Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DAU Alarm - LAN OK, WAN nicht

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PFSensophobiker
      last edited by

      Moin an alle Nachtmenschen….

      bin hier seit drei Tagen am rumdoktern und gebe jetzt auf.
      Mir bleibt nur ein leises "Hilfe...Hilfe...Hilfe" in einem Forum.
      Ich oute mich als PFSense-DAU...und nehme jede Schelte auf mich.

      UltraSuperStandardDAU: Das Internet geht nicht...

      Folgendes Szenario:
      Um einen LTE-Anschluss teilen zu koennen soll hinter dem Router/Modem eine Firewall laufen, die zwei unabhaengig voneinander getrennte Netze zur Verfuegung stellt...aber bei mir läuft nichtmal die einfachste Variante. Also Router/Modem  zu  PFSense  zu  Client.

      PFSense ist installiert (auf einem luefterlosen NEO (512MB Ram/1GbSD/3xLAN), per WebInterface erreichbar.

      Folgender Aufbau wird verwendet:

      -Telekom Speedport LTE II -
      -IP:192.168.1.1                  -

      |               
                                      |

      -                          PFSense                                                      -
      -WAN                                LAN1                    LAN2                  -
      -IP:      192.168.1.2          192.168.10.1        192.168.20.1      -
      -Sub:  255.255.255.0      255.255.255.0      255.255.255.0    -
      -Gate: 192.168.1.1          192.168.10.1        192.168.20.1      -
      -DNS ist im PFSense unter System/General Setup/DNSServer  -
      -mit 192.168.1.1 und(Use Gateway:192.168.1.1) eingetragen.-

      |
                                                  Swit(s)ch
                                                        |

      -Client                                                    -
      -IP:      192.168.10.4  (statisch)            -
      -Sub:    255.255.255.0                          -
      -Gate:  192.168.10.1                              -

      Momentan verzweifle ich an der einfachsten Variante, also Router-PFSense-Client. Der LAN1 Anschluss also...den zweiten habe ich erstmal aussen vor gelassen. Der wuerde mich sonst wahrscheinlich auch noch mehr verzweifeln lassen.

      Im PFSense ist der Haken bei der Option "Block private networks" unter Interfaces LAN/WAN deaktiviert.

      DHCP ist uberall deaktiviert, einzig im Telekom-Router laeuft noch einer (von 192.168.1.200 - 254).

      Im Telekom Speedport wollte ich eine UDP Weiterleitung auf die 192.168.1.2 einrichten...aber das Menue erschliesst sich mir nicht so wirklich richtig. Gern mache ich einen Screenshot...Fragen wie Portnummern und UDP/TCP......

      Ein Ping ueber die Eingabeaufforderung am Client zu 192.168.1.2 und 192.168.10.1 geht, 192.168.1.1 nicht.
      Ein Ping ueber Diagnostics im PFSense erreicht alle IP Adressen.

      Der Befehl "arp -a" in der Eingabeaufforderung am Client (192.168.10.4) ergab folgendes und wirft Fragen auf:
      192.168.10.1 - dynamisch ?!?!?!?!?
      192.168.10.255 - statisch
      224.0.0.22 - statisch
      224.0.0.252 - statisch
      239.256.255.250 - statisch
      Warum ist die 192.168.19.1 dynamisch, und woher kommen die anderen IP-Adressen?

