Kein WAN am LAN



  • Hallo Leute,

    ich habe so wie viele vor mir ein Problem welches ich nicht alleine lösen kann.
    Ich habe folgenden Aufbau

    pfsense läuft auf einer VM ( auf einem ESXI) und bekommt Internet (kann mir Packages anzeigen lassen und pingen)
    pfsense ist auf der VM in einer DMZ zusammen mit dem Webserver (Win 2012)

    Hierbei ist :

    WAN (wan)    –> em0  ->v4/DHCP Internet 
    LAN (lan)      --> em1 (static)  -v4: 192.168.1.254/24    (webinterface)

    Das Webinterface auf dem Windows 2012 Webserver kann ich entsprechend aufrufen (Browser) und auch  direkt pfsense (192.168.1.254) öffnen.
    Der Webserver hat die IP 192.168.1.230 (static)

    Jetzt scheitere ich aber daran das der Webserver kein Internet bekommt, ich habe bei den firewall Regeln mittlerweile alles auf (any) gesetzt aber nix passiert.
    Eine DNS kann ich auflösen aber ich bekomme kein Internet/ping.
    Pfsense kann ich ansprechen (und natürlich auch pingen)
    Was kurios ist, das ich von pfsense aus den Webserver nicht anpingen kann (192.168.1.230)
    Muss ich evtl. NAT einschalten bzw. eine Regel dazu erstellen oder muss ich das Routing nutzen?

    Ich bin da Netzwerktechnisch ein absoluter Newbie und habe in den letzten Tagen bisher ergebnislos das INet und hier das Forum auf eine Lösung durchsucht.

    Ich wäre echt dankbar wenn ihr mir helfen könntet !



  • was für eine ip bzw. was für ein Netz hast du auf dem WAN Interfaces?

    NAT ist im Default auf dem WAN Interface aktiv.



  • Hallo!

    Um aus dem LAN ins Internet zu kommen, braucht es nur die richtigen Netzwerkeinstellungen und die Regel, die es erlaubt, wenn die pfSense bereits Internet hat, wie du schreibst.

    Am LAN hat die pfSense standardmäßig eine Regel aktiv, die den Zugriff nach überall hin erlaubt. Wenn du diese nicht verändert hast, bleibt also die Netzwerkeinstellung, und zwar am LAN Host.
    Hast du auf diesen die pfSense LAN IP, also 192.168.1.254, als Standardgateway eingestellt? Ohne diesen gibt es keinen Zugriff aufs Internet, weil der Host nicht weiß, wohin er die Pakete schicken soll.

    Den Ping auf den Webserver verhindert vielleicht dessen Windows-Firewall. Funktioniert ein Ping von einem anderen LAN Host?



  • Moin

    @viragomann
    @flix87

    habe zur veranschaulichung mal 2 Bilder  angehängt

    Standardgateway ist aber eingetragen und in dieser DMZ ist nur der Webserver!
    Es kommt ein TestNetz am WAN Interface an ( enthält Internet)….






  • Entferne das LAN Gateway auf der pfSense.



  • Wenn ich das richtig sehe hat das WAN Interface die IP 10.255.3.151 und als Gateway ist auch die 10.255.3.151 eingetragen
    Das geht natürlich nicht. Da muss dann das Gateway aus dem 10.255.3.x Netzwerk stehen ich vermute auch mal die 10.255.3.1

    Hast du das Gateway von Hand eingetragen?
    Weil die IP bekommt er ja vom DHCP.
    Dann sollte der DHCP ja eigentlich auch das richtige Gateway verteilen

    Das LAN Gateway brauch man recht selten.
    Wenn du das nicht brauchst am besten wie viragomann sagt entfernen.

    Wenn du es brauchst was ist denn auf der PfSense ein Default Gateway?

    Wenn es immer noch nicht geht am besten man ein Screenshot der Firewalleinstellungen schicken



  • Moin Moin,

    Also ich habe jetzt das LAN Gateway einmal rausgenommen gehabt (disabled) Effekt war gleich null, also hab ich es wieder reingenommen ( da kommt später ein 2 pfsense hinter wenn es läuft)
    Das Standardgatway habe ich angepasst (bekomme aber immer noch kein Inet auf dem Webserver)
    Hab es jetzt auch per DHCP bekommen!
    :-
    Bildchen dazu habe ich wieder beigefügt!
    ;)








  • Die Regeln des LAN Interfaces wären interessanter.

    Es ist sehr komisch das du per DHCP diese IP als Gateway bekommst vielleicht stimmt im Netz davor schon etwas nicht bzw. mit dem DHCP Server.
    Wenn die PfSense auf DHCP Client steht sollte sie alle Infos vom DHCP Server bekommen und dann auch direkt ins Internet kommen.

    Hast du am NAT schon was geändert oder ist das noch default?

    Und welches Gateway ist denn nun genau das Default Gateway in der PfSense?



  • Die Pfsense kommt ja auch ins Internet, nur der Webserver nicht !
    Der NAT steht noch auf default….
    Das 10.255.3.1 ist das default Gateway in der pfsense !

    ![LAN Firewall.PNG](/public/imported_attachments/1/LAN Firewall.PNG)
    ![LAN Firewall.PNG_thumb](/public/imported_attachments/1/LAN Firewall.PNG_thumb)



  • sehr komisch. sollte so gehen
    ist auf dem Webserver vielleicht noch was eingetragen?
    Statische Routen oder so?
    Zweite Netzwerkkarte?
    Lokale Firewall?
    Die Pfsense kann er erreichen?

