pfSense macht kein Internet aber VPN, IPSEC funzt!?



  • Hallo,

    ich hoffe Ihr könnt mir helfen...

    Seit einigen Wochen habe ich permanente Probleme mit der pfSense. Ständig fällt das Internet aus aber nur an der pfSense. Wenn ich direkt ans Modem gehe ist die Verbindung da.

    Zuerst hatte ich die Vermutung das der Vodafone Station Modem (in Bridge Mode) das Problem ist. Wechselte dann auf eine Fritzbox 6591, das Problem mit den Internet abbrüchen wurde behoben aber durch das doppel NAT gabs dann andere Probleme. Hab mir das Modem TC4400 geholt. Anfangs ging es doch nach ca 2 std brach die Internet Verbindung wieder zusammen. Einfach so!
    Wenn ich direkt mich ans Modem anschließe habe ich Netz. Ich muss dazu sagen das ich eine feste IP habe. Ich habe in der pfSense auf der WAN Schnittstelle es mit fester oder mit DHCP getestet. Mit DHCP hat es geklappt. Die feste will er einfach nicht nehmen (hab das richtige GW und Cidr eingetragen).

    Ich habe euch ein paar Bilder dazu gemacht, wenn ich sonst was braucht bitte schreibt mir.

    dashboard.PNG

    wan.PNG

    lan.PNG

    Mittlerweile geht mir echt die Fantasie aus was es das Problem sein könnte!
    Ich hoffe Ihr könnt mir helfen!

    MFG Operator



  • Schaue mal in deinem Snort nach, das sieht für mich nicht nach einer sauber eingerichteten Installation aus, wenn der dann noch blockt, dann ist es fix vorbei mit dem Inet.

    Also stoppe den Dienst mal und beobachte es dann.
    Wenn da das Problem liegt, dann schalte Blocken aus und erweitere die suppression list bis alles was du nutzt sauber durch läuft ohne einen Alert zu erzeugen.



  • Danke für die schnelle Antwort. SNORT blockiert gar nichts in meinem Falle. Habe es mal trotzdem mal ausgeschaltet, ohne Erfolg.



  • Kannst du das auf IPv4 oder IPv6 eingrenzen?

    DNS Auflösung funktioniert aber sauber?

    Bei mir läuft das TC-4400 ohne Probleme, aber ich habe bisher auch nur IPv4 eingerichtet, bei IPv6 hatte das Upstream GW vom Provider immer wieder Verluste erzeugt und dann habe ich das nach 2-3 Versuchen abgebrochen.



  • connection.PNG

    So sieht es auf dem Server aus :(

    Wenn ich mich direkt an die LAN Schnittstelle der pfSense anschließe ist es dasselbe kein Internet :(



  • @NOCling

    IP6 brauche ich eigentlich gar nicht. Das hatte ich nur angeschaltet da die pfSense irgendwie öfter IPV6 Adressen im Protokoll hatte u ich dachte vielleicht bringt das was.

    Du meinst IPV6 direkt auf dem Modem abschalten?

    Komme ich da mit 192.168.100.1 drauf?



  • Nein in der pfsense musst du das abschalten im Modem kannst du nur die Kennwörter für User und Admin ändern.
    Ja aufs Modem kommst du mit der IP und dem Admin Default Kennwort.

    Kannst aber mal nachsehen ob es sauber provisioniert wurde, nicht das hier das Problem liegt.

    Wenn du Firmware kleiner .42 hast, solltest du noch TCP/8080 zum Modem hin blocken um Cable Haunt zu unterbinden.

    Also L2 geht, L3 prüfen, also Client bekommt sauber seine IP vom DHCP der pfsense?
    DNS ist eingetragen.

    Ist dann was externes über ICMP erreichbar?
    Ist die DNS Auflösung vom Client sauber möglich?



  • Ich habe die neue Firmware habs ja erst vor paar Tagen gekauft.

    Es scheint auch richtig provisioniert worden zu sein. Denn wenn ich mich mit einem Laptop testweise anschließe habe ich sofort Internetverbindung.

    DHCP macht in meinem Fall der Server. Die Adressen sind statisch und die Auflösung zur pfSense funktioniert auch.

    Wie gesagt ich bin per OpenVPN auf dem Server per RDP u es läuft alles nur eben kein Internet. Pingen etc funktioniert.



  • dash2.PNG

    Was mir auffällt ist das die IP 192.168.100.20 (DomainController) oft nach dem DNS fragt...



  • Wie gesagt ich stecke die Fritz Büchse wieder dran und es läuft sofort ohne Probleme.

    Bin echt ratlos :(



  • Wenn Ping nach extern funktioniert, dann hast du ein DNS Problem.

