LAN3]]></descr> <if>ue0</if> <enable></enable> <spoofmac></spoofmac> <ipaddr>192.168.112.1</ipaddr> <subnet>24</subnet> </opt4> </interfaces> <nat> <outbound> <mode>automatic</mode> </outbound> </nat> <filter> <rule> <type>pass</type> <ipprotocol>inet</ipprotocol> <descr><![CDATA[Default allow LAN to any rule]]></descr> <interface>lan</interface> <tracker>0100000101</tracker> <source> <network>lan</network> </source> <destination> <any></any> </destination> </rule> <rule> <type>pass</type> <ipprotocol>inet6</ipprotocol> <descr><![CDATA[Default allow LAN IPv6 to any rule]]></descr> <interface>lan</interface> <tracker>0100000102</tracker> <source> <network>lan</network> </source> <destination> <any></any> </destination> </rule> <rule> <id></id> <tracker>1496909451</tracker> <type>block</type> <interface>opt1</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <any></any> </source> <destination> <network>opt3</network> </destination> <log></log> <descr></descr> <created> <time>1496909451</time> <username>admin@192.168.1.72</username> </created> <updated> <time>1497285680</time> <username>admin@192.168.92.51</username> </updated> </rule> <rule> <id></id> <tracker>1497285453</tracker> <type>pass</type> <interface>opt1</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt1</network> </source> <destination> <network>opt1ip</network> </destination> <descr></descr> <updated> <time>1497285453</time> <username>admin@192.168.92.51</username> </updated> <created> <time>1497285453</time> <username>admin@192.168.92.51</username> </created> </rule> <rule> <id></id> <tracker>1497285593</tracker> <type>block</type> <interface>opt1</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt1</network> </source> <destination> <address>192.168.0.0/16</address> </destination> <descr></descr> <updated> <time>1497285593</time> <username>admin@192.168.92.51</username> </updated> <created> <time>1497285593</time> <username>admin@192.168.92.51</username> </created> </rule> <rule> <id></id> <tracker>1496908992</tracker> <type>pass</type> <interface>opt1</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <any></any> </source> <destination> <any></any> </destination> <descr></descr> <dnpipe>LimitLAN2down</dnpipe> <pdnpipe>LimitLAN2up</pdnpipe> <created> <time>1496908992</time> <username>admin@192.168.1.72</username> </created> <updated> <time>1496911481</time> <username>admin@192.168.102.51</username> </updated> </rule> <rule> <id></id> <tracker>1496909483</tracker> <type>block</type> <interface>opt3</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt1</network> </source> <destination> <network>opt3</network> </destination> <log></log> <descr></descr> <created> <time>1496909483</time> <username>admin@192.168.1.72</username> </created> <updated> <time>1497285652</time> <username>admin@192.168.92.51</username> </updated> </rule> <rule> <id></id> <tracker>1497285844</tracker> <type>pass</type> <interface>opt3</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt3</network> </source> <destination> <network>opt3ip</network> </destination> <descr></descr> <updated> <time>1497285844</time> <username>admin@192.168.92.51</username> </updated> <created> <time>1497285844</time> <username>admin@192.168.92.51</username> </created> </rule> <rule> <id></id> <tracker>1497285775</tracker> <type>block</type> <interface>opt3</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <any></any> </source> <destination> <network>opt1</network> </destination> <descr></descr> <updated> <time>1497285775</time> <username>admin@192.168.92.51</username> </updated> <created> <time>1497285775</time> <username>admin@192.168.92.51</username> </created> </rule> <rule> <id></id> <tracker>1496908983</tracker> <type>pass</type> <interface>opt3</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt3</network> </source> <destination> <any></any> </destination> <descr></descr> <created> <time>1496908983</time> <username>admin@192.168.1.72</username> </created> <updated> <time>1497270381</time> <username>admin@192.168.92.52</username> </updated> </rule> <rule> <id></id> <tracker>1533385424</tracker> <type>pass</type> <interface>opt4</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <any></any> </source> <destination> <any></any> </destination> <descr></descr> <dnpipe>LimitLAN2down</dnpipe> <pdnpipe>LimitLAN2up</pdnpipe> <updated> <time>1533385424</time> <username>admin@192.168.92.110</username> </updated> <created> <time>1533385424</time> <username>admin@192.168.92.110</username> </created> </rule> <rule> <id></id> <tracker>1533385408</tracker> <type>block</type> <interface>opt4</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt4</network> </source> <destination> <address>192.168.0.0/16</address> </destination> <descr></descr> <updated> <time>1533385408</time> <username>admin@192.168.92.110</username> </updated> <created> <time>1533385408</time> <username>admin@192.168.92.110</username> </created> </rule> <rule> <id></id> <tracker>1533385387</tracker> <type>pass</type> <interface>opt4</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <network>opt4</network> </source> <destination> <network>opt4ip</network> </destination> <descr></descr> <updated> <time>1533385387</time> <username>admin@192.168.92.110</username> </updated> <created> <time>1533385387</time> <username>admin@192.168.92.110</username> </created> </rule> <rule> <id></id> <tracker>1533385358</tracker> <type>block</type> <interface>opt4</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype>keep state</statetype> <os></os> <source> <any></any> </source> <destination> <network>opt3</network> </destination> <log></log> <descr></descr> <updated> <time>1533385358</time> <username>admin@192.168.92.110</username> </updated> <created> <time>1533385358</time> <username>admin@192.168.92.110</username> </created> </rule> <separator> <opt2></opt2> <opt3></opt3> <opt1></opt1> <opt4></opt4> </separator> </filter> <bridges> <bridged> <members>lan,opt2</members> <descr><![CDATA[PSecure]]></descr> <maxaddr></maxaddr> <timeout></timeout> <maxage></maxage> <fwdelay></fwdelay> <hellotime></hellotime> <priority></priority> <proto>rstp</proto> <holdcnt></holdcnt> <ifpriority></ifpriority> <ifpathcost></ifpathcost> <bridgeif>bridge0</bridgeif> </bridged> </bridges>Hat jemand Hilfe hierzu für mich?
Danke!Johannes
-
Hallo,
hast du es schon mit einem Neustart der Kiste versucht? Eventuell hat sich das Outbound NAT nicht aktualisiert, das braucht manchmal einen Neustart.
Du kannst die automatisch erstellten Outbound NAT Regeln aber auch überprüfen.Grüße
-
Hallo
Ja, natürlich habe ich das Device komplett neu gestartet. Leider ohne Erfolg.
Johannes
-
Hallo,
das Phänomen, dass Pings funktionieren, TCP od. UDP aber nicht, ist oft ein Indiz für ein asymmetrisches Routing. D.h. dass die Pakete in Richtung Internet einen anderen Weg nehmen als die Antwortpakete vom Internet zum LAN Gerät.
Hast du ein paralleles Gateway?
Findet sich was in den Logs? Wenn das Login der Default-Block-Regel aktiviert ist, würden derartige Blocks geloggt. -
Hallo
Nein, es gibt nur einen Gateway an WAN1.
Leider kann ich auf die Logs nicht zugreifen, da das Gerät woanders steht und es auch keinen Remote-Zugriff gibt.Aber die Konfiguration sollte passen?
Johannes
-
Klar sind mir die Filter-Regeln nicht.
Als erstes hast du eine Regel, die Limiter verwendet. Die Limiter selbst sind aber nicht Teil dieser Konfig.
Dann blockierst du alles auf deine internen Netze. Alle weiteren Regeln kommen damit gar nicht mehr zum Tragen.
Es hängt also von der ersten Regeln mit den Limiter ab, was erlaubt ist. Funktionieren diese überhaupt?
Stelle mal fest, ob die Namensauflösung aus dem Netz funktioniert.
