Erstkonfiguration



  • Hallo,
    habe mal eine Verständnisfrage.
    Aufbau: FB - Apu - Switch - Clients

    LAN ist. 192.168.1.1

    Welche IP muss ich bei der FB als exposed host angeben? WAN hat ja keine…


  • Moderator

    Sorry meine Glaskugel ist gerade in Reparatur. Was willst du denn erreichen? den Switch ins Internet bridgen? Oder warum sollte dein WAN an der APU keine IP haben!? ;)

    Grüße



  • Ja, den Switch ins Internet bringen.
    Woher soll das WAN Internet herbekommen?
    FB wählt sich ein und dann?
    Ich muss der FB irgendwie sagen, dass er das Internet an das WAN der Apu weitergibt.


  • Moderator

    Die FB ist kein Modem, sondern Router und hat normalerweise per default 192.168.178.1/24 und nen DHCP Server konfiguriert von 2. bis 254. Den DHCP Range eingrenzen (auf 100-200 bspw.) und der pfSense auf dem WAN dann einfach eine IP aus dem Netz geben mit der Fritte als Default GW.
    Das ist aber wirklich schon Standard und in den letzten Tagen / Wochen in einigen Beiträgen hier oder per Suche durchaus zu finden. Sorry, wenn ich da hinterfrage, was dein Anliegen von dem der vorherigen Antworten zum gleichen Thema unterscheidet. Es hätte ja durchaus sein können, dass du die pfSense transparent dazwischen schalten möchtest.



  • Moin.
    Nein, leider nicht. pfSense ist ganz neu.
    Und auf den ersten Blick gibt es 1-2 Einstellungen mehr als bei einer FB.  :P Okay.

    Als erstes habe ich versucht die FB als reines Modem zu nutzen, da es hier http://www.ip-phone-forum.de/showthread.php?t=276312 behauptet wurde. Das kann ich jedoch nicht bestätigen.

    Dann hatte ich gehofft , dass es reicht bei der FB unter Internet -> Zugangsdaten -> Verbindungseinstellungen ändern auf PPPoE-Passthrough  zu stellen, um die Einwahl durch pfSense zu machen. Geht auch nicht.

    Deine Methode hat nun leider auch nicht funktioniert, weder statisch noch über DHCP.

    mit der Fritte als Default GW

    das geht nur bei static ip. Die FB zeigt in beiden Fällen aber kein WAN "Gerät" an.

    Was mache ich verkehrt?




  • Vielleicht hat pfsense schon internet und du hast es nur noch nicht bemerkt? :)
    Mal unter Diagnostics -> Ping versucht etwas zu "erreichen"?
    fpsense verhält sich quasi erstmal wie ein normaler client am DHCP, der LAN schnittstelle müsstest du dann einen anderen IP-Bereich geben und dann evtl noch pfsense in der fritte als exposed host deklarieren.



  • der LAN schnittstelle müsstest du dann einen anderen IP-Bereich geben

    Wie meinst du das?



  • Also normalerweise bekommt dein WAN-Interface (pfsense) ja eine IP von der fritz.box zB. 192.168.178.11 (oder du konfigurierst sie fest, besser wegen der "exposed host" freigabe in der fritz.box) und deinem LAN-Interface (pfsense) würdest du dann zB die 192.168.1.1 geben und den DHCP-Server für die weiteren CLients auf der Schnittstelle aktivieren. pfsense ist also über die box mit Internet versorgt und gibt es dann als gateway (192.168.1.1) weiter im LAN. Die fritz.box ist also nur mit EINEM LAN-Kabel mit pfsense verbunden und pfsense hängt dann wiederum mit einem LAN-Kabel (LAN-Interface) an einem beliebigen Switch zusammen mit den anderen Clients.

    Die box ist somit nurnoch da um die Verbindung ins Internet herzustellen, leitet dann aber den gesamten Trafic (exposed host) an pfsense weiter, wo man dann Firewall-NAT und Rules definieren kann (MUSS!).



  • @nima:

    Welche IP muss ich bei der FB als exposed host angeben?

    pfSense-WAN (192.168.178.x).



