WebGUI nach Routerwechsel nicht erreichbar, trotz FW Rule



  • hallo zusammen,
    da unsere fritzbox ständig abbrüche auf der dsl seite fabriziert, hab ich testweise mal einen cisco 876 zum einsatz gebracht. damit ich aus der ferne adminsitrieren kann, habe ich zwei rules auf dem cisco eingetragen. eine für ssh (port 1922) und eine für den https-zugang der webgui (port 1924).

    der ssh zugang funktioniert nach wie vor. leider komme ich bei der webgui nicht mehr auf die oberfläche. ich vermute, dass pfsense antwortports vergibt, die dann vom cisco nicht mehr durchgelassen werden.

    kann man die antort-ports irgendwie auf einen bereich oder einige wenige beschränken? ich könnte dann für diese range oder die einzelnen ports entsprechende neue ports freigeben.

    für alternative tips bin ich offen und dankbar.

    thx
    s.sucher



  • Servus Sucher,

    Da Du keine weiteren Angaben gemacht hast, vermute ich, dass der Cisco den NAT Router ins Internet spielt und die pfSense wieder per NAT im LAN des Cisco hängt.

    Nachdem Du schreibst, das SSH läuft, gehe ich davon aus, dass Du weißt, wie man Portforwards auf der Cisco und Firewall Regeln auf der pfS konfiguriert.
    Trotzdem würde ich diese Einstellungen an beiden Geräten (insbesondere Source und Destination IPs und Ports) nochmal checken, da vermute ich Dein Problem.

    Leider bin ich kein Cisco Experte und kenne daher die Eigenarten nicht.
    Ich würde mir als erstes mal die Logs ansehen, ob und wo irgendwas geblockt wird.

    Ansonsten habe ich mit DoppelNAT keine allzu guten Erfahrungen. Manchmal kommt man nicht drum herum, aber wenn irgend möglich schau, ob Du ein reines DSL Modem auftreibst (gibt's z.B. noch von Allnet um die 25 EUR) und mach das PPoE direkt mit der pfS. Meine Erfahrungen sind auch, dass reine Modems offenbar toleranter mit problematischen DSL Leitungen sind. Zumindest bei meinen Problemfällen hatte ich damit bisher gute Erfolge.

    Viel Glück!
    Harry



  • hallo harry,
    danke für deine schnelle antwort.

    du hast die situation richtig eingeschätzt. der cisco macht die internet verbindung und in seinem lan hängt dann die pf. das klappte mit der fritzbox und nem netgear die letzten jahre ganz gut. nat hinter nat ist sicher nicht der grosse wurf…

    ich habe schon mal ein debugging auf dem cisco angeworfen. geblockt wird da nix. die acls hab ich testweise auch schon abgeschaltet. ich konnte sehen, dass die pf beim verbindungsversuch von aussen (tcp 1924) mit verschiedenen antwort-ports an den anforderer antwortet. wenn dieser diese dann benutzt, kommt er nicht weiter durch den cisco durch, da für diese ports dann keine rules bestehen.

    daher meine frage, ob man die antwort-ports irgendwie ändern bzw. auf eine range reduzieren kann.

    das mit dem modem wollte ich auch schon einige male versuchen. dass die modems stabiler laufen ist mir auch bekannt. ich hab immer etwas gezuckt, da ich berührungsängste mit der konfiguration pppoe habe. mit den routern funktionierte ja alles.

    ausserdem brauche ich fehlerlogs für den provider. die t-com behauptet, dass die leitung stabil läuft und es nicht zu abbrüchen kommt. die fritzbox und der netgear sind da anderer meinung...ich hoffe, dass der cisco präziesere werte liefert.

    weitere alternative könnte eine vpn verbindung direkt zur pf sein. die bekommt man sicher problemloser durch den cisco durch.

    mfg
    s.sucher



  • Moin Moin,

    ich vermute nun aber das es schon was mit dem NAT zu tun hat. Sind bei der sense die

    WebGUI redirect und DNS Rebind Check deaktiviert (haken drin)?

    Ausgehend auf eine Antwort sollte dein cisco es eigentlich durchgehen lassen sofern du ausgehend nichts gesperrt hast, egal welcher port es ist.



