Anfänger: Neuinstallation keine Verbindung zum Internet aus dem LAN
-
WAN / Internet
:
: Feste IP Kabel-D
:
.–---+-----.
| MODEM feste IP |
'-----+-----'
|
WAN | IP 94.79.157.198 + GW IP 94.79.157.197
|
.-----+-----. priv. DMZ .------------.
| pfSense +-------------+ DMZ-Server |
'-----+-----' 10.1.100.1 '------------'
|
LAN | 10.1.0.1/16
|
.-----+------.
| LAN-WLAN | WLAN-Router
'-----+------'
|
...-----+------... (Clients/Servers)Hallo Zusammen,
ich hab die PFsense installiert und die Grundeinstellungen getätigt. Also die WAN IP und GW sowie die DNS-Server eingetragen. Im LAN hab ich zum test den WLAN-Router weg gelassen und direkt über DHCP verbunden. Die Verbindung zum GW funktioniert, das WebGUI kann ich aufrufen, der Status von LAN und WAN ist grün. Ich komm jedoch nicht inst Internet.
Muß ich noch irgendwo anders Einstellungen vornehmen? Der Rest steht in der Grundeinstellung.
-
Hast du denn im LAN auch einen DNS Server? (versuch mal 8.8.8.8 also den DNS von Google zu Pingen so kannst du DNS Probleme ausschließen)
Sind Regeln auf dem Lan Interface die erlauben das du raus darfst?
Schon mal von der PfSense direkt raus ins Internet gepingt?Vielleicht hilft dir das schon mal weiter.
-
Du solltest deine Subnetmaske korrekt setzen:
10.1.0.1/16 bedeutet:
10.1.0.0 - 10.1.255.255Das heisst, dein LAN interface liegt im gleichen Subnetz wie deine DMZ (10.1.100.1)
Oder ist deine DMZ kein eigenes Interface/Subnetz ?! Dann wäre es aber auch keine DMZ ;-)Ansonsten gilt, unter SYSTEM –> General Setup einen DNS eintragen.
Von der pfsense aus testen, dass du pingen kannst auf eine WAN Adresse. Also google.de und auch mal 8.8.8.8Und Firewall Regeln konfigurieren auf dem LAN interface, damit der traffic erlaubt ist.
Den DNS Forwarder aktivieren in der pfsense. -
Danke für die Infos.
Die DMZ ist für später geplant dann mit einem anderen Netz :) (z.b. 10.2.1.1)
Der DNS ist unter SYSTEM –> General Setup eingetragen, den Ping werde ich heute Abend mal Testen.
Welche Firewall regeln muss ich eintragen, bin da ein echter Newbie?
Wie muss ich die FW einstellen, damit ich die DMZ vom LAN erreichen kann?
-
Die Firewall-Regeln werden von oben nach unten abgearbeitet. Die Regel, die zuerst auf den Traffic passt, wird angewandt. Alle nachfolgenden Regeln werden dann verworfen.
Die Regeln gelten immer für ausgehenden Traffic auf dem jeweiligen Interface. Das bedeutet, wenn du Traffic von Geräten aus dem LAN reglementieren willst, dann musst du die Regeln auf diesem Interface konfigurieren. Wenn du vom LAN den Zugriff auf die DMZ sperren willst, musst du unter LAN eine block Regeln mit Ziel DMZ eintragen.
Willst du aus der DMZ Traffic ins LAN blocken, musst du an der DMZ die Regel eintragen.
Deine im Bild gesehene Regel erlaubt sämtlichen Traffic aus dem LAN überall hin auf alle Ports.
-
Ich hab jetzt mal den Ping aus dem System versucht, ohne Erfolg :(
Mein DNS und WAN-Einstellungen hab ich mal unten angehangen.
Hab ich noch einen Schalter vergessen??
-
Mir ist deine Grafik nicht ganz klar. Ich kenne kein Kabel environment. Wie ist die "Feste IP Kabel D"? Wo liegt die an? Am Modem hast Du dann wieder eine IP … welche? Ist das Modem wirklich nur Modem? Ist die "Feste IP Kabel D" die 94.56.100.15 ... die da als GW steht? In deinem Screenshot ist als WAN 94.69.157.198 mit GW 94.69.157.197 zu sehen ...
Fakt ist, dass Du von der pfSense aus dein WAN Interface so konfigurieren musst, dass Du dort eine IP hast aus dem gleichen Subnetz wie die IP des nächsten Routers Richtung Internet. Den nächsten Router trägst Du dann als Gateway ein. Hast Du nicht irgendwelche Informationen von Kabel D was dort eingetragen werden muss?
Ansonsten versuch mal erst alles nur mit IPs. Lass auch erst mal die DMZ weg. DNS kannst Du später machen. Wenn auf IP Ebene alles läuft, hast Du schon fast gewonnen.