      Ein Traceroute auf 195.71.11.67 ergab folgendes:
      1  192.168.1.1 (192.168.1.1)  0.809 ms  4.053 ms  2.360 ms
      2  * * *
      3  * * *
      4  * * *
      5  * * *
      6  * * *
      7  * * *
      8  * * *
      9  * * *
      10  * * *
      11  * * *
      12  n-eb4-i.N.DE.NET.DTAG.DE (62.154.52.158)  47.921 ms  47.556 ms  31.223 ms
      13  f-ed6-i.F.DE.NET.DTAG.DE (62.156.131.246)  40.209 ms
          194.25.6.86 (194.25.6.86)  35.790 ms  41.653 ms
      14  80.157.128.178 (80.157.128.178)  36.220 ms  53.299 ms  48.131 ms
      15  84.16.8.142 (84.16.8.142)  36.176 ms
          176.52.173.178 (176.52.173.178)  67.879 ms  35.488 ms
      16  rmwc-gtso-de01-ge-1-3-0-0.nw.mediaways.net (62.53.1.245)  42.122 ms
          rmwc-gtso-de01-ge-0-0-0-0.nw.mediaways.net (62.53.1.247)  55.262 ms
          rmwc-gtso-de01-ge-1-3-0-0.nw.mediaways.net (62.53.1.245)  40.525 ms
      17  xmws-gtso-de11-vlan-2.nw.mediaways.net (195.71.10.195)  43.444 ms  42.421 ms
          xmws-gtso-de12-vlan-3.nw.mediaways.net (195.71.10.203)  49.981 ms
      18  * * *

      So...
      ich hoffe moeglichst viele Infos mitgegeben zu haben...alle Fragen sind gestellt und die Klarheiten beseitigt,
      Irgendwie habe ich vor lauter Tutorials und Forenbeitraegen nur noch Zahlen, und viele "Ja, wenn das so, dann aber das auch so. Aber das nicht, weil geht dann nicht gibts nicht" im Kopf.
      Kann mir jemand helfen, meine Knoten im Hirn zu entflechten?

      Greetz

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo,

        ich würde ebenfalls versuchen, ersteinmal ein Basic Setup zu etablieren, bevor ich Dinge wie 2. LAN oder Portweiterleitungen am Speedport angehe.

        Ein Ping in den Diagnostics von pfSense funktioniert? Also von .2 auf .1? Der Speedport wird erreicht? Wird im Dashboard auch das aktuelle Update angezeigt etc? Also hat die pfSense Netz etc.?

        Wenn ja, dann gehts weiter:

        1. Ich würde in den DNS Einstellungen der pfSense NICHT den Speedport angeben. Das kann gehen, muss aber nicht. Ich würde testweise bspw. 8.8.8.8 und 8.8.4.4 nehmen (Google DNS) oder welche vom OpenNIC Projekt. Damit sollte die pfSense auf jeden Fall DNS können und auch Netz haben. Unter Diagnostics müsste also bspw. ein ping auf www.test.de gehen (Namensauflösung plus Ping)

        2. Zweiter wichtiger Streich ist auf dem WAN Interface den Block der private Adresses rauszunehmen. Auf dem LAN ist das klar, aber da du ein Transfernetz zum Telekom Router machst, wichtig. Hast du aber wohl schon angehakt, trotzdem bitte checken dass es auch am WAN, nicht nur am LAN aus ist.

        3. Gateway auf dem WAN ist gut! Bitte auf dem LAN KEIN(!) Gateway eintragen. Das LAN soll ja nicht woandershin geroutet werden, sondern die Default-Route ins Internet nehmen. Ein Gateway hier wäre kontraproduktiv. Also LAN auf "kein" stellen. Unter System/Routing/Gateways sollte es nur ein (und default) Gateway geben, die .1 aus dem WAN Netz.

        4. Außerdem keine anderen Routen

        5. DHCP alle Reiter gegenchecken ob abgeschaltet, dann bitte den Dienst ggf. stoppen. Auch den DHCP6 Dienst nicht vergessen, damit Windows nicht durcheinander kommt.

        6. Wie gesagt Weiterleitungen oder derlei kram am Speedport erstmal unterlassen, das ist nicht wichtig. Der Speedport sollte standardmäßig NAT machen für das .1.x Netz.

        7. In Firewall/NAT/Outbound auf Manual umschalten und speichern. Das sollte 1-3 Regeln erstellen, die für eine outbound NAT von LAN->WAN zuständig sind. Im Normalfall sowas wie:

        WAN 192.168.10.0/24 * * * WAN address * NO/YES <beschreibung>8) DNS Forwarder: Für alle Interfaces aktivieren, sollte per default eigentlich schon gut funktionieren.

