Anfänger: Neuinstallation keine Verbindung zum Internet aus dem LAN



  • WAN / Internet
                :
                : Feste IP Kabel-D
                :
          .–---+-----.
          |  MODEM feste IP | 
          '-----+-----'
                |
            WAN | IP 94.79.157.198 + GW IP 94.79.157.197
                |
          .-----+-----.  priv. DMZ  .------------.
          |  pfSense  +-------------+ DMZ-Server |
          '-----+-----' 10.1.100.1 '------------'
                |
            LAN | 10.1.0.1/16
                |
          .-----+------.
          | LAN-WLAN | WLAN-Router
          '-----+------'
                |
        ...-----+------... (Clients/Servers)

    Hallo Zusammen,

    ich hab die PFsense installiert und die Grundeinstellungen getätigt. Also die WAN IP und GW sowie die DNS-Server eingetragen. Im LAN hab ich zum test den WLAN-Router weg gelassen und direkt über DHCP verbunden. Die Verbindung zum GW funktioniert, das WebGUI kann ich aufrufen, der Status von LAN und WAN ist grün. Ich komm jedoch nicht inst Internet.

    Muß ich noch irgendwo anders Einstellungen vornehmen? Der Rest steht in der Grundeinstellung.



  • Hast du denn im LAN auch einen DNS Server? (versuch mal 8.8.8.8 also den DNS von Google zu Pingen so kannst du DNS Probleme ausschließen)
    Sind Regeln auf dem Lan Interface die erlauben das du raus darfst?
    Schon mal von der PfSense direkt raus ins Internet gepingt?

    Vielleicht hilft dir das schon mal weiter.



  • Du solltest deine Subnetmaske korrekt setzen:

    10.1.0.1/16 bedeutet:
    10.1.0.0 - 10.1.255.255

    Das heisst, dein LAN interface liegt im gleichen Subnetz wie deine DMZ (10.1.100.1)
    Oder ist deine DMZ kein eigenes Interface/Subnetz ?! Dann wäre es aber auch keine DMZ ;-)

    Ansonsten gilt, unter SYSTEM –> General Setup einen DNS eintragen.
    Von der pfsense aus testen, dass du pingen kannst auf eine WAN Adresse. Also google.de und auch mal 8.8.8.8

    Und Firewall Regeln konfigurieren auf dem LAN interface, damit der traffic erlaubt ist.
    Den DNS Forwarder aktivieren in der pfsense.



  • Danke für die Infos.

    Die DMZ ist für später geplant dann mit einem anderen Netz  :) (z.b. 10.2.1.1)

    Der DNS ist unter SYSTEM –> General Setup eingetragen, den Ping werde ich heute Abend mal Testen.

    Welche Firewall regeln muss ich eintragen, bin da ein echter Newbie?
    Wie muss ich die FW einstellen, damit ich die DMZ vom LAN erreichen kann?




  • Die Firewall-Regeln werden von oben nach unten abgearbeitet. Die Regel, die zuerst auf den Traffic passt, wird angewandt. Alle nachfolgenden Regeln werden dann verworfen.

    Die Regeln gelten immer für ausgehenden Traffic auf dem jeweiligen Interface. Das bedeutet, wenn du Traffic von Geräten aus dem LAN reglementieren willst, dann musst du die Regeln auf diesem Interface konfigurieren. Wenn du vom LAN den Zugriff auf die DMZ sperren willst, musst du unter LAN eine block Regeln mit Ziel DMZ eintragen.

    Willst du aus der DMZ Traffic ins LAN blocken, musst du an der DMZ die Regel eintragen.

    Deine im Bild gesehene Regel erlaubt sämtlichen Traffic aus dem LAN überall hin auf alle Ports.



  • Ich hab jetzt mal den Ping aus dem System versucht, ohne Erfolg :(

    Mein DNS und WAN-Einstellungen hab ich mal unten angehangen.
    Hab ich noch einen Schalter vergessen??