  • Vielen Dank erst mal. Da war der Wurm drin. Habe alles zurück gesetzt. jetzt klappt es … fast.  ;)

    Also ich habe dem WAN die .100 vorgegeben und bekomme .21?






  • Es muss 192.168.178.100 /32 sein (/32 subnetz = Nur 1 IP) ;)



  • Danke die für den Hinweis. Nur dann funktioniert das Internet nicht!
    192.168.178.100 /32 Internet geht nicht
    192.168.178.100 /24 Internet geht

    Ich habe noch zwei Fragen;
    1. habe ich eine Fritzbox, die ich als AP und VOIP nutzen möchte, diese ist auch entsprechend konfiguriert. Nur leider kommt dort kein Internet an. woran kann das liegen?

    2. möchte ich einen Port für den Server freigeben. Habe dazu das auf dem Bild gemacht, Klappt aber nicht.
    DynDNS ist eingerichtet und auch mit grün als "geht" markiert.

    Vielen Dank!




  • 1. Wenn die Clients hinter pfsense Internet haben, muss die fritzbox auch funktionieren, ich nutze das ebenfalls so! In der Registerkarte für die Zugangsdaten auch "Vorhandener Zugang über LAN" eingestellt?
    2. An der NAT-Regel sehe ich nix falsches, Firewall Rule scheint ja auch angelegt worden zu sein, kann alles Mögliche sein.

    • pfsense hängt als einziges an der FB, die den Internetzugang herstellt?
    • dhcp an der FB ausschalten, brauchst du bei static ip eh nicht.
    • fritzbox ip: 192.168.178.1 pfsense WAN Interface: 192.168.178.2 (/24 müsste doch richtig sein, sonst kann pfsense ja garnicht auf die box zugreifen  ;D )
    • WAN ip von pfsense (192.168.178.2) in der fritzbox als exposed host einstellen (internetfreigabe)
    • LAN Interface auf 192.168.1.1 (/24) OHNE einen IPv4 Upstream Gateway einzustellen!
    • DHCP-Server für LAN-Interface (der pfsense) aktivieren

    Tippe mal, das dein NAT daran scheitert, dass noch nicht alles von der fritzbox durchgeleitet wird (exposed host).

    Gruß
    Simon



  • Ja. FB als "exposed host" -> APU -> Switch -> 2.FB als AP

    Ich habe die FB als AP lt. AVM eingestellt. Handy verbindet sich mit WLAN sagt aber gleich keine Internet Verbindung!




  • Stell die FB mal auf DHCP um, dann müsste es sofort gehen  ;)


  • Moderator

    @simposs Es muss 192.168.178.100 /32 sein (/32 subnetz = Nur 1 IP) ;)

    Leider völlig falsch, es muss die korrekte Netzmaske - bei AVM default /24 - eingetragen werden, das hatte nima ganz korrekt drin. Man kann bei der Fritte auch problemlos das DHCP an lassen, nur sollte man den Bereich begrenzen (bspw. 100-200), damit man die pfSense selbst STATISCH auf die .2 oder .254 o.ä. konfigurieren kann und diese IP nicht versehentlich von der Fritte vergeben wird.

    @nima: Zusätzlich: Du kannst nicht auf der FB, auf der 192.168.178.0/24 konfiguriert ist, dein WLAN Netz mit .1.1 betreiben. Das LAN, dass du hinter der pfSense aufziehst hat ja potentiell dieses Netz. Du kannst das dann nicht einfach auf der FB für WLAN konfigurieren, so läuft das nicht. Die Clients sind dann nicht automagisch hinter der pfSense nur weil es andere IPs sind ;)



  • @JeGr:

    @simposs Es muss 192.168.178.100 /32 sein (/32 subnetz = Nur 1 IP) ;)

    Leider völlig falsch, es muss die korrekte Netzmaske - bei AVM default /24 - eingetragen werden, das hatte nima ganz korrekt drin. Man kann bei der Fritte auch problemlos das DHCP an lassen, nur sollte man den Bereich begrenzen (bspw. 100-200), damit man die pfSense selbst STATISCH auf die .2 oder .254 o.ä. konfigurieren kann und diese IP nicht versehentlich von der Fritte vergeben wird.