-
Moin
Die Limiter-Regeln kann ich hier nachliefern:
<dnshaper> <queue> <name>LimitLAN2down</name> <number>1</number> <qlimit></qlimit> <plr></plr> <description></description> <bandwidth> <item> <bw>512</bw> <burst></burst> <bwscale>Kb</bwscale> <bwsched>none</bwsched> </item> </bandwidth> <enabled>on</enabled> <buckets></buckets> <mask>dstaddress</mask> <maskbits>32</maskbits> <maskbitsv6>128</maskbitsv6> <delay>0</delay> </queue> <queue> <name>LimitLAN2up</name> <number>2</number> <qlimit></qlimit> <plr></plr> <description></description> <bandwidth> <item> <bw>1</bw> <burst></burst> <bwscale>Mb</bwscale> <bwsched>none</bwsched> </item> </bandwidth> <enabled>on</enabled> <buckets></buckets> <mask>srcaddress</mask> <maskbits>32</maskbits> <maskbitsv6>128</maskbitsv6> <delay>0</delay> </queue> <queue> <name>LimitLAN3down</name> <number>3</number> <qlimit></qlimit> <plr></plr> <description></description> <bandwidth> <item> <bw>512</bw> <burst></burst> <bwscale>Kb</bwscale> <bwsched>none</bwsched> </item> </bandwidth> <enabled>on</enabled> <buckets></buckets> <mask>dstaddress</mask> <maskbits>32</maskbits> <maskbitsv6>128</maskbitsv6> <delay>0</delay> </queue> <queue> <name>LimitLAN3up</name> <number>4</number> <qlimit></qlimit> <plr></plr> <description></description> <bandwidth> <item> <bw>1</bw> <burst></burst> <bwscale>Kb</bwscale> <bwsched>none</bwsched> </item> </bandwidth> <enabled>on</enabled> <buckets></buckets> <mask>srcaddress</mask> <maskbits>32</maskbits> <maskbitsv6>128</maskbitsv6> <delay>0</delay> </queue> </dnshaper>Die Shaper-Regeln funktionieren an LAN2 hervorragend, ich habe sie da einfach nur für LAN3 abgeschrieben. Ebenso sind die Firewall-Regeln Kopien derern von LAN2 (auf das richtige Interface umgestellt).
Ich hatte testweise auch alle Firewall- und Limiter-Regeln entfernt - das brachte auch keine Verbesserung.
Die Namensauflösung hat bei ping und traceroute funktioniert, aber zB wget konnte die Domain nicht finden - soweit ich mich erinnere, wie gesagt habe ich jetzt keinen Zugriff mehr auf das Device.
Viele Grüße
Johannes -
Zum Testen würde ich schon eine Regel erstellen, die erstmal alles erlaubt, ohne Limiter. Denn, wie erwähnt, deine 2. Regel blockiert alle internen Netze, also auch den Zugriff auf die pfSense selbst (vielleicht zwecks DNS nötig).
Der Limiter "LimitLAN3up" erlaubt nur 1 kb, das ist doch etwas wenig. LimitLAN2up erlaubt 1 Mb.
Ich weiß aber nicht, ob das überhaupt zum Tragen kommt, denn in deinen obern geposteten Regeln verwendest du am LAN3 auch den LimitLAN2up und LimitLAN2down. -
Ich denke zur wirklichen Diagnose - wenn er die möchte - wären auch sinnvolle Screenshots besser als das Config File, was man auf den ersten Blick so gar nicht einschätzen kann. Zudem gibt es Situationen, in denen Regeln anders angeordnet sind, wie sie im File gespeichert werden, somit ist die Aussagekraft doch relativ ungeschickt. Und wenn ich mich durch 2km XML wühlen soll statt einen kurzen prägnanten tabellarischen Screen zu sehen, wo die Regeln stehen - you see what I mean?
Danke und Gruß
-
@jegr said in zusätzliches Interface kann pingen aber kein TCP traffic:
Ich denke zur wirklichen Diagnose - wenn er die möchte - wären auch sinnvolle Screenshots besser als das Config File, was man auf den ersten Blick so gar nicht einschätzen kann.
Whaaaat?
Sorry, sehe ich anders und wie schon mehrfach erwähnt habe ich aktuell keinen Zugriff mehr auf die Kiste - erst wieder nächstes Jahr. Ich wollte nur das Problem rechtzeitig lösen, da nächstes Jahr die Kiste einfach laufen muß.
Trotzdem danke.
Johannes