  • moin wexxler,
    sorry für die späte antowort und danke für deine tips. die sense steht dank weltweiter vernetzung ausserhalb meines direkten zugriffs. daher musste ich erst vor ort sein, um deine einstellungen zu testen.

    ich habe die beiden optionen geprüft und der webgui redirect war nicht deaktiviert. hab dann die deaktivierung entsprechend eingeschaltet und dachte das wäres dann. ich hatte zum testen nur mein iphone dabei, welches sich via 3g dann vom inet her der sense näherte. damit kam ich aufs system rauf und ich dachte: prima, jetzt klappt es.

    wieder zu hause kam dann die ernüchterung. da klappte es nicht :(
    ich war etwas verwirrt und habe es dann erfolgreich über eine vpn-verbindung mit einer ip aus russland geschafft… ?!?

    warum klappt es nicht vom rechner zu hause oder von der firma aus? einziger unterschied wäre, dass überall dort nat verwendet wird.

    der erste versuch mit pppoe (ist übrigens ganz einfach einzurichten) klappte beim testaufbau einwandfrei aber nicht mit dem anschluss vor ort. das modem muss für tdsl mit ram (rate adaptive mode) option wohl adsl2+ fähig sein. meins war das nicht. habe aber noch eins für einen zweiten versuch parat.

    melde mich, wenn ich mit einem modem erfolg haben sollte. wenn jemand noch nen tipp für ein setting im cisco hat, dann immer raus damit ;)

    mfg
    s.sucher



  • Hej sonnernsucher,

    ist es denn auch weiterhin https oder nun http - also hat das gewechselt? Oft haben Browser wie bsp. Firefox/IE Probleme damit wenn er das Ziel schonmal irgendwie gekannt hat.

    Der Safari ist da nicht so anfällig.

    LG



  • Oha Mr. Sunnshine,

    das einzige was mir noch einfällt ist, dass Du entweder bei der Cisco, oder in der WAN Firewall Regel auf der pfS irgendwo Source IP Sperren drin hast. Wenn dem auch nicht so ist, würde ich das Ganze auf den Cisco schieben und den mal vollständig platt machen und ganz von vorne konfigurieren (Backup einspielen wird vermutlich auch wieder den Fehler mitbringen) - sowas hatte ich noch mit keiner pfS und mit Deiner Fritze hat's ja auch funktioniert.

    Zum Thema DSL Modem kurze Info: Nachdem reine Modems mittlerweile Mangelware sind habe ich fast nur noch die Allnet 333 Kisten im Einsatz. Sind bezahlbar (um die 25,- EUR) und haben bisher bei allen DSLs (bei uns gibt's aber auch nur max 16000er) funktioniert.

    Gruß
    Harry



  • guten abend an alle,
    habe es mit verschiedenen browsern ausprobiert (ie, ff, safari). der browser fängt an zu laden und bleibt dann hängen.

    mit den modems aus dem fundus eines kollegen hatte ich leider kein glück. das eine unterstützte kein adsl2+ (braucht man für die ram option der teledumm) und das andere war im eimer. hoffe nun auf einige auktionen in der bucht am kommenden wochenende. das mit dem modem und der pppoe einwahl ist nun meine favorisierte variante, an der ich auch festhalten will.

    trotzdem wurmt es mich, dass ich es mit dem cisco nicht hinbekomme. nach allen tests und befragung unseres netzwerkers in der firma, muss es am source ip-adress check liegen. sowie man aus einem privaten lan kommt und zwangsweise per nat auf die cisco-sense kobi trifft, wird an irgendeiner stelle die source ip im header gesehen und das packet verworfen oder anders behandelt.

    da die sense unverändert weiterlief und nur der router getauscht wurde (fritzbox gegen cisco), kann es eigentlich nur am cisco liegen. habe deswegen schon einen grossen teil meiner arbeitszeit mit der suche im web vertrödelt. leider ohne nennenswerte erfolge.

    gibts denn bei der sense noch eine option die genannte source ip sperre zu deaktivieren? laut netzwerker macht der cisco nichts in der hinsicht. ich kann es mir nur so erklären, dass die fritzbox irgendwie (benutzerfreundlich und spoofing tollerierend) die tcp packete entsprechend angepasst hat. also die source ip im header ausgetauscht hat und/oder die packete passieren lässt.

    die modem preise hab ich ebenfalls bei um die 30€ gesichtet. da das ganze projekt für einen sportverein ist (gäste lan und so) stehen nicht unbegrenzt barmittel zur verfügung. man hat dort nen igel in der hosentasche ;o)

    ein gebrauchtes modem für 10€ tuts ja dann auch. aber is schon komisch. hatte vor 3-4 jahren auch noch tonnenweise von dem zeug rumliegen…und heute ist selbst der bestand im bekanntenkreis wie leergefegt...

    melde mich hoffentlich nächste woche mit einem modem wieder.
    trotzdem würde ich gerne wissen, wie es auch mit dem cisco geht.

    nice we
    s.sucher



  • Hi Mr. Sunshine,

    guter Mann der "Netzwerker in Eurer Firma" - hat 1:1 dieselbe Vermutung, die ich Dir schon in meinem letzten Post geschrieben habe ;-)

    Beim genauen Hinsehen, auch auf den 2. Blick, bleibt einfach nur der Cisco über.
    Ich habe (leider) auch hinter diversen Routern (z.B. alle möglichen Fritz Modelle, LANCOM, Netgear, Allnet, pfS) pfSensen hängen und so ein Verhalten noch nie gehabt. Mit Cisco habe ich bisher keine einschlägigen Erfahrungen, deswegen kann ich Dir leider nicht weiterhelfen beim Herausfinden, was beim Cisco da nun genau schief läuft.

