Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PF Sense - Keine Verbindung nach "außen"

Mitglied: mario89

mario89 (Level 1) - Jetzt verbinden

05.06.2020 um 12:44 Uhr, 285 Aufrufe, 14 Kommentare

Hallo Leute,

muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter.

Hintergrund ist, dass ich bei meiner PF Sense aus einem Netzwerk nicht nach "draußen" komme.


Folgender Aufbau:

WWW -> Modem -> PF Sense -> VLAN 20 / 50 / 60

Folgendes Fehlerbild habe ich :

Aus VLAN 20 / 50 komme ich ohne probleme in Netz. Nur mein VLAN 60 macht irgendwie Probleme.

Beschreibung:
Wenn ich mit dem VLAN verbinde, so bekomme ich eine IP Adresse von der Sense zugewiesen: 192.168.60.X
=> Die Namens Auflösung erfolgt via einer "Pi-Hole" im Vlan 20. => Diese Auflösung klappt auch und ich bekomme die passenden IP Adresse zurück (getestet mit NS Lookup)

Nur der komplette Traffic ( HTTP // HTTPS ) werden nicht durchgelassen.
Auch ein Ping funktioniert lediglich auf die Pi-Hole - alle anderen laufen in einen Zeitoverflow.

Was mir auch ein wenig komisch vorkommt, ist dass in den Logs "Destination" und "Source" vertauscht sind.


Vermutlich stehe ich aktuell am Schlauch und hab einen Denkfehler - nur leider sehe ich diesen nicht ;)


Bin über jede Hilfe dankbar.

Vielen Dank schon einmal
rules - Klicke auf das Bild, um es zu vergrößern
rules2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
05.06.2020, aktualisiert um 13:14 Uhr
Hintergrund ist, dass ich bei meiner PF Sense aus einem Netzwerk nicht nach "draußen" komme.
Zuallererst strategisch vorgehen....
Hast du die typischen Tests gemacht ???
  • Check im Dashboard oder Status --> Interfaces ob du eine gültige Provider IP am WAN Port bekommen hast wenn du mit einem reinen Modem (kein Router !) arbeitest. Das ist absolute Grundvoraussetzung !!
  • Ins Menü Diagnostic --> ping und dort direkt von der pfSense gepingt:
  • Ggf. einen Router und dessen LAN IP wenn du mit einer Kaskade arbeiten solltest.
  • Wenn ohne Kaskade mit einem reinen Modem (kein Router und Internet direkt auf der FW terminiert) dann eine Internet IP pingen wie 8.8.8.8
  • Ggf. die Absender IP statt auf "Auto" auf die WAN Port IP gesetzt
Klappt das ??
  • Wenn ja das Ganze indem du die 8.8.8.8 pingst und die Absender IPs auf die jeweiligen VLAN IPs der pfSense setzt
  • Klappt das ?
  • lokale VLAN Regeln checken. OHNE eine entsprechende Regel blockiert die FW im Default ALLEN Traffic dort. Zum Test auf allen Interfaces erstma "Scheunentor Regeln" als Source:<vlanx_net> Destination: ANY setzen !
Hast du alles diese allerersten Schritte beachtet ??

