PfSense nach Änderung von "Block private networks and loopback addresses" nicht mehr erreichbar

Mitglied: vafk18
Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht.
Nach dem Bestätigen war die Benutzeroberfläche der pfSense nicht mehr über HTTPS (öffentliche IP Adresse) erreichbar (Ping antwortet nicht). Auch der VPN-Tunnel war down.

Hat die Veränderung damit zu tun oder hat sich die pfSense einach nur aufgehängt?

Ich habe Probleme dieser Art schon einige Male gehabt und möchte daher die pfSense über einen Rechner im lokalen Netzwerk steuern können, der von außen über Remote-Control verbunden ist.

Wenn die am VDSL hängende pfSense aufgrund von falscher Konfiguration, VDSL-Ausfall oder Stromausfall nicht mehr von außen zu erreichen ist, soll das Netzwerk über LTE erreichbar sein. Dies würde ich mit einem kleinen "Schnellstart-Router"/LTE von Huawei/Telekom realisieren. Ich habe dazu eine minimale Linux-Installation mit Pepermint auf einem IGEL H710C aufgesezt und AnyDesk installiert.

Zusätzlich überlege ich ich, die pfSense über eine IP-Steckdose aus- und einschalten zu können, sollte diese hängen. Wobei das wohl bei einer guten Konfiguration eigentlich nie der Fall werden sollte.

Für jegliche Tipps in diese Richtung wäre ich dankbar.

Vielen Dank!

Content-Key: 1421103682

Url: https://administrator.de/contentid/1421103682

Ausgedruckt am: 27.11.2021 um 12:11 Uhr

Mitglied: hacktor
hacktor 23.10.2021 aktualisiert um 12:16:55 Uhr
Goto Top
Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht.
OK, eigentlich eine Einstellung die man nicht jeden Tag neu setzt sondern einmal beim First-Setup.
Nach dem Bestätigen war die Benutzeroberfläche der pfSense nicht mehr über HTTPS (öffentliche IP Adresse) erreichbar (Ping antwortet nicht). Auch der VPN-Tunnel war down.
Da hat die pfSense wohl das Interface resettet oder einen Dienst neu gestartet.

Hat die Veränderung damit zu tun oder hat sich die pfSense einach nur aufgehängt?
Schau halt mal in deine Logs, statt zu raten.

Ich habe Probleme dieser Art schon einige Male gehabt und möchte daher die pfSense über Remote-Controle steuern. Wenn die am VDSL hängende pfSense aus was für Gründen (Konfiguration, VDSL-Ausfall, Stromausfall) nicht zu erreichen ist, soll das Netzwerk über LTE erreichbar sein. Dies könnte ich mit einem kleinen LTE-Router (Huawei) von der Telekom realisieren.
Eine Backup-Leitung in der Hinterhand zu haben ist immer eine gute Idee wenn man auf unerwartete Fehler vorbereitet sein will. Ansonsten gilt die Devise: Einstellungen vorher zur Sicherheit in einer VM mit ähnlichem Setup testen, oder Einstellung via Konsole triggern und als Fallback die Einstellung automatisch nach 15 Minuten Rückgängig machen, sollte die Einstellung einen Einfluss auf die Erreichbarkeit gehabt haben. Kommt man innerhalb dieser Zeit wieder rein, kann man diesen automatischen Timer ja vorzeitig abbrechen.
Mitglied: vafk18
vafk18 23.10.2021 aktualisiert um 12:18:56 Uhr
Goto Top
@hacktor
Ich habe hier (sagen wir am Ort "Extern") die gleiche pfSense, bei der ich den Haken ebenfalls entfernt habe und dann die Funktion von meinem Smartphone aus dem LTE gestestet. Daraufhin habe ich an der pfSense, die ich per VPN (IPSec) verwalte, den Haken entfernt und die Einstellung gespeichert. Ab da war sie nicht mehr zu erreichen. Erst wenn ich morgen zu Hause zurück bin, kann ich den Logs sehen, was los ist. Ich wollte gerne vorher wissen, falls diese Einstellung generell dazu führt, daß die pfSense dann gar nicht zu erreichen ist, weshalb das so ist. Insbesondere, da die hiesige pfSense das Problem nicht hatte und die Konfiguration der beiden pfSenses nahezu identisch ist.
Mitglied: hacktor
hacktor 23.10.2021 aktualisiert um 12:46:48 Uhr
Goto Top
Ich wollte gerne vorher wissen, falls diese Einstellung generell dazu führt, daß die pfSense dann gar nicht zu erreichen ist, weshalb das so ist.
Naja es ist ja erst mal eine Interface-Einstellung die beim anschließenden "Apply" ein Restart des Interfaces auslöst und die Firewall-Regel für die RFC-Netze entfernt, somit auch bestehende Verbindungen über WAN kappt wozu auch VPN Verbindungen gehören (man sägt eben kurzzeitig den Ast ab auf dem man sitzt). Das die pfSense dann danach nicht mehr erreichbar ist und du keine Verbindung mehr per VPN herstellen kannst, ist nicht normal, was das aber letztendlich ausgelöst hat wird dir dein Log-Studium dann sicher verraten :-) face-smile.
Vielleicht hat sie beim Restart des WAN eine neue IP-Adresse bekommen und der DynDNS-Dienst hat sie nicht aktualisiert so dass du jetzt mit falschen DNS-Informationen versuchst sie zu erreichen. So ganz ohne weitere Config-Info ist das hier verständlicherweise Glaskugel raten...
Mitglied: vafk18
vafk18 23.10.2021 um 13:47:45 Uhr
Goto Top
Damit hast Du vermutlich Recht, denn ich habe mir die letzte öffentliche IP aufgeschrieben, bevor ich "apply" bestätigt habe. Morgen weiß ich es denn genau.

Falls Du noch meine Idee kommentieren möchtest, meinen "neuen" IGEL mit dem Schnellstart-Router der Telekom und Anydesk als "Hintertür" für mein Netzwerk einzusetzen, nur zu :-) face-smile Der kleine Linux-PC ist einsatzbereit. Hoffentlich bekomme ich das Huawei über USB eingebunden, denn WLAN hat der IGEL nicht...
Mitglied: hacktor
hacktor 23.10.2021 aktualisiert um 15:55:19 Uhr
Goto Top
Zitat von @vafk18:
Damit hast Du vermutlich Recht, denn ich habe mir die letzte öffentliche IP aufgeschrieben, bevor ich "apply" bestätigt habe.
Hä warum machst du das manuell?? Nutze doch Dynamic-DNS ... Frage wäre dann auch wie du dein VPN so konfiguriert hast das es auch immer zuverlässig connecten kann wenn du kein Dynamic DNS verwendest und auch keine feste IP? ... Lässt du dir die IP immer erst von einer Brieftaube zuschicken? :-D face-big-smile
Mitglied: vafk18
vafk18 29.10.2021 um 01:02:31 Uhr
Goto Top
@hacktor
Ich habe DynDNS bei meiner Strato-Domäne eingerichtet. Allerdings hat dies am Anfang nicht einwandfrei bzw. nicht immer geklaptt. Jetzt läuft es seit einer Woche stabil. Aber ich bin auch wieder am Hauptstandort, kein Wunder :-) face-smile
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement7 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Reinigung der Apple Watch gelöst honeybeeVor 19 StundenFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
HP Notebook startet nicht mehrben1300Vor 21 StundenFrageHardware5 Kommentare

Hallo zusammen, mein HP Notebook Modell 17-ca1300ng startet nicht mehr. Wenn ich den Power Knopf drücke, blinkt die LED neben der Ladebuchse 3x weiß. Jemand ...