Modem vor pfSense nicht verwaltbar
-
Moin,
so jetzt mal alle offenen Fragen beantworten:
Die Bridge verbindet WLAN und LAN. pfSense ist zeitglich Access Point und die Bridge verbindet dieses (W)LAN mit dem kabelgebundenen. Wobei das ja im Prinzip egal ist. Meine Regeln greifen hier dann auf die LANWLANBRIDGE und nicht direkt auf LAN.
Der Vigor 130 läuft als Modem. Die Einwahl und Routing Funktion übernimmt pfSense (PPPoE).
Als Regeln sind die "Default to any" Regeln auf der Bridge aktiv mit Freigabe für any Protokolle. Auf dem Netz für das Modem (DSLMODEM) gibt es ebenfalls eine net to any Freigabe ohne Beschränkungen auf Protokolle.
Was mich wundert ist, dass ich im Log keinen Block etc. sehe. Ich sehe, dass die Anfrage raus geht jedoch scheinbar nichts zurück kommt. Hier der Auszug von Packet Caputre (hab das Subnetz auf .1.0/24 geändert!):
07:50:20.811544 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:23.811448 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:27.011600 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:30.211921 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:36.065321 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0 07:50:39.064917 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0 07:50:42.264968 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0 07:50:45.464527 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0
Gehe ich ins Sytem Log -> Firewall sehe ich die durchgelassenen Pakete von der LANWLANBRIDGE zu DSLMODEM. Was ich nicht sehe sind die Antwortpakete und auch hier keine Blocks.
-
Hallo!
Die Bridge verbindet WLAN und LAN. pfSense ist zeitglich Access Point und die Bridge verbindet dieses (W)LAN mit dem kabelgebundenen. Wobei das ja im Prinzip egal ist. Meine Regeln greifen hier dann auf die LANWLANBRIDGE und nicht direkt auf LAN.
Damit das wirklich so funktioniert, wie du dir das vorstellst, musst du aber entsprechende Einstellungen setzen. Lies hier nach: https://doc.pfsense.org/index.php/Interface_Bridges
Was mich wundert ist, dass ich im Log keinen Block etc. sehe. Ich sehe, dass die Anfrage raus geht jedoch scheinbar nichts zurück kommt. Hier der Auszug von Packet Caputre (hab das Subnetz auf .1.0/24 geändert!):
Das Logging der Default-deny Regel in den Log-Einstellungen aktiviert?
Gehe ich ins Sytem Log -> Firewall sehe ich die durchgelassenen Pakete von der LANWLANBRIDGE zu DSLMODEM. Was ich nicht sehe sind die Antwortpakete und auch hier keine Blocks.
Wie schon gestern erwähnt, Packet Capture bringt hier Gewissheit. Schau dir an ob und mit welcher Quell- und Ziel-IP die Pakete die DSLMODEM Schnittstelle verlassen.
-
Damit das wirklich so funktioniert, wie du dir das vorstellst, musst du aber entsprechende Einstellungen setzen. Lies hier nach: https://doc.pfsense.org/index.php/Interface_Bridges
Ja, gibt auch eine Interfacegruppe. Grundsätzlich funktioniert ja alles wie im Internet surfen etc…
Das Logging der Default-deny Regel in den Log-Einstellungen aktiviert?
Ja.
Wie schon gestern erwähnt, Packet Capture bringt hier Gewissheit. Schau dir an ob und mit welcher Quell- und Ziel-IP die Pakete die DSLMODEM Schnittstelle verlassen.
Wie oben schon gepostet hier noch einmal:
13:30:41.915832 IP 192.168.1.2.37397 > 192.168.1.1.80: tcp 0 13:30:44.915636 IP 192.168.1.2.37397 > 192.168.1.1.80: tcp 0 13:30:48.115631 IP 192.168.1.2.37397 > 192.168.1.1.80: tcp 0
Es fehlen einfach die Rückantworten. Und diese sehe ich hier nicht und geblockt wird auch nichts (wobei diese Pakete hier ja zu sehen sein müssten…
Bin hier langsam etwas ratlos...