Nach dem Symptomen sieht das nach falschen oder fehlerhaften FW Regeln aus.
Eine Kardinalsfehler ist auch schon gleich auffällig, denn DNS 53 ist sowohl für UDP als auch TCP definiert. Du hast nur UDP zugelassen, was sehr wahrscheinlich die Namensauflösung verhindert. Hier muss also stehen "TCP und UDP" !
Zudem ist diese Regel etwas unsinnig definiert, denn dein DNS Server ist zentral in allen Segmenten ja immer nur der PiHole. Aus all diesen Segmenten darf DNS (TCP/UDP) nur auf die PiHole IP zugelassen werden.
Im eigenen PiHole Netz natürlich nicht, denn die Firewall filtert logischerweise nur das was routingtechnisch über sie rüber geht.
Einzig das Segment in der der PiHole selber liegt bekommt DNS (53) TCP/UDP entweder auf die pfSense IP oder die IP deine Upload DNS Servers oder Server die im PiHole definiert sind.
Diese Regel ist also schon falsch.
Ferner unter "Access Rules"
  • Dort ist eine Scheunentor Regel" (any any) die alles erlaubt. Das hat zur Folge das die nachfolgenden Regeln NICHTmehr abgearbeitet werden. Wie immer gilt beim FW Regelwerk: First match wins !. Sprich der erste positive Hit bewirkt das die nachfolgenden Regeln NICHT mehr abgearbeitet werden !! (Tutorial lesen und verstehen !!!)
  • Die DENY any any Regel am Schluss ist überflüssig und sinnfrei, denn das ist in einer Firewall immer DEFAULT ! (Es ist alles generell verboten was nicht explizit erlaubt ist !). Kannst also besser entfernen denn das verwirrt nur.
Dummerweise fehlt auch die Angabe für welchen VLAN Adapter der Regel Screenshot gilt. Geraten vermutlich fürs IoT Segment ?!
  • Auch die nachfolgenden Regeln sind fehlerhaft:
  • DNS 53 fehlt wieder für TCP. Zudem ist als Source any Blödsinn denn wenn können Frames ja nur aus dem <ioT_net> selber kommen. Sinnvoll ist also das als Source anzugeben.
  • HTTP ist nicht für UDP definiert, rein nur für TCP. Folglich ist es Unsinn das für UDP freizugeben.
  • Dto. für HTTPS
  • Die DENY any any Regel am Schluss ist überflüssig und nützt nichts denn sie ist so oder so Default. In einer Firewall gilt immer: Alles was nicht explizit erlaubt ist, ist verboten !
Fazit:
Passe das Regelwerk auf sinnvolle Regeln an und achte auf die Reihenfolge !! Dann wird das auch wie gewollt klappen !
Bitte warten ..
Mitglied: Spirit-of-Eli
05.06.2020 um 13:06 Uhr
Moin,

das sieht eher danach aus, als wenn für VLan 60 keine NAT Regel gibt. Wurde das auf manuell gestellt? Dann müssen diese händisch gepflegt werden.

Gruß
Spirit
Bitte warten ..
Mitglied: mario89
05.06.2020, aktualisiert um 13:15 Uhr
Hey, danke für die schnelle Rückmeldung und die Unterstützung. Vermutlich hatte ich einiges vergessen zu schreiben ;)
Zitat von aqui:

Hintergrund ist, dass ich bei meiner PF Sense aus einem Netzwerk nicht nach "draußen" komme.
Zuallererst strategisch vorgehen....
Hast du die typischen Tests gemacht ???
  • Check im Dashboard oder Status --> Interfaces ob du eine gültige Provider IP am WAN Port bekommen hast wenn du mit einem reinen Modem (kein Router !) arbeitest. Das ist absolute Grundvoraussetzung !!
  • Ins Menü Diagnostic --> ping und dort direkt von der pfSense gepingt:
  • Ggf. einen Router und dessen LAN IP wenn du mit einer Kaskade arbeiten solltest.
  • Wenn ohne Kaskade mit einem reinen Modem (kein Router und Internet direkt auf der FW terminiert) dann eine Internet IP pingen wie 8.8.8.8
  • Ggf. die Absender IP statt auf "Auto" auf die WAN Port IP gesetzt
Klappt das ??
  • Wenn ja das Ganze indem du die 8.8.8.8 pingst und die Absender IPs auf die jeweiligen VLAN IPs der pfSense setzt
  • Klappt das ?
  • lokale VLAN Regeln checken. OHNE eine entsprechende Regel blockiert die FW im Default ALLEN Traffic dort. Zum Test auf allen Interfaces erstma "Scheunentor Regeln" als Source:<vlanx_net> Destination: ANY setzen !
Hast du alles diese allerersten Schritte beachtet ??

Anmerkung:
Von der Sense kann ich die 8.8.8.8 direkt anpingen und bekomme eine antort. Sorry hatte ich überlesen.

