Wo setze ich an?



  • Hallo zusammen,

    eben sehe ich, dass es hier auch ein deutschsprachiges Forum gibt  :).
    Ich habe mir pfSense installiert, komme aber momentan nicht weiter.

    Mein Netzaufbau:
    WAN  192.168.33.0 /24 (Internet, verbunden über eine Fritzbox)
    LAN1 192.168.11.0 /24
    LAN2 192.168.1.0 /24

    Ich kann aus LAN1 auf das Internet zugreifen.
    Die Fritzbox ist das default Gateway.

    Wo setzte ich an, um von LAN1 auf einen Server in LAN2 zugreifen zu können. Den Server in LAN2 kann ich von pfSense au pingen, schaffe es aber nicht den Ping von LAN1 aus erfolgreich abzusetzen.

    Handelt es sich um ein Firewall, NAT oder Routing Problem?
    Ich hätte gerne, dass alle Anfragen auf einen Rechner in LAN2 auch dort hingehen.
    Mit trace habe ich herausgefunden, dass die Anfragen bis zum LAN1 Interface der pfSense kommen, dann aber im Nirvana verschwinden.

    Liebe Grüße
    Markus



  • Hast du die Standard FW Regel (allow any) für LAN1 verändert?
    Wenn nicht kann es schon mal kein Firewall Problem sein.

    Die Route kennt die pfsense auch. Die Frage ist, wie sieht es beim Server aus?

    Ist die pfsense auch default GW beim Server in LAN2 ?

    Wenn nein, muss du entweder am Server eine manuelle Route für das LAN1 setzen, oder du machst NAT auf der pfsense von LAN1 in LAN2.

    Ansonsten: Was ist das für ein Server? Mal die lokale (Windows?)Firewall überprüft, bzw. deaktiviert?



  • Hallo,

    dein Ansatz mit dem Server und dem default GW klingt interessant.
    Dabei handelt es sich um einen Server eines Kunden, auf den ich keinen Zugriff habe.

    Das kläre ich mit dem Admin.

    Danke.

    Liebe Grüße
    Markus


  • Moderator

    Handelt es sich um ein Firewall, NAT oder Routing Problem?

    Sehr wahrscheinlich Routing/Firewalling Problem. NAT sollte bei LAN1 zu LAN2 keine Rolle spielen, es sei denn, du hast explizit NAT Regeln zwischen den Netzen definiert (was kein Standard ist).

    Diagnoseschritte:

    1. Ist für LAN1 und LAN2 jeweils die pfSense das Default Gateway?
    2. gilt das auch für den Server der beteiligt ist?
    3. Ist eine Regel definiert auf LAN1, die Traffic nach LAN2 zulässt?
    4. ist eine Regel definiert, die Traffic von LAN2 nach LAN1 zulässt? (nur notwendig, wenn von LAN2 nach LAN1 zugegriffen werden soll, wenn der Zugriff von LAN1 initiiert wird, ist die Regel normalerweise nicht notwendig).

    Klappt es immer noch nicht, hilft dort ein zeitnaher Blick unter Diagnostic / System Logs / Firewall um zu sehen, ob der Traffic von LAN1 nach LAN2 geblockt wird.

    Grüße



  • Hallo JeGr,

    danke für deine Antwort.

    1. Für LAN1 ist die pfSense das default GW für LAN2 nicht.

    2. das gilt auch für den Server

    3+4) ich teste immer mal wieder mit deaktivierter FW um zu sehen, ob es an den Routen, NAT oder der FW liegt.

    Inzwischen konnte ich mit einem Outbound NAT das Problem für mich lösen.

    Liebe Grüße
    Markus


  • Moderator

    zu 1) für LAN2 nicht, das heißt du kannst hier ein Routenproblem haben
    zu 2) was gilt auch für den Server? Hat er manuell die pfSense als Gateway oder etwas anderes?

    3+4) wenn du die Firewall komplett deaktivierst verlierst du auch NAT, oder ist mit "deaktivieren" nur pass any Regeln gemeint?

    Ein Outbound NAT ist an der Stelle gecheatet und löst dein Problem indirekt. Da es aber dein Problem löst, denke ich sehr, dass 1) dein Problem darstellt und du die vollständige Route nicht korrekt hast auf LAN2.



