Modem vor pfSense nicht verwaltbar
-
Hallo,
ich habe hier ein komisches Problem, welches ich nicht so richtig verstehe. Ich habe folgendes Netzwerksetup mit einem Vigor 130 und pfSense
Internet <-> Vigor 130 <--------------> pfSense <---------------> LAN 192.168.1.1/24 192.168.2.2/24 192.168.83.0/24 192.168.2.1/24 192.168.83.1/24
Eingerichtet habe ich das Ganze wie im HowTo von pfSense beschrieben (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall). Ich kann auch problemlos den Vigor von pfSense als auch von innerhalb des Netzes anpingen. Dies funktioniert (nach entsprechender Konfiguration) sowohl mit dem .1.0/24 als auch mit dem .2.0/24 Netz (der Vigor kann ja zwei Lans). Was nicht geht ist der Zugriff auf das Webinterface.
Stecke ich meinen Laptop direkt an den Vigor und passe die Netzeinstellungen an, komme ich ohne Probleme auf die Oberfläche.
Kurz gefragt: Warum? Was mache ich hier falsch?
Schon einmal vielen Dank!
-
Hallo,
keine Ahnung, wofür die 192.168.1.1/24 am Vigor gut ist, aber über die 192.168.2.1 sollte er erreichbar sein.
Überprüfe mal 3 Dinge, die hier essentiell sind:
-
In der Einstellung des WAN Interfaces unten der Haken bei "block private networks" raus.
-
Hast du eine Firewall-Regel am LAN, die den Zugriff erlaubt? Wenn du noch nichts verändert hast, sollte es am LAN eine Regel geben, die alles erlaubt (pass any-to-any).
-
In Firewall > NAT > Outbound müsste eine Regel sein wie
WAN <lan netz=""> * * * WAN address * NO</lan>
Hier ist aber die Frage, was nun deine WAN address ist, 192.168.2.2 oder 192.168.83.1? Es muss die erste sein, damit die pfSense mit dem Vigor sprechen kann. Wenn es so ist, klicke mal oben auf save und hoffe, dass die Regel erstellt wird. Wenn es die zweite ist, klicke auf "Manual Outbound rule generation" und save und editiert die Regel dahingehend.
-
-
Hallo viragomann,
danke für deine Antwort. Der Vigor hat zwei IP-Netze. Direkt mit dem Laptop an diesen ran kann ich das Interface problemlos erreichen (muss halt das entsprechende Subnetz am Laptop einstellen). Hier verwende ich jetzt das 2.0/24 Netz was gehen sollte…
In der Einstellung des WAN Interfaces unten der Haken bei "block private networks" raus.
Ist deaktiviert
Hast du eine Firewall-Regel am LAN, die den Zugriff erlaubt? Wenn du noch nichts verändert hast, sollte es am LAN eine Regel geben, die alles erlaubt (pass any-to-any).
Ja. Ich bin zwar auf einer Bridge aber die Regel ist erlaubt.
In Firewall > NAT > Outbound müsste eine Regel sein wie
Auch vorhanden und eingerichtet wie im HowTo.
Hier ist aber die Frage, was nun deine WAN address ist, 192.168.2.2 oder 192.168.83.1?
WAN ist PPPoE. Für das 2.0/24 Netz habe ich ein zusätzliches Interface auf der NIC angelegt, auf der auch PPPoE läuft.
Wenn es eine fehlerhaft oder fehlende Regel wäre, dann dürfte doch auch der Ping nicht funktionieren. Oder sehe ich das falsch?
-
Na, das hast du ja vorher einige Details nicht verraten.
Der Ping von der pfSense unterliegt einer eigenen Regel, der mit 127.0.0.0/8 als Quelladresse, aber wenn die "Translation address" die gleiche ist, hat es dieselbe Auswirkung und sollte dann auch für LAN passen. Eine Regel für das LAN-Subnetz muss dafür aber vorhanden sein.
Für einen ISP Router mit PPPoE Verbindung und einem "Management-Netz" gibt es hier bereits Threads, auch im deutschen Forum, und andere Experten mit Erfahrung.
-
Hallo,
wenn ich doch Diagnostics -> Ping die Source Address auswähle sollte das doch entsprechend greifen. Hier geht ja auch, wie erwartet, nur das BRIDGE-Device und Default. So hab ich das auch erwartet.
Die Outbound Rule ist angelegt (siehe Screenshots). Nehme ich das raus geht auch der Ping nicht mehr. Also scheint das zu funktionieren. So ist es ja auch im Howto angegeben…
-
Hallo,
ja, wenn du beim Ping als Source die Bridge angibst, wird deren IP verwendet und die gleiche Outbound NAT Regel angewandt wie für einen LAN-Host, die LAN Firewall-Regeln kommen aber nicht zur Anwendung.