Nach dem Symptomen sieht das nach falschen oder fehlerhaften FW Regeln aus.
Eine Kardinalsfehler ist auch schon gleich auffällig, denn DNS 53 ist sowohl für UDP als auch TCP definiert. Du hast nur UDP zugelassen, was sehr wahrscheinlich die Namensauflösung verhindert. Hier muss also stehen "TCP und UDP" !
Vielen Dank -> Das wurde geändert
Zudem ist diese Regel etwas unsinnig definiert, denn dein DNS Server ist zentral in allen Segmenten ja immer nur der PiHole. Aus all diesen Segmenten darf DNS (TCP/UDP) nur auf die PiHole IP zugelassen werden.
Im eigenen PiHole Netz natürlich nicht, denn die Firewall filtert logischerweise nur das was routingtechnisch über sie rüber geht.
Einzig das Segment in der der PiHole selber liegt bekommt DNS (53) TCP/UDP entweder auf die pfSense IP oder die IP deine Upload DNS Servers oder Server die im PiHole definiert sind.
Die war noch ein übrigbleibsel ;) Danke für die Info
Diese regel ist also schon falsch.
Dummerweise fehlt auch die Angabe für welchen VLAN Adapter der Regel Screenshot gilt. Geraten vermutlich fürs IoT Segment ?!

Ja das ist Korrekt . Die Regelung gilt für die IOT Devices . Hatte ich vergessen zu schreiben.

Deine hinweise hatte ich angepasst. Vielen Dank

Allerdings besteht das Problem leider noch weiterhin.
Bitte warten ..
Mitglied: aqui
05.06.2020, aktualisiert um 13:17 Uhr
Somit muss der Fehler irgendwie im VLAN 60 liegen.
Ja, im falschen Regelwerk ! Siehe oben !
NAT muss nichts gemacht werden, das macht die pfSense generell immer für alle lokalen Segmente per Default !
Gehe immer ins Diagnostics Menü der FW und pinge mit dem VLAN Interface als Absender. Dann weisst du ob Connectivity da ist oder nicht.
Bitte warten ..
Mitglied: mario89
05.06.2020 um 13:18 Uhr
Hey,
war zu schnell mit dem absenden ;)

- Also von den Sense kann ich direkt die 8.8.8.8 erreichen.
- Das Scheunentor funktioniert leider auch nicht .
ping - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
05.06.2020, aktualisiert um 13:30 Uhr
Ein paar Default Settings solltest du noch setzen:
pf1 - Klicke auf das Bild, um es zu vergrößern
pf3 - Klicke auf das Bild, um es zu vergrößern
pf2 - Klicke auf das Bild, um es zu vergrößern
Das Scheunentor funktioniert leider auch nicht .
Ist unmöglich ! Zeigt das da noch ein Fehler ist !
Poste bitte das aktuelle Regelwerk am IoT VLAN Segment.
Das RFC1918 IP Filtern hast du an den lokalen VLAN Ports deaktiviert ??
pf4 - Klicke auf das Bild, um es zu vergrößern
Wenn du mit VLANs arbeitest....
Hast du sichergestellt das dein Tagged Uplink vom Switch auch das IoT VLAN (60) Tagged am Uplink Port konfiguriert hat ? Bzw. kannst du von einem Endgerät das pfSense VLAN Interface pingen ? Bzw. auch andersrum über das Diagnose Menü das dortige Endgerät mit Absender IP=IoT Segment ?
Bitte warten ..
Mitglied: mario89
05.06.2020 um 13:29 Uhr
Hey,

also Regeln wurden angepasst.

=> Siehe Bild ich hoffe diese sind nun "besser" - Danke für den Hinweis


Habe den Fehler allerdings noch gefunden. -> Jedoch verstehen tue ich es nicht.

Der Fehler kam vom Captive Portal. Diese hatte ich für das Gastnetzwerk aktiviert. Sobald ich dieses wieder deaktiviere geht alles.

Vermutlich liegt da der Fehler:

Das Gastnetzwerk ist direkt an Netzwerkkarte gebunden und geht Untagged in meinen Switch.
Das IOT Netzwerk liegt am gleichen Adapter allerdings getagged.