  • Mir ist deine Grafik nicht ganz klar. Ich kenne kein Kabel environment. Wie ist die "Feste IP Kabel D"? Wo liegt die an? Am Modem hast Du dann wieder eine IP … welche? Ist das Modem wirklich nur Modem? Ist die "Feste IP Kabel D" die 94.56.100.15 ... die da als GW steht? In deinem Screenshot ist als WAN 94.69.157.198 mit GW 94.69.157.197 zu sehen ...

    Fakt ist, dass Du von der pfSense aus dein WAN Interface so konfigurieren musst, dass Du dort eine IP hast aus dem gleichen Subnetz wie die IP des nächsten Routers Richtung Internet. Den nächsten Router trägst Du dann als Gateway ein. Hast Du nicht irgendwelche Informationen von Kabel D was dort eingetragen werden muss?

    Ansonsten versuch mal erst alles nur mit IPs. Lass auch erst mal die DMZ weg. DNS kannst Du später machen. Wenn auf IP Ebene alles läuft, hast Du schon fast gewonnen.

    Ping also erst mal das nächstmögliche Gerät Richtung WAN von der pfSense direkt an, dann das übernächste und so weiter. Scheitert es schon am ersten, stimmt irgendwas mit deiner WAN Konfiguration nicht. So kannst du erst mal lokalisieren wo es hängt.



  • Oben im Schema steht nur eine Muster IP.

    Das Modem  ist ein FRITZ!Box 6360 Cable mit einer festen IP. Die Box als Gatway die 94.79.157.197 und die pfSense die 94.79.157.198 mit der Subnetzmaske 255.255.252 .

    Wenn ich den WLAN-Router direkt anschieße mit diesen Einstellungen hab ich ja kein Problem.
    Ich kann von der pfSense das GW aus dem LAN nicht anpingen.

    Ping auf die  94.79.157.198 / 197:

    WAN
    –- 94.79.157.198 ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 0.101/0.150/0.232/0.059 ms

    --- 94.79.157.197 ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 0.361/0.414/0.495/0.058 ms

    LAN:
    PING 94.79.157.197 (94.79.157.197) from 10.1.0.1: 56 data bytes

    --- 94.79.157.197 ping statistics ---
    3 packets transmitted, 0 packets received, 100.0% packet loss

    Der Ping aus dem WAN funktioniert schon mal, aus dem LAN jedoch nicht. Ich hab an dem LAN-Port auch erstmal nur einen Rechner mit DHCP angeschlossen. Der Rest ist ersteimal egal.



  • Kannst Du aus dem LAN vom Client die pfSense LAN IP anpingen?
    Geht das auch mit der WAN IP der pfSense selbst (also wohl 94.79.157.198) vom Client aus?



  • Die LAN IP (10.1.0.1) kann ich erreichen, da liegt ja das WebGUI der pfSense, die WAN IP und auch das WAN-Gateway kann ich nicht erreichen vom Client aus.



  • Kannst du das WAN interface nicht einfach auf DHCP stellen?
    Dann bekommst du DNS, Gateway und IP und Maske.

    Wenn das Modem die öffentliche IP weiter gibt, bekommst du diese auch. Wenn nicht, bekommst du eine LAN IP vom Modem und dann kennst du dein problem schon.



  • Ich glaub mal nicht, das es am WAN liegt, ich komm ja von WAN aus ins Netz.
    Die Einstellungen sind identisch mit denen aus meinen alten Router. Irgendwie klappt das mit der WAN-LAN-Verbindung nicht.
    Der Ping aus dem WebGUI über die WAN-Schnittstelle funktioniert ja ins Internet.


