kein Ping vom externen Client ins interne Netz
-
Bitte das Regelwerk für Wireguard zeigen.
Am besten auch die Floating Rules, letzte solle man nur verwenden wenn man genau verstanden hat wie die funktionieren. -
Das Default Gateway mal auf WAN_DHCP setzen.
Beim WG Gateway sollte nicht "dynamic" stehen.Im Client die allowed IPs mal auf 0.0.0.0/0 setzen.
-
@NOCling
Wenn damit die Firewall-Einstellungen gemeint sind, die sind WG_Tunnel1 definiert. Unter Wireguard gibt es keine Regeln. Dieses Vorgehen wird in mehreren Foren empfohlen. oder ist mit Regelwerk noch etwas anderes gemeint? -
@Bob-Dig
Die allowed IPs habe ich auf 0.0.0.0/0 gesetzt. Für "(Default) Gateway" sehe ich nur eine Statusanzeige aber keine Einstellungsmöglichkeiten. Wo finde ich die? -
@fummeleisen Unter System / Routing, dort statt automatisch auf WAN stellen.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
die sind WG_Tunnel1 definiert. Unter Wireguard gibt es keine Regeln. Dieses Vorgehen wird in mehreren Foren empfohlen.
Gut so, aber hast Du das Interface selbst auch schon konfiguriert? Es sieht nicht so aus. Da muss die statische IP und Maske drauf, die schon in deinem ersten Bild zu sehen sind. Bei deiner Peer Config auf der Sense sollte sie dafür weg. MTU und MSS noch auf 1420 setzen.
-
@Bob-Dig
Die Gateway-Einstellung unter Routing lässt sich nicht verstellen.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die Gateway-Einstellung unter Routing lässt sich nicht verstellen.
Eine Ebene zurück. Es ging um das Default Gateway.
-
@Bob-Dig
Habs gefunden und unter IpV4 auf WAN_DHCP , unter IpV6 auf none gesetzt.Im WG-Interface habe ich noch MTU und MSS ergänzt:
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Bei deiner Peer Config auf der Sense sollte sie dafür weg.
Das habe ich nicht verstanden.Pardon, meine Antworten dauern immer etwas lange, weil ich die Einstellung auf 0.0.0.0/0 inden allowed Ips immer wieder zurücksetzen muss. da ja sonst der gesamte Internetverkehr über die sense führt, was (noch) nicht funktiopniert.
-
@Bob-Dig
Hallo Bob,
erst einmal Danke für Deine Geduld! Ich verstehe noch nicht so ganz den ortsüblichen Slang... ;-)
Hartmut -
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Bei deiner Peer Config auf der Sense sollte sie dafür weg.
Das habe ich nicht verstanden. Wie soll ich das umsetzen?
So, das war jetzt mit richtiger Formatierung (ich lerne gerade dazu)!
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Das habe ich nicht verstanden.
Die 10.6.7.1 hat in der Peer-Config auf der Sense nicht zu suchen. Die eigene Adresse gehört da nicht rein.
Pardon, meine Antworten dauern immer etwas lange, weil ich die Einstellung auf 0.0.0.0/0 inden allowed Ips immer wieder zurücksetzen muss. da ja sonst der gesamte Internetverkehr über die sense führt, was (noch) nicht funktiopniert.
Dann mach das wieder raus. War auch mehr dazu gedacht, die Config zu vereinfachen, das scheint hier aber nicht der Fall zu sein.
Ist das dynamic jetzt weg beim Gateway? Bzw. wozu hast Du das Gateway dort überhaupt angelegt? Wenn das nur ein einziges Laptop ist, wird kein Gateway benötigt.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die anderen Geräte im internen Netz lassen sich nicht anpingen oder per RDP oder Browserfenster öffnen.
Das ist z.B. für Windows durchaus normal, da dieses sich gegen fremde Geräte, also Geräte aus einem anderen Subnetz, abschottet.