    Du hast doch einen Unbound laufen, also sollte im DC Server die pfsense als DNS hinterlegt sein, die Clients gehen dann über den DC und er leitet weiter zur pfsense, die dann alles was nicht im Cache ist über die Provider DNS anfragt.

    Dann sollte es funktionieren.
    Du musst das aber per Regel auch zulassen.
    3bee198c-a766-47ff-bfbc-18ba6c1038ad-image.png



  • Genau so wie du es beschrieben hast habe ich es auf dem DC eingestellt das ich extra noch eine Regel hinzufügen muss ist mir neu.

    Auf einer anderen pfSense funktioniert es ja auch ohne diese Regel.

    Ich werde es gleich mal testen u bescheid sagen.

    DANKE für die Mühe!



  • Habe die Regel mal eingetragen... ohne Erfolg

    wan2.PNG

    Was die Sache mit dem Ping auf ein externes Gerät angeht muss ich mich korrigieren. Das ist nicht möglich.

    Was könnte das Problem sein bzw. was muss ich tun?



  • Wenn das von intern nicht funktioniert, musst du auf der pfsense prüfen ob diese externe Ziele per ICMP erreichen kann und ob hier DNS möglich ist.

    Die Regel ist aber falsch, du hast ja im DC die pfsense als Upstream DNS eingetragen, also musst du die LAN Seitig zulassen.

    Achja und das Modem muss jedes mal neu gestartet werden, wenn sich das Routing Device dahinter ändert.
    Es merkt sich die MAC und dann funktioniert nix, wenn du es tauscht.



  • LAN seitig ist ja bei mir alle erlaubt zum Test. Also muss ich dort trotzdem noch ne DNS Regel hinzufügen?

    Hab das Modem schon paar mal neugestartet, ohne Erfolg.



  • @NOCling said in pfSense macht kein Internet aber VPN, IPSEC funzt!?:

    Wenn das von intern nicht funktioniert, musst du auf der pfsense prüfen ob diese externe Ziele per ICMP erreichen kann und ob hier DNS möglich ist.

    wie genau prüfe ich das am besten?



  • LAN2.PNG



  • DNS.PNG



  • Auf WAN brauchst du keine ausgehenden Verbindungen konfigurieren und auf LAN keine eingehdenden, das wird auch so durchgelassen.
    Hast Du vielleicht einen VPN-Client konfiguriert, der möglicherweise alles umlenkt?



  • Das scheint ein privater Eintrag zu sein, da hier die Domain fehlt und damit nicht als FQDN auflösbar.

    Den kann deine pfsense nicht finden, da die Kette bei dir wie folgt aussieht.

    Client -> DC -> pfsense -> public DNS Server

    Daher kann deine pfsense auch keine Internen Einträge, denn dazu fehlt ihr die Zoneneweiterleitung auf deinen DC.

    Und was soll 1.1.1.1 und 9.9.9.9 für ein DNS sein?
    Google oder Cloudflare haben andere IPs.

    Kannst du hier
    test.de
    google.de
    auflösen?



  • Also an VPN Clients kanns nicht liegen, da ist wie man auf den Bildern sieht keiner angemeldet ausser ich.

    DC.PNG

    Auf dem DC steht schonmal das Internet verfügbar ist aber da ist es trotzdem nicht :(

    lookup.PNG

    scheint zu funzen

    dashboard3.PNG

    warum bei dem ganzen internen internet verkehr immer lo0 da steht wundert mich sehr müsste da nicht die Namensbezeichnung der LAN Schnittstellle stehen? So ists jedenfalls bei den anderen pfSensen...



  • Grade nochmal einen Test durchgeführt...

    DNS2.PNG

    wenn ich die "DNS Abfrage Weiterleitung" deaktiviere dann passiert beim Lookup das...

    lookup2.PNG



  • @Operator123 Wie sieht bei dir aus:
    Interfaces Interface Assignments



  • This post is deleted!


  • Interface.PNG

    Das dritte Interface war mal Failover aber der Anschluß hat nicht viel hergegeben u wurde abgemeldet, diese Schnittstelle ist deaktiviert



  • This post is deleted!


  • Ouh realtek. 😲

    Wie sieht das bei dir aus?
    Firewall - NAT - Outbound



  • Das ist ne APU die nehmen halt RealTek...

    NAT.PNG



  • Dann zeig mal noch:

    System Routing Gateways

    und

    Interfaces DIAKONIE

    Sollte da auch nichts auffallen, bin ich raus, was aber nichts heißt. 😉



  • This post is deleted!


  • @Operator123 Kannst ja mal das Standard Gateway fest einstellen für IPv4, nicht automatisch, und für IPv6 nichts einstellen.
    Good Luck.



  • hatte ich doch schon gemacht funktioniert nicht :(



  • Routing hast du dir schon angesehen?
    https://docs.netgate.com/pfsense/en/latest/book/routing/route-troubleshooting.html

    Denn das hier immer das Lo0 als Quelle auftritt ist schon komisch, da hast du recht.