  • Moderator

    Ich kenne die Umgebung von KabelD jetzt nicht im Detail, aber selbst wenn man eine feste IP bspw. bei KabelBW / Unitymedia bekommt, wird diese vom Provider immer noch per DHCP an die angeschlossene Box übergeben. Da die FB Cable aber selbst ein vollständiger Router ist, kann es durchaus sein, dass im WAN Segment dein Problem liegt. Die FB hat allerdings auch einen Modus für transparenten Modem-Betrieb. Wenn dieser aktiviert ist (das weiß keiner außer dir), dann wird die IP direkt an die pfSense vergeben. Deshalb ist der Rat, die pfSense mal auf DHCP zu stellen durchaus korrekt. Bekommt sie keine IP vom Modem oder eine private Adresse von der FB ist das Problem klar.

    Wenn du von KabelD allerdings Anweisungen hast, dass bspw. die FB transparent läuft und dir garantiert die IP XY zugewiesen wird, können wir an der pfSense weitersuchen. Aber momentan sieht mir das ebenso nach einem Konfig-Problem im WAN zwischen FB und pfSense aus. Und dabei ist es ersteinmal nebensächlich, ob der WLAN Router das vielleicht OK macht oder nicht, bitte erstmal Stück für Stück klären :)

    Das nächste wäre dann die Einstellung der anderen pfSense Interfaces, die Regeln und vor allem die NAT, die ausgehend definiert ist.

    Gruß



  • Also ich bekomm definitiv die o.a. IP's mit der Subnetzmaske zugewiesen. Ich kann ja auch aus der pfSense-Weboberflächen über das WAN-Interface z.b. Google oder anderen Adressen Pingen, da nehm' ich mal an, dass WAN-Seitig alles ok ist oder liege ich da so falsch?

    Aber Stichwort NAT, da hab ich noch nichts eingerichtet. Gibt es da Beispiele, wie man das am Besten macht?


  • Moderator

    NAT wird eigentlich standardmäßig von LAN->WAN immer eingerichtet. Deshalb der Schalter auf automatisch. Stellt man ihn auf manuell, sollten die geltenden Regeln angelegt werden damit sie editierbar sind.



  • Ich habe jetzt einmal unter NAT -> Port Forward eine Regel eingestellt:

    LAN -  TCP -  src adr * -  src. port * - Dest. addr. WAN net - Dest. port 80(http) -  NAT IP: 10.1.0.1  - eingerichtet.

    Jetzt kann ich auch den Ping von pfSense über das LAN zum WAN ausführen.

    Wenn ich die Regel deaktiviere erreiche ich das WAN nicht.


  • Moderator

    Ich wiederhole mich aus meinem vorherigen Post: Der NAT Screen (Outbound NAT! NICHT port forward) hat keine Regel, weil pfSense selbst Regeln intern anlegt. Außer es hat jemand unter Advanced Settings auf Routing only umgeschaltet und damit das NAT abgedreht. Wenn du diese automatisch erzeugten Regeln sehen willst, klicke auf den Advanced Button und speichere, dann werden die OUTBOUND Regeln auch angezeigt und veränderbar.

    Was du da gebastelt hast ist eine crude Form von DNAT. Port forwarding ist zum Weiterleiten von EXTERNEM Traffic an INTERNE PCs gedacht. (bspw. um ein NAS intern vom Internet aus erreichbar zu machen). Die Regel da am Besten löschen und nochmal genau lesen, was ich in diesem und dem letzten Posting geschrieben habe.

    Grüße



  • Was ich jetzt versucht habe:

    WAN auf dhcp - > pf-IP 0.0.0.0

    Ping weder intern noch extern geht

    WAN IP fest 94.79.158 /30 ergo submaske 255.255.255.252 wie von provider angebeben

    der Pin auf web.de

    von LAN:
    PING web.de ( 212.227.222.8 ) from 10.1.0.1: 56 data bytes
    –- web.de ping statistics ---
    3 packets transmitted, 0 packets received, 100.0% packet loss

    von WAN:

    PING web.de (212.227.222.9) from 94.79.157.198: 56 data bytes
    64 bytes from 212.227.222.9: icmp_seq=0 ttl=52 time=19.822 ms
    64 bytes from 212.227.222.9: icmp_seq=1 ttl=52 time=20.977 ms
    64 bytes from 212.227.222.9: icmp_seq=2 ttl=52 time=19.399 ms
    –- web.de ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 19.399/20.066/20.977/0.667 ms

    Also vermute ich mal, dass ich mit der pfSense schon im Internet bin, somit kann es ja kein Problem des Modems sein. Oder lieg ich da falsch?