Ich nehme an, Internet funktioniert von dem LAN-Host aus, von welchem du den Vigor zu erreichten versuchst.
Ich würde mir mal mit "Packet Capture" aus dem Diagnostic Menü ansehen, was da beim Ping passiert, einmal an der Bridge und dann am DSLModem Interface.
Apropos Bridge, was ist denn da eigentlich gebrückt? Wohl nichts am WAN Interface?Wie zuvor erwähnt, es gab hier im Herbst einen Thread zum gleichen Thema. Den hab ich nun mal rausgesucht, der TO hatte auch alles richtig konfiguriert und es funktionierte dennoch nicht. Doch im letzten Post da schreibt -flo-, dass er diese Sache genau mit einem Vigor 130 hinbekommen hat:
https://forum.pfsense.org/index.php?topic=100831.msg574683#msg574683
Du kannst es ja mal mit einer PN an ihn versuchen. -
Hi, ich bin aus den posts noch nicht ganz schlau geworden. Betreibst Du das Vigor eigentlich als Modem oder als Router? Also bekommt die pfSense eine öffentliche IP-Adresse oder eine private vom Vigor?
Die zitierte Anleitung und die folgenden Kommentare sind nur für Modem-Betrieb relevant.
Im LAN brauchst Du eine Regel, die den Traffic an das Modem rausläßt. Wie sieht die aus? Konkret welche Protokolle erlaubt die? Ganz konkret: Ist evtl. ICMP erlaubt und TCP verboten?
Wozu brauchst Du eine Bridge in dem Setup?
Du kannst übrigens am WAN-Interface die "block private networks" drinlassen, der Traffic für das Modem geht über Dein DSLMODEM Interface raus. Hierfür brauchst Du keine Firewall-Regeln.
-
Moin,
so jetzt mal alle offenen Fragen beantworten:
Die Bridge verbindet WLAN und LAN. pfSense ist zeitglich Access Point und die Bridge verbindet dieses (W)LAN mit dem kabelgebundenen. Wobei das ja im Prinzip egal ist. Meine Regeln greifen hier dann auf die LANWLANBRIDGE und nicht direkt auf LAN.
Der Vigor 130 läuft als Modem. Die Einwahl und Routing Funktion übernimmt pfSense (PPPoE).
Als Regeln sind die "Default to any" Regeln auf der Bridge aktiv mit Freigabe für any Protokolle. Auf dem Netz für das Modem (DSLMODEM) gibt es ebenfalls eine net to any Freigabe ohne Beschränkungen auf Protokolle.
Was mich wundert ist, dass ich im Log keinen Block etc. sehe. Ich sehe, dass die Anfrage raus geht jedoch scheinbar nichts zurück kommt. Hier der Auszug von Packet Caputre (hab das Subnetz auf .1.0/24 geändert!):
07:50:20.811544 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:23.811448 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:27.011600 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:30.211921 IP 192.168.1.2.42232 > 192.168.1.1.80: tcp 0 07:50:36.065321 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0 07:50:39.064917 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0 07:50:42.264968 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0 07:50:45.464527 IP 192.168.1.2.46347 > 192.168.1.1.80: tcp 0
Gehe ich ins Sytem Log -> Firewall sehe ich die durchgelassenen Pakete von der LANWLANBRIDGE zu DSLMODEM. Was ich nicht sehe sind die Antwortpakete und auch hier keine Blocks.
-
Hallo!
Die Bridge verbindet WLAN und LAN. pfSense ist zeitglich Access Point und die Bridge verbindet dieses (W)LAN mit dem kabelgebundenen. Wobei das ja im Prinzip egal ist. Meine Regeln greifen hier dann auf die LANWLANBRIDGE und nicht direkt auf LAN.
Damit das wirklich so funktioniert, wie du dir das vorstellst, musst du aber entsprechende Einstellungen setzen. Lies hier nach: https://doc.pfsense.org/index.php/Interface_Bridges
Was mich wundert ist, dass ich im Log keinen Block etc. sehe. Ich sehe, dass die Anfrage raus geht jedoch scheinbar nichts zurück kommt. Hier der Auszug von Packet Caputre (hab das Subnetz auf .1.0/24 geändert!):
Das Logging der Default-deny Regel in den Log-Einstellungen aktiviert?
Gehe ich ins Sytem Log -> Firewall sehe ich die durchgelassenen Pakete von der LANWLANBRIDGE zu DSLMODEM. Was ich nicht sehe sind die Antwortpakete und auch hier keine Blocks.
