Ping von außen funktioniert nicht

carlo312

Ich habe meine pfSense jetzt soweit konfiguriert, daß die Verbindung zum Internet aus dem LAN funktioniert. Jetzt versuche ich über eine Port auf das Lan zuzugreifen.
Tortz Portfreigabe über eine NAT-Regel funktioniert das nicht.

Die pfSense hängt an einer FritzBox 6360 mit fester IP, die einer Richtung ist alles ok.

Ein Ping auf meine WAN-IP von außen geht nicht. Kann ich irgendwo sehen, ob der ping bis zur pfSense kommt? In der Fritzbox sind alle Port's freigegeben (Exposed Host) da hängt ja die pfSenes dran.

P.S.: Der Zugriff über z.b. Teamviewer von außen funktioniert.

Nachtfalke

Hallo,

wenn du in der FritzBox die pfsense als "Exposed Host" eingerichtet hast, dann sollte sie auch alle Daten an das pfsense WAN interface durch lassen. Wie du das testen kannst - indem du auf dem WAN interface das logging aktivierst und schaust, ob ICMP Pakete geblockt werden. Da grundsätzlich auf der WAN Schnittstelle keinerleit Firewall Regeln zu sehen sind, bedeutet das, dass grundsätzlich alles geblockt wird - folglich auch dein ICMP ping.

Da man sich ins Internet nicht erkennbar machen möchte, ist das auch gut so, denn wenn man dich anpingen kann, weiss man,d ass es dort ein System gibt und kann anfangen, weitere Angriffsmethoden auszutesten. Willst du also pings zulassen, musst du das erlauben und eine Allow firewall Regel erstellen.

Wenn du nicht auf deinen Port bzw. Host im LAN zugreifen kannst, dann hast du entweder die NAT Regel falsch eingerichtet und/oder für die NAT Regel keine passende Firewall Regel erstellt/erstellen lassen, die den verkehr erlaubt. Normalerweise wird bei der Erstellung einer NAT Regel auch gleich eine passende Firewall Regel auf dem WAN interface angelegt. Prüfe das und logge evtl. an diese Regel, dann siehst du, ob deine externen Anfragen ankommen.

TeamViewer funktioniert anders - hierbei baut man nicht wirklich von außen nach innen eine Verbindung auf, sondern TeamViewer baut von innen eine Verbindung nach außen auf, hält somit die Firewall an diesem Port geöffnet und wartet auf Anfragen über diesen Port. TeamViewer ist "quasi" wie ein trojanisches Pferd. Deswegen auch leider so schwer zu blockieren :-(

carlo312

Hallo Nachtfalke,

ich hab e die NAT regeln eingerichtet und die dazugehörigen Rules automatisch erstellen lassen, Siehe Anhang.

Aber weder die Weiterleitung auf 801 noch die auf den Port 80 Funktioniert.
Wo kann ich das Loggen aktivieren?

Nachtfalke

Hallo.

Dein Fehler sind die source ports. Diese sind in 99.99% der fälle immer random und nicht fix. Setze diese auf any und es geht.

Logging schaltest du in der firewall regel für diese spezielle regel ein.

carlo312

Hallo Nachtfalke,

ich habe die Nat-Regeln angepasst,  leider immer noch ohne Erfolg

Im System log Steht dieser Eintrag immer noch als geblock:

WAN   Source:217.91.xxx.155:59666   Destination:94.79.xxx.198:801 TCP:S

beim Aufruf von Außen.

Nachtfalke

Deine PortForwardings sind komplett falsch. Habe ich gestern auf dem Handy nicht gesehen.

Source Adresse und Source Port sollte auf "any" stehen. Source Ports sind fast immer random und die source adresse ändern sicht ja auch meist - zum Beispiel alle 24h bei Privatanschlüssen mit 24h Trennung.

Destination Address ist das WAN interface deiner pfsense.
Destination Port ist der Port, für einen https webserver wäre zum Beispiel 443

Als Redirect-IP nimmst du die LAN Adresse des Servers in deinem LAN
Als Redirect Port nimmst du den Port auf den der Server in deinem LAN reagiert, zum Beispiel 443

Wenn du nicht möchtest, dass auf der pfsense WAN Schnittstelle und somit vom Internet der Port 443 offen ist, sondern der Port 47011 dann kannst du diesen beim Destination Port eingeben. Der Redirect Port kann dann so bleiben.
Beim Aufrufen einer Webseite (Beispiel) musst du dann allerdings https://www.meine-seite.de:47011 angeben.

Grüße

carlo312

Hallo Nachtfalke,

danke erste einmal für deine Hilfe!

Ich habe das genau so gemacht, hatte das schon gestern einmal ausprobiert. Seltsam ist nur, dass die http-Weiterleitung funktioniert und die auf den Port 801 nicht :(
Ich habe alle NAT-Regeln neu erstellt, mehrfach probiert, ohne Erfolg. Der Aufruf von intern 10.1.5.254:801 funktioniert.

Gruß Carlo

JeGr

Da man sich ins Internet nicht erkennbar machen möchte, ist das auch gut so, denn wenn man dich anpingen kann, weiss man,d ass es dort ein System gibt und kann anfangen, weitere Angriffsmethoden auszutesten. Willst du also pings zulassen, musst du das erlauben und eine Allow firewall Regel erstellen.