    In System: Advanced ist per default nach installation
    NAT Reflection mode for port forwards -> Disabled
    Enable automatic outbound NAT for Reflection -> nicht ausgewählt

    in Firewall: NAT: Outbound
    Automatic outbound NAT rule generation -> aktiviert

    alle anden von mir getätigten Einträge sind wieder gelöscht.

    Im Interface der WAN ist unter Private networks Block private networks und Block bogon networks ausgewählt.



  • @carlo312:

    Die LAN IP (10.1.0.1) kann ich erreichen, da liegt ja das WebGUI der pfSense, die WAN IP und auch das WAN-Gateway kann ich nicht erreichen vom Client aus.

    Da würde ich ansetzen. Normalerweise solltest Du die WAN IP selbst anpingen können. Ich hab grad bei mir am WAN ICMP komplett abgeschalten. Von extern ist ping nun auch nicht mehr möglich. Intern vom Client aus an die WAN IP klappt das aber!

    Das heisst, du kannst nicht nur die Geräte hinter der pfSense erreichen, sondern irgendwie nicht mal die pfSense selbst. Internet an der pfSense selbst ist ja offensichtlich da. Du hast ja auch wohl schon einige Dinge geändert. Vielleicht wäre es sauberer und schneller, das Ganze nochmals frisch aufzusetzen, dann sollte das "out of the box" funktionieren!


  • Moderator

    Zu:

    In System: Advanced ist per default nach installation
    NAT Reflection mode for port forwards -> Disabled
    Enable automatic outbound NAT for Reflection -> nicht ausgewählt

    Niemand hat etwas von NAT reflection gesagt, das ist eine ganz andere Baustelle und hat mit NAT nichts zu tun. Das regelt lediglich den Zugriff auf weitergeleitete IPs wenn man mit PortForwardings von extern herumspielt.

    in Firewall: NAT: Outbound
    Automatic outbound NAT rule generation -> aktiviert

    Genau davon reden wir. Die Automatik ABschalten und speichern. Anschließend sollten die automatisch genutzten EInträge in der Liste darunter erscheinen und können dort dann bearbeitet werden. Das ist aber wichtig, da man daran dann erst einmal sehen kann, ob überhaupt die korrekten Einstellungen für intern erkannt worden sind, da sich bei dir Anfangs ja einige IP Bereiche überschnitten haben.

    Zudem gebe ich EmL recht, es wäre wahrscheinlich einfacher, das ganze nochmal schnell frisch aufzusetzen, das WAN zu konfigurieren, das LAN auf 10.1.0.1/16 aufzulegen und ansonsten noch gar kein weiteres Interface zu konfigurieren. Erst einmal abwarten und testen.

    Gruß



  • Ich bin ja nicht ganz Beratungsresitent, so hab ich das Sytem noch einmal komplett neu installiert.

    Danke für die Geduld, die ersten 5 Versuchen waren nicht so Erfolgreich.

    Jetzt komm ich mit meinem Cient ins Internet so wie es soll und euch mein WLAN über ein Switch angeschlossen tut eine Arbeit.

    Jetzt möchte ich aus dem Internet über eine definierten Port auf ein Gerät mit einer LAN-IP zugreifen. An welcher stelle muss ich jetzt die Firewall einstellen, damit nicht wieder alles offen ist? Bsp. ich möchte über Port  606 auf die IP 10.1.3.254:606 zugreifen.

    Und noch eine Frage als Ergänzung: Ich habe jetzt DHCP auf dem LAN aktiviert und der WLAN macht ebenfalls DHCP (ich hab darauf geachtet, das die IP-Ranges sich nicht überschneiden). Íst das richtig so?



