falkit
Goto Top

Pfsense 2.2.1 Router: öffentliche IP-Adressen nicht erreichbar

Hi zusammen,
Ich habe einen pfsense aufgesetzt um unsere öffentlichen IP-Adressen zu verwalten (89.xxx.159.1/24). Der Router selbst hat eine IP aus dem Transfernetz (89.xxx.157.58). Vom Provider werden unsere öffentlichen IP-Adressen an die 89.xxx.157.58 geleitet.

Auf dem pfsense habe ich aktuell 9 IP-Netze laufen, die jeweils einen Teil unserer öffentlichen IP-Adressen nutzen. Jetzt zu meinem Problem.
Das erste Netz sieht z.B. wie folgt aus:

Router Interface: 89.xxx.159.1/27
PC an diesem Interface: 89.xxx.159.2/27

Die IP des Interfaces ist von extern erreichbar (PING kommt an, Interface von pfsense öffnet sich), der Rechner allerdings nicht - er selbst kommt aber in's Internet.
Es passt also fast alles, nur eine Regel die dafür sorgt, dass alle IP-Adressen in diesem Bereich von extern erreichbar sind fehlt mir noch.

Danke schon mal im Vorraus,

Falk

Content-ID: 268171

Url: https://administrator.de/forum/pfsense-2-2-1-router-oeffentliche-ip-adressen-nicht-erreichbar-268171.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

Chonta
Chonta 02.04.2015 um 14:31:57 Uhr
Goto Top
Hallo,

89.xxx.159.1/24 und 89.xxx.159.1/27 ist mal ne blöde Idee wenn xxx gleich sind.

Wenn Du mit dem Rechner ins Internet gehst was sagt www.wieistmeineip.de was der Für ne IP hat?

Wenn 89.xxx.159.1/27 das Defaultgateway von 89.xxx.159.2/27 ist musst Du Dir mal die Routingtabelle vom 89.xxx.159.1/27 anschauen.
Die wäre im übrigeen interesannt.

Gruß

Chonta
michi1983
michi1983 02.04.2015 aktualisiert um 15:01:19 Uhr
Goto Top
Hallo,

für mich klingt das alles etwas verwirrend um ehrlich zu sein.

Wie viele öffentliche IP Adressen bestitz du denn nun?
Wie viele NICs hast du auf deiner PfSense?
Ein Screenshot von deinem Dashboard der PfSense wäre auch von Vorteil.

Bezüglich Ping wird wahrscheinlich nur das ICMP Paket geblockt.

Gruß
aqui
Lösung aqui 02.04.2015 aktualisiert um 16:39:16 Uhr
Goto Top
So verwirrend ist das gar nicht. Der TO betreibt wie es scheint ein öffentliches /24er Subnetz (89.xxx.159.0 /24). Seine Angabe oben mit der .1 ist natürlich Blödsinn, denn das ist eine Host IP Adresse in diesem Netz. .0 (alle Hostbits auf 0 bezeichnet immer das Netz selber face-wink ) wäre hier adresstechnisch richtig als Bezeichnung aber wolln mer mal nicht so sein so kurz vor Ostern...
Der Glückliche wenn man noch solch großen Bereich bekommt face-wink
Das hat er vermutlich dann in mehrere /27er Subnetze unterteilt....also alles OK und kein Hexenwerk face-wink

Vermutlich aber beim PC wie immer die lokale Firewall des Rechners, erst recht wenn das OS ein Winblows OS ist !
Wenn von extern die lokale PfSense Interface IP erreichbar ist hast du ja soweit mit den Regeln erstmal alles richtig gemacht, sonst würde schon das scheitern.
Denk immer dran das du von extern mit einer fremden IP Adresse ankommst an dem Rechner. Die lokale Firewall blockt abber ALLES was nicht aus dem lokalen Netzwekr kommt per Default !
Entsprechend musst du hier also auch die Firewall customizen damit es klappt.
Zusätzlich blockiert die Firewall ab Windows 7 und höher per Default ICMP. Da Ping auf dem ICMP Protokoll basiert scheitert also auch schon ein Ping.
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
All das solltest du beachten.
Ansonsten ist wie immer das Firewall Log auf der pfSense deine erste Anlaufstelle, dort wird alles dokumentiert was geblockt wird !
michi1983
michi1983 02.04.2015 um 15:26:29 Uhr
Goto Top
Zitat von @aqui:

