Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port
-
@megbyte0469 Outbound NAT ist auch nicht in Ordnung.
-
Auf dem WAN Int musst du die beiden untersten Checkboxen frei lassen wenn hier ein Router mit RFC 1918 IP vor hängt.
-
@nocling
Danke hab ich geändert. Leider ohne Erfolg. -
@bob-dig
Danke für die Info. Und was ist falsch ?!
Sorry das ich Frage. -
@megbyte0469 said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Und was ist falsch ?!
Eigentlich alles, installiere doch die Sense noch mal neu und richte direkt LAN und WAN richtig mit den VLANs ein in der Console.
-
@bob-dig said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Eigentlich alles
Seh ich ehrlich gesagt komplett anders. Ja, man kann es sicher im Detail anders machen, aber für einen Erstversuch ist das schon sehr nah am Optimum.
Vielleicht ist auch die VLAN Konfiguration falsch.
Nein, die scheint korrekt zu sein.
Aber vielleicht ist das ja schon der Fehler weil es dadurch 2 Gateways gibt ?!
Nein, pfSense hinter einem Speedport Hybrid geht ohne Probleme.
Grundsätzlich ist die Erstellung mit ... VLAN machbar ... ?!
Ja.
-
@thiasaef said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Seh ich ehrlich gesagt komplett anders.
Ich bezog mich nur auf das Outbound NAT.
-
@thiasaef
aus pfsense herraus (siehe Bilder vorher).Ping aus dem Menü (Punkt 7) Ping host
funktioniert auch... -
@megbyte0469 dann gehe ich jede Wette ein, dass es an folgenden Bug liegt: https://forum.netgate.com/topic/170235/unbound-massively-broken-pfsense-2-5-2/3?_=1647560358107
Starte mal den DNS Resolver (Unbound) von Hand neu und versuch es dann noch mal.
Edit: Und wenn es wirklich daran liegt, dann findest du hier eine Notlösung für das Problem: https://forum.netgate.com/topic/170341/dns-resolver-funktioniert-nach-einiger-zeit-nicht-mehr/6
-
@megbyte0469
In den LAN Interface Einstellungen hast du vermutlich eine Gateway eingetragen. Das sollte wieder entfernt werden.In den WAN Einstellungen sollte als Gateway die IP des Routers stehen. Ist das so?
-
@viragomann
Danke das war der ganze Fehler.
In den Lan Einstellungen war die Getway 192.168.2.1 eingetragen.
Hier auf "None" geändert.
Jetzt geht es.
Aktuell ist der Speedport noch die IP 192.168.1.1 DHCP.
Dieser wird dann die 192.2.1 -- Pfsense 192.168.2.2 und das LAN dann dahinter mit der 192.168.1.1 mit DHCP.
Muss ich hier noch was beachten ?!
Portweiterleitungen ins neue LAN Netz brauche ich noch.... -
Dieser wird dann die 192.2.1 -- Pfsense 192.168.2.2 und das LAN dann dahinter mit der 192.168.1.1 mit DHCP.
Da spricht nichts dagegen.
-
@thiasaef
ok dann muss ich mich mal mit den Portweiterleitungen beschäftigen wie das in pfsense geht. -
@megbyte0469 said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Dieser wird dann die 192.2.1 -- Pfsense 192.168.2.2 und das LAN dann dahinter mit der 192.168.1.1 mit DHCP.
Muss ich hier noch was beachten ?!Im Grunde nur, dass die Outbound NAT Regeln erstellt werden.
Am WAN müssten dann eine Regel für 192.168.1.0/24 vorhanden sein.Habe früher mal erlebt, dass pfSense die Regeln beim Ändern des IP-Bereichs nicht angepasst hatte.
Portweiterleitungen ins neue LAN Netz brauche ich noch....
Sollte auf der pfSense nicht schwierig sein.
Bedenke aber, auch auf dem Speedport die benötigten Ports (oder alles) auf die pfSense WAN IP weiterzuleiten. -
ich kann auch vom LAN aus externe Adressen anpingen.
@viragomann, wie kann das sein, wenn es wirklich am fehlerhaften Gateway lag?
