Pfsense und DNS Server



  • Hallo hoba,

    sag mal, holt sich pfsense tatsächlich nicht selber die benötigten DNS Server?
    Mir ist das bisher nie aufgefallen, weil bei meinen PCs in der LAN Verbindung entsprechende DNS Server eingetragen sind.
    Den einen Tag hatte ich aber ein Windows in einer VM laufen und die LAN Verbindung auf auf autom. Konfigurieren stehen, also über DHCP von pfsense zuweisen.
    Folglich wurde als DNS Server auch mein pfsense Router genommen.
    Ja und der hat mir was gehustet. Ich musste bei pfsense erst unter "General Setup" entsprechende DNS Server eintargen, um mit meinem Windows auf der VM Websites aufrufen zu können..
    Von meinem damaliegen Netgear Router war ich es gewohnt, dass der die DNS Server selbstständig ermittelt hat, wenn man nichts eingetragen hat, bei den Telekom Routern ist es auch so.

    Noch eine andere Sache an der Stelle.
    Wie sieht es mit Loopback aus? Also von sich selbst über z.B. seinen dyndns namen auf sich selbst zugreifen.
    Momentan geht das nicht und das ist nicht schön. Ok man kann über diverse Seiten wie Shields UP testen ob entsprechende Ports offen sind oder nicht, aber mehr auch nicht.
    Ob man seinen Server sauber konfiguriert hat weiß man aber deshalb noch lange nicht.
    Ich rufe immer eine Kumpel an, dass er es mal testen soll.
    Ok ich kann den Server über die lokale IP aufrufen, dass verursacht aber Probleme, weil ich die passiv Modus Transfer IP, welche ich autom. über dyndns zuordnen lasse, auch erst auf die lokale IP ändern muss, da es ansonsten ein list Problem gibt.
    Am Ende muss ich das dann wieder rückgängig machen. Alles in allem also recht umständlich.

    Einzig und allein ein funktionierendes looback würde da Abhilfe schaffen.
    Könnt ihr das nicht bitte in eine der folgenden Versionen einbauen?
    Oder gibt es wieder einen "geheimen" Schalter  ;D, den ich selber per config.xml setzen kann?



  • Die pfSense holt sich DNS-Server bei jeder einwahl über PPPoE bzw. DHCP, wenn unter system>general das Häkchen zum "override DNS server by ISP assigned DNS servers" (oder so ähnlich, hab's gerade nicht vor mir  ;) ) gesetzt ist UND wenn der ISP DNS-Server zuweist. Es schadet also nicht ein paar manuelle DNS-Server einzutragen, falls der ISP mal keine zuweist und das Häkchen zu setzen. Wenn Du das mal debuggen willst kannst Du den Verbindungsaufbau im Syslog mitverfolgen. Da siehst Du ob der ISP DNS-Server zuweist oder nicht.

    Mit Loopback meinst du das feature "natreflection". Das findest du unter system>advanced ganz am Ende der Seite. Einfach den  disable Haken rausnehmen, save, apply.



  • "natreflection" funktioniert bei mir nicht.
    Kann das die Ursache sein?

    Note: Reflection only works on port forward type items and does not work for large ranges > 500 ports.

    Wenn ich es richtig übersetze, dann arbeitet es nicht mit Ports über 500.
    Aber genau da scheint dann mein Problem zu liegen, weil ich nicht mit dem Loser Port 21 arbeite, sondern mit Ports weit über 1024 hinaus.
    Kann man da nicht noch was umbiegen?

    Zum DNS.
    Ja irgendwie war mir so, als ob es schonmal ging, war mir aber nicht sicher. Hatte dann auch das häkchen gesetzt, aber ohne Erfolg.
    Nur hatte ich mich nicht neu eingewählt und deshalb keine DNS bekommen und dachte es würde nicht funktionieren.



  • natreflection funktioniert nicht für Portranges mit mehr als 500 Ports und nur für definierte Portforwards. Für FTP funktioniert natreflection gar nicht. Nur für andere portforwards wie z.B. Webserver, Remotedesktop, …



  • Portranges mit mehr als 500 Ports

    Ah ja, alles klar, die Ranges hatte ich übersehen. Da werden natürlich nicht 500 überschritten, sind nur 20 pro FTP Server und PC, für die passive port range. 500 wäre ja auch absoluter Schwachsinn, hieße ja >500 ports zu forwarden. Na ja manche haben das drauf, die geben für die passive port range von 1-65535 alles frei  ;D, da können sie den Router auch gleich abbauen.

    und nur für definierte Portforwards

    Und forwarded sind die entsprechenden Ports, wie bereits erwähnt, selbstverständlich auch, ansonsten würde mein FTP ja erst gar nicht laufen,
    oder habe ich da jetzt was falsch verstanden.

    Für FTP funktioniert natreflection gar nicht. Nur für andere portforwards wie z.B. Webserver, Remotedesktop, …

    Meinst du jetzt für das FTP Protokoll funktioniert es nicht oder für den als Standard definierten Port 21 nicht?
    Den nutze ich auch nicht, habe da meinen eigenen Port(s) für die verschiedenen Server auf den PCs.

    Wenn es allgemein für das FTP Protokoll nicht geht, also mit anderen Worten überhaupt nicht für FTP, könnt ihr es dann nicht noch einbauen oder kann ich selber es irgendwie umbiegen, z.B. per config.xml oder wie auch immer.
    Ich mein bei meinem alten Netgear und den T-Com Gurken ging es doch auch.
    Gründe wozu, nannte ich dir ja.