  • @carlo312:

    Ich bin ja nicht ganz Beratungsresitent, so hab ich das Sytem noch einmal komplett neu installiert.

    Danke für die Geduld, die ersten 5 Versuchen waren nicht so Erfolgreich.

    Jetzt komm ich mit meinem Cient ins Internet so wie es soll und euch mein WLAN über ein Switch angeschlossen tut eine Arbeit.

    Jetzt möchte ich aus dem Internet über eine definierten Port auf ein Gerät mit einer LAN-IP zugreifen. An welcher stelle muss ich jetzt die Firewall einstellen, damit nicht wieder alles offen ist? Bsp. ich möchte über Port  606 auf die IP 10.1.3.254:606 zugreifen.

    Und noch eine Frage als Ergänzung: Ich habe jetzt DHCP auf dem LAN aktiviert und der WLAN macht ebenfalls DHCP (ich hab darauf geachtet, das die IP-Ranges sich nicht überschneiden). Íst das richtig so?

    Portweiterleitung richtest du ein unter:
    Firewall –> NAT
    Dort erstellst du deine passende Portweiterleitung mit deinen Wunschports und am Ende der Konfigurationsseite gibt es den Punkt "Create associated Firewall rule". Dann wird dir die passende Firewall Regel zu der NAT Regel erstellt und du musst sie ggfl. nur noch in die richtige Reihenfolge bringen, wenn du noch andere WAN Regeln hast.

    DHCP:
    Du kannst es so machen, wie du es gemahct hast, also verschiedene Ranges. Ich würde aber sagen, schalte den DHCP am WLAN Router aus und nutze nur die pfsense als DHCP. Dann hast du alles auf einem Gerät und kannst auch intern die Namensauflösung nutzen. Du kannst es natürlich auch genau andersherum machen, was ich persönlich aber nicht empfehle ;)


  • Moderator

    Zu DHCP: Wenn der WLAN AP mit LAN auf dem gleichen Interface liegt (also der WiFi AP hängt am Switch mit PCs im LAN), dann MUSS! auf jeden Fall der DHCP aus. Es kann in einem Netzsegment nur einen DHCP Server geben, der auf discover Pakete antwortet. Wenn ein anderer DHCP Server da noch mit rumfunkt, antwortet im dümmsten Fall mal der WLAN AP, mal die pfSense auf die Anfragen. Das geht schief.

    Wenn der WiFi an einem eigenen Interface der pfSense hängt, muss einer von beiden eingestellt werden. Dann ist es egal welcher. Aber zwei DHCP im gleichen Netzabschnitt gehen nicht! Ganz egal ob sich die Ranges überschneiden. Ein DHCP Client schickt udp/67 Pakete per Broadcast ins Netz um eine IP zu bekommen. Da er broadcastet, sieht das jeder im gleichen Netzsegment und jeder kann drauf antworten. Deshalb darf es nur einen geben, der das ganze regelt.

    Grüße



  • Danke nochmal für die Hilfe!

    Intern hab ich das jetzt soweit wie ich das wollte. Von Extern komm ich noch nicht an meine IP.
    Die NAT-Regel für den Port habe ich eingerichtet, ist auch bei den Rules zu sehen. Aber bis jetzt ohne Erfolg.
    Später will ich einen php-Server laufen lassen, der dann auch von Extern erreichbar sein soll. Stell ich den in die DMZ?

    Das mit dem 2. DHCP werde ich nochmal Testen, ob die WLAN-Clienst dann auch die richtigen IP:s bekommen.



  • @JeGr:

    Zu DHCP: Wenn der WLAN AP mit LAN auf dem gleichen Interface liegt (also der WiFi AP hängt am Switch mit PCs im LAN), dann MUSS! auf jeden Fall der DHCP aus. Es kann in einem Netzsegment nur einen DHCP Server geben, der auf discover Pakete antwortet. Wenn ein anderer DHCP Server da noch mit rumfunkt, antwortet im dümmsten Fall mal der WLAN AP, mal die pfSense auf die Anfragen. Das geht schief.