  • Hallo JeGr,

    dass ein Deaktivieren der Firewall das NAT aufhebt, erklärt das ein oder andere  ;D.

    So sieht mein Netz momentan aus:

    192.168.1.81 und virtuell 10.49.0.81 (vom Kunden) ping ok
                                                                              |
                                                                          LAN2
                                                                    192.168.1.0/24–------(192.168.1.2 default GW für dieses Netz/von mir nicht einsehbar) ---------- VPN ------------Server Kunde A 10.49.0.181(ping nicht ok)
                                                                              |
                                                                              |
                                                    (192.168.1.3 und virtual: 10.49.0.84/28)
                                                                              |
                                                                              |
                                                                              |
    LAN1 192.168.11.0 /24 --------(192.168.11.110 pfSense 192.168.33.116 WAN)-----
                                                                                                                            |
                                                                                                                            |
                                                                                                                            default GW 192.168.33.1 (router/Fritzbox 1) ----- ISP
                                                                                                                            |
                                                                                                                            |
                                                                                                                192.168.33.0/24
                                                                                                                            |
                                                                                                                            192.168.33.2 (router/Fritzbox 2) ----|        |---- 192.168.179.1 Gastzugang der Fritzbox--------- VPN------ 10.112.116.0/24
                                                                                                                                          |                                                                  |                                                                                      |
                                                                                                                                          |                                                                  |                                                                                      |
                                                                                                                                          |                                                                  |                                                                                      |
                                                                                                                                            ---------------GW 192.168.33.3 router ----------                                                                        Server Kunde B 10.112.116.220

    Ich habe eine pfSense mit 3 Schnittstellen:

    1. LAN 1 192.168.11.110  für mein Netz 192.168.11.0/24
    2. LAN 2 192.168.1.3 für ein Kundennetz 192.168.1.0/24
          mit einer virtuellen IP 10.49.0.84
    3. LAN 3 = WAN 192.168.33.116  als Übergang zu einem Kundennetz 192.168.33.0/24

    Ich vermute, dass ein großes Problem die Rückrouten sind, da meine pfSense nur für mein LAN 1 das default GW ist.

    Nun habe ich zwei Baustellen:
    Server Kunde A mit 10.49.0.181 und
    Server Kunde B mit 10.112.116.220

    Lösungsansatz Kunde A:
    Hierfür habe ich den Router des Kunden (192.168.33.3) als GW bei pfSense eingetragen.
    Der Router reagiert auf ping von LAN1 aus und der pfSense aus.

    Nun möchte ich Zugriff auf den Kundenserver A 10.112.116.220 erhalten.

    Dafür habe ich eine Route unter System -> Routes eingetragen.
    Network: 10.112.116.0/24
    Gateway: 192.168.33.3
    Interface: WAN (192.168.33.116)

    Da wahrscheinlich derKundenserver A noch die passende Rückroute braucht, wundert es mich nicht, dass ping erfolglos verläuft.

    Was mich wundert, ist dass Traceroute als ersten hop die 192.168.33.1 bringt und nicht wie von mir erwartet die 192.168.33.3, wie bei Routes eingetragen.
    Auch beim Kunden B, dort erwarte ich als ersten hop die 192.168.2.1 und es erscheint auch hier die 192.168.33.1, also immer mein default GW.
    Setze ich die Routen falsch?

    Diagnostic -> Routes liefert folgendes Ergebnis:

    IPv4
    Destination	   Gateway	         Flags	      Use	        Mtu	    Netif	  	 
    default	           fritz.box	         UGS	             6292684	1500	    em1
    10.49.0.0	   192.168.1.2	         UGS	             0	                1500	    em2
    10.49.0.80/28	   link#3	         U	             6	                1500	    em2
    10.49.0.84	     link#3	         UHS              0	                16384   lo0
    10.101.0.0	     192.168.33.3	    UGS	             0	                1500	    em1
    10.112.116.0	   192.168.33.3	  UGS	     63	        1500	em1
    
    192.168.1.0	    link#3	         U	            423082	1500	em2
    192.168.1.3	    link#3	         UHS	0	16384	lo0
    192.168.11.0	    link#1	         U	3844608	1500	em0
    
    192.168.33.0	    link#2	         U	1273765	1500	em1
    192.168.33.116	    link#2	         UHS	0	16384	lo0