Wie automatisiert (m)einen Port prüfen
-
Folgendes Problem habe ich ab und an: Mein ISP Pyur schaltet bei einem IP-Wechsel manchmal DS-Lite statt vollem DS. Wenn ich daraufhin manuell einen IP-Wechsel initiiere, dann habe ich wieder vollen DS.
Es kann aber leider dauern, bis ich das überhaupt mitbekomme.Daher meine Frage, wie ich das irgendwie automatisiert mitbekommen könnte, über pfSense selbst mithilfe einer VPN-Client-Verbindung oder mit vielleicht einen Webservice?
Eine andere Überlegung wäre, über eine bestehende VPN-Client-Verbindung meine(n) WAN-Port selbst zu testen, aber mit welchem Programm könnte ich das schön mit GUI unter Windows oder ggf ohne, aber dann per E-Mail-Benachrichtigung oder ähnlichem realisieren?
-
Würde das Problem anders anpacken...was sagt denn der Pyur Support dazu?
-Rico
-
@Rico said in Wie automatisiert (m)einen Port prüfen:
Würde das Problem anders anpacken...was sagt denn der Pyur Support dazu?
-Rico
Pyur und Support, das ist ein Oxymoron. Und es passiert geschätzt vielleicht bei jedem zehnten, vielleicht auch nur jedem zwanzigsten Verbindungsaufbau. Es ist also recht selten, bleibt dann aber leider ne Weile unentdeckt.
-
Der eingebaute Port Tester funktioniert schon mal hervorragend, aber wie das automatisiert machen?
-
Hatte es gerade wieder, gut dass ich gleich getestet habe. Muss ich halt immer dran denken.
-
ich verstehe noch nicht ganz, wo(hin) du was mit einem Port testen möchtest, dass dir verrät, dass du nur DS-lite verbunden bist? Kannst du das etwas genauer ausführen? Dann käme ich auch einfacher auf eine Idee, wie man sowas bewertkstelligen könnte ;)
-
@JeGr said in Wie automatisiert (m)einen Port prüfen:
ich verstehe noch nicht ganz, wo(hin) du was mit einem Port testen möchtest, dass dir verrät, dass du nur DS-lite verbunden bist? Kannst du das etwas genauer ausführen? Dann käme ich auch einfacher auf eine Idee, wie man sowas bewertkstelligen könnte ;)
Lösung wäre wohl eine Art von Script zu schreiben, wozu aber anscheinend keiner Lust hat.
Problem noch mal erläutert:
Eigentlich bin ich von außen erreichbar (DS). Manchmal aber nicht über IPv4 (DS-Lite). Rausfinden tue ich dies dann meist zu spät für meinen Geschmack, z.B. Kumpel schreibt mich auf dem Smartphone an, er kommt seit Tagen nicht auf meinen Teamspeak (überspitztes Beispiel). Dann habe ich auch ein paar E-Mails nicht bekommen etc., einfach ärgerlich. E-Mail-Benachrichtigungen aus diesem Forum bekomme ich dennoch, da google diese über IPv6 an mich schickt.Testen kann ich das über einen Porttester im Web oder z.B. mittels des PfSense Porttesters via eines eingerichteten VPN-Clients (VPN-Provider).
Ich hoffe es war nun verständlich.
PS: Noch ein paar Beispiele, wie bei mir ein Portscan mit DS-Lite ausgesehen hat:
Beide Beispiele zeigen etwas, was nicht mein Anschluss ist!
-
In einem anderen Forum wurde mir empfohlen, das ganze einfach per NAT-Loopback zu ermitteln. Ich habe einen IM-Client auf meinem Rechner, der sich auf einen meiner Server, ebenfalls @home, verbindet, Split-DNS wird nicht mehr genutzt, NAT Reflection ist deaktiviert. Als Remote-Adresse wird mir im Client nun meine Internet-IP angezeigt. Sollte das nun reichen, das wäre super, weil ich den Client eh immer offen habe, ich müsste dann nur die gedankliche Verbindung herstellen, warum ich mich ggf nicht mit meinem Server verbinden kann.
