[Gelöst] kein Ping aus dem LAN



  • Hallo,

    ich bin gerade dabei, eine IPCop FW durch pfSense zu ersetzen.

    Über die Weboberfläche der pfSense kann ich überall hinpingen, aus dem LAN heraus nur in das LAN.

    Folgende Konfiguration:
    Mein Subnetz vom Provider: XX.XXX.97.40/29

    WAN Interface: XX.XXX.97.44 als (Standard-)Gateway eingetragen XX.XXX.97.41
    LAN Interface: 192.168.12.3 (kein Gateway eingetragen) -> virtuelle IP für das Interface ist 192.168.12.1

    Damit ich kein Problem mit fehlerhaften FW-Rules bekomme, habe ich "Disable all packet filtering" für die Testphase eingestellt.

    Wenn ich von der FW (über die Diagnostic) aus Pinge, komme ich überall hin. Auch die DNS-Auflösung funktioniert …

    Wenn ich vom LAN aus pinge, komme ich zwar auf alle Rechner im LAN und auf die FW (alle Interfaces) aber sonst nirgends hin. Auch nicht auf das Gateway XX.XXX.97.41

    Die Route auf dem Client im LAN stimmt:

    edgar@xxxx:~$ /sbin/route
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask        Flags Metric Ref    Use Iface
    default        192.168.12.1    0.0.0.0        UG    0      0        0 eth0
    192.168.12.0    *              255.255.255.0  U    0      0        0 eth0

    Ich bin völlig ratlos. Wenn ich die Kabel wieder zurück an die Produktiv-IPCop-Firewall stecke und mir eine neue DHCP-Lease hole, schaut die exakt gleich aus, aber ich kann keine Verbindungen aus dem LAN heraus aufbauen.

    ["Disable all packet filtering" bedeutet doch, dass mir die FW-Rules nicht in die Quere kommen können?]

    Wäre schön, wenn mir jemand aus der Patsche helfen könnte.

    Danke schonmal

    Edgar


  • Moderator

    Damit ich kein Problem mit fehlerhaften FW-Rules bekomme, habe ich "Disable all packet filtering" für die Testphase eingestellt.

    Ahoi,

    das dürfte alleine schon dein Problem sein. In der Beschreibung steht hier klar geschrieben, dass das Abschalten des Filters auch (natürlich) die NAT etc. mit abschaltet und damit hast du keine Connectivity nach außen. Eine allow all any to any Regel (default) auf dem LAN ist zu Testzwecken wesentlich sinnvoller, zumal du ansonsten auch Attacken von außen einlädst. NIEmals ein Security Device (Firewall etc.) ohne aktiven Filter ans Netz hängen! :)

    Grüße



  • Danke, das hatte ich nicht richtig gelesen/interpretiert.

    Nachdem ich die Checkbox deaktiviert habe, sind die Pings auch von den Rechnern im LAN möglich.

    Allerdings habe ich noch heftige Schwierigkeiten mit der Erstellung der Regeln, insbesondere für die Portforwardings in die DMZ.
    Gibt's da irgendwo eine Anleitung für Dumme, am Besten mit Beispielen?
    In den HowTos und den Dokus, die ich gefunden habe steht dazu aus meiner Sicht zu wenig.

    Danke für die schnelle Hilfe

    Edgar


  • Moderator

    Port Forwardings oder 1:1 NAT ist eigentlich relativ simpel und selbsterläuternd, aber vielleicht kannst du uns ja ein konkretes Beispiel geben, anhand dessen wir dich durch den Prozess führen können. Dann lichtet sich vielleicht die temporäre Verwirrung und weicht einer angenehmen Klarheit ;)

    Grüße
    Jens