Kein Zugriff auf WLAN-Interface

orcape

Hallo und schönen Sonntag,

Sorry wenn ich nochmal nerve, aber gibt´s denn im deutschen Forum niemand, der ein ALIX mit WLAN nutzt und mir bei meinem Problem behilflich sein kann.
Ich habe mittlerweile festgestellt das keine NAT-Rules automatisch für das 4.Interface (WLAN / OPT2) eingetragen werden.
Während das beim DMZ-Interface problemlos funktioniert.
Kann den pfSense nur die 3 LAN-Interfaces automatisch handeln ? Was ich mir eigentlich nicht vorstellen kann.
Ich habe auch den Eindruck das die Internetverbindung vom WLAN extrem langsam abläuft, warum auch immer.

Gruß orcape

Nachtfalke

Hallo,

nutzt du pfsense 2.0.1 ?

Grundsätzlich werden automatisch NAT rules erstellt, unabhängig davon, wieviele Interfaces du nutzt und wie diese heißen. Dazu muss allerdings unter "Firewall -> NAT - > Outbound" automatic nat rule generation aktiviert sein.

Jedes interface, dass du erstellt hast, musst du einer Netzwerkkarte/WLAN karte zuordnen (Interfaces - assign) und anschließend ktivieren (Interfaces -> OPTX). Nun IP addresse des interfaces einstellen. Ein gateway ist nur beim PPPoE notwendig - wobei dieser ja vermutlich dynamisch ist.
Weiterhin solltest du den Haken ei "Block private Networks" ganz unten auf der Seite heraus nehmen.

Unter (System -> Routing -> Gateway) sollte es einen gateway geben, den dein PPPoE interface automatisch erstellt hat.

In System -> General Setup bitte DNS server eintragen, 8.8.8.8 und 8.8.4.4 (Google DNS) sollten funktionieren. Evtl. den Haken bei "Allow DNS Servers to be overwritten…" raus nehmen.

Nun Firewall Regeln erstellen für LAN, WLAN, DMZ. Hier hast du es shcon richtig gesagt - zum Testen bietet sich als Firewall Regel eine "any to any" Regel an, also jedes Protokoll, jede Source und Destination IP und Port. Diese Regel sollte an oberster Stelle stehen (ist die Anti-Lockout Regel erstellt, dann kommt deine direkt darunter).

Weiterhin gilt zu beachten:
Möchtest du den Zugriff von LAN auf WLAN erlauben, dann wird dies über eine Firewall Regel am LAN Interface geregelt. Firewall Regeln auf dem WLAN Interface sind für eine Verbindung von LAN auf WLAN irrelevant.

Services -> DHCP Server. Sinnvoll ist es, diesen zu aktivieren. DNS und Gateway ist immer die IP Adresse des Interfaces für das du den DHCP aktiviert hast. Alle PCs müssen auf "automatische IP und automatischen DNS beziehen" eingestellt sein.

Services -> DNS Forwarder: Aktivieren.

Wenn du alle genannten Dinge beachtet hast, dann sollte der Verkehr zwischen deinen Netzen als auch zum Internet ohne Probleme funktionieren. Evtl. solltest du die pfsense nochmal neu installieren bzw. auf default zurücksetzen und eine saubere neukonfiguration beginnen.

Falls es weiter probleme gibt, helfen uns screenshots zu den firewall regeln, routing, NAT, DHCP, DNS.

Viel Erfolg!

orcape

Hallo Nachtfalke,

und Danke erst mal für Dein Feedback und Deine super Erklärung.

*** Welcome to pfSense 2.0.1-RELEASE-nanobsd (i386) on skydive ***

..sollte Deine erste Frage beantworten.

Was die Anti-Lockout Regel betrifft, die ja im LAN-Interface automatisch generiert wird, ist diese in DMZ und WLAN händisch einzutragen oder ist diese dort nicht nötig.

Bei den Bootmeldungen der pfSense ist mir folgendes aufgefallen, was nach den im GUI angezeigten, eigentlich nicht stimmen kann…

Configuring WAN interface...starting pppoe0 link...vr1: link state changed to UP
done.
Configuring LAN interface...vr0: link state changed to UP
ng0: changing name to 'pppoe0'
done.

vr0 ist LAN-Interface und nirgends im GUI als pppoe0, sondern als LAN eingetragen.
vr1 ist WAN-Interface und im GUI auch als solches bezeichnet.

Ansonsten müssten alle Einstellungen so passen um zumindest WLAN mit Internet+LAN zu verbinden.