        1. Das zweite LAN etc. erstmal abschalten/löschen/disablen, damit das nicht reinspielt

        Wenn das soweit fertig ist, bitte den Testclient auf irgendeine 192.168.10.x Adresse konfigurieren, Default GW ist dann die .10.1, DNS ebenfalls 10.1 und dann mal schauen ob der Browser browst.

        Ggf. einen Ping auf .10.1 und www.test.de (oder irgendwas anderes Öffentliches), sollte aber sinnvollerweise ein Dienst sein, der auch antwortet ;)

        Wenn das soweit läuft, kann man denke ich weitermachen. Eigentlich sieht dein Trace schon so aus als würde dein Internet funktionieren, aber einfach die Liste nochmal checken. Ansonten prüfst du Sachen die relativ irrelevant sind oder gar nicht funktionieren können ;)

        Bspw.: ARP Adressen sind meist IMMER dynamisch. Das heißt nur, dass sie discovered werden bei Bedarf aber auch aus der Liste wieder gelöscht werden können. Statische Einträge sind immer da.  Bestimmte Multicast Adressen und natürlich auch der Broadcast sind natürlich statisch (die müssen ja da sein), die pfSense ist statisch -> machst du sie aus, wird sie aus der ARP table nach gewisser Zeit gelöscht. Vollkommen richtig. Bitte hier nicht ARP und IP durcheinander würfeln, dynamisch bei ARP hat nichts mit dynamic IP zu tun.

        192.168.10.1 - dynamisch (korrekt)
        192.168.10.255 - statisch (korrekt - Broadcast)
        224.0.0.22 - statisch (korrekt - IP multicast)
        224.0.0.252 - statisch (dito)
        239.256.255.250 - statisch (dito)

        Siehe: https://social.technet.microsoft.com/Forums/windowsserver/en-US/98f6bbcb-38f6-4e88-ad43-181377111140/why-some-default-entries-in-windows-arp-cache-are-of-static-type-

        Desweiteren ein Denkfehler:

        "Ein Ping ueber die Eingabeaufforderung am Client zu 192.168.1.2 und 192.168.10.1 geht, 192.168.1.1 nicht.
        Ein Ping ueber Diagnostics im PFSense erreicht alle IP Adressen."

        Die Firewall kennt alle Netze, kann ergo auch alle anpingen. Dein Client kennt nur sein eigenes .10.x Netz. Er schickt sein Paket an die pfSense, welche es an die .1.1 weiterleitet. Der Telekomrouter hat aber keiner Ahnung, dass hinter .1.2 (pfSense) noch ein weiteres Netz hängt und würde es daher an das Internet weiterschicken (sein default GW). Da das aber per Routing Definition von private IP ranges verboten ist, wird das Paket verworfen. Es findet quasi seinen Rückweg nicht.

        Ich kenne die SPeedports nicht, aber bei guten Routern oder bspw. einer Fritzbox kann man zusätzlich Routen einpflegen. Dort könnte man - wenn man muss - bspw. die Route 192.168.10.0/24 eintragen mit GW auf die .1.2, damit der Speedport alle Pakete vom LAN auch wieder an die pfSense beantwortet. Ist aber m.E. überflüssig, da man nur selten vom LAN direkt auf den Speedport muss.

        Ansonsten besteht glaube ich deine Schwierigkeit nur noch darin, das 2. LAN flott zu bekommen und dem Speedport Portforwarding auf die pfSense beizubringen.
        Ich würde sogar so weit gehen, dass ich (wenn er das kann), dem Speedport sagen würde, er soll ALLES auf die pfSense weiterleiten (exposed Host oder manchmal auch fälschlich DMZ Host genannt).

        Hoffe das hilft dir erstmal weiter :)

        Grüße</beschreibung>

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.