    Wenn der WiFi an einem eigenen Interface der pfSense hängt, muss einer von beiden eingestellt werden. Dann ist es egal welcher. Aber zwei DHCP im gleichen Netzabschnitt gehen nicht! Ganz egal ob sich die Ranges überschneiden. Ein DHCP Client schickt udp/67 Pakete per Broadcast ins Netz um eine IP zu bekommen. Da er broadcastet, sieht das jeder im gleichen Netzsegment und jeder kann drauf antworten. Deshalb darf es nur einen geben, der das ganze regelt.

    Grüße

    Das ist so leider nicht ganz richtig.

    Wichtig ist erstmal, dass sich die ranges nicht überschneiden und es somit keine doppelten IP Adressen im Netz gibt und somit keinen Adresskonflikt.

    Es ist richtig, dass die erste Anfrage per Broadcast geschieht, diesen Broadcast erreicht beide DHCP Server. Die Antworten der DHCP Server kommen aber unterschiedlich beim Client an. Der DHCP Server, der zuerst den OFFER sendet wird normalerweise vom Client verwendet, der OFFER der später eintrifft verworfen bzw. ignoriert.

    Der restliche Verkehr läuft als UNICAST ab zwischen dem client und einem DHCP server. Zur erneuerung der DHCP Lease fragt der Client auch nur per Unicast den DHCP Server an, von dem er bereits die IP hat.

    Es kann also nichts passieren. Im schlimmsten Fall bekommt ein Client einmal eine IP von DHCP-1 und am nächsten Tag nach einem Neustart eine IP von DHCP-2. Funktionieren tut das - aber es ist nicht der Königsweg.

    @carlo312:

    Danke nochmal für die Hilfe!

    Intern hab ich das jetzt soweit wie ich das wollte. Von Extern komm ich noch nicht an meine IP.
    Die NAT-Regel für den Port habe ich eingerichtet, ist auch bei den Rules zu sehen. Aber bis jetzt ohne Erfolg.
    Später will ich einen php-Server laufen lassen, der dann auch von Extern erreichbar sein soll. Stell ich den in die DMZ?

    Das mit dem 2. DHCP werde ich nochmal Testen, ob die WLAN-Clienst dann auch die richtigen IP:s bekommen.

    In die DMZ gehört eigentlich alles, worauf man von aus dem Internet zugreifen soll/kann. Das Sicherheitskonzept dahin bedingt, dass man die Firewall Funktionalität versteht:

    Internet–---FW1-----DMZ----FW2----LAN

    Man möchte ja verhindern, dass jemand aus dem Internet auf das LAN zugreifen kann, sondern nur auf die Rechner in der DMZ.

    Deswegen erstellt man an der FW1 eine Regel, die den Zugriff aus dem Internet in die Rechner der DMZ erlaubt, aber eben nicht ins LAN, denn das verhindert die FW2, die Zugriffe, die aus dem Internet kommen, blockiert.

    Somit stellt man also Webserver und E-Mailserver in die DMZ.



  • OK, das mit dem Server muß ich mir nochmal näher ansehen. Beim Test mit dem DHCP bin ich aber auch einen anderes Problem gestoßen.

    Mein Netzwerk ist jetzt folgendermaßen aufgebaut:

    WAN->pdSense -> Switch -> Clients / Drucker 10.1.0.x /255.255.0.0
                                              -> WLAN-Router -> Clients  10.1.5.x/255.255.0.0

    Die Clients aus dem WLAN können nicht auf den Drucker und die Laufwerke der direckt am Switch hängenden Clints zugreifen. Der Router ist ein Buffalo WZR-HP.
    Hat da jemand eine Idee wie ich das bewerkstelligen kann?