Das Fritzbox-WireGuard ist da besonders, indem es einem direkt eine IP aus dem LAN gibt, also kein fremdes Subnetz.
Am einfachsten überprüfst Du das, indem Du die Windowsfirewall auf einem der Hosts, die Du erreichen willst, zuvor deaktivierst. Wenn es dann geht, hast Du kein Routing-Problem, sondern ein Problem mit den lokalen Firewalls.
-
@Bob-Dig
Das dynamic ist weg. Habs gefunden und das Default gateway IPv4 auf "WAN_DHCP" sowie das Default gateway IPv6 auf "none" gesetzt.
Als blutiger Anfänger habe ich alle bisherigen Konfigurationen aus unterschiedlichen Foren und Youtube übernommen - wohl nicht immer ganz richtig.
Zumeinem Laptop kommen noch die von zwei weiteren Familienmitliedern hinzu.
Die 10.6.7.1 habe ich in der Peer-Config gelöscht. -
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Zumeinem Laptop kommen noch die von zwei weiteren Familienmitliedern hinzu.
Aber die bekommen sicher ihre eigene Peer Config, also das WG-Gateway muss weg. Ein Gateway würde man nur setzen, wenn es sich um einen Router handeln würde, aber nicht bei einem gewöhnlichen Laptop.
Wenn die Laptops aber alle am selben Standort sind, dann wäre es effizienter, gleich die anscheinend vorhandene Fritzbox (weil eine myfritz-adresse zu sehen ist) zu verbinden, statt jedes Laptop einzeln.
-
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
Am einfachsten überprüfst Du das, indem Du die Windowsfirewall auf einem der Hosts, die Du erreichen willst, zuvor deaktivierst. Wenn es dann geht, hast Du kein Routing-Problem, sondern ein Problem mit den lokalen Firewalls.
Dazu muss ich einen Ortswechsel vornehmen. Das dauert etwas.
Schon mal vielen Dank bis hierher!
-
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
das WG-Gateway muss weg. Ein Gateway würde man nur setzen, wenn es sich um einen Router handeln würde, aber nicht bei einem gewöhnlichen Laptop.
Die FritzBox soll, wenn die sense fertig konfiguriert ist, durch ein Modem ersetzt werden. Spielt dann das Gateway eine Rolle?
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die FritzBox soll, wenn die sense fertig konfiguriert ist, durch ein Modem ersetzt werden. Spielt dann das Gateway eine Rolle?
Die abgebildete Fritzbox spielt dabei keine Rolle, es geht ja um die Verbindung zwischen pfSense und Laptop, also Gateway weg, weil das Laptop ist kein Router.
-
@Bob-Dig
So, bin wieder zurück. Bei PC1 habe ich die Winows-Firewall deaktiviert. in der sense habe ich das Gateway gelöscht.
Leider hat das bisher zu keiner Änderung der Situation, wie ich sie zu Anfang geschildert hatte, geführt.Ich habe mir mal die Routing-Tabellen ausgeben lassen. Hier aus der Sicht des externen Laptops:
Schnittstellenliste
22...........................WireGuard Tunnel
11...08 00 27 9d aa d7 ......Intel(R) PRO/1000 MT-Desktopadapter
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.27.1 192.168.27.112 10
10.6.7.0 255.255.255.0 Auf Verbindung 10.6.7.2 5
10.6.7.2 255.255.255.255 Auf Verbindung 10.6.7.2 261
10.6.7.255 255.255.255.255 Auf Verbindung 10.6.7.2 261
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.10.0 255.255.255.0 Auf Verbindung 10.6.7.2 5
192.168.10.255 255.255.255.255 Auf Verbindung 10.6.7.2 261
192.168.27.0 255.255.255.0 Auf Verbindung 192.168.27.112 266
192.168.27.112 255.255.255.255 Auf Verbindung 192.168.27.112 266
192.168.27.255 255.255.255.255 Auf Verbindung 192.168.27.112 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.27.112 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.27.112 266St„ndige Routen:
KeineIPv6-Routentabelle
Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
1 306 ff00::/8 Auf VerbindungSt„ndige Routen:
KeineAus der Sicht der sense:
-
@Bob-Dig
Oops - jetzt d
ie Sicht des Laptops besser formatiert: -
@fummeleisen
Hallo,
der Thread ist schon ziemlich lange, und du kannst immer noch nicht auf die Remoteseite zugreifen?Damit man da wieder einen Überblick bekommt, kannst du bitte Folgendes prüfen und dokumentieren:
Vom WG Client:- Ping auf 10.6.7.1 (WG Server).