    Weil komisch ist bei ping zur 8.8.8.8 das die IP des Webserver drin steht das keine Antwort zurück kommt.
    Normal sollte da die PfSense stehen wenn die es nicht weiterleiten kann.
    Ich vermute den Fehler weniger in der PfSense Config und vielmehr im Webserver bzw. dessen Config selber.



  • Post bitte mal, was ein "route print" auf dem Webserver zurück gibt.



  • Was auch sehr komisch ist das bei den Netzwerkverbindungen 2 Netzwerke angezeigt werden, jedoch habe ich nur eine Netzwerkkarte Installiert (über die ESXI VM)
    ..und egal welche von den beiden Netzwerken ich konfigurieren möchte, so lande ich immer beim gleichen Netzwerkgerät.
    Vielleicht macht das Sinn die Netzwerkkarte mal zu deinstallieren und dann wieder neu zu installieren ?
    Hab jetzt beim Standartgateway mal die 192.168.1.230 rausgenommen, die neben der 192.168.1.254 mit drinnen stand, jetzt ist das 2 Netzwerk mit verschwunden…  ;D
    Dafür kommt jetzt auf beim trace rt 8.8.8.8

    Update

    Hab mal den aktuellen route print eingefügt



    ![route print1.PNG_thumb](/public/imported_attachments/1/route print1.PNG_thumb)
    ![route print1.PNG](/public/imported_attachments/1/route print1.PNG)
    ![trace rt.PNG](/public/imported_attachments/1/trace rt.PNG)
    ![trace rt.PNG_thumb](/public/imported_attachments/1/trace rt.PNG_thumb)



  • das ist komisch das da zwei Netzwerkkarten auftauchen das sollte nicht sein.
    Du sagst du hast es nun raus genommen?
    Im route print steht aber noch die 192.168.1.230 also Default Gateway drin.
    Das solltest du erst mal bereinigen.
    Scheint so als wäre die Config nicht ganz sauber auf deinem Webserver/ESXi.

    Geht es denn nun oder gibt es immer noch Probleme?

    Prüfe auf jeden Fall noch mal ob nun alles passt ob die Netzwerke im ESXi richtigt zugeordnet sind.



  • Du hattest 2 Default Routen mit derselben Metrik in deiner route print Ausgabe, die 2. auf 192.168.1.230 wird aber verschwunden sein, nehme ich an. Damit sollte die Sache in Ordnung sein.

    Das "tracert 8.8.8.8" listet nun schon mal das richtige Gateway auf. Kontrolliere aber mal auf der pfSense Diagnostic > Packet Capture, ob das da auch ein ping 8.8.8.8 ankommt, oder ob dir der ESXi einen Streich spielt. Wenn er ankommt, schau dir die Sache auch auf dem WAN Interface an.



  • auf pfsense kommt auch etwas an, aber jetzt komme mit dem ping überhaupt nicht mehr durch….
    da steht jetzt beim webserver nur noch Zeitüberschreitung der Anforderung???

    ![WAN Capture.PNG](/public/imported_attachments/1/WAN Capture.PNG)
    ![WAN Capture.PNG_thumb](/public/imported_attachments/1/WAN Capture.PNG_thumb)
    ![LAN Capture.PNG](/public/imported_attachments/1/LAN Capture.PNG)
    ![LAN Capture.PNG_thumb](/public/imported_attachments/1/LAN Capture.PNG_thumb)



  • Im WAN trace sieht man nur die Pings auf das Gateway um zu prüfen ob es UP ist.

    Auf den LAN Trace sieht man nur DNS Anfragen vom Webserver auf die PfSense und einmal eine Ping Anfrage aber keine Antwort (zumindest nicht in diesem Trace sichtbar)

    Bei Welchem Ping kommt Zeitüberschreitung auf die 8.8.8.8 oder auf die PfSense?

    Hast du schon sehr viel eingerichtet auf der PfSense? Wenn nicht würde ich empfelen einmal die PfSense zurück zu setzen und nochmal von vorne.
    Wenn dein Netzwerk soweit stimmt müsste die PfSense direkt gehen.



  • Da arbeitet dein Outbound NAT nicht ordnungsgemäß. Der ping request auf 8.8.8.8 müsste am WAN Interface die WAN-IP als Quelle haben. Bei dir ist das die originale Quell-IP, ergo wird sie nicht transferiert und nicht geroutet, weil dieses Netz auf der WAN-Seite unbekannt ist.

    Wie hast du das Outbound NAT konfiguriert? Manuell? Die nötige Regel wird nämlich automatisch erstellt. Wenn du aber auf manuelle Regel Generation umgestellt hast und die WAN-IP sich ändert, was bei DHCP kaum zu vermeiden ist, klappt es nicht mehr, wie es soll.
    Wenn du es auf Automatic oder Hybrid (auto + manuell) stellst und Save klickst, sollte die richtige Regel generiert werden.
    Im Zweifel poste einen Screenshot vom Outbound NAT.



  • @viragomann
    Danke für deinen Hinweis, es war eigentlich ganz simpel.. es hatte sich die CIDR verändert gehabt aber ich hatte es beim Outbound nicht angepasst gehabt.
    das Trace rt funktioniert.
    Leider hapert es an der DNS auflösung, was könnte ich da verstellt haben ?
    Irgendwann muss ich den DNS Resolver ausgeschaltet haben! Jetzt gehts….
    :/
    Hab mal den aktuellen trace angehängt ( natürlich etwas geschwärzt)  ;)
    ....es Funktioniert jetzt!!
    Vielen Dank an alle die mir geholfen haben !!

    ![trace rt_neu.PNG](/public/imported_attachments/1/trace rt_neu.PNG)
    ![trace rt_neu.PNG_thumb](/public/imported_attachments/1/trace rt_neu.PNG_thumb)


Log in to reply