Anfänger braucht Hilfe bei Basiskonfiguration von NAT

9pi

Hallo allerseits,
ich habe schon viel im Forum gelesen, diverse How-To Anleitungen versucht nachzubauen und und und.
Nur leider scheitere ich schon an den einfachsten Dingen. :-(
Ich möchte das folgende Setup aufbauen:

• FritzBox 7170 (192.168.178.1) inkl. DHCP
• pfSense mit WAN (DHCP) 192.168.178.29  (WAN hängt an FritzBox und bekommt IP)
• pfSense mit LAN 192.168.1.1    (LAN hängt an PC und vergibt erfolgreich IP 192.168.1.100 an PC)
• pfSense mit WAP 192.168.2.1  (Wireless Access Point hängt an OPT1 und vergibt erfolgreich IP 192.168.2.x an Endgeräte)

Wenn ich mich jetzt mit einem WLAN connecte kann ich

• eine IP Adresse beziehen und auch über die DHCP Leases sehen aber
• nicht auf das Netzwerk zugreifen und ebenfalls
• nicht auf das Internet zugreifen
• nicht auf die pfSense Admin Oberfläche zugreifen,
• nicht auf die FritzBox, aber
• auf das Web-Interface des WAP komme ich drauf

Wenn ich mich per LAN vom PC aus connecte kann ich

• auf die pfSense Admin Oberfläche zugreifen und
• auf die FritzBox, aber
• kein Internet nutzen.

Was muss ich tun? Ich habe schon erfolglos mit den Bridge-Einstellungen rumgespielt.
Ich habe weiterhin versucht, die NAT-Einstellungen zu konfigurieren - leider auch erfolglos.
Ich habe mit statischen Routen experimentiert - ebenfalls erfolglos.
Vielleicht hat das ein oder andere mal nur eine Klick oder ein Eintrag an der richtigen Stelle gefehlt, aber zur Zeit bin ich ratlost.
Bin für jeden Tipp dankbar und liefere gern noch fehlende Informationen nach.

Vielen Dank für eure Hilfe!

Hier meine derzeitigen NAT-Einstellungen:


peterhart

Hallo,
ich sehe noch nicht so richtig bei Deinen Angaben durch.

So verstehe ich das:

1. Deine FritzBox soll den Internetzugang bereitstellen? Dann ist das Dein NAT Router!
2. Dann brauchst Du auf der pfSense keinerlei NAT, sondern nur die reinen Routingfunktionen.
3. Die Schnittstellen (WAN, LAN, WLAN) an der pfSense solltest Du mit statischen IP-Adressen belegen.
4. Auf jeder Schnittstelle der pfSense solltest Du zunächst testweise eine FW Rule mit "any" erstellen.
5. Auf den Schnittstellen musst Du die Hacken von "Block private Networks" und "Block bogon Networks" entfernen.

Wichtig ist, dass Du aus jedem NW (WAN, LAN, WLAN) zunächst das GW (statische IP) erreichst und die pfsense
den Traffic sauber routet.
Dann können wir uns mit dem Internet beschäftigen.

Gruß
Peter

9pi

Hi Peter,
vielen Dank für die schnelle Antwort!
Ja, die FritzBox soll das Internet bereitstellen. Brauche/Verwende ich dann gar kein NAT auf der pfSense?

Die Schnittstellen haben feste IP-Adressen:
WAN: 192.168.178.29 -> IP-Adresse über DHCP von Fritzbox zugewiesen bekommen
LAN: 192.168.1.1
WLAN: 192.168.2.1

Die beiden Haken "Block private Networks" und "Block bogon Networks" habe ich auf jeder Schnittstelle entfernt.

Für IPv4 und IPv6 habe ich * Rules standardmäßig eingetragen gehabt.

Mein Gateway ist die FritzBox unter 192.168.178.1.
Das kann ich auch von WAN, LAN, WLAN anpingen.

Vielen Dank für Deine weitere Unterstützung!

Gruß,
Christian

peterhart

Hallo Christian,
die Fritzbox ist Dein NAT Router zum WWW.
Die pfSense braucht kein NAT, sie arbeitet als reiner Router.
Du solltest auf der pfSense grundsätzlich feste IP's für die Schnittstellen verwenden und nicht per DHCP zugewiesen bekommen.
Router, Server und dergleichen beziehen i. d. R. keine IP's per DHCP (Ausnahmen gibt's aber immer -> siehe Deine Fritzbox auf der WAN Schnittstelle).
Du solltest Dir hierfür ein Schema ausdenken.
Ich verwende z. B. die X.X.X.1 Adresse für Server und die X.X.X.254 für die Schnittstellen am Router.
Das ist nur ein Vorschlag von mir und erleichtert die Konfiguration und ggf. Fehlersuche erheblich!

