DAU Alarm - LAN OK, WAN nicht



  • Moin an alle Nachtmenschen….

    bin hier seit drei Tagen am rumdoktern und gebe jetzt auf.
    Mir bleibt nur ein leises "Hilfe...Hilfe...Hilfe" in einem Forum.
    Ich oute mich als PFSense-DAU...und nehme jede Schelte auf mich.

    UltraSuperStandardDAU: Das Internet geht nicht...

    Folgendes Szenario:
    Um einen LTE-Anschluss teilen zu koennen soll hinter dem Router/Modem eine Firewall laufen, die zwei unabhaengig voneinander getrennte Netze zur Verfuegung stellt...aber bei mir läuft nichtmal die einfachste Variante. Also Router/Modem  zu  PFSense  zu  Client.

    PFSense ist installiert (auf einem luefterlosen NEO (512MB Ram/1GbSD/3xLAN), per WebInterface erreichbar.

    Folgender Aufbau wird verwendet:

    -Telekom Speedport LTE II -
    -IP:192.168.1.1                  -

    |

    -                          PFSense                                                      -
    -WAN                                LAN1                    LAN2                  -
    -IP:      192.168.1.2          192.168.10.1        192.168.20.1      -
    -Sub:  255.255.255.0      255.255.255.0      255.255.255.0    -
    -Gate: 192.168.1.1          192.168.10.1        192.168.20.1      -
    -DNS ist im PFSense unter System/General Setup/DNSServer  -
    -mit 192.168.1.1 und(Use Gateway:192.168.1.1) eingetragen.-

    |
                                                Swit(s)ch

    -Client                                                    -
    -IP:      192.168.10.4  (statisch)            -
    -Sub:    255.255.255.0                          -
    -Gate:  192.168.10.1                              -

    Momentan verzweifle ich an der einfachsten Variante, also Router-PFSense-Client. Der LAN1 Anschluss also...den zweiten habe ich erstmal aussen vor gelassen. Der wuerde mich sonst wahrscheinlich auch noch mehr verzweifeln lassen.

    Im PFSense ist der Haken bei der Option "Block private networks" unter Interfaces LAN/WAN deaktiviert.

    DHCP ist uberall deaktiviert, einzig im Telekom-Router laeuft noch einer (von 192.168.1.200 - 254).

    Im Telekom Speedport wollte ich eine UDP Weiterleitung auf die 192.168.1.2 einrichten...aber das Menue erschliesst sich mir nicht so wirklich richtig. Gern mache ich einen Screenshot...Fragen wie Portnummern und UDP/TCP......

    Ein Ping ueber die Eingabeaufforderung am Client zu 192.168.1.2 und 192.168.10.1 geht, 192.168.1.1 nicht.
    Ein Ping ueber Diagnostics im PFSense erreicht alle IP Adressen.

    Der Befehl "arp -a" in der Eingabeaufforderung am Client (192.168.10.4) ergab folgendes und wirft Fragen auf:
    192.168.10.1 - dynamisch ?!?!?!?!?
    192.168.10.255 - statisch
    224.0.0.22 - statisch
    224.0.0.252 - statisch
    239.256.255.250 - statisch
    Warum ist die 192.168.19.1 dynamisch, und woher kommen die anderen IP-Adressen?