  • Für FTP funktioniert natreflection gar nicht. Nur für andere portforwards wie z.B. Webserver, Remotedesktop, …

    Meinst du jetzt für das FTP Protokoll funktioniert es nicht oder für den als Standard definierten Port 21 nicht?
    Den nutze ich auch nicht, habe da meinen eigenen Port(s) für die verschiedenen Server auf den PCs.

    Wenn es allgemein für das FTP Protokoll nicht geht, also mit anderen Worten überhaupt nicht für FTP, könnt ihr es dann nicht noch einbauen oder kann ich selber es irgendwie umbiegen, z.B. per config.xml oder wie auch immer.
    Ich mein bei meinem alten Netgear und den T-Com Gurken ging es doch auch.
    Gründe wozu, nannte ich dir ja.

    Wir haben schon einen proxy, der aktivien und passiven Verbindungen durch die Firewall hilft (öffnet dynamisch die hohen ports, ersetzt ggf. die Private IP-Adresse, die der Server sendet wenn er seine öffentliche nicht kennt automatisch mit der WAN IP usw). Der hört auf dem Port 21 (wenn der ftphelper am entsprechenden Interface aktiviert is unter interfaces>xxx). In Deinem Fall, da Du den nicht benutzt und alle ports geforwardet hast und nicht standard ports benutzt sollte nat reflection aber sogar gehen denke ich.



  • Leider geht es eben nicht.
    Habe eben mal versuchsweise WAN FTP Helper aktiviert, wobei das wenn ich dich richtig verstehe, eh nur von Bedeutung ist, wenn man mit Port 21 arbeitet.
    Alles ohne erfolg.
    In der Firewall habe ich auch mal aktiviert, das er alles LAN–>WAN ausgehende loggen soll und meine entsprechenden WAN-->LAN incomming Ports für den Server loggen soll. Das Ergebnis ist, ich komme per Log vin meiner
    Privaten IP---> auf meine WAN IP raus,
    aber es kommt vo meuner WAN IP--->auf meine private IP nichts rein.

    Und wie bereits gesagt, Leute die wriklich von außen kommen, die haben keine Probleme, nur ich auf mich selbst,
    wenn ich einfach gesagt mit meinem FTP Client raus ins Internet gehe dann von "außen" über dyndns (oder auch die öffentliche IP) auf meinen Server zugreifen will, dann funtzt das nicht, weil der Router wie auch immer erkennt "halt mal der kommt doch gar nicht wirklich von außen" und dann mir den Stinkefinger zeigt, so nach dem Motto "wir besteigen uns doch hier nicht selber". ;D



  • @nostra:

    Hallo hoba,

    Interessant, dass hier die Posts schon mit Hallo hoba anfangen  :P



  • hoba = hilfsbereiter omnipotenter beratender administrator?  ::)

    Dann wird es für das FTP-Protocol nicht gehen und das wird auch nicht gefixt werden. NAT-Reflection ist sowieso eine Art "Hack". Abgesehen davon sagt das nicht unbedingt aus, daß alles von extern funktioniert (da wird im Hintergrund alles durch einen Proxy auf der pfSense gejagt). Wenn Du derartige Sachen testen willst solltest Du das immer von extern tun (egal, ob Du dafür jetzt einen Freund anrufen musst oder nicht).


  • Rebel Alliance Moderator

    @hoba:

    hoba = hilfsbereiter omnipotenter beratender administrator?  Roll Eyes

    OK, jetzt bin ich wirklich vor lachen unter den Tisch gefallen! ;) Das war der Knaller den ich nach meinem Urlaub gebraucht habe :) Und entbehrt nichtmal der Wahrheit! Aber nicht brummen, Daniel, ich hab dich nicht übersehen :D



  • ;D



  • So habe jetzt eine Lösung für mich gefunden. Das Stichwort für mich waren deine Worte

    (da wird im Hintergrund alles durch einen Proxy auf der pfSense gejagt).

    Daraufhin habe ich ertmal nach ein paar Proxys im Web gesucht und auch gefunden, aber die haben mir was gehustet, ging nicht.
    Aber dann fiel mir TOR ein http://tor.eff.org/index.html.de
    Geholt installiert, eingerichtet und nun Temporär in meinen FTP Client (FlashFXP) Localhost:9050 Socks4a eingestellt und schwups geht mein Client über TOR erstmal wirklich ins Net und kommt nun von außen wieder rein.
    Ätschebätsche pfsense ausgetrickst  ;D
    Das ist zwar eine recht lahme Verbindung über die geschalteten Proxys, aber zum testen reicht es.

    Edit: Scheint nicht mit allen Proxys zu funktionieren, jedenfalls nicht mit SSL.
    Weiß der Geier warum, beim Login wird eine SSL Session ausgehandelt und das klappt auch, beim weiteren login Verlauf, kommt am Ende dann nochmal "Öffne Verbindung über Proxy", unmittelbar danach müsste dann gelistet werden, wird aber nicht, es kommt "SSL konnte nicht ausgehandelt werden". Die Verbindung steht dann zwar, aber es wird nichts gelistet.
    Ich denke aber es liegt daran, dass diese Proxys, wo es nicht funktioniert einfach nur so lahm sind und dadurch die zweite SSL Aushandlung in die Hose geht.
    Ist gerade ein schneller Proxy aktiv, dann klappt auch alles.
    Aber da kann ich mit leben, ist ja nur zu Testzwecken.



  • Das ist eine schlaue Lösung und da Du jetzt wirklich von extern kommst ist das sowieso besser als das intern umzubiegen. Ist ein "realerer" Test.


Log in to reply