Wie schon gestern erwähnt, Packet Capture bringt hier Gewissheit. Schau dir an ob und mit welcher Quell- und Ziel-IP die Pakete die DSLMODEM Schnittstelle verlassen.
-
Damit das wirklich so funktioniert, wie du dir das vorstellst, musst du aber entsprechende Einstellungen setzen. Lies hier nach: https://doc.pfsense.org/index.php/Interface_Bridges
Ja, gibt auch eine Interfacegruppe. Grundsätzlich funktioniert ja alles wie im Internet surfen etc…
Das Logging der Default-deny Regel in den Log-Einstellungen aktiviert?
Ja.
Wie schon gestern erwähnt, Packet Capture bringt hier Gewissheit. Schau dir an ob und mit welcher Quell- und Ziel-IP die Pakete die DSLMODEM Schnittstelle verlassen.
Wie oben schon gepostet hier noch einmal:
13:30:41.915832 IP 192.168.1.2.37397 > 192.168.1.1.80: tcp 0 13:30:44.915636 IP 192.168.1.2.37397 > 192.168.1.1.80: tcp 0 13:30:48.115631 IP 192.168.1.2.37397 > 192.168.1.1.80: tcp 0
Es fehlen einfach die Rückantworten. Und diese sehe ich hier nicht und geblockt wird auch nichts (wobei diese Pakete hier ja zu sehen sein müssten…
Bin hier langsam etwas ratlos...
-
Ja, es kommen keine Antworten vom Vigor.
192.168.1.2 ist nun deine DSLMODEM IP?Dass der Router nicht antwortet, würde ich so interpretieren, als dass er sich nicht dem Netz 192.168.1.0/24 zugehörig fühlt und die Antwort zu seinem Upstream-Gateway schickt.
In dem anderen Thread war das gleiche Problem und mit einem PC dran anstatt der pfSense ging es, aber eben ohne gleichzeitiger PPPoE Verbindung. Da wurde auch der Verdacht geäußert, dass der Router PPPoE und IP nicht gleichzeitig an einer Schnittstelle macht. Doch -flo- hatte es mit gleichem Gerät zu Wege gebracht, offenbar ohne besondere Tricks. -
192.168.1.2 ist nun deine DSLMODEM IP?
Ja. Und der Vigor hat die 192.168.1.1
Naja das vorgehen ist aber so auch im Howto beschrieben. Irgendwie geht es also… Irgendwie schon komisch da ja die ICMP Pakete geroutet werden können. Aber vielleicht verrät uns -flo- den Trick :-D
-
Ich würde ja gerne "den Trick verraten", aber ich fürchte, da gibt es gar keinen. So viel habe ich gar nicht konfiguriert.
1. Auf dem Port (bei mir vr1), wo das WAN-Interface sitzt, habe ich zusätzlich das MODEM-Interface angelegt. (Das heißt bei Dir DSLMODEM.) Das hat static IPv4 mit der Adresse 192.168.1.2, keine Haken bei "block private networks" und "block bogon networks.
2. Bei NAT habe ich eine manuelle Outbound-NAT-Regel angelegt. Interface: Modem, Source ist mein LAN, Destination ist 192.168.1.0/24, NAT Address ist "Modem address", Static Port NO.
3. Firewall: Im LAN habe ich eine Regel, die Zugriff auf das MODEM Netzwerk erlaubt. Im Interface MODEM habe ich gar keine Firewall-Regeln.
Das war's. Das steht m.E aber auch alles mehr oder weniger klar in der Anleitung drin.
Eine Bridge habe ich nicht konfiguriert.
Ich kann im Browser die Modem-Adresse eingeben (192.168.1.1) und ich bin auf der Admin-Seite des Modems.
-flo-
-
Da der Vigor per ping erreichbar ist scheint das Problem doch eher am Transport des Port 80 bzw. 443 zu scheitern oder?
Wird eventuell ein Squid eingesetzt der das ganze "aussiebt"? Dann wäre einem Kontrolle dort sinnvoll. Ggf unter ACL die safeports setzen falls abweichend vom 80 oder 443 oder wenn ebenso vorhanden im Squid Guard einen Eintrag unter Target Category setzen.
Zur Probe würde ich eventuell nochmal die LAN Adresse bzw Adressen des Vigor als Destination mit any Port von LAN aus freigeben. Vielleicht die Flags auf any zusätzlich setzen bei der Gelegenheit?
Grüße
-
Nein, ein Squid ist nicht aktiv…
Das hab ich gemacht. Kein Erfolg. Scheinbar bin ich zu blöd dafür. :(
-
Hi,
habe das hier mit Interesse verfolgt, weil ich das schon mal vor ein paar Jahren machen wollte. Irgendwie ist aber nix draus geworden und ich habe erst jetzt nach diesem Thread nochmal angegriffen. Es geht … nicht ... doch ... ?!