Vermutlich ist da irgendwo mein Fehler
rules-2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
05.06.2020, aktualisiert um 13:34 Uhr
Siehe Bild ich hoffe diese sind nun "besser" - Danke für den Hinweis
Wenn du mal das "+" Zeichen an der richtigen Stelle klicken würdest könnten wir es auch im richtigen Kontext sehen... (FAQs helfen wirklich !)
Die "Scheunentor Regel" zum Testen ist wieder FALSCH !! Hier sollte bei Protocoll ANY stehen und nicht nur TCP/UDP !!!
Alle Kontroll Protokolle werden damit gefiltert !
Bitte warten ..
Mitglied: mario89
05.06.2020 um 13:41 Uhr
Zitat von aqui:

Siehe Bild ich hoffe diese sind nun "besser" - Danke für den Hinweis
Wenn du mal das "+" Zeichen an der richtigen Stelle klicken würdest könnten wir es auch im richtigen Kontext sehen... (FAQs helfen wirklich !)
Hier stehe ich nun wirklich am Schlauch ;) Was meinst du mit "+" ;) Sorry
Die "Scheunentor Regel" zum Testen ist wieder FALSCH !! Hier sollte bei Protocoll ANY stehen und nicht nur TCP/UDP !!!
Habe ich jetzt ebenfalls angepasst.
Alle Kontroll Protokolle werden damit gefiltert !
Bitte warten ..
Mitglied: aqui
05.06.2020, aktualisiert um 13:50 Uhr
Das Gastnetzwerk ist direkt an Netzwerkkarte gebunden und geht Untagged in meinen Switch.
Das IOT Netzwerk liegt am gleichen Adapter allerdings getagged.
Vermutlich ist da irgendwo mein Fehler
Nein !
Aus Firewall Sicht sind das 2 verschiedene Netzwerk Ports mit 2 verschiedenen und völlig voneinander unabhängigen Regelwerken. Das ist absolut normal so in einem VLAN Umfeld !
Was meinst du mit "+" ;) Sorry
Im Forum wenn du ein Bild eingefügt hast an der richtigen Textstelle auf "+" klicken damit das Bild auch dort an der Textstelle eingebttet ist ! (Siehe FAQs) Ist aber unwichtig für das Thema hier...
Habe ich jetzt ebenfalls angepasst.
Und...geht alles ?? Lass dir doch nicht immer alles einzeln aus der Nase ziehen .
Wenn nicht, mal das gesamte Regelwerk ausser der Scheunentor Regel entfernen und die Firewall rebooten !
Nach dem Reboot von einem IoT Endgerät mal das pfSense VLAN Interface pingen und dann die 8.8.8.8
Bitte warten ..
Mitglied: mario89
05.06.2020 um 13:55 Uhr
Hey,
das lag glaube an der freude, dass es ging, dass ich so schweigsam war.

Es geht fast alles.

Nachfolgend nochmal mein Regelwerk:
=> Ich hoffe diesmal hab ich an alles gedacht ;)
rules-3 - Klicke auf das Bild, um es zu vergrößern

Nun aber noch zum meinem 2. Problem:

=> Captive Portal Deaktiviert ==> Alles Funktioniert

=> Captive Portal Aktiviert ==> IOT Netz funktioniert nicht mehr

Das Captive Portal wurde aber direkt an das Interface "GUESTNETWORK" "gebunden.
gast_1 - Klicke auf das Bild, um es zu vergrößern

Allerdings scheint dies auch Auswirkungen auf das VLAN 60 "IOT" zu haben. - Wieso auch immer.


Danke
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.06.2020, aktualisiert um 16:05 Uhr
Es geht fast alles.
Hätte uns auch schwer gewundert hier. Solche Fehler sind zu 98% PEBKAC Fehler im Regelwerk !
Aber was heisst denn nun "fast" ??
Ich hoffe diesmal hab ich an alles gedacht ;)
Na ja, wenn man jetzt mal davon absieht das die Schrotschuss Regel am Anfang den ganzen Rest killt dann ja, dann hast du an alles gedacht !
=> Captive Portal Aktiviert ==> IOT Netz funktioniert nicht mehr
Mmmhhh.. Das hatten wir m.E. schonmal hier. Ergebnis war glaube ich das das Captive Portal nicht auf einem physischen Parent Interface liegen darf sondern ein VLAN Interface sein muss.
https://redmine.pfsense.org/issues/7553
Also einfach das Gast Segment auf ein VLAN legen und das IoT aufs Parent und fertig ist der Lack !
Dann klappt das. Ist so oder so etwas sicherer, da das untagged VLAN immer das Default VLAN 1 ist indem alle Switchports per Default liegen. Guckst du auch HIER.
Bitte warten ..
Mitglied: mario89
05.06.2020 um 16:13 Uhr
Super vielen Dank.