    @nima: Zusätzlich: Du kannst nicht auf der FB, auf der 192.168.178.0/24 konfiguriert ist, dein WLAN Netz mit .1.1 betreiben. Das LAN, dass du hinter der pfSense aufziehst hat ja potentiell dieses Netz. Du kannst das dann nicht einfach auf der FB für WLAN konfigurieren, so läuft das nicht. Die Clients sind dann nicht automagisch hinter der pfSense nur weil es andere IPs sind ;)

    Klar /24, hatte ich ja anschließend auch nochmal korrigiert, kleiner Denkfehler ;)

    So langsam komme ich nichtmehr mit… FB hier, FB da  :o
    Also mit der Ausnahme der IP der zweiten FB im DHCP und dann auf DHCP gestellt müsste es dann trotzdem sofort gehen und die WLAN-CLients landen ebenfalls im richtigen Netz oder kann man dann irgendwo noch gesondert den DHCP fürs FB WLAN einstellen, ich finde gerade nix!?



  • Das ganze ist ziemlich tricky.
    Man denkt es ist alles richtig eingestellt und es funktioniert trotzdem nicht.

    Also man kann dem WAN eine feste ip zuweisen. Dann muss man aber in der Fritte die Freigabe auch auf DIE IP machen und nicht auf den Gerätenamen. Bei DHCP ist es anders rum.
    Aber es geht trotzdem nicht. Der "exposed Host" lässt nicht alle Ports zum WAN durch! Warum auch immer. Habe jetzt behelfweise einfach den Port-Bereich 80-10087 durchgereicht. Damit geht es erstmal.

    Man kann in der pfSense im WAN und LAN alles richtig eintragen, nützt aber nix. Erst wenn man die gleichen Werte in dem Wizzard eingetragen hat funktioniert es. Waum auch immer.

    Das sind Fallstricke an denen man verzweifeln kann!  :-\


  • Moderator

    Das ist natürlich schade, dass du solche Problem hast nima, ich kann das aber trotzdem nicht so stehen lassen:

    Aber es geht trotzdem nicht. Der "exposed Host" lässt nicht alle Ports zum WAN durch! Warum auch immer. Habe jetzt behelfweise einfach den Port-Bereich 80-10087 durchgereicht. Damit geht es erstmal.

    Ich habe hier sowohl 2 DSL Fritten als eine Kabel-FB und alle 3 verhalten sich identisch. Exposed Host eingetragen, fertig. Bei pfSense WAN kommt alles an. Selbst mit IPSec, was die FB selbst machen könnte, und es somit nicht wundern würde, wenn Sie die Ports wegfrisst.

    Man kann in der pfSense im WAN und LAN alles richtig eintragen, nützt aber nix. Erst wenn man die gleichen Werte in dem Wizzard eingetragen hat funktioniert es. Waum auch immer.

    Ich habe in meinem Leben noch nie den pfSense Startup Wizard benutzt ergo noch nicht benötigt. Trotzdem haben die Boxen bislang problemlos funktioniert. Natürlich muss man manuell nicht nur WAN + LAN konfigurieren sondern vielleicht nochmal nachsehen, dass NAT und Regeln OK sind. Aber das gehört bei der pfSense generell dazu.

    Kann also leider deine Probleme nicht nachvollziehen :/

    Nochmal der Einfachheit hier meine Konfiguration bei einer KabelFB:

    1. Die Fritten erstmal auf Ansicht Erweitert/Experte (je nachdem was da ist) stellen, sonst sieht man die Hälfte der Einstellungen schon nicht
    2. Heimnetz / Netzwerk/ Tab Netzwerkeinstellungen: Hier die IPv4 Adresse anklicken. Damit kann das LAN der Fritte verstellt werden und der DHCP eingegrenzt. Ist bei mir default 178.1, Netzmaske 255.255.255.0 (/24) und DHCP von 100 bis 200.
    3. Internet / Freigaben / Portfreigaben: Portfreigabe aktiv für exposed Host, dort dann pfSense ausgewählt (mit Namen, IP steht in Grau drunter!) Der Name kommt eigentlich automatisch sobald das Gerät hintendran mal funkt und dann kann man auch manuell nen Namen vergeben und den zuweisen
    4. Internet / Freigaben / Fritzbox-Dienste: Den Port der FB von außen gedreht auf einen anderen Port, dass ggf. notfalls Login via non-standard Port möglich ist. Nicht zum Verstecken, sondern für die Freigabe von 443 auf der pfSense später.

    aller anderer Kram und Dienste NAS/USB/etc. inkl. WLAN aus. Das wars bezüglich Netzwerk auf der vorderen FB bei mir.

