kein Ping vom externen Client ins interne Netz
-
@Bob-Dig said in kein Ping vom externen Client ins interne Netz:
das WG-Gateway muss weg. Ein Gateway würde man nur setzen, wenn es sich um einen Router handeln würde, aber nicht bei einem gewöhnlichen Laptop.
Die FritzBox soll, wenn die sense fertig konfiguriert ist, durch ein Modem ersetzt werden. Spielt dann das Gateway eine Rolle?
-
@fummeleisen said in kein Ping vom externen Client ins interne Netz:
Die FritzBox soll, wenn die sense fertig konfiguriert ist, durch ein Modem ersetzt werden. Spielt dann das Gateway eine Rolle?
Die abgebildete Fritzbox spielt dabei keine Rolle, es geht ja um die Verbindung zwischen pfSense und Laptop, also Gateway weg, weil das Laptop ist kein Router.
-
@Bob-Dig
So, bin wieder zurück. Bei PC1 habe ich die Winows-Firewall deaktiviert. in der sense habe ich das Gateway gelöscht.
Leider hat das bisher zu keiner Änderung der Situation, wie ich sie zu Anfang geschildert hatte, geführt.Ich habe mir mal die Routing-Tabellen ausgeben lassen. Hier aus der Sicht des externen Laptops:
Schnittstellenliste
22...........................WireGuard Tunnel
11...08 00 27 9d aa d7 ......Intel(R) PRO/1000 MT-Desktopadapter
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.27.1 192.168.27.112 10
10.6.7.0 255.255.255.0 Auf Verbindung 10.6.7.2 5
10.6.7.2 255.255.255.255 Auf Verbindung 10.6.7.2 261
10.6.7.255 255.255.255.255 Auf Verbindung 10.6.7.2 261
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.10.0 255.255.255.0 Auf Verbindung 10.6.7.2 5
192.168.10.255 255.255.255.255 Auf Verbindung 10.6.7.2 261
192.168.27.0 255.255.255.0 Auf Verbindung 192.168.27.112 266
192.168.27.112 255.255.255.255 Auf Verbindung 192.168.27.112 266
192.168.27.255 255.255.255.255 Auf Verbindung 192.168.27.112 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.27.112 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.27.112 266St„ndige Routen:
KeineIPv6-Routentabelle
Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
1 306 ff00::/8 Auf VerbindungSt„ndige Routen:
KeineAus der Sicht der sense:
-
@Bob-Dig
Oops - jetzt d
ie Sicht des Laptops besser formatiert: -
@fummeleisen
Hallo,
der Thread ist schon ziemlich lange, und du kannst immer noch nicht auf die Remoteseite zugreifen?Damit man da wieder einen Überblick bekommt, kannst du bitte Folgendes prüfen und dokumentieren:
Vom WG Client:- Ping auf 10.6.7.1 (WG Server).
- Ping auf die LAN IP der pfSense
- Ping auf ein LAN Gerät (dessen Firewall deaktiviert ist)
Wenn nur letzteres nicht klappt, mach bitte auf der pfSense am LAN ein Packet Capture und poste das Ergebnis. Diagnostic > Packet Capture
interface: LAN
protocol: ICMP
host address: die Ziel-IP -
@viragomann
Pardon, ich hatte zwischendurch noch andere Termine.Hier schon mal die Pings auf
Ping auf 10.6.7.1 (WG Server). Ping auf die LAN IP der pfSense Ping auf ein LAN Gerät (dessen Firewall deaktiviert ist) (PC1)(in der Reihenfolge)
Packet Capture folgt.
-
-
@fummeleisen
Den einzigen Fehler, den ich sehe, ist dass das Netzwerk keine Netzerk-IP hat. Wenn du nur die eine IP möchtest, kannst du die Subnetzmaske weglassen.
Allerdings wird das hier problemlos akzeptiert, soweit ich das getestet habe.Wenn du am LAN nichts siehst, gehe mal auf das WG Interface.
-
Wenn ich die Einschränkung ICMP weglasse, kommt folgendes:
Ich gehe jetzt auf das WG-Interface.
-
Hier das gleiche Bild. Mit diesen Einstellungen bekomme ich keinen Output:
Wenn ich die ICMP-Einschränkung wegnehme, kommt folgendes:
-
@fummeleisen
Ich verstehe nicht, warum da nichts rüber kommt am WG Interface.
Die Route am Client passt ja und in den WG Einstellungen hast du ja auch das lokale Subnetz in den "Allowed IPs"?Das Capture läuft schon, während du pingst?