Wenn Du dann aus allen Netzwerken Deine Fritzbox auf der LAN Seite erreichst (so wie Du ja geschrieben hast) bist Du auf dem richtigen Weg.
Falls Du nicht weiter weißt dann schreibe es.

Noch eine Anmerkung zur Richtigstellung:
Ein Gateway ist die Schnittstelle der FritzBox (192.168.178.1) nur für das NW 192.168.178.0/24 aus Sicht der pfSense.
Die anderen Netzwerke haben andere (ihre eigenen) Gateways.

Gruß
Peter

JeGr

Ahoi,

da kann ich Peter nicht ganz zustimmen. Theoretisch bräuchte die pfSense kein NAT zu machen. Das ist wahr. Praktisch öffnet das aber eine andere Büchse der Pandora, was man nicht unbedingt möchte, denn wenn die FB ein ihr fremdes Netz nach draußen NATten soll kann es durchaus Probleme geben. Zudem macht es keinen großen Unterschied, ob nun abgehend einmal oder zweimal eine NAT mit einschlägt (schön ist es so oder so nicht, aber das sind Zwangsrouter auch nicht).

Ich würde deshalb so konfigurieren:

• FritzBox macht DHCP erst ab IPs >.20 soweit ich mich entsinne. Ergo würde ich die pfSense auf die 192.168.178.2 STATISCH konfigurieren. KEIN DHCP! Das gibt nur Probleme.
• In der FritzBox dann einen exposed Host konfigurieren (Port Weiterleitung, alle Ports, auf die IP .2 der pfSense)
• pfSense auf WAN konfigurieren mit 192.168.178.2
• NAT auf advanced outbound schalten, damit Regeln sichtbar sind
• Intern ein anderes Netz nutzen (10.x, 172.16.x, 192.168.x - was immer gewünscht, hauptsache NICHT 192.168.178.x). Hier dann wie gewünscht DHCP o.ä. für Endgeräte einrichten.

Vorteil: So konfiguriert ist auch ein Ausfall der Fritzbox kein Problem, da man außer den DSL Daten (oder Kabel) so gut wie nichts einrichten muss (Port Weiterleitung / exposed Host natürlich, wenn man Weiterleitungen an der pfSense machen möchte oder ein VPN nutzen will) und nach einem Reset der Box dann erstmal der Grund-Internetzugang wieder funktioniert ohne etwas zu verändern.

Über diese Variante nutze ich die pfSense hinter einer Kabel-Fritzbox problemlos und mit annähernd allen Features.

Grüße

peterhart

Hallo,
ja natürlich kann man es auch anders machen und Wege gibt es viele.
Die FB hat m. M. n. keine Probleme, wenn hinter ihr ein Router (oder mehrere) ohne NAT ankommen.
Ähnliche Konstrukte habe ich schon oft gesehen und auch konfiguriert.

So oder so, es funktionieren sicher beide Varianten.
Und der Vorschlag mit dem NAT auf der pfSense ist nicht von der Hand zu weisen.

Wichtig ist, dass Christian erst einmal eine funktionierende Grundkonfiguration aufbaut.
Wenn das Routing sauber funktioniert und der Zugang zum WWW steht, kann man dann
weiter in Details gehen :-))

Gruß
Peter

9pi

Hallo ihr beiden,
vielen Dank für eure hilfreichen Tipps. Ich werde diese versuchen, in dieser Woche umzusetzen.
Ich melde mich dann (sicherlich!) wieder mit meinen Folgefragen  :-)

Beste Grüße und euch einen guten Start in die Woche,
Christian

9pi

Hallo, vielen Dank für eure stete Hilfe.
Meine Internet-Verbindung über LAN und WLAN steht.
Alle Geräte, die darüber connecte können surfen und auf die FritzBox und die pfsense zugreifen.
So weit so gut.

Die WAN Schnittstelle bekommt allerdings immer noch über DHCP (statisch?) die 192.168.178.29.
Wenn ich jetzt dort bspw. 10.10.10.10 eingebe als statische IP-Adresse (müsste eine für den privaten Gebrauch sein, oder?), was muss ich dann bei der Fritz-Box einstellen? Die FB ist ja im 192.168.178.0/24 als DHCP unterwegs.
Muss ich dort eine statische Route setzen? (und wenn ja, wie?)