    Die pfSensen hängen bei mir dann auf .251 und .252 sowie .254 (CARP VIP) als WAN, haben die .1 als Gateway und können nach der Einstellung auf jeden Fall schon ins Netz. Das Netz dahinter hat einen eigenen Range, Maske etc. und ggf. noch VLANs nach eigenem Gusto, aber das ist OK.

    Grüße



  • Okay.
    Dann muss es an der Regel liegen.
    Wenn ich einen Port s. Bild in der FB freigebe (also zu dem exposed host), dann geht es. Dass heißt doch das es ein NAT Problem ist, oder nicht?



  • Moderator

    Da du leider nichts von der vorgeschalteten Fritzbox angehängt hast, kann man das schlecht sehen.



  • Was genau ist denn die 192.168.178.20?
    Weil für mich sieht das so aus als wolltest du etwas vom WAN auf die 192.168.178.20 NATen aber die 192.168.178.20 müsste ja vor dem WAN der PfSense sein und nicht dahinter.
    Hinter der PfSense hast du ja wohl 192.168.1.x
    Was genau möchtest du denn erreichen?
    Wie JeGr schon sagt man müsste mehr wissen.
    Vielleicht eine kleine Skizze mit IP's wie es nun aussieht und was du genau vorhast.
    Dann kann man dir sicher helfen.



  • Nein. Wan ist 10.0.0.2
    Und 192.168.178.20 ist die NAS im LAN.
    Dass müsste also eigentlich so funktionieren.


  • Moderator

    Darf ich mal ganz doof HÄÄ? sagen? Sorry, aber inzwischen verstehe ich nur noch Bahnhof. pfSense WAN soll 10.0.0.0/24 sein? mit 10.0.0.2? Du hattest doch was von einer vorgeschalteten Fritte und einer WLAN FB gesagt? Und 192.168.178 ist das Default Netz einer FB. Wo hängt nun eigentlich was? Ohne Bild verstehe ich den Zusammenhang inzwischen leider nicht mehr.

    Vielleicht schaust du bei den angepinnten Beiträgen mal nach, da habe ich mehrere Ascii Zeichnungen in einem Beitrag zusammengefasst wie man das darstellen kann ohne gleich ein Zeichenprogramm zu brauchen. Man kann aber auch fix bei Gliffy o.ä. was zeichnen, exportieren und hier einfügen. Aber ohne das, wirds langsam sehr schwierig, da ständig Infos von anderen Geräten/Einstellungen fehlen.



  • @JeGr:

    Darf ich mal ganz doof HÄÄ? sagen? …

    Nein, darfst du nicht! HAHAAA!  ;D



  • Noch mal alles neu gemacht:
    Fritte: 10.0.0.1
    WAN: 10.0.0.2
    LAN: 192.168.1.1
    NAS: 192.168.1.10

    Internet geht. NAS lässt sich von aussen nicht erreichen. Wo könnte der Fehler sein?
    Habe alles angehängt. Weiß langsam nicht mehr weiter.  :'(









  • Moderator

    Mache bei den Regeln auf der pfSense mal den Haken bei Logging rein und prüfe beim Zugriff von außen mal, ob das überhaupt im Log auftaucht oder auf der Fritte versauert.



  • Du hast am WAN Interface "block private networks" an. Vielleicht das mal rausnehmen.


  • Moderator

    l4k3k3m4an: Stimmt das hatte ich übersehen.



  • Ich muss doch WAN rules machen, oder LAN rules?



  • Sagt mir jetzt was?
    Ich habe kein DHCP, sondern alles Static Mapping

    Unter System/Routing/Routes bekomme ich ein 404 not found Meldung. Ist das normla?




  • Die Lösung ist: dest. addr. auf this firewall umstellen, anstatt auf WAN addr.