Ich war schon am verzweifeln. Habe das, genau wie meine Leidensgenossen und in der Doku beschrieben, aufgesetzt. Habe es vielleicht den allerersten Versuch nicht ganz exakt so gemacht wie beschrieben. Erst ging es nicht, dann ein bisschen (Zugriff auf Modem sehr, sehr langsam, teilweise unvollständige Webseite ...), dann ging es. Kurz halt. Nach Reboot nicht mehr. Ich muss sagen ich bring es im nachhinein gar nicht mehr genau zusammen warum und weshalb, weil ich neben logischen Sachen irgendwann auch alle unlogischen Sachen durch hatte (z.B. drehen an der MTU etc.). Irgendwann sieht man den Wald vor lauter Bäumen nicht. An dem Tag waren es dutzende Versuche.
Am nächsten Tag hab ich es dann sogar geschafft, das Ganze Ding komplett gegen die Wand zu fahren. Internet ging dann auch nicht mehr. Prima. Hab mir eine Sicherung der pfSense heraus gekramt und diese wiederhergestellt.
Ich glaube ich habe dann 5 x hintereinander immer wieder versucht das einzurichten. Und zwar !!!exakt!!! immer auf die gleiche Art und Weise, ausgehend von der Sicherung. Immer mit mäßigem (langsame nur teilweise geladene Seiten, Ping hat aber prima funktioniert) oder gar keinem Erfolg. Nachdem ich schon gar nicht mehr daran geglaubt hatte, bei meinem letzten Versuch, bevor ich die Flinte in's Korn werfen wollte, gings dann!
Ganz ungläubig einen Reboot gemacht, ging immer noch. Aktuelle Config gesichert ... geht immer noch. Ich kann euch also leider keinen Tipp geben, was ihr tun könnt, außer es vielleicht auch ein paar mal hintereinander zu probieren. Mit einer Sicherung zu einem Zeitpunkt, bevor ihr angefangt habt da rum zu konfigurieren.
So erfolgsverwöhnt, habe ich mich in der Firma daran gemacht, das gleiche dort auch umzusetzen. Dort ist ein wesentlich komplizierteres Setup mit diversen Subnetzen, die erst hinter weiteren Routern zu erreichen sind. Es hat auf's erste mal geklappt.
Vielleicht kann ich euch so nochmal Hoffnung machen. Hatte es zuvor an 2 Tagen stundenlang nicht bzw. nur teilweise funktionierend hingebracht. Bei den letzen 5 Versuchen bin ich mir wie gesagt auch sicher, alles immer einheitlich gleich gemacht zu haben. Dennoch ging es 4x vorher nicht?!
Ich weiss nicht - vielleicht gäbe es nochwas was mir hätte auffallen können. Mir ist aber nix aufgefallen. Die NAT Regel war's sicher nicht, die bete ich Dir jetzt im Schlaf runter.
Viel Glück!
-
Nachtrag: Ein klitzekleines Problem habe ich noch. Der Zugriff auf's Modem aus dem LAN geht übrigens nur per IP. Ich habe in Unbound ein static Mapping hinterlegt. Wenn ich vom LAN da hin pinge, wird der Name auch in die korrekte IP aufgelöst (die im Browser funktioniert). Greife ich aber per http://modem.daheim.local zu, gehts nicht. Vielleicht probiert ihr es auch erst mal mit der IP aus.
Vielleicht kann mir einer hierzu noch einen Tipp geben, sonst mach ich mal ein Post im englischen Bereich, glaube das liegt irgendwie an Unbound in Verbindung mit der WebGUI. Auf jeden Fall will er meinen HTTP Zugriff in HTTPS verbiegen. Dass kann gar nicht das Modem sein, das ist für HTTPS nämlich zu doof. Das macht die pfSense …
-
Bei mir läuft das auch problemlos mit dem Vigor 130.
Einziger Unterschied, ich mache kein NAT. Im Vigor kannst du auch Routen zu deinen LAN IP Bereichen setzen und deswegen darauf verzichten.
Es geht aber natürlich auch mit NAT.Ist jetzt nicht so hilfreich, außer dass es eigentlich klappen sollte ;D
-
Hallo,
ich habe das Problem gelöst. Wie? Andere NIC!
Bisher war als USB-NIC eine DLINK-E100 dran. Diese hat funktioniert aber kommt scheinbar nicht damit zu recht, wenn PPPoE und LAN über sie laufen soll. Jetzt verwende ich eine Plugable USB 2.0 NIC mit einem ASIX AX88772-Chipsatz. Hier funktioniert der Zugriff auf das Modem umgehend…