pfsense mit QUAD-Intel NIC, kein DNS auf einer dieser NICs moeglich
-
Hallo @all,
ich brauche bei folgendem Aufbau HIlfe, weil ich nicht mehr weiterkomme und den Zustand mir auch nicht erklaeren kann.
Es geht um eine (alte) pfsense -die mit einer fixen IP am Kabel-Router haengt- bisher, viele Jahre unauffaelig war und auch bisher (toi/toi/toi) nichts vorgekommen ist. Einfach stabiler Betrieb. So, wie es sein soll.
Durch einen notwendigen Netzumbau hat diese pfsense eine Quad intel-Nic (linux Treiber igb) bekommen. Das Board hat auch einen 1G Intel, also insgesamt fuenf (5) NICs. Am onbaord-NIC haengt das Kabelmodem.
An der Quad NIC sind folgende Netze:
- Admin-Netz fuer Switches, USV, RILO-der HP-Server etc.
- Produktiv-Netz (mit nachgeschaltetem Router, ist aber nicht das Problem)
- VOIP, fuer die asterisk und die Voip-Tel.
- WLAN-Netz fuer die drei APs
Bis auf das Produktiv-Netz sind auf den o.g. NICs auf der pfsense DHCP konfiguriert; FYI, nicht auf der WAN Seite, da fixe IP. HIer ist auch kein Problem.
Das Produktiv-Netz haengt hinter einem anderen Linux-Router. Deswegen ist fuer das Produktivnetz dieser eine Linux-Router fuer DHCP zustaendig, sowohl im Ein- als auch im Ausgangsschenkel des Linux-Routers. Alles OK auch hier. Sowohl Routing, als auch die Namesaufloesung, wie auch das Anpingen z.B. der VOIP_HW hinter der Pfsense, oder der USVs etc
Ebenso kann ich aus allen vier Netzen alle (ausnahmslos) Einheiten gegeneinander, egal von wo, woher/wohin anpingen. Sprich alle sehen sich. Keine Pakete gehen verloren. Auch gut.
Das Problem ist folgender:
Aus allen Netzen bis_auf__das_WLAN-Netz komme ich ins Internet, auch eine Namensaufloesung klappt in den anderen Netzen, im WLAN-Netz nicht. :-(
Ein DHCP in den allen(!) Netzen ist auch OK, nicht an notwendigen Parametern fehlt.Die DHCP Vergabe klappt, aber das WLAN_Netz kommt nicht ueber die Pfsense ins Internet. Ein IP-Ping jedoch funkt, intern wie ins Inet.
Also ein nslookup zdf.de funkt nicht.
Ebenso ping zdf.de (folglich) auch nicht.
Aber ein ping auf die IP 91.197.29.78 klappt.Die Parametrisierung der Netze an der QUAD Nic ist beim Einrichten (und auch akt.) identisch, bis auf die IP-Adressen, was ich z.B. beim VOIP-Netz (da funkt alles) eingeschaltet habe, ist auch auf der WAN-NIC.
Um die Funktionalitaet zu ueberpruefen habe ich eine virt. (XP) Einheit, die ich per spice bedienen kann und je nach Bedarf in das VOIP (172.x) oder ins WLAN (192.x) haengen kann.
Ein ipkonfig/XP auf der VOIP oder WLAN Schiene bringt, bis auf die IP-Adressen identische Ausstattung mit; IP-Adresse aus dem Netzsegment, Subnet/GW/DHCP-Server und DNS-Server werden vergeben, nichts fehlt und doch kommt ein Client, egal XP oder ein mobiles dev nicht ins Internet.
Dass es die DNS-Aufloesung ist (und nicht das Routing), was nicht klappt, konnte ich auch folgerndermassen ueberpruefen: aus der o.g Installation, dem Netz konnte ich den Heim-Server ueber das Internet nicht per DNS-Namen, aber mit IP ansprechen, die Seiten wurden in XP geladen.
nslookup zdf.de
wird bei den mit dhcp vergebenen DNS-Servern nachgefragt aber geht in einen timeout.Eine explizte Freigabe tcp/udp aus WAN ins WLAN (wie auch aus dem Produktivnetz ins WLAN) brachte keine Verbesserung. :-(
Wieso funkt das DNS auf der pfsense auf genau dieser einen Schiene, der WLAN Schiene nicht?`
Bitte um jegliche diagnostische oder andere Hilfe.
Danke Euch vorab.Gruss Lindemann
-
Moin,
es wäre hilfreich, wenn da noch Infos kommen. Nutzt du Resolver oder Forwarder? Wie sieht die Konfiguration aus? Firewallregeln auf dem WLAN Interface?
-
Hallo Bahsig,
danker fuer eine zuegige Reaktion.
@Resolver/Forwarder: egal, was ich einstelle, aendert nichts.
, sowohl im Pos. als auch im Neg. Sinne.Die anderen Netzsegmente funktionieren weiterhin OK, das WLAN nicht.
@Regeln auf WLAN NIC
Gar nichts, alles auf Durchzug, bewusst.
TCP/UDP v. WLAN auf * - Durchzug
IP4 * * - Durchzug.
ICMP * * Durchzug
IP4 TCP/UDP 53 auch auf DurchzugBTW, mit den selben Regeln, wie auf WLAN, funkt VOIP einwanfrei. Deswegen solltendie Regeln das Spiel nicht behindern.