  • @NOCling
    War grade mal vor Ort hab alles nochmal neugestartet nur um das auszuschliessen, kein Erfolg.
    Das komische was ich aber eben erst bemerkte ist das man vom Host gar nicht auf die pfsense kommt.
    Von den hyper v virtualisierten VMs schon. Die Einstellungen aber passen alle.
    Bin immer mehr verwirrt...

    Mit dem Routing ist ein guter Tip aber weiß gar nicht wo ich da anfangen soll.

    Ich denke es bringt mir auch nichts ne neue sense aufzusetzen u dann die config einzuspielen. Irgendwas auf der sense ist scheisse aber auch nach vergleich mit einer funktionierenden ist mir nichts aufgefallen was es sein könnte.



  • This post is deleted!


  • glaub einfach die sense hat irgend ne macke... ich würde die jetzt mal neu aufsetzen
    die config einfach wiederherszustellen das mache ich nicht.

    kann man ca u zertifikate importieren? möchte nicht das ganze vpn gedöhns komplett neu machen das funzt ja



  • Ja denke auch das ist der Wurm drin.

    Das sollte funktionieren, denke aber an die private Key wenn du die Zertifikate exportierst.



  • Ok danke für die Erinnerung. Wie man eine ca importieren kann sehe ich aber wie kann ich ein Benutzerzertifikat importieren?

    Gruss


  • LAYER 8 Moderator

    Einfach den kompletten Zertifikatskram importieren, da sind alle drin, die die pfSense kennt. Wenn du das vom User rausgelöscht hast, dann ist es auch nicht drin. Kennen muss es die Sense nicht da es nur gegen die CA abgeglichen wird und solang die dieselbe ist, wird das Zertifikat erlaubt.

    Muss sagen vom durchlesen des Threads hab ich ein wenig Bauchschmerzen, zumal ich da sehen kann, dass das bei ner Einrichtung (Diakonie) läuft. So wie das konfiguriert ist mit dem Wirrwarr an Regeln und Verständnisproblemen, wäre es vielleicht nicht schlecht da mal jemand nen Audit der Konfig machen zu lassen. Gerade wenn ich so kram sehe wie einfach hart weitergeleitete Ports die an ne Schliessanlage gehen? Die öffentlich im Netz zugänglich ist? Sorry das ist IMHO nicht OK selbst wenn das Ding ne http auth vornedran hat. Das sind Sachen bei denen man sich eher mal klar vor Augen halten muss, worauf wirklich alle aus dem Internet "direkt" zugreifen können müssen und was man besser hinter VPN packt. Auch der Medifox Kram, kann ich kaum annehmen, dass der wirklich von jedem Nutzer des Internets erreichbar sein muss. Sowas finde ich hochgradig gefährlich, gerade wenns um Pflege und damit Datenschutz geht! Und das schreibe ich jetzt nicht, weil ich bzw. meine Firma damit ins Spiel bringen will. Ja wir bieten sowas an bzw. arbeiten da mit euch zusammen. Ja das kostet. Nein, ich mache deshalb hier trotzdem kaum/keine Werbung dafür weil ich das trenne.

    Aber wir haben u.a. auch einen Dienstleister des DRK als Kunden und wenn ich höre/lese, was die für Datenschutz Auflagen haben, dann kann ich nicht glauben, dass eine Diakonie bzw Pflege so viel weniger Ansprüche hat und dann bekomme ich bei sowas wirklich Bauchschmerzen und ein schlechtes Gewissen. Da würde ich wirklich empfehlen mit jemand zusammen da eine sinnvolle Konfig zu erarbeiten und auszurollen, dann schläft auch jeder sicherer. :)

    Grüße
    \jens



  • Hallo,

    kurzes Update es läuft wieder mit einer neuen sense :). Was mich persönlich nervt obwohl nun alles funzt wie es soll das lt. Protokoll alles geblockt wird...

    block.PNG

    denyrule.PNG

    @JeGr

    Gebe dir da absolut Recht! Ich selbst habe das Gerät wie auch die Umgebung erst vor kurzem beerbt. Vorher waren für die TS zb die 3389 Ports nach aussen offen und über die öffentl. IP erreichbar. VPNs gabs keine und IPsec auch nicht. Das Ding ist noch lange nicht fertig aber hexen kann ich auch nicht.

    Generell hätte ich persönlich nichts gegen Hilfe und strebe auch paar Lehrgänge zur Sense an. Mit der arbeite ich selbst erst seit ca 3 Monaten.
    Was würde sowas in etwa kosten? Ich wäre schon interessiert zumal in meiner Firma keiner damit umgehen kann.

    Viele Grüße