Im Grunde nur, dass die Outbound NAT Regeln erstellt werden.
Warum keine 'Automatic outbound NAT rule generation'?
Jetzt geht es.
Erneutes Abspeichern bestimmer Reiter setzt den oben verlinkten Bug temporär außer Kraft.
-
@thiasaef
Wenn die Frage an mich gerichtet ist (erscheint mir nicht ganz klar), die oben gezeigten Outbound Regeln machen abgesehen von Loopback gar nichts. Normalerweise wäre also vom LAN gar kein Zugriff auf externe Adressen möglich.
Dass der Ping dennoch funktioniert hat, lag vermutlich einerseits am Speedport, der die IP eben in seine WAN umgesetzt hatte und daran, dass das ICMP Protokoll nicht stateful ist. Ich vermute nämlich, dass die Anwortpackete nicht die pfSense passiert hatten. Dazu wäre ein statische Route am Speedport nötig.Warum keine 'Automatic outbound NAT rule generation'?
Das war nicht meine Empfehlung, lediglich, dass die von pfSense generierten Regeln nach der Umstellung überprüft werden sollten.
-
Ich vermute nämlich, dass die Anwortpackete nicht die pfSense passiert hatten.
Aber der Speedport hängt doch an einem Access Port des Switches (VLAN 99, PVID 99) und kann somit gar nicht direkt mit dem LAN Netzwerk (VLAN 10, PVID 10) kommunizieren.
-
@viragomann
ok. Hab nun eine Frage.
Aktuell hab ich am Speedport ein NAS im LAN hängen. Mit der IP 192.168.1.7.
Hier sind aktuell nur die Ports 80 und 443 weitergeleitet.
(ich weiss offene Ports sind nicht gut, aber leider geht das hier nicht anders und das ist sowieso ein virtuelles NAS)
Wenn ich jetzt den Speedport auf Lan 192.168.2.x ändere und das NAS hinter der Pfsense hänge, muss ich natürlich die Portweiterleitung des Speedport auf die PFsense (192.168.2.2) setzen und in der PfSense dann die Portweiterleitung auf des Lan nach der Pfsense (192.168.1.7) setzen.
Stimmt das ?!
Und was muss ich dann als Source und Destanation im NAT in der PFSense einrichten ?! -
@thiasaef said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Ich vermute nämlich, dass die Anwortpackete nicht die pfSense passiert hatten.
Aber der Speedport hängt doch an einem Access Port des Switches (VLAN 99, PVID 99) und kann somit gar nicht direkt mit dem LAN Netzwerk (VLAN 10, PVID 10) kommunizieren.
Aha. So tief habe ich mich dann nicht mehr in dem Thread eingelesen.
Dann müsste es doch über die pfSense gelaufen sein.
Ich habe auch nichts von einer Route am Speedport für das LAN hinter der pfSense entdeckt. Die wäre da aber Voraussetzung. -
@megbyte0469 said in Pfsense 2.6.0 letzte Version, Installation Mini PC mit einen Ethernet Port:
Wenn ich jetzt den Speedport auf Lan 192.168.2.x ändere und das NAS hinter der Pfsense hänge, muss ich natürlich die Portweiterleitung des Speedport auf die PFsense (192.168.2.2) setzen und in der PfSense dann die Portweiterleitung auf des Lan nach der Pfsense (192.168.1.7) setzen.
Stimmt das ?!Ja. Hatten wir ja schon.
Du kanst das NAS aber auch in ein eigenes VLAN bringen, jetzt wo du ohnehin mit arbeitest VLANs Sollte auch bei einem virtualisiertem möglich sein.
Und was muss ich dann als Source und Destanation im NAT in der PFSense einrichten ?!
Source ist normalerweise "any".
Destination ist die WAN IP (Die mit der das Paket von außen bei der pfSense ankommt. Der Speedport leitet es auf die WAN IP weiter.)Target ist dann die Ziel-IP der Weiterleitung, also die des NAS.
Anm: Manche Router machen standardmäßig Masquerading auf eingehenden Verbindungen. Dann wäre die Source IP immer nur die interne Router-IP.