-
@Bob-Dig Das müsste funktionieren, aber eigentlich sollte für NAT-Loopback statt NAT Reflection deaktivieren, Aktivieren (Reines NAT) eingestellt sein.
-
@nonick Du meinst, ich sollte pure NAT aktivieren? Interessanterweise scheint es bei mir auch ohne dies zu funktionieren, vielleicht weil der Server an einem anderen Interface hängt? Wenn ich hier auf meiner Kiste (Windows) ein tracert auf die Adresse mache, werden auch einige andere hops(?) des ISP angezeigt, d.h. doch, es macht eine große Runde und könnte tatsächlich, wie angedacht, funktionieren?
Habe auch mal PureNAT systemweit aktiviert, scheint keinen Unterschied zu machen, auch tracert sieht identisch aus.
-
@Bob-Dig In einigen Howtos wurde das so beschrieben und in der Doku steht es eigentlich auch so drin.
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html -
@nonick Hab ich gelesen. Macht halt keinen Unterschied hier.
-
Ah also machst du wenn ichs richtig verstehe von außen nen Port Test ob bspw. auf 25 was antwortet - wo eigentlich Mails sein sollten wie ich rauslese? - und wenns nicht geht, ist wieder keine v4 drauf? (Was extrem ärgerlich ist). Hmm OK. Andere Frage - siehst du den Unterschied im Interface der pfSense eigentlich? Also dass es keine "echte v4" ist? Oder wird da einfach eine angezeigt die aber eben nur nicht "deine" ist? Oder hängst du hinter einem zweiten Gerät?
Lösung wäre wohl eine Art von Script zu schreiben, wozu aber anscheinend keiner Lust hat.
ich bin da gerade gar nicht abgeneigt, aber weiß noch nicht wie ich wo auf was prüfen könnte um das zu spezifizieren. Am Einfachsten wäre natürlich schlicht ein externer Check. https://statuscake.com/ könnte da helfen. Da gibts auch noch freie Accounts mit bis zu 10 Checks. Ein einfacher Ping Check und ein zweiter, bspw. auf den Mail Port via v4 (kann man forcieren) würden dann klar zeigen "oha kein IP4 Traffic von extern". Oder der Teamspeak Port. Oder whatever :) Alerting kann da per Mail und/oder Push (bspw. Pushover o.ä.) erfolgen, dann weißt dus spätestens nach 10-20min je nach Einstellung. Und Push würde dann auch ankommen, wenn deine Mails nicht gehen.
Und über eine Liste (es gibt irgendwo eine Adresse in der Doku) in der alle Check Server enthalten sind, kannst du ggf. sogar sicherstellen, dass nur der Statuschecker auch auf deinen Service draufgeht ;)
-
@JeGr Nice, aus der Website kann man das so nicht schließen bei free mit verschiedenen ports, das wäre halt wirklich ein Muss, weil die IP existiert ja.
Sehen kann man das leider nicht in pfSense, es ist ja auch IPv4 gegeben, nur halt CG-NAT ohne 1:1.
Ich bin aber recht zuversichtlich, dass NAT-Loopback schon mein Problem löst. Wenn ich damit ein tracert mache auf meine DDNS-Adresse, sehe ich schon zahlreiche Server des ISP. Ich denke daher, im Fall der Fälle würde das tatsächlich nicht mehr gehen. Jetzt muss der Fall nur wieder eintreten. Wenn es denn wider erwartend nicht so funzt, werde ich mich bei der obigen Site anmelden. Danke.
-
Okay, wenn der Loopback klappt, super. Ansonsten würde ich ggf. (trotzdem) einfach mal reinschauen, gratis Account tut nicht weh (ist auch absichtlich kein referral link oder sowas deswegen) und 10 Checks sind immerhin etwas. Leider haben andere wie Pingdom und Co die Free Accounts eingestampft oder soweit runterreduziert, dass sie annähernd unbrauchbar wurden :(
-
@JeGr said in Wie automatisiert (m)einen Port prüfen:
Okay, wenn der Loopback klappt, super. Ansonsten würde ich ggf. (trotzdem) einfach mal reinschauen
Hab's gemacht und ist wie beschrieben.