Gestern Nacht habe ich -um auszuschliessen, dass ich evtl. mich vertan haben koennte- ein anderes Segment statt 192.168.214.0/24 konfiguriert, same.
Aendert leider nichts.
Lindemann
-
Leider kann weder ich noch irgendein anderer hier deine Konfiguration erraten. Deshalb wäre ein Bilderstrecke deiner Konfiguration hilfreich. Wenn die Regeln tatsächlich so und der Reihenfolge erstellt worden sind, wie oben beschrieben, dann kannst du 3 davon löschen.
Damit man dir helfen kann, benötigen wir die Screenshots vom Resolver/Forwarder, WLAN Regeln.
-
Kann man hier in das Forum ein handgezeichnetes Bild hochladen?
Gruss
Lindemann -
Ja, genau so, wie man einen Screenshot der Konfiguration hochladen kann
-
Fehler
Post content was flagged as spam by Akismet.comKann die Antwort nicht hochladen, warum auch immer. Keine Fremdlinks noch was, nur Text und ein Bild. Trotzdem njet. F... F...
-
Hallo!
@Lindemann
Mit handfesten Infos zu deinem Netzwerk bist du ja wirklich knausrig, dafür schreibst du eine Menge Text, wie du was schon überprüft oder gemacht hast, was hier aber niemand nachvollziehen kann.
Wenn du hier rasche Hilfe erwartest, benötigt es einige Details:
Deine Netzwerkkonfiguration auf der pfSense, die des Testgeräts, Firewall-Regeln der problematischen Interfaces, komplette ipconfig-Rückgabe, nslookup-Rückgabe, ggf. NAT-Regeln der betroffenen Interfaces.Bilder lassen sich hier typischerweise ganz einfach aus der Zwischenablage (Screenshot) einstellen.
Wenn du nicht mehr preisgeben möchtest, kann ich nur empfehlen, aktiviere das Logging auf allen Firewall-Regeln sowie das der Default-Deny-Regel und schau, ob im Filter-Log entsprechende Blocks zu finden sind.
Zusätzlich kannst du Packet Capture benutzen, um zu sehen, ob die Pakete am Interface der pfSense ankommen und ob sie richtig adressiert sind und ggf. auch richtig weitergeleitet werden.Grüße
-
@viragomann @bahsig
danke Euch fuer die Unterstuetzung.
Habe den Wald vor lauter Baeumen nicht mehr gesehen.
UDP war bei RULES fuer das WLAN nicht mit angegeben, nur TCP.
Danach war alles OK.Unabhaegig davon ist beim VOIP-Netz auch kein UDP angegeben und doch funkt es. Warum auch immer.
Ich haette gerne ein Zeichnung hochgeladen, wurde mit dem Text als SPAM abgelehnt. Zudem ich auch nicht wuesste, wie ich aus der alten pfsense, suaber formatierte Rules/NAT-Regeln (ohne das Forum mit cut/copy/paste zu zurussen) bekommen sollte. UNd nicht welche aus der GUI mit der Maus gezogen. Oder sind diese Regeln per Screenshot zu liefern? Nicht als ASCII?
Wenn ich hierzu noch mal einen Tipp bekaeme waere es fein.
Gruss
Lindemann -
Die pfSense ist eben ein System, das dahin ausgelegt ist, über eine GUI konfiguriert zu werden. Deshalb ist den Leuten hier der Anblick einer Grafik (Screenshot) vertrauter als Textzeichen. Und das Einfügen eine Screenshots über die Zwischenablage ist die simpelste Übung.
Es können aber auch externe Bilder verlinkt werden.Doch spricht auch nichts dagegen, die Regeln als Text über die Zwischenablage hier rein zu kopieren und als Code zu formatieren. Das sollte auch soweit deutlich lesbar sein.
Ich glaube, es gibt da ein Sperre für neue Forumsmitglieder, die verhindert, dass Grafiken reingestellt werden. Also nicht zwingend ein Problem auf deiner Seite. Ich weiß aber nicht, wie viele Posts nötig sind, um die Sperre aufzuheben.
Grüße
-
Hi.
@Lindemann ist seit 2011 dabei, so ganz neu ist das nicht.
Meine auch gelesen zu haben, das gewisse Anzahl von Posts oder Likes nötig sind um Blder hochzuladen. Du brauchst hier z.B. 5 Likes um deine Signatur zu ändern. auch wenn du dich vor 10 Jahren hier gereggt hast. Die Sinnhaftigkeit sei mal dahingestellt.Edit:
@Lindemann
Du bist 18 Jahre alt und vor über 8 Jahren hast die hier angemeldet? Mit 10 Jahren? :) -
@mike69 said in pfsense mit QUAD-Intel NIC, kein DNS auf einer dieser NICs moeglich:
@Lindemann ist seit 2011 dabei, so ganz neu ist das nicht.
Deutlich länger als ich!
Das Neu habe ich von der Anzahl der Postings hergeleitet. Ich glaube, dass auch diese Anzahl der Schlüssel zur Aufhebung der Sperre ist, aber möglicherweise sind es auch Likes. Ich möchte es nicht suchen, mich hatte es bislang noch nicht berührt.
Grüße
