Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Anfänger: Neuinstallation keine Verbindung zum Internet aus dem LAN

    Deutsch
    5
    26
    5.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      carlo312
      last edited by

      Ich bin ja nicht ganz Beratungsresitent, so hab ich das Sytem noch einmal komplett neu installiert.

      Danke für die Geduld, die ersten 5 Versuchen waren nicht so Erfolgreich.

      Jetzt komm ich mit meinem Cient ins Internet so wie es soll und euch mein WLAN über ein Switch angeschlossen tut eine Arbeit.

      Jetzt möchte ich aus dem Internet über eine definierten Port auf ein Gerät mit einer LAN-IP zugreifen. An welcher stelle muss ich jetzt die Firewall einstellen, damit nicht wieder alles offen ist? Bsp. ich möchte über Port  606 auf die IP 10.1.3.254:606 zugreifen.

      Und noch eine Frage als Ergänzung: Ich habe jetzt DHCP auf dem LAN aktiviert und der WLAN macht ebenfalls DHCP (ich hab darauf geachtet, das die IP-Ranges sich nicht überschneiden). Íst das richtig so?

      1 Reply Last reply Reply Quote 0
      • N
        Nachtfalke
        last edited by

        @carlo312:

        Ich bin ja nicht ganz Beratungsresitent, so hab ich das Sytem noch einmal komplett neu installiert.

        Danke für die Geduld, die ersten 5 Versuchen waren nicht so Erfolgreich.

        Jetzt komm ich mit meinem Cient ins Internet so wie es soll und euch mein WLAN über ein Switch angeschlossen tut eine Arbeit.

        Jetzt möchte ich aus dem Internet über eine definierten Port auf ein Gerät mit einer LAN-IP zugreifen. An welcher stelle muss ich jetzt die Firewall einstellen, damit nicht wieder alles offen ist? Bsp. ich möchte über Port  606 auf die IP 10.1.3.254:606 zugreifen.

        Und noch eine Frage als Ergänzung: Ich habe jetzt DHCP auf dem LAN aktiviert und der WLAN macht ebenfalls DHCP (ich hab darauf geachtet, das die IP-Ranges sich nicht überschneiden). Íst das richtig so?

        Portweiterleitung richtest du ein unter:
        Firewall –> NAT
        Dort erstellst du deine passende Portweiterleitung mit deinen Wunschports und am Ende der Konfigurationsseite gibt es den Punkt "Create associated Firewall rule". Dann wird dir die passende Firewall Regel zu der NAT Regel erstellt und du musst sie ggfl. nur noch in die richtige Reihenfolge bringen, wenn du noch andere WAN Regeln hast.

        DHCP:
        Du kannst es so machen, wie du es gemahct hast, also verschiedene Ranges. Ich würde aber sagen, schalte den DHCP am WLAN Router aus und nutze nur die pfsense als DHCP. Dann hast du alles auf einem Gerät und kannst auch intern die Namensauflösung nutzen. Du kannst es natürlich auch genau andersherum machen, was ich persönlich aber nicht empfehle ;)

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Zu DHCP: Wenn der WLAN AP mit LAN auf dem gleichen Interface liegt (also der WiFi AP hängt am Switch mit PCs im LAN), dann MUSS! auf jeden Fall der DHCP aus. Es kann in einem Netzsegment nur einen DHCP Server geben, der auf discover Pakete antwortet. Wenn ein anderer DHCP Server da noch mit rumfunkt, antwortet im dümmsten Fall mal der WLAN AP, mal die pfSense auf die Anfragen. Das geht schief.

          Wenn der WiFi an einem eigenen Interface der pfSense hängt, muss einer von beiden eingestellt werden. Dann ist es egal welcher. Aber zwei DHCP im gleichen Netzabschnitt gehen nicht! Ganz egal ob sich die Ranges überschneiden. Ein DHCP Client schickt udp/67 Pakete per Broadcast ins Netz um eine IP zu bekommen. Da er broadcastet, sieht das jeder im gleichen Netzsegment und jeder kann drauf antworten. Deshalb darf es nur einen geben, der das ganze regelt.

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • C
            carlo312
            last edited by

            Danke nochmal für die Hilfe!

            Intern hab ich das jetzt soweit wie ich das wollte. Von Extern komm ich noch nicht an meine IP.
            Die NAT-Regel für den Port habe ich eingerichtet, ist auch bei den Rules zu sehen. Aber bis jetzt ohne Erfolg.
            Später will ich einen php-Server laufen lassen, der dann auch von Extern erreichbar sein soll. Stell ich den in die DMZ?