- Ping auf die LAN IP der pfSense
- Ping auf ein LAN Gerät (dessen Firewall deaktiviert ist)
Wenn nur letzteres nicht klappt, mach bitte auf der pfSense am LAN ein Packet Capture und poste das Ergebnis. Diagnostic > Packet Capture
interface: LAN
protocol: ICMP
host address: die Ziel-IP -
@viragomann
Pardon, ich hatte zwischendurch noch andere Termine.Hier schon mal die Pings auf
Ping auf 10.6.7.1 (WG Server). Ping auf die LAN IP der pfSense Ping auf ein LAN Gerät (dessen Firewall deaktiviert ist) (PC1)(in der Reihenfolge)
Packet Capture folgt.
-
-
@fummeleisen
Den einzigen Fehler, den ich sehe, ist dass das Netzwerk keine Netzerk-IP hat. Wenn du nur die eine IP möchtest, kannst du die Subnetzmaske weglassen.
Allerdings wird das hier problemlos akzeptiert, soweit ich das getestet habe.Wenn du am LAN nichts siehst, gehe mal auf das WG Interface.
-
Wenn ich die Einschränkung ICMP weglasse, kommt folgendes:
Ich gehe jetzt auf das WG-Interface.
-
Hier das gleiche Bild. Mit diesen Einstellungen bekomme ich keinen Output:
Wenn ich die ICMP-Einschränkung wegnehme, kommt folgendes:
-
@fummeleisen
Ich verstehe nicht, warum da nichts rüber kommt am WG Interface.
Die Route am Client passt ja und in den WG Einstellungen hast du ja auch das lokale Subnetz in den "Allowed IPs"?Das Capture läuft schon, während du pingst?
Wenn du ICMP wegnimmst, sehe ich nur eine einzige Verbindung. Vermutlich vom Client auf das Web Interface der pfSense.
Filter mal wieder nach ICMP und versuche einen Ping auf 192.168.10.10. Da bekommst du ja Antworten, also müsstest du Request und Replies sehen.
-
Ich habe folgendes versucht:
ping -t auf 192.168.10.10 über WG Interface und LAN.
Das Ganze mit veränderter FirewallEinstellung: bei WAN ICMP source und destination jeweils auf any gestellt
Dann bin ich aus meiner leitungsgebunden Verbindung auf Tethering übers Handy umgestiegen und habe dort WG gestartet - ebenso erfolglos. Kann mein Provider (in beiden Fällen Vodafone) einenEinfluss haben? Allerdings halte ich das eher für unwahrscheinlich, da WG ja in der FritzBox funktionierte.
Gerade fällt mir nichts mehr ein.
-
@fummeleisen
Nein, der Ping auf 192.168.10.10 vom WG Client funktioniert ja nach wie vor via IPv4, oder?
Aber im pcap sind die Pakete nicht zu sehen. Die aber da sein müssen, ansonsten würde der Ping nicht funktionieren.Warum da kein ICMP Paket zu sehen ist, kann ich mir im Augenblick auch nicht erklären. Es wäre aber für das Troubleshooting sehr hilfreich.