    Ein Traceroute auf 195.71.11.67 ergab folgendes:
    1  192.168.1.1 (192.168.1.1)  0.809 ms  4.053 ms  2.360 ms
    2  * * *
    3  * * *
    4  * * *
    5  * * *
    6  * * *
    7  * * *
    8  * * *
    9  * * *
    10  * * *
    11  * * *
    12  n-eb4-i.N.DE.NET.DTAG.DE (62.154.52.158)  47.921 ms  47.556 ms  31.223 ms
    13  f-ed6-i.F.DE.NET.DTAG.DE (62.156.131.246)  40.209 ms
        194.25.6.86 (194.25.6.86)  35.790 ms  41.653 ms
    14  80.157.128.178 (80.157.128.178)  36.220 ms  53.299 ms  48.131 ms
    15  84.16.8.142 (84.16.8.142)  36.176 ms
        176.52.173.178 (176.52.173.178)  67.879 ms  35.488 ms
    16  rmwc-gtso-de01-ge-1-3-0-0.nw.mediaways.net (62.53.1.245)  42.122 ms
        rmwc-gtso-de01-ge-0-0-0-0.nw.mediaways.net (62.53.1.247)  55.262 ms
        rmwc-gtso-de01-ge-1-3-0-0.nw.mediaways.net (62.53.1.245)  40.525 ms
    17  xmws-gtso-de11-vlan-2.nw.mediaways.net (195.71.10.195)  43.444 ms  42.421 ms
        xmws-gtso-de12-vlan-3.nw.mediaways.net (195.71.10.203)  49.981 ms
    18  * * *

    So...
    ich hoffe moeglichst viele Infos mitgegeben zu haben...alle Fragen sind gestellt und die Klarheiten beseitigt,
    Irgendwie habe ich vor lauter Tutorials und Forenbeitraegen nur noch Zahlen, und viele "Ja, wenn das so, dann aber das auch so. Aber das nicht, weil geht dann nicht gibts nicht" im Kopf.
    Kann mir jemand helfen, meine Knoten im Hirn zu entflechten?

    Greetz


  • LAYER 8 Moderator

    Hallo,

    ich würde ebenfalls versuchen, ersteinmal ein Basic Setup zu etablieren, bevor ich Dinge wie 2. LAN oder Portweiterleitungen am Speedport angehe.

    Ein Ping in den Diagnostics von pfSense funktioniert? Also von .2 auf .1? Der Speedport wird erreicht? Wird im Dashboard auch das aktuelle Update angezeigt etc? Also hat die pfSense Netz etc.?

    Wenn ja, dann gehts weiter:

    1. Ich würde in den DNS Einstellungen der pfSense NICHT den Speedport angeben. Das kann gehen, muss aber nicht. Ich würde testweise bspw. 8.8.8.8 und 8.8.4.4 nehmen (Google DNS) oder welche vom OpenNIC Projekt. Damit sollte die pfSense auf jeden Fall DNS können und auch Netz haben. Unter Diagnostics müsste also bspw. ein ping auf www.test.de gehen (Namensauflösung plus Ping)

    2. Zweiter wichtiger Streich ist auf dem WAN Interface den Block der private Adresses rauszunehmen. Auf dem LAN ist das klar, aber da du ein Transfernetz zum Telekom Router machst, wichtig. Hast du aber wohl schon angehakt, trotzdem bitte checken dass es auch am WAN, nicht nur am LAN aus ist.

    3. Gateway auf dem WAN ist gut! Bitte auf dem LAN KEIN(!) Gateway eintragen. Das LAN soll ja nicht woandershin geroutet werden, sondern die Default-Route ins Internet nehmen. Ein Gateway hier wäre kontraproduktiv. Also LAN auf "kein" stellen. Unter System/Routing/Gateways sollte es nur ein (und default) Gateway geben, die .1 aus dem WAN Netz.

    4. Außerdem keine anderen Routen

    5. DHCP alle Reiter gegenchecken ob abgeschaltet, dann bitte den Dienst ggf. stoppen. Auch den DHCP6 Dienst nicht vergessen, damit Windows nicht durcheinander kommt.

    6. Wie gesagt Weiterleitungen oder derlei kram am Speedport erstmal unterlassen, das ist nicht wichtig. Der Speedport sollte standardmäßig NAT machen für das .1.x Netz.

    7. In Firewall/NAT/Outbound auf Manual umschalten und speichern. Das sollte 1-3 Regeln erstellen, die für eine outbound NAT von LAN->WAN zuständig sind. Im Normalfall sowas wie:

    WAN 192.168.10.0/24 * * * WAN address * NO/YES <beschreibung>8) DNS Forwarder: Für alle Interfaces aktivieren, sollte per default eigentlich schon gut funktionieren.