Wenn du ICMP wegnimmst, sehe ich nur eine einzige Verbindung. Vermutlich vom Client auf das Web Interface der pfSense.
Filter mal wieder nach ICMP und versuche einen Ping auf 192.168.10.10. Da bekommst du ja Antworten, also müsstest du Request und Replies sehen.
-
Ich habe folgendes versucht:
ping -t auf 192.168.10.10 über WG Interface und LAN.
Das Ganze mit veränderter FirewallEinstellung: bei WAN ICMP source und destination jeweils auf any gestellt
Dann bin ich aus meiner leitungsgebunden Verbindung auf Tethering übers Handy umgestiegen und habe dort WG gestartet - ebenso erfolglos. Kann mein Provider (in beiden Fällen Vodafone) einenEinfluss haben? Allerdings halte ich das eher für unwahrscheinlich, da WG ja in der FritzBox funktionierte.
Gerade fällt mir nichts mehr ein.
-
@fummeleisen
Nein, der Ping auf 192.168.10.10 vom WG Client funktioniert ja nach wie vor via IPv4, oder?
Aber im pcap sind die Pakete nicht zu sehen. Die aber da sein müssen, ansonsten würde der Ping nicht funktionieren.Warum da kein ICMP Paket zu sehen ist, kann ich mir im Augenblick auch nicht erklären. Es wäre aber für das Troubleshooting sehr hilfreich.
-
@viragomann
Was hältst du von folgender Idee:
Für heute Denkpause. Morgen Vormittag installiere ich die sense komplett neu, mit allem was ich bisher gelernt habe und gebe dann Bericht - so oder so. Eventuell auch in einer anderen Netzwerkumgebung. Vielleicht hat sich in dem Teil etwas verhakt bei all meiner Fummelei. -
@fummeleisen
Kannst du natürlich versuchen. So ein "Verhaken" gab es doch schon ab und zu mal, jedoch glaube ich in diesem Fall nicht so recht daran. Beim Packet Capture wird einfach ein tcpdump ausgeführt und der Output zur Anzeige gebracht. Der ausgeführte Befehl wird ja angezeigt und der ist OK, bis auf das Interface, das ich nicht interpretieren kann.
Aber gut, ich bin hier eh am Ende... -
Das kann ich mir vorstellen. Gute Erholung! Und tausend Dank!
-
Was ist denn das für ein Switch.
-
Netgear prosafe plus unmanaged. Den hatte ich auch als Fehlerquelle in Betracht gezogen. Allerdings funktionieren intern ja alle Pings und das Pacet Capture zeigt ICMP Pakete, wenn ich die Sense intern anpinge.
-
@Bob-Dig
Ich setze gerade eine neue sense auf anderer Hardware auf, aber mit gleichen Einstellungen, um einen technischen Fehler auszuschließen. -
Leider hatte ich heute nicht so viel Zeit, um weiter zu machen. Folgendes habe ich aber inzwischen vorgenommen, um dem Problem auf den Grund zu kommen (bin noch nicht ganz durch):
-
Auf einen zweiten PC eine neue sense aufgesetzt und diese mit dem Backup der alten gefüttert. Damit hatte ich den Hinweis, daß die Hardware wahrscheinlich nicht das Problem war. Außerdem hatte ich damit eine Referenz für die Einstellungen der Neuinstallation auf der alten Hardware.
-
Auf der alten Hardware ein älteres Backup installiert mit praktisch der gleichen Konfiguration (auch den kritisierten Einstellungen) wie die zu Beginn dieses Themas. Resultat: alle PCs im internen Netz lassen sich nun von aussen anpingen! Das heißt: die sensen-software hatte sich offensichtlich verhakt. Allerdings ließen sich nicht die Geräte anpingen, die per Weboberfläche verwaltet werden. Hier z.B. zwei alte Router, die dazu geschaltet wurden. Sie ließen sich über WG auch nicht über die IP-Adresse im Browser öffnen.
-
Auf dieser Basis führte ich Versuche mit unterschiedlichen WG-Einstellungen durch - leider ohne Erfolg.
Damit grenzt sich das Problem auf den GUI-Zugang über WG/pfsense ein.
Danke noch einmal für eure Hilfe. Ohne die Fehleranalyse per Paket Capture wäre ich nicht auf die Idee gekommen, dass hier zunächst erst einmal ein technischer fehler vorliegen könnte. Der ist nun beseitigt.
Die o.g. allowed ip habe ich wieder gelöscht. Das Gateway würde ich jetzt aber bestehen lassen, da ich demnächst die beiden sensen miteinander verbinden möchte.
Bleibt jetzt das Problem mit dem GUI-Zugang.
-