-
Ja, es kommen keine Antworten vom Vigor.
192.168.1.2 ist nun deine DSLMODEM IP?Dass der Router nicht antwortet, würde ich so interpretieren, als dass er sich nicht dem Netz 192.168.1.0/24 zugehörig fühlt und die Antwort zu seinem Upstream-Gateway schickt.
In dem anderen Thread war das gleiche Problem und mit einem PC dran anstatt der pfSense ging es, aber eben ohne gleichzeitiger PPPoE Verbindung. Da wurde auch der Verdacht geäußert, dass der Router PPPoE und IP nicht gleichzeitig an einer Schnittstelle macht. Doch -flo- hatte es mit gleichem Gerät zu Wege gebracht, offenbar ohne besondere Tricks. -
192.168.1.2 ist nun deine DSLMODEM IP?
Ja. Und der Vigor hat die 192.168.1.1
Naja das vorgehen ist aber so auch im Howto beschrieben. Irgendwie geht es also… Irgendwie schon komisch da ja die ICMP Pakete geroutet werden können. Aber vielleicht verrät uns -flo- den Trick :-D
-
Ich würde ja gerne "den Trick verraten", aber ich fürchte, da gibt es gar keinen. So viel habe ich gar nicht konfiguriert.
1. Auf dem Port (bei mir vr1), wo das WAN-Interface sitzt, habe ich zusätzlich das MODEM-Interface angelegt. (Das heißt bei Dir DSLMODEM.) Das hat static IPv4 mit der Adresse 192.168.1.2, keine Haken bei "block private networks" und "block bogon networks.
2. Bei NAT habe ich eine manuelle Outbound-NAT-Regel angelegt. Interface: Modem, Source ist mein LAN, Destination ist 192.168.1.0/24, NAT Address ist "Modem address", Static Port NO.
3. Firewall: Im LAN habe ich eine Regel, die Zugriff auf das MODEM Netzwerk erlaubt. Im Interface MODEM habe ich gar keine Firewall-Regeln.
Das war's. Das steht m.E aber auch alles mehr oder weniger klar in der Anleitung drin.
Eine Bridge habe ich nicht konfiguriert.
Ich kann im Browser die Modem-Adresse eingeben (192.168.1.1) und ich bin auf der Admin-Seite des Modems.
-flo-
-
Da der Vigor per ping erreichbar ist scheint das Problem doch eher am Transport des Port 80 bzw. 443 zu scheitern oder?
Wird eventuell ein Squid eingesetzt der das ganze "aussiebt"? Dann wäre einem Kontrolle dort sinnvoll. Ggf unter ACL die safeports setzen falls abweichend vom 80 oder 443 oder wenn ebenso vorhanden im Squid Guard einen Eintrag unter Target Category setzen.
Zur Probe würde ich eventuell nochmal die LAN Adresse bzw Adressen des Vigor als Destination mit any Port von LAN aus freigeben. Vielleicht die Flags auf any zusätzlich setzen bei der Gelegenheit?
Grüße
-
Nein, ein Squid ist nicht aktiv…
Das hab ich gemacht. Kein Erfolg. Scheinbar bin ich zu blöd dafür. :(
-
Hi,
habe das hier mit Interesse verfolgt, weil ich das schon mal vor ein paar Jahren machen wollte. Irgendwie ist aber nix draus geworden und ich habe erst jetzt nach diesem Thread nochmal angegriffen. Es geht … nicht ... doch ... ?!
Ich war schon am verzweifeln. Habe das, genau wie meine Leidensgenossen und in der Doku beschrieben, aufgesetzt. Habe es vielleicht den allerersten Versuch nicht ganz exakt so gemacht wie beschrieben. Erst ging es nicht, dann ein bisschen (Zugriff auf Modem sehr, sehr langsam, teilweise unvollständige Webseite ...), dann ging es. Kurz halt. Nach Reboot nicht mehr. Ich muss sagen ich bring es im nachhinein gar nicht mehr genau zusammen warum und weshalb, weil ich neben logischen Sachen irgendwann auch alle unlogischen Sachen durch hatte (z.B. drehen an der MTU etc.). Irgendwann sieht man den Wald vor lauter Bäumen nicht. An dem Tag waren es dutzende Versuche.