Ping also erst mal das nächstmögliche Gerät Richtung WAN von der pfSense direkt an, dann das übernächste und so weiter. Scheitert es schon am ersten, stimmt irgendwas mit deiner WAN Konfiguration nicht. So kannst du erst mal lokalisieren wo es hängt.
-
Oben im Schema steht nur eine Muster IP.
Das Modem ist ein FRITZ!Box 6360 Cable mit einer festen IP. Die Box als Gatway die 94.79.157.197 und die pfSense die 94.79.157.198 mit der Subnetzmaske 255.255.252 .
Wenn ich den WLAN-Router direkt anschieße mit diesen Einstellungen hab ich ja kein Problem.
Ich kann von der pfSense das GW aus dem LAN nicht anpingen.Ping auf die 94.79.157.198 / 197:
WAN
–- 94.79.157.198 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.101/0.150/0.232/0.059 ms--- 94.79.157.197 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.361/0.414/0.495/0.058 msLAN:
PING 94.79.157.197 (94.79.157.197) from 10.1.0.1: 56 data bytes--- 94.79.157.197 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet lossDer Ping aus dem WAN funktioniert schon mal, aus dem LAN jedoch nicht. Ich hab an dem LAN-Port auch erstmal nur einen Rechner mit DHCP angeschlossen. Der Rest ist ersteimal egal.
-
Kannst Du aus dem LAN vom Client die pfSense LAN IP anpingen?
Geht das auch mit der WAN IP der pfSense selbst (also wohl 94.79.157.198) vom Client aus? -
Die LAN IP (10.1.0.1) kann ich erreichen, da liegt ja das WebGUI der pfSense, die WAN IP und auch das WAN-Gateway kann ich nicht erreichen vom Client aus.
-
Kannst du das WAN interface nicht einfach auf DHCP stellen?
Dann bekommst du DNS, Gateway und IP und Maske.Wenn das Modem die öffentliche IP weiter gibt, bekommst du diese auch. Wenn nicht, bekommst du eine LAN IP vom Modem und dann kennst du dein problem schon.
-
Ich glaub mal nicht, das es am WAN liegt, ich komm ja von WAN aus ins Netz.
Die Einstellungen sind identisch mit denen aus meinen alten Router. Irgendwie klappt das mit der WAN-LAN-Verbindung nicht.
Der Ping aus dem WebGUI über die WAN-Schnittstelle funktioniert ja ins Internet. -
Ich kenne die Umgebung von KabelD jetzt nicht im Detail, aber selbst wenn man eine feste IP bspw. bei KabelBW / Unitymedia bekommt, wird diese vom Provider immer noch per DHCP an die angeschlossene Box übergeben. Da die FB Cable aber selbst ein vollständiger Router ist, kann es durchaus sein, dass im WAN Segment dein Problem liegt. Die FB hat allerdings auch einen Modus für transparenten Modem-Betrieb. Wenn dieser aktiviert ist (das weiß keiner außer dir), dann wird die IP direkt an die pfSense vergeben. Deshalb ist der Rat, die pfSense mal auf DHCP zu stellen durchaus korrekt. Bekommt sie keine IP vom Modem oder eine private Adresse von der FB ist das Problem klar.
Wenn du von KabelD allerdings Anweisungen hast, dass bspw. die FB transparent läuft und dir garantiert die IP XY zugewiesen wird, können wir an der pfSense weitersuchen. Aber momentan sieht mir das ebenso nach einem Konfig-Problem im WAN zwischen FB und pfSense aus. Und dabei ist es ersteinmal nebensächlich, ob der WLAN Router das vielleicht OK macht oder nicht, bitte erstmal Stück für Stück klären :)
Das nächste wäre dann die Einstellung der anderen pfSense Interfaces, die Regeln und vor allem die NAT, die ausgehend definiert ist.
Gruß
-
Also ich bekomm definitiv die o.a. IP's mit der Subnetzmaske zugewiesen. Ich kann ja auch aus der pfSense-Weboberflächen über das WAN-Interface z.b. Google oder anderen Adressen Pingen, da nehm' ich mal an, dass WAN-Seitig alles ok ist oder liege ich da so falsch?
Aber Stichwort NAT, da hab ich noch nichts eingerichtet. Gibt es da Beispiele, wie man das am Besten macht?
-
NAT wird eigentlich standardmäßig von LAN->WAN immer eingerichtet. Deshalb der Schalter auf automatisch. Stellt man ihn auf manuell, sollten die geltenden Regeln angelegt werden damit sie editierbar sind.
-
Ich habe jetzt einmal unter NAT -> Port Forward eine Regel eingestellt:
LAN - TCP - src adr * - src. port * - Dest. addr. WAN net - Dest. port 80(http) - NAT IP: 10.1.0.1 - eingerichtet.