            Das mit dem 2. DHCP werde ich nochmal Testen, ob die WLAN-Clienst dann auch die richtigen IP:s bekommen.

            1 Reply Last reply Reply Quote 0
            • N
              Nachtfalke
              last edited by

              @JeGr:

              Zu DHCP: Wenn der WLAN AP mit LAN auf dem gleichen Interface liegt (also der WiFi AP hängt am Switch mit PCs im LAN), dann MUSS! auf jeden Fall der DHCP aus. Es kann in einem Netzsegment nur einen DHCP Server geben, der auf discover Pakete antwortet. Wenn ein anderer DHCP Server da noch mit rumfunkt, antwortet im dümmsten Fall mal der WLAN AP, mal die pfSense auf die Anfragen. Das geht schief.

              Wenn der WiFi an einem eigenen Interface der pfSense hängt, muss einer von beiden eingestellt werden. Dann ist es egal welcher. Aber zwei DHCP im gleichen Netzabschnitt gehen nicht! Ganz egal ob sich die Ranges überschneiden. Ein DHCP Client schickt udp/67 Pakete per Broadcast ins Netz um eine IP zu bekommen. Da er broadcastet, sieht das jeder im gleichen Netzsegment und jeder kann drauf antworten. Deshalb darf es nur einen geben, der das ganze regelt.

              Grüße

              Das ist so leider nicht ganz richtig.

              Wichtig ist erstmal, dass sich die ranges nicht überschneiden und es somit keine doppelten IP Adressen im Netz gibt und somit keinen Adresskonflikt.

              Es ist richtig, dass die erste Anfrage per Broadcast geschieht, diesen Broadcast erreicht beide DHCP Server. Die Antworten der DHCP Server kommen aber unterschiedlich beim Client an. Der DHCP Server, der zuerst den OFFER sendet wird normalerweise vom Client verwendet, der OFFER der später eintrifft verworfen bzw. ignoriert.

              Der restliche Verkehr läuft als UNICAST ab zwischen dem client und einem DHCP server. Zur erneuerung der DHCP Lease fragt der Client auch nur per Unicast den DHCP Server an, von dem er bereits die IP hat.

              Es kann also nichts passieren. Im schlimmsten Fall bekommt ein Client einmal eine IP von DHCP-1 und am nächsten Tag nach einem Neustart eine IP von DHCP-2. Funktionieren tut das - aber es ist nicht der Königsweg.

              @carlo312:

              Danke nochmal für die Hilfe!

              Intern hab ich das jetzt soweit wie ich das wollte. Von Extern komm ich noch nicht an meine IP.
              Die NAT-Regel für den Port habe ich eingerichtet, ist auch bei den Rules zu sehen. Aber bis jetzt ohne Erfolg.
              Später will ich einen php-Server laufen lassen, der dann auch von Extern erreichbar sein soll. Stell ich den in die DMZ?

              Das mit dem 2. DHCP werde ich nochmal Testen, ob die WLAN-Clienst dann auch die richtigen IP:s bekommen.

              In die DMZ gehört eigentlich alles, worauf man von aus dem Internet zugreifen soll/kann. Das Sicherheitskonzept dahin bedingt, dass man die Firewall Funktionalität versteht:

              Internet–---FW1-----DMZ----FW2----LAN

              Man möchte ja verhindern, dass jemand aus dem Internet auf das LAN zugreifen kann, sondern nur auf die Rechner in der DMZ.

              Deswegen erstellt man an der FW1 eine Regel, die den Zugriff aus dem Internet in die Rechner der DMZ erlaubt, aber eben nicht ins LAN, denn das verhindert die FW2, die Zugriffe, die aus dem Internet kommen, blockiert.

              Somit stellt man also Webserver und E-Mailserver in die DMZ.

              1 Reply Last reply Reply Quote 0
              • C
                carlo312
                last edited by

                OK, das mit dem Server muß ich mir nochmal näher ansehen. Beim Test mit dem DHCP bin ich aber auch einen anderes Problem gestoßen.

                Mein Netzwerk ist jetzt folgendermaßen aufgebaut:

                WAN->pdSense -> Switch -> Clients / Drucker 10.1.0.x /255.255.0.0
                                                          -> WLAN-Router -> Clients  10.1.5.x/255.255.0.0

                Die Clients aus dem WLAN können nicht auf den Drucker und die Laufwerke der direckt am Switch hängenden Clints zugreifen. Der Router ist ein Buffalo WZR-HP.
                Hat da jemand eine Idee wie ich das bewerkstelligen kann?

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.