Pfsense +Fritzbox 6390 Probleme

Tron

Hallo,

das hier ist mein aktuelles Setting und irgendwie macht das ab und zu Probleme.

Vom Sinn her ist die Fritzbox 6390 das dumme Kabelmodem vom Provider,
mit der öffentlichen IP 215.30.X X auf dem öffentlichen Interface.
Auf dem LANInterface hat die 6390 dann eine private Adresse 10.100.100.1 /24.

Die Alix benutzt ihr WANinterface mit der 10.100.100.2/24 um dort den TRaffic
anzunehmen (hatte mal gelesen das es sinnvoll ist wenn Modem und Firewall alleine
in einem Subnetz sitzen).
Der Traffic soll anschlie0end  dann weitergeleitet werden an das LANInterface der Alix 192.168.0.100/24
in das eigentliche "Produktivnetz" und von dort aus an die Clients verteilt werden.

WAN / Internet
            :
            :
            :WAN  215.30.X.X     
      .–---+-----.
      |  Gateway  |  (Router, Fritzbox 6360 Cable)
      '-----+-----'
            |LAN 10.100.100.1/24 (static)
            |
            |WAN 10.100.100.2/24 (static) (GW 10.100.100.2/24)
      .-----+-----.
      |  pfSense  +
      '-----+-----'
            |LAN 192.168.0.100/24 (static)
            |
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
              |
    ...-----+------... (Clients/Servers 192.168.0.101 - 255)

Da ist irgendwo ein Wurm drin, ich versuche mal mein Problem zu beschreiben.

a)
Auffällig ist das der Internetzugang prima funktioniert hat bis ich letztens mal die Firewall neu gestartet habe.
Nach dem Neustart ist es mir nun nicht mehr möglich mich mit OpenVPN auf die Firewall zu verbinden
Der OpenVPN Client kommt bis zur remoteadresse , dann sagt er "TLS Error" und versucht es neu.
Die gängigen TLS Sachen die zum Fehler führen können, habe ich ausgeschlossen … hat ja vorher funktioniert.

b) wenn ich vom internen Netz einen tracert google.de absetze dann funktioniert das wunderbar außer
an der Stelle an der 10.100.100.2(alix WAN) an 10.100.100.1 (fritzbox lan) gehen will - dort kommt ein Timeout und dann
geht es nach 2-3 Sekunden weiter.
Ich habe immer das Gefühl da fehlt eine Route oder so etwas in der Art.

Habe ich da irgendwo einen Denkfehler drin,oder habe ich das Setting falsch gesetzt oder hat jemand eine Idee?

Ich weiß die Beschreibung ist ein wenig vage aber ich habe halt nicht den "nichts-geht-mehr" Fehler, aber toll
läuft das Ding halt auch nicht.

skywalker

Ich habe exakt die gleiche konfiguration und es läuft ohne probleme.
Ich nehme an du hast auf der FB eine default route zu pfsense gesetzt und auf pfsense eine zur FB?
Noch ein Tip:
Ich habe auf meiner pfsense das automatische outbound NAT deaktiviert. Schliesslich macht die FB NAT und doppelt NAT brauch ich nicht.

Tron

OK super das du die selbe Konfig hast, vielleicht ist es nur irgendeine Kleinigkeit die mir fehlt.

Ich nehme an du hast auf der FB eine default route zu pfsense gesetzt und auf pfsense eine zur FB?

Nein, vielleicht liegt da der Hase im Pfeffer.

a) "auf der FB eine default route zu pfsense setzen"

Ich stelle jetzt einfach mal Vermutungen an.
Ich gehe auf die FB und lege dort unter "Heimnetz -> Netzwerk -Neue Route" eine neue Route an.
Diese muss dann lauten

IP:            192.168.0.100/24 (wobei mich hier wundert das man nur eine IP angeben kann und keinen IPBereich..)
Mask:        255.255.255.0/24
GW:          10.100.100.2/24

richtig?

b) "und auf pfsense eine zur FB"
Hier bin ich mir unsicher.
Bedeutet das für mich dann das ich

"System"->"Static Routes"
und dort dann

Interface: LAN
Destination Network: 10.100.100.0
Gateway: 10.100.100.1

oder? hm. Sieht irgendwie komisch aus.

Ich habe auf meiner pfsense das automatische outbound NAT deaktiviert

Wo geht das genau?

skywalker

Sorry, die "default" route der FB zeigt natürlich ins internet.
Dein Ansatz ist richtig, allerdings muss bei der Adresse in der FB natürlich die Netzadresse rein. Also 192.168.0.0

Auf der pfsense habe ich unter system-routing-gateways die FB als default GW hinterlegt.

Das automatic outbound NAT stelltst du unter outbound NAT ein.

Tron

@skywalker:

Sorry, die "default" route der FB zeigt natürlich ins internet.
Dein Ansatz ist richtig, allerdings muss bei der Adresse in der FB natürlich die Netzadresse rein. Also 192.168.0.0

´heisst also
IP:            192.168.0.0?
Mask:        255.255.255.0/24
GW:          10.100.100.2/24

unter Heimnetz -> Netzwerk-> neue Route?

@skywalker:

Auf der pfsense habe ich unter system-routing-gateways die FB als default GW hinterlegt.

DIe öffentliche oder die private IP?
Bei mir gibt es unter System kein Routing Tab.  ???
nur auf dem WAN Interface die möglichkeit bei einer statischen Konfiguration
einen StandardGW einzustellen.

skywalker

sorry, welche Version?
Ich bin auf 2.0RC2.
1.2.3 habe ich schobn länger nicht mehr in den fingern gehabt.

Meine Fritzbox ist eine 6360.
Heimnetz->Netzwerk->Netzwerk Einstellungen->IP Routen->Neue Route

Tron

@skywalker:

sorry, welche Version?
Ich bin auf 2.0RC2.
1.2.3 habe ich schobn länger nicht mehr in den fingern gehabt.

Ist 1.2.3

@skywalker:

Meine Fritzbox ist eine 6360.
Heimnetz->Netzwerk->Netzwerk Einstellungen->IP Routen->Neue Route

Da habe ich nun eine Route gesetzt die so aussieh
IP:            192.168.0.0
Mask:        255.255.255.0/24
GW:          10.100.100.2/24

Tron

Ich meine der hat noch irgendein Problem auf der Pfsense direkt.

Dazu mein Tracert von der Pfsense gui nach google.de

Traceroute output:

1  10.100.100.1 (10.100.100.1)  0.820 ms  0.569 ms  0.404 ms
2  * * *
3  1230.koeln.unity-media.net (1.2.3.4)  6.136 ms  4.846 ms  5.938 ms
4  216.239.48.11 (216.239.48.11)  16.437 ms  16.956 ms  23.998 ms
usw

Das kann doch nicht normal sein mit den Sternchen oder?