Am nächsten Tag hab ich es dann sogar geschafft, das Ganze Ding komplett gegen die Wand zu fahren. Internet ging dann auch nicht mehr. Prima. Hab mir eine Sicherung der pfSense heraus gekramt und diese wiederhergestellt.
Ich glaube ich habe dann 5 x hintereinander immer wieder versucht das einzurichten. Und zwar !!!exakt!!! immer auf die gleiche Art und Weise, ausgehend von der Sicherung. Immer mit mäßigem (langsame nur teilweise geladene Seiten, Ping hat aber prima funktioniert) oder gar keinem Erfolg. Nachdem ich schon gar nicht mehr daran geglaubt hatte, bei meinem letzten Versuch, bevor ich die Flinte in's Korn werfen wollte, gings dann!
Ganz ungläubig einen Reboot gemacht, ging immer noch. Aktuelle Config gesichert ... geht immer noch. Ich kann euch also leider keinen Tipp geben, was ihr tun könnt, außer es vielleicht auch ein paar mal hintereinander zu probieren. Mit einer Sicherung zu einem Zeitpunkt, bevor ihr angefangt habt da rum zu konfigurieren.
So erfolgsverwöhnt, habe ich mich in der Firma daran gemacht, das gleiche dort auch umzusetzen. Dort ist ein wesentlich komplizierteres Setup mit diversen Subnetzen, die erst hinter weiteren Routern zu erreichen sind. Es hat auf's erste mal geklappt.
Vielleicht kann ich euch so nochmal Hoffnung machen. Hatte es zuvor an 2 Tagen stundenlang nicht bzw. nur teilweise funktionierend hingebracht. Bei den letzen 5 Versuchen bin ich mir wie gesagt auch sicher, alles immer einheitlich gleich gemacht zu haben. Dennoch ging es 4x vorher nicht?!
Ich weiss nicht - vielleicht gäbe es nochwas was mir hätte auffallen können. Mir ist aber nix aufgefallen. Die NAT Regel war's sicher nicht, die bete ich Dir jetzt im Schlaf runter.
Viel Glück!
-
Nachtrag: Ein klitzekleines Problem habe ich noch. Der Zugriff auf's Modem aus dem LAN geht übrigens nur per IP. Ich habe in Unbound ein static Mapping hinterlegt. Wenn ich vom LAN da hin pinge, wird der Name auch in die korrekte IP aufgelöst (die im Browser funktioniert). Greife ich aber per http://modem.daheim.local zu, gehts nicht. Vielleicht probiert ihr es auch erst mal mit der IP aus.
Vielleicht kann mir einer hierzu noch einen Tipp geben, sonst mach ich mal ein Post im englischen Bereich, glaube das liegt irgendwie an Unbound in Verbindung mit der WebGUI. Auf jeden Fall will er meinen HTTP Zugriff in HTTPS verbiegen. Dass kann gar nicht das Modem sein, das ist für HTTPS nämlich zu doof. Das macht die pfSense …
-
Bei mir läuft das auch problemlos mit dem Vigor 130.
Einziger Unterschied, ich mache kein NAT. Im Vigor kannst du auch Routen zu deinen LAN IP Bereichen setzen und deswegen darauf verzichten.
Es geht aber natürlich auch mit NAT.Ist jetzt nicht so hilfreich, außer dass es eigentlich klappen sollte ;D
-
Hallo,
ich habe das Problem gelöst. Wie? Andere NIC!
Bisher war als USB-NIC eine DLINK-E100 dran. Diese hat funktioniert aber kommt scheinbar nicht damit zu recht, wenn PPPoE und LAN über sie laufen soll. Jetzt verwende ich eine Plugable USB 2.0 NIC mit einem ASIX AX88772-Chipsatz. Hier funktioniert der Zugriff auf das Modem umgehend…