Habe jetzt das Gastnetzwerk mit dem Captive Portal auch direkt "getaggt" auf den Switch gelegt. Nun läuft alles.

Gäste erhalten den Login vom Captive Portal.
Meine IOT Geräte kommen weiterhin ins Inet :D

Danke
Bitte warten ..
Mitglied: aqui
05.06.2020, aktualisiert um 16:18 Uhr
Du kannst aber auch ein anderes VLAN auf das Parent Interface legen. Wichtig ist nur das das CP nicht auf dem Parent Interface rennt.
Ist aber egal wie man es macht letztlich..
Gäste erhalten den Login vom Captive Portal. Meine IOT Geräte kommen weiterhin ins Inet :D
Dann können wir ja alle entspannt ins Wochenende...
Case closed.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
3G an PF-Sense
Frage von MiStNetzwerke14 Kommentare

Guten Morgen, ich habe hier ein Netzwerk mit einer aktuellen PF-Sense (APU-Board), die als Firewall/Router funktioniert. Ich möchte gerne, ...

Exchange Server

Exchange13 getrenntes PF nicht sichtbar unter getrennte Postfächer

Frage von opc123Exchange Server6 Kommentare

Hallo, ich habe häufig das Problem, das Postfächer, die trotz Anleitung über die Adminconsole deaktiviert wurden nicht Sichtbar sind ...

Router & Routing

Pf- bzw. OPNSense - Warum DNS separat angeben, wenn "Scheunentor-Regel" definiert wurde

gelöst Frage von sirhc4022Router & Routing12 Kommentare

Hallo Firewall-Gurus, ich habe seit einiger Zeit mal wieder ein wenig mit OPNSense gespielt. Einfach aus Interesse für mich ...

Windows Netzwerk

VPN Verbindung, Ordnerumleitung - Langsame Verbindung!

gelöst Frage von MrNightWindows Netzwerk6 Kommentare

Hallo Gemeinde Ich suche mich schon seit einiger Zeit durch die Webseiten um die "besten Einstellungen" für die Ordnerumleitung ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 21 StundenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 1 TagOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 2 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Windows Netzwerk
Unsichtbare DHCP Leases finden und löschen
Anleitung von binBash86 vor 2 TagenWindows Netzwerk

Wir hatten häufiger das Problem, dass ein Windows DHCP Server scheinbar keine Leases mehr frei hat, wenn man aber ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Router mit fremden zusätzlichen Accesspoint verbinden
Frage von skorpion-inkaNetzwerkgrundlagen42 Kommentare

Hallo!! Ich habe folgende Problem mit einem Netzwerk (siehe Bild). Ich habe eine Fritzbox an der eine Wechselrichter mit ...

LAN, WAN, Wireless
Patchkabel vs Verlegekabel kuerzen und crimpen
gelöst Frage von WashingtonLAN, WAN, Wireless34 Kommentare

Hi, wir haben einen miesen Rat angenommen und fertig konfektionierte 50m Kabel erworben, diese verlegt und gesehen das diese ...

SAN, NAS, DAS
Server -VS- NAS ?
Frage von Mann-000SAN, NAS, DAS24 Kommentare

Hallo zusammen, ich habe einige Seite durchgelesen (viel altes Zeug von 2011 etc. gefunden) und frage mich immer noch, ...

Hyper-V
VHDX löschen (Datei wird verwendet)
gelöst Frage von 72-dpijunkieHyper-V21 Kommentare

Guten Morgen zusammen, ich habe ein Problemchen und weiß nicht mehr weiter. Vielleicht kann mir jemand von euch helfen? ...