Ich poste mal meine Regeln, die mir noch etwas wirr vorkommen - könnt ihr da mal durchgucken?
Ich bin mir nicht sicher, welche davon wirklcih wirksam zum Einsatz kommen…

WAN							
Proto 		Source 		Port 	Destination 	Port 	Gateway 		Queue	
IPv4 TCP	*		*	*		*	WAN_DHCP		none	
IPv4 TCP	*		*	WAN net		*	*			none	
IPv4 IGMP	192.168.178.1	*	224.0.0.1	*	*			none	Easy Rule: Passed from Firewall Log View 

LAN							
IPv4 *		VPN_Hosts	*	VPN_Targets	*	VPN_GATEWAY_VPNV4	none	
IPv4 *		192.168.1.0/24	*	*		*	WAN_DHCP		none	
IPv4 *		LAN net		*	*		*	*			none	
IPv6 *		LAN net		*	*		*	*			none	

WLAN							
IPv4 TCP	192.168.2.0/24	*	VPN_Targets	*	VPN_GATEWAY_VPNV4	none	
IPv4 *		*		*	*		*	WAN_DHCP		none	
IPv4 *		CISCO_WAP net	*	*		*	*			none	
IPv6 *		*		*	*	*	*	none	

Die jeweils erste Regel bei LAN und WLAN soll dazu führen, dass die definierten Aliases VPN_Hosts beim Ansurfen definierter VPN_Targets über das VPN_Gateway geleitet werden. Klappt aber nicht. Die per IP definierten Seiten sind einfach gar nicht mehr erreichbar.

Vielen Dank für eure weitere Unterstüztung und Gruß,
Christian

peterhart

Guten Morgen Christian,
Ich verstehe nur Bahnhof!

Wenn das Netzwerk zwichen der FB und der pfSense das 192.168.178.0/24 ist, musst Du auf beiden Seiten auch eine IP-Adresse
aus diesem Netzwerk vergeben.
z. B.
FB: 192.168.178.1/24
pfSense: 192.168.178.254/24

DHCP solltest Du in diesem Netzwerk (zwischen FB und pfSense) ausschalten!

Das mit Deinen VPN's habe ich nicht verstanden.

Mach doch mal einen Netzwerkplan.

Gruß
Peter

9pi

Eigentlich ist mein Szenario ganz einfach (dachte ich).

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (FritzBox)
      '-----+-----'
            |
        WAN | 192.168.178.1/24
            |
      .-----+-----.  WLAN          .------------.
      |  pfSense  +----------------+ WLAN-Server |
      '-----+-----' 192.168.2.1/24 '------------'
            |
        LAN | 192.168.1.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)

VPN soll von Clients für bestimmte Seiten (bspw. Gema-geblockte YouTube-Seiten) genutzt werden, um "frei" im Internet über OpenVPN surfen zu können.

Warum nur scheint das bei mir alles so total schwierig zu sein - bin schon am verzweifeln…  :'(

Vielen Dank für Deine bisherige Hilfe!

Beste Grüße,
Christian

peterhart

Hallo Christian,
also Dein Netzwerkplan ist einfach.
Wie bereits gesagt, solltest Du die NW-Karten Deiner pFsense mit festen IP-Adressen belegen.

Ich würde das NW so konfigurieren (ein Vorschlag!)
FB:
-> WAN Internet mit DHCP
-> 192.168.178.1/24
pfSense:
-> 192.168.178.254/24
-> 192.168.2.254/24 - Den WLAN Server mit einer festen IP-Adresse 192.168.2.1/24
-> 192.168.1.254/24 - Für die Clients kannst du dann DHCP unter Ausschluss der pfSense IP-Adresse (192.168.1.254) verwenden.

Zum Thema VPN:
So wie ich Dich verstehe wird das nicht funktionieren.
Dazu benötigst du ja einen VPN-Server in einem "Gema freien Raum", welcher Dich dann durch den Tunnel wieder ins Internet routet.

Gruß
Peter

9pi

Hi Peter,
vielen Dank für Deine schnelle Antwort! Es ist und bleibt aber (noch) zum Haare raufen.
Wenn ich beim WAN Interface eine statische IP Adresse zuweise - bspw. 192.168.178.254/24 komme ich nicht mehr ins Internet (weder über LAN noch über WLAN).

Muss ich zusätzlich etwas bei NAT oder den Rules einstellen?

VPN habe ich bereits mit Hilfe eines Tutorials erfolgreich eingerichtet und zum Laufen gebracht. Ich nutze dazu einen Sever in den USA auf den ich mich erfolgreich connecten kann.
Wenn ich dann eine NAT einrichte, biegt er aber immer den ganzen Verkehr um. Wenn ich allerdings eine Rule einrichte, kommt gar kein Traffic mehr durch. Das ist noch alles sehr verworren…  :o

Danke für Deine Unterstützung und Gruß,
Christian

peterhart

Hallo,
nicht verzagen :-))

Du hast doch an den Rules zunächst erst einmal "any" eingestellt?
Und wenn du NAT verwendest, dann zunächst Automatic outbound verwenden.