Gruß orcape

Nachtfalke

Die Anti-Locout Regel ist nur dafür da, dass du dich nicht versehentlich aus dem GUI aussperrst. Diese Regel kann nicht "bewegt" werden. Deswegen sagte ich, du sollst die zusätzliche "any to any" Regel darunter platzieren.

Wenn die Anti-Lockout Regel nicht existiert, macht das nicht, da die "any to any" Regel diese beinhaltet.

Das bootmenü stimmt doch. vr0 ist LAN, vr1 ist WAN und ng0 ist PPPoE. Ich weiss nicht genau, wie pfsense das PPPoE interface handelt, aber vermutlich ist es eine art "virtuelles" inbterface, was auf vr1 gelegt wird.
Meiner Meinung nach alles ok.

orcape

Hi Nachtfalke,

Services -> DHCP Server. Sinnvoll ist es, diesen zu aktivieren. DNS und Gateway ist immer die IP Adresse des Interfaces für das du den DHCP aktiviert hast. Alle PCs müssen auf "automatische IP und automatischen DNS beziehen" eingestellt sein.

Hat das einen tieferen Sinn, mit DHCP aktivieren ?
Da ich Subnetz übergreifend Samba verwenden wollte, hatte ich vor statische IP´s zu verwenden.
Ich komme aber mit statischen IP´s vom WLAN einfach nicht ins LAN, bzw. umgekehrt.
Die erstellten Regeln, so wie Du das erklärt hast, sollten so eigentlich passen, zumal ich mit any to any am Anfang ja auch zu keinem Ergebnis gekommen bin.
In meinen Netzen sind übrigens ausschließlich Linux-PC´s, nur besagtes WLAN soll mit Windoof erfreut werden.

Gruß orcape

Nachtfalke

Nun wäre die Frage zu klären, was du mit "ich komme nich von LAN ind WLAN" meinst.

Kein Ping möglich ?
Kein Zugriff auf Dateifreigaben ?

Beides sind übrigens "Probleme" der Widnows Firewall. Man muss diese korrekt konfigurieren. Gerade Windows 7 bietet da diverse Möglichkeiten - Zugriff auf fremden Subnetzen, öffentliche und private profile, etc. pp.

orcape

Nun wäre die Frage zu klären, was du mit "ich komme nicht von LAN ins WLAN" meinst.

Bei statischen IP´s ist…
....kein Ping möglich !

Wenn ich mache, was ich nicht soll, nämlich einen Gateway für´s WLAN (192.168.89.1) eintragen, klappt zwar die Verbindung LAN-WLAN-LAN aber keine Verbindung zum Internet.

Beides sind übrigens "Probleme" der Widnows Firewall. 

…geh bitte vorerst mal von einem reinen Debian-Netz aus und bei mir gibt es keine Desktop-Firewall auf den PC´s.
Ausnahme 2 Laptops, da ist die Firewall aber definitiv abgeschaltet, wenn Sie bei mir im Netz sind. Sie arbeitet nur wenn ich unterwegs per UMTS ins Internet gehe.

Es ist definitiv ein pfSense-Problem.
Eingetragene Pass LAN-Rules

	TCP/UDP 	192.168.155.2 	* 	WLAN net 	22 (SSH) 	* 	none 	  	Zugriff WLAN-ssh  	

          ICMP 	        192.168.155.2 	* 	WLAN net 	* 	        * 	none 	  	ICMP-Out WLAN  

…und Pass WLAN-Rule.....

         ICMP 	       WLAN net 	* 	192.168.155.2 	   * 	      * 	none 	  	ICMP WLAN-orca  

..sind wirkungslos.

Gruß orcape

Nachtfalke

Stelle mal logging an den verschiedenen firewall Regeln ein, auch loggen der default rule (Diagnostics -> System Log -> Settings).
Und überprüfe dann mal, wenn du einen ping sendest, wo und ob dieser geblockt wird.

orcape

Hi Nachtfalke,
& sorry,

…manchmal schießt man auch mal ein Eigentor.  ;D
Ich habe die entsprechenden Rules mal genauer angepasst und geloggt.
Dabei habe ich festgestellt das der ping auf dem WLAN-Laptop ankommt, mir aber nicht auf meinem PC in der Konsole angezeigt wird.
WLAN Rechner getauscht und geht, also ein Netzwerk-Einstellungsproblem auf dem WLAN Linux-Laptop.
Deshalb auch die "schleichende" Internetverbindung.
Danke trotzdem für Deine Tipps, war für einen pfSense-Neuling wie mich sehr aufschlußreich.

Gruß orcape

Nachtfalke

Hauptsache es geht nun. Aus Fehlersuche lernt man - auch ich :-)