Sorry, den Satz muss ich noch kurz kommentieren. Alles andere war tolle Hilfe von Nachtfalke, aber der Satz ist in meinen Augen extrem überholt. Jeder vernünftige IP-Scanner kann es heute unterscheiden, ob ein Paket am Ziel schlichtweg "verschluckt" wird (wie beim Standard Block der pfSense) oder ob dort wirklich nichts antwortet. Zumal es heute kaum mehr Zeit kostet, einen Angriff auf eine IP trotzdem durchzuführen, egal ob sie antwortet oder nicht (und wenn die IP irgendwo per DNS auflösbar ist, wird sie garantiert einfach ausprobiert, egal ob die Firewall ICMP blockt). Sich "nicht erkennbar" machen via ICMP Block ist ebenso eine irrige Annahme wie der gern immer wieder aufkommende Aktionismus, WLAN SSIDs zu verstecken, damit "das WLAN sicher versteckt" ist. Funktioniert ebenfalls nicht, denn die Funksignale sind trotzdem da und können "abgehört" bzw. mitgeschnitten werden. Ebenso kann man ein Netzsegment überwachen und ausgehenden Verkehr entdecken, der hinter dem potentiell schwarzen Loch plötzlich auftaucht.

Es gibt durchaus manche Gründe warum es vielleicht Sinn macht, ICMP zu blocken, aber dem stehen genauso viele gegenüber, es zuzulassen, nicht zuletzt, weil bei einem kompletten ICMP Block auch sämtliche Statusmeldungen des Netzwerks verloren gehen. Seien dies Nachfragen nach Paket-Rentransmits, Paket Fragmentierung oder Traffic-Staus. Aber ich mag das gar nicht alles aufzählen, hier ist ein relativ junger Beitrag zu einer ähnlichen Frage bzgl. abschalten von ICMP auf dem Server, der sehr gut beantwortet wurde:

http://superuser.com/questions/572172/what-are-reasons-to-disallow-icmp-on-my-server

@Nachtfalke: Nicht böse gemeint, aber ich bin kein Fan von Security through Obscurity. Und wenn sich Leute sicher(er) fühlen, dadurch dass sie Pseudo-Sicherheitsmaßnahmen wie ICMP Block oder WLAN SSID ausschalten / MAC Filter aktivieren, kann das schonmal ins Auge gehen. Plus ich habe schon Stunden unnötig zusätzlich mit Debugging von Netzen verbraten, wo andere Admins ICMP etc. geblockt haben und man einfach nicht ordentlich analysieren konnte, ob der Service jetzt sauber von Ende zu Ende funktioniert oder nicht. Gerade bei Webdiensten lästig. :)

Grüße

Nachtfalke

@JeGr:

(…)

@Nachtfalke: Nicht böse gemeint, aber
(...)

Grüße

Kein Problem, ich komme mit begründeter Kritik sehr gut klar. IPv6 und funktionierendes ICMP kommt zu deiner Argumentation noch hinzu.

Was jetzt allerdings noch fehlte, war eine Lösungshilfe für den thread-Ersteller :-)

@carlo312
Wenn du deine Port 801 Weiterleitung und die passende Firewall-Regel analog zur Port 80 (http) Weiterleitung eingerichtet hast, dann sollte alles funktionieren - auf pfsense Seite.

Ich weiss nicht, ob der auf Port 801 lauschende Server ein Webserver ist, aber wenn, dann musst du die Anfrage auch entsprechend im Browser angeben:

http://www.mein-server.de:801
https://www.mein-server.de:801

Ansonsten nochmal als Hinweis, das logging an der 801 Firewall Regel aktivieren und schauen, ob deine Anfragen ankommen. Es müssten dann "allow" Einträge mit grünem Symbol in den Firewall Logs erscheinen. Wenn sie das nicht tun, dann stimmt etwas nicht.

Noch etwas, was mir einfältt:
Was für ein Modem/Router hast du vor der pfsense WAN Schnittstelle? Ich weiss zum Beispiel, dass man bei den FritzBoxen einen "DMZ Host" oder "Exposed Host" einrichten kann. Hier wird dann für diesen Host sämtlicher Verkehr von Internet, der an der FritzBox ankommt, an die pfsense weitergeleitet. Das brauchst du.

Bei einem Speedport hatte ich mal eine ähnliche Einstellung gesucht, diese hat aber intern doch noch ports geblockt, obwohl ich das nicht wollte.

Hier also nochmal die Einstellungen des Routers prüfen und ggfl. anpassen.

Weiterhin auch am 801 Server schauen, ob dieser eine eigene Firewall hat und Zugriffe auf Port 801 aus anderen Subnetzen als dem eigenen LAN blockiert.

JeGr

Wenn du deine Port 801 Weiterleitung und die passende Firewall-Regel analog zur Port 80 (http) Weiterleitung eingerichtet hast, dann sollte alles funktionieren - auf pfsense Seite.

Genau deshalb habe ich nichts mehr dazu geschrieben, es sollte nämlich nach dem Screenshot problemlos funktionieren - und wenn es das nicht tut, gehen mir auch die Ideen aus ;)
Sollte der Server für Port 801 ein Windows sein, könnte richtig die lokale Firewall noch böse Streiche spielen. Andernfalls könnte es ebenso sein, dass gerade 801 entweder aus duboisen Gründen vom ISP geblockt wird (so etwas gabs schonmal bei großen Viren- oder Trojanerwellen) oder im vorgeschalteten Modem selbst verbraten ist. Der Beste Weg ist aber auf alle Fälle zu schauen, ob der Zugriff an der Sense ankommt (mit dem Log-Häkchen in der Firewallregel) und weitergeleitet wird. Dann wird erseichtlich wo man suchen muss: vor der PFS oder dahinter.

Grüße

carlo312

Hallo nochmal,

danke für die Wertvollen Tipps. Da ich auch keine weitere Möglichkeit gesehen haben als hier intern ein Problem, hab ich dem Power-Lan-Server der hinter dem Port 801 steckt, kurzerhand einen anderen Port verpasst und siehe da es funktioniert!!

Danke für die Hilfe!!
Gruß Carlo