Hast du denn auf Deiner pFSense WAN Schnittstelle, neben der IP-Adresse auch ein GW + ggf. DNS zugewiesen?

Zu VPN kann ich noch nichts sagen.
Erst muss das Routing sauber laufen.

Ich biete Dir an mal ggf. mit mir zu telefonieren.

Gruß
Peter

9pi

Hallo, super!
Ok, schwitz - das habe ich hinbekommen.

• an der WAN Schnittstelle habe ich jetzt die feste IP 192.168.178.254
• als IPv4 Upstream Gateway habe ich jetzt die FB mit 192.168.178.1 definiert (das sog. WANGW)
• eine any Rule hat nicht funktioniert, ich musste auf dem WAN und LAN Interface diese Rule eintragen:

Proto 	Source 	Port 	Destination 	Port 	Gateway 	
IPv4 * 	* 	* 	* 		* 	WANGW 	 

mit einer any rule (also als Gateway * hat es nicht geklappt).

Internet läuft jetzt wieder. Woran sehe ich, dass das Routing "sauber" läuft?

Als DNS habe ich die beiden von Google und die freien DNS Server eingetragen - welches Gateway würde ich denen zuordnen?
Wieder den 192.168.178.1 (also WANGW) vermute ich, oder?

Das Angebot zu telefonieren würde ich sehr gerne annehmen.
Können wir ja über PM absprechen.

Beste Grüße und noch einen schönen Abend,
Christian

peterhart

Gut gemacht :-))))

Mit "any" meinte ich Regeln, welche den Verkehr komplett durchlassen.
Das hast Du ja hinbekommen.

Das Routing funktioniert, wenn Du  alle Schnittstellen z. B. per Ping erreichen kannst und auch ins Internet kommst.

Hast du jetzt eigentlich NAT auf der pfSense verwendet?

Ich sende Dir per PM mein Tel. Nr., dann können wir ggf. Morgen mal telefonieren.

Gruß
Peter

9pi

Hi, guten Morgen!
Ja, NAT habe ich auf Automatic outbound gestellt.
Die anderen Regeln in der NAT Liste bleiben erhalten, werden aber nicht mehr angewendet - richtig?
So langsam gehts voran! Freu mich  :-)

peterhart

Guten Morgen,
das hört sich doch schon mal gut an.
Du brauchst i. d. R. für NAT Ausgang keine speziellen Regeln.
Wichtiger wäre ggf. Port Weiterleitungen, falls Du z. B. von extern auf Dein NW zugreifen willst.
Ein Anwendungsbeispiel wäre  eine Verbindung mit OpenVPN aus dem Internet zum Netzwerk zu hause.

Gruß
Peter

JeGr

Hallo zusammen,

mit einer any rule (also als Gateway * hat es nicht geklappt).

Stimmt das so immer noch? Wenn ja, hat Freund 9pi auf der pfSense einen Konfigurationsfehler, denn diese müsste das WANGW automatisch auch als Default GW nutzen, so dass die Regel mit * funktioniert. Tut sie das nicht, gibts ein Problem und ggf. später Probleme mit Diensten auf der pfSense die dann den richtigen Weg nicht finden.

Wichtig dazu: beim LAN Interface -> KEIN Gateway konfigurieren, nur beim WAN eines einrichten mit der IP der Fritzbox. Dann ggf. unter Routing mal prüfen, ob das WANGW als Default-GW konfiguriert ist, wenn nicht, nachholen. Dann sollte die Regel auch mit * greifen.

Aber ich sehe schon, dass der Betrieb pfSense hinter anderem Router (meist FB) wohl immer "berühmter" wird. Ist da vielleicht der Bedarf nach einem Howto da?

Grüße
Jens

9pi

Hi Jens,
vielen Dank für Dein Feedback. Die any-Rule funktioniert nicht, obwohl ich

• auf dem LAN-Interface kein Gateway konfiguriert habe
• nur beim WAN eins mit der IP der FB eingerichtet habe
• das Routing als default das WANGW der FB hat

Wenn ich nicht als erste Rule (auf jedem Interface) eine eintrage die für den gesamten Verkehr das WANGW nutzt, kann ich nicht ins Internet.

Sorry für diese unbefriedigende Antwort.
Ich find´s auch mittlerweile recht seltsam…

Danke für eure Unterstützung!

(mit 20 Stunden Konfigurationsarbeit nur ein Luxus-Switch ohne Zusatzfunktion zu bekommen, das allen Traffic durchlässt ist irgendwie frustrierend  :-[)

ljmarkus

Hallo..

Sind die Interfaces auch wirklich richtig zugeordnet und auch die richtigen Ports gesteckt wo sie hin sollen? Notfalls könne ich auch sonst mal per TeamView schaun.

lg, markus