-
@viragomann
Was hältst du von folgender Idee:
Für heute Denkpause. Morgen Vormittag installiere ich die sense komplett neu, mit allem was ich bisher gelernt habe und gebe dann Bericht - so oder so. Eventuell auch in einer anderen Netzwerkumgebung. Vielleicht hat sich in dem Teil etwas verhakt bei all meiner Fummelei. -
@fummeleisen
Kannst du natürlich versuchen. So ein "Verhaken" gab es doch schon ab und zu mal, jedoch glaube ich in diesem Fall nicht so recht daran. Beim Packet Capture wird einfach ein tcpdump ausgeführt und der Output zur Anzeige gebracht. Der ausgeführte Befehl wird ja angezeigt und der ist OK, bis auf das Interface, das ich nicht interpretieren kann.
Aber gut, ich bin hier eh am Ende... -
Das kann ich mir vorstellen. Gute Erholung! Und tausend Dank!
-
Was ist denn das für ein Switch.
-
Netgear prosafe plus unmanaged. Den hatte ich auch als Fehlerquelle in Betracht gezogen. Allerdings funktionieren intern ja alle Pings und das Pacet Capture zeigt ICMP Pakete, wenn ich die Sense intern anpinge.
-
@Bob-Dig
Ich setze gerade eine neue sense auf anderer Hardware auf, aber mit gleichen Einstellungen, um einen technischen Fehler auszuschließen. -
Leider hatte ich heute nicht so viel Zeit, um weiter zu machen. Folgendes habe ich aber inzwischen vorgenommen, um dem Problem auf den Grund zu kommen (bin noch nicht ganz durch):
-
Auf einen zweiten PC eine neue sense aufgesetzt und diese mit dem Backup der alten gefüttert. Damit hatte ich den Hinweis, daß die Hardware wahrscheinlich nicht das Problem war. Außerdem hatte ich damit eine Referenz für die Einstellungen der Neuinstallation auf der alten Hardware.
-
Auf der alten Hardware ein älteres Backup installiert mit praktisch der gleichen Konfiguration (auch den kritisierten Einstellungen) wie die zu Beginn dieses Themas. Resultat: alle PCs im internen Netz lassen sich nun von aussen anpingen! Das heißt: die sensen-software hatte sich offensichtlich verhakt. Allerdings ließen sich nicht die Geräte anpingen, die per Weboberfläche verwaltet werden. Hier z.B. zwei alte Router, die dazu geschaltet wurden. Sie ließen sich über WG auch nicht über die IP-Adresse im Browser öffnen.
-
Auf dieser Basis führte ich Versuche mit unterschiedlichen WG-Einstellungen durch - leider ohne Erfolg.
Damit grenzt sich das Problem auf den GUI-Zugang über WG/pfsense ein.
Danke noch einmal für eure Hilfe. Ohne die Fehleranalyse per Paket Capture wäre ich nicht auf die Idee gekommen, dass hier zunächst erst einmal ein technischer fehler vorliegen könnte. Der ist nun beseitigt.
Die o.g. allowed ip habe ich wieder gelöscht. Das Gateway würde ich jetzt aber bestehen lassen, da ich demnächst die beiden sensen miteinander verbinden möchte.
Bleibt jetzt das Problem mit dem GUI-Zugang.
-
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Damit hatte ich den Hinweis, daß die Hardware wahrscheinlich nicht das Problem war. Außerdem hatte ich damit eine Referenz für die Einstellungen der Neuinstallation auf der alten Hardware.
Die funktionierte nämlich genau so wenig wie das Original.
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Allerdings ließen sich nicht die Geräte anpingen, die per Weboberfläche verwaltet werden. Hier z.B. zwei alte Router, die dazu geschaltet wurden.
Bei Routern musst du deren Routing-Tabelle bedenken. Die haben möglicherweise nicht die pfSense als Standardgateway eingestellt, sondern eine andere IP. Und genau dahin würde sie ihre Antwortpakete schicken.
In diesem Fall müsstest to also entweder das Gateway auf den Routern ändern, oder, falls es bleiben soll, auf der pfSense Masquerading (outbound NAT) auf den entsprechenden Paketen machen.
-
@viragomann
Danke für den Tip! Das werde ich am Montag ausprobieren, wenn ich wieder zurück bin.