    Deine Rechnung, dass 30,- EUR zu teuer sein sollen, um ein (stabil) laufendens System zu bekommen finde ich nicht ganz schlüssig. Wenn Du mal rechnest wieviel Zeit Du da jetzt schon verbraten hast (oder auch nur die Jagd in der Bucht nach etwas Billigem), müsste doch schon lange mehr als 20,- EUR herausgekommen sein. Ich verstehe schon Ehrenamt und so, aber da bin ich so gestrickt, dass ich lieber dem Verein das Modem aus meiner Tasche schenken würde, als ewige Zeiten eher unproduktiv zu verbraten und dann weiß man ja noch nicht, wie gut das geschossene Teil dann tatsächlich ist…

    Gruß
    Harry



  • nabend harry,
    haste recht. die 30€ wären mir dann auch fast egal, aber das gfanze projekt hab ich allein ins leben gerufen und schon genug aus meiner eigenen tasche dafür ausgegeben. es ist auch so eine art hobby, dass ich nebenbei betreibe. dass ich damit auch gleich die fällige vereinarbeit von 20h im jahr mit abreisse ist ein netter nebeneffekt. ausserdem ist man immer gerne gesehen ;o). es macht ja auch spass und man lernt etwas dabei.

    mir geht nur zusätzlich gegen den strich, dass:
    a) der cisco nicht so will, wie ich es gerne möchte (kann ja nich so schwer sein)
    b) so ein sch…modem mehr kostet, als so mancher router. und dass ums verrecken keiner mehr so ein teil rumliegen hat.

    thema a) will ich trotz funktionierendem modem-szenario (hoffentlich ab nächster wopche) gerne lösen. mich interessiert warum der nicht so funktioniert. treffe mich mit etwas glück am 10.10. mit nem ehemaligen kollegen zu nem bierchen. der gute hat selber (fast) ccie status hat. er kann mir dazu sicher etwas sagen, ich werde dann natürlich berichten.

    n8i
    s.sucher


  • LAYER 8 Moderator

    Hi sonnensucher,

    kann es eher sein, dass auf dem Cisco kein ausgehendes NAT konfiguriert ist und das die Wurzel des Übels ist? Das hört sich ansonsten nämlich sehr dubios an. Die pfSense verhält sich an der Stelle wie ein HTTP(S) Server und der sprich über seinen Port ganz "normal". Da du die Sense erreichen willst, spielt auch kein NAT auf der Sense ne Rolle, könnte also nur noch der Cisco sein.

    Grüße



  • Naja aber wieso sollte SSH gehen aber HTTPS nicht wegen NAT wenn der refferer check, die redirect rule und das dns rebinding deaktiviert ist an der sense?



  • moin,

    habe alle von euch genannten optionen noch einmal überprüft. leider ohne erfolg. warum mit dem cisco ssh geht und https nicht, bleibt, hoffentlich nur vorerst, ein rätsel.

    ich habe nun ein neues allnet-modem erworben (26€) und gestern in betrieb genommen. etwas rumgefummel und die kiste läuft. zugriff von ausserhalb klappt nun auch wieder.

    was mir jetzt fehlt ist ein status des modems. ich hab jetzt keine richtige möglichkeit mehr die ausgehandelte geschwindigkeit zu sehen und sehe nicht, ob die leitung selber fehlerbehaftet ist. ich habe ja noch den trödel mit dem provider. da wären aussagekräftige logs hilfreich.

    hat dazu jemand eine idee?

    thx
    s.sucher



  • moin zusammen,
    das gespräch mit dem cisco spezi hat leider auch keine neuen erkenntnisse gabracht. so ein port forwarding habe ich schon ein paar mal eingerichtet. ist zwar immer etwas fummelei, bis man den kompletten befehl zusammen hat, aber bisher haben immer alle forwardings funktioniert.

    die tatsache, dass ssh geht und https nicht und die zusätzliche info, dass es mit einer genatteten ip-adresse aus dem heimischischen lan nicht geht, wohl aber mit einer realen ip aus dem netz, schloss mehrere faktoren aus. der erstverdacht lag auf falschen zertifikaten. dass es am cisco lag, steht nun ausser frage. wir haben das thema an diesem abend noch mit den anerern netzwerkern am tisch etwas dikutiert und man tipt auf einen bug im cisco ios. dieses ist zugegeben schon etwas in die jahre gekommen, ich kann es mir aber erhlich gesagt nicht so richtig vorstellen.

    den fehler können wir hier also nicht lösen. naja. etwas mystik is halt immer dabei.

    mfg
    s.sucher


Log in to reply