Jetzt kann ich auch den Ping von pfSense über das LAN zum WAN ausführen.
Wenn ich die Regel deaktiviere erreiche ich das WAN nicht.
-
Ich wiederhole mich aus meinem vorherigen Post: Der NAT Screen (Outbound NAT! NICHT port forward) hat keine Regel, weil pfSense selbst Regeln intern anlegt. Außer es hat jemand unter Advanced Settings auf Routing only umgeschaltet und damit das NAT abgedreht. Wenn du diese automatisch erzeugten Regeln sehen willst, klicke auf den Advanced Button und speichere, dann werden die OUTBOUND Regeln auch angezeigt und veränderbar.
Was du da gebastelt hast ist eine crude Form von DNAT. Port forwarding ist zum Weiterleiten von EXTERNEM Traffic an INTERNE PCs gedacht. (bspw. um ein NAS intern vom Internet aus erreichbar zu machen). Die Regel da am Besten löschen und nochmal genau lesen, was ich in diesem und dem letzten Posting geschrieben habe.
Grüße
-
Was ich jetzt versucht habe:
WAN auf dhcp - > pf-IP 0.0.0.0
Ping weder intern noch extern geht
WAN IP fest 94.79.158 /30 ergo submaske 255.255.255.252 wie von provider angebeben
der Pin auf web.de
von LAN:
PING web.de ( 212.227.222.8 ) from 10.1.0.1: 56 data bytes
–- web.de ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet lossvon WAN:
PING web.de (212.227.222.9) from 94.79.157.198: 56 data bytes
64 bytes from 212.227.222.9: icmp_seq=0 ttl=52 time=19.822 ms
64 bytes from 212.227.222.9: icmp_seq=1 ttl=52 time=20.977 ms
64 bytes from 212.227.222.9: icmp_seq=2 ttl=52 time=19.399 ms
–- web.de ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 19.399/20.066/20.977/0.667 msAlso vermute ich mal, dass ich mit der pfSense schon im Internet bin, somit kann es ja kein Problem des Modems sein. Oder lieg ich da falsch?
In System: Advanced ist per default nach installation
NAT Reflection mode for port forwards -> Disabled
Enable automatic outbound NAT for Reflection -> nicht ausgewähltin Firewall: NAT: Outbound
Automatic outbound NAT rule generation -> aktiviertalle anden von mir getätigten Einträge sind wieder gelöscht.
Im Interface der WAN ist unter Private networks Block private networks und Block bogon networks ausgewählt.
-
Die LAN IP (10.1.0.1) kann ich erreichen, da liegt ja das WebGUI der pfSense, die WAN IP und auch das WAN-Gateway kann ich nicht erreichen vom Client aus.
Da würde ich ansetzen. Normalerweise solltest Du die WAN IP selbst anpingen können. Ich hab grad bei mir am WAN ICMP komplett abgeschalten. Von extern ist ping nun auch nicht mehr möglich. Intern vom Client aus an die WAN IP klappt das aber!
Das heisst, du kannst nicht nur die Geräte hinter der pfSense erreichen, sondern irgendwie nicht mal die pfSense selbst. Internet an der pfSense selbst ist ja offensichtlich da. Du hast ja auch wohl schon einige Dinge geändert. Vielleicht wäre es sauberer und schneller, das Ganze nochmals frisch aufzusetzen, dann sollte das "out of the box" funktionieren!
-
Zu:
In System: Advanced ist per default nach installation
NAT Reflection mode for port forwards -> Disabled
Enable automatic outbound NAT for Reflection -> nicht ausgewähltNiemand hat etwas von NAT reflection gesagt, das ist eine ganz andere Baustelle und hat mit NAT nichts zu tun. Das regelt lediglich den Zugriff auf weitergeleitete IPs wenn man mit PortForwardings von extern herumspielt.
in Firewall: NAT: Outbound
Automatic outbound NAT rule generation -> aktiviertGenau davon reden wir. Die Automatik ABschalten und speichern. Anschließend sollten die automatisch genutzten EInträge in der Liste darunter erscheinen und können dort dann bearbeitet werden. Das ist aber wichtig, da man daran dann erst einmal sehen kann, ob überhaupt die korrekten Einstellungen für intern erkannt worden sind, da sich bei dir Anfangs ja einige IP Bereiche überschnitten haben.
Zudem gebe ich EmL recht, es wäre wahrscheinlich einfacher, das ganze nochmal schnell frisch aufzusetzen, das WAN zu konfigurieren, das LAN auf 10.1.0.1/16 aufzulegen und ansonsten noch gar kein weiteres Interface zu konfigurieren. Erst einmal abwarten und testen.
Gruß