    1. Das zweite LAN etc. erstmal abschalten/löschen/disablen, damit das nicht reinspielt

    Wenn das soweit fertig ist, bitte den Testclient auf irgendeine 192.168.10.x Adresse konfigurieren, Default GW ist dann die .10.1, DNS ebenfalls 10.1 und dann mal schauen ob der Browser browst.

    Ggf. einen Ping auf .10.1 und www.test.de (oder irgendwas anderes Öffentliches), sollte aber sinnvollerweise ein Dienst sein, der auch antwortet ;)

    Wenn das soweit läuft, kann man denke ich weitermachen. Eigentlich sieht dein Trace schon so aus als würde dein Internet funktionieren, aber einfach die Liste nochmal checken. Ansonten prüfst du Sachen die relativ irrelevant sind oder gar nicht funktionieren können ;)

    Bspw.: ARP Adressen sind meist IMMER dynamisch. Das heißt nur, dass sie discovered werden bei Bedarf aber auch aus der Liste wieder gelöscht werden können. Statische Einträge sind immer da.  Bestimmte Multicast Adressen und natürlich auch der Broadcast sind natürlich statisch (die müssen ja da sein), die pfSense ist statisch -> machst du sie aus, wird sie aus der ARP table nach gewisser Zeit gelöscht. Vollkommen richtig. Bitte hier nicht ARP und IP durcheinander würfeln, dynamisch bei ARP hat nichts mit dynamic IP zu tun.

    192.168.10.1 - dynamisch (korrekt)
    192.168.10.255 - statisch (korrekt - Broadcast)
    224.0.0.22 - statisch (korrekt - IP multicast)
    224.0.0.252 - statisch (dito)
    239.256.255.250 - statisch (dito)

    Siehe: https://social.technet.microsoft.com/Forums/windowsserver/en-US/98f6bbcb-38f6-4e88-ad43-181377111140/why-some-default-entries-in-windows-arp-cache-are-of-static-type-

    Desweiteren ein Denkfehler:

    "Ein Ping ueber die Eingabeaufforderung am Client zu 192.168.1.2 und 192.168.10.1 geht, 192.168.1.1 nicht.
    Ein Ping ueber Diagnostics im PFSense erreicht alle IP Adressen."

    Die Firewall kennt alle Netze, kann ergo auch alle anpingen. Dein Client kennt nur sein eigenes .10.x Netz. Er schickt sein Paket an die pfSense, welche es an die .1.1 weiterleitet. Der Telekomrouter hat aber keiner Ahnung, dass hinter .1.2 (pfSense) noch ein weiteres Netz hängt und würde es daher an das Internet weiterschicken (sein default GW). Da das aber per Routing Definition von private IP ranges verboten ist, wird das Paket verworfen. Es findet quasi seinen Rückweg nicht.

    Ich kenne die SPeedports nicht, aber bei guten Routern oder bspw. einer Fritzbox kann man zusätzlich Routen einpflegen. Dort könnte man - wenn man muss - bspw. die Route 192.168.10.0/24 eintragen mit GW auf die .1.2, damit der Speedport alle Pakete vom LAN auch wieder an die pfSense beantwortet. Ist aber m.E. überflüssig, da man nur selten vom LAN direkt auf den Speedport muss.

    Ansonsten besteht glaube ich deine Schwierigkeit nur noch darin, das 2. LAN flott zu bekommen und dem Speedport Portforwarding auf die pfSense beizubringen.
    Ich würde sogar so weit gehen, dass ich (wenn er das kann), dem Speedport sagen würde, er soll ALLES auf die pfSense weiterleiten (exposed Host oder manchmal auch fälschlich DMZ Host genannt).

    Hoffe das hilft dir erstmal weiter :)

    Grüße</beschreibung>


Log in to reply