So verwirrend ist das gar nicht. Der TO betreibt wie es scheint ein öffentliches /24er Subnetz (89.xxx.159.0 /24). Der
Glückliche wenn man noch solch großen Bereich bekommt face-wink
Das hat er vermutlich in mehrere /27er Subnetze unterteilt....also alles OK und kein Hexenwerk face-wink

Okay, das wusste ich gar nicht, dass sowas möglich ist face-smile

Aber 9 Netze auf der PfSense? Vlans? Oder wirklich 9 Nics?
aqui
aqui 02.04.2015 aktualisiert um 15:39:30 Uhr
Goto Top
Okay, das wusste ich gar nicht, dass sowas möglich ist
Na komm, das wäre aber nun höchstpeinlich... Das ist stinknormales, doofes Subnetting und lernt man als IT Azubi in der ersten Lehrwoche !
Wenn du ein Netzwerk bekommst, kannst du das doch selber so aufteilen wie du willst. Der Provider routet ja nur einen /24 Maske zu ihm. Was dahinter gemacht wird ist sein Ding !
Aber 9 Netze auf der PfSense? Vlans? Oder wirklich 9 Nics?
Spielt ja für die eigentliche Fragestellung erstmal keine Rolle wie er das umgesetzt hat. Interface ist Interface face-wink
michi1983
michi1983 02.04.2015 um 15:31:23 Uhr
Goto Top
Zitat von @aqui:
Na komm, das wäre aber nun höchstpeinlich... Das ist stinknormales, doofes Subnetting und lernt man als IT Azubi in der
ersten Lehrwoche !
Wenn du ein Netzwerk bekommst, kannst du das doch selber so auftilen wie du willst. Der Provider routet ja nur einen /24 Maske zu
ihm. Was dahinter gemacht wird ist sein Ding !

Jetzt haben wir uns missverstanden ;) Das Subnetting verstehe ich schon.
Mir war nur nicht bekannt, dass man so viele öffentliche IP Adressen zugewiesen bekommen kann.

Spielt ja für die eigentliche Fragestellung erstmal keine Rolle wie er das umgesetzt hat. Interface ist Interface

Da geb ich dir recht. Hätte mich nur interessiert.
aqui
aqui 02.04.2015 um 15:40:20 Uhr
Goto Top
Mir war nur nicht bekannt, dass man so viele öffentliche IP Adressen zugewiesen bekommen kann.
Das stimmt, da ist der TO ein Glückspilz oder er arbeitet für einen Provider face-smile
FalkIT
FalkIT 02.04.2015 um 16:21:53 Uhr
Goto Top
So, nun bin ich auch wieder zurück am Rechner, danke für die zahlreichen Antworten, besonders für den Tipp bzgl. der Windows Firewall. Ich habe einfach ein Windows notebook an den Switch gehängt und nicht daran gedacht, dass vielleicht sogar ein Ping blockiert wird. Werde es dann gleich noch einmal mit einem nackten Debian probieren!

Auch wenn nicht relevant, trotzdem hier noch die Antworten auf die Fragen:

Zitat von @michi1983:
Wie viele öffentliche IP Adressen bestitz du denn nun?
89.xxx.159.0/24 und dazu ein kleines Transfernetz 89.xxx.157.56/29

Zitat von @michi1983:
Aber 9 Netze auf der PfSense? Vlans? Oder wirklich 9 Nics?
Physikalisch sind es 3 NICs, der Aufbau ist aber noch etwas anders als mit Vlans.
Ich habe auf der physikalischen Maschine Proxmox laufen, worauf dann zwei virtuelle pfsenses(?) laufen, eine für öffentliche IP-Adressen, die andere für private. Wobei ich hier gezwungen war zwei Maschinen aufzusetzen, weil Proxmox nicht ausreichend NICs pro Host unterstützt

NIC 1: Transfernetz Gateway auf Proxmox, Transfernetz IP für WAN Interfaces auf den pfsenses
NIC 2: hier sind 60 vlans konfiguriert, 30 je pfsense, welche dann als LAN Interface auf pfsense dienen. Bei der privaten pfsense, normale private Class C Netze, auf der öffentlichen pfsense wie aqui schon erraten hat, mein unterteiltes öffentliches Netz
NIC 3: private IP-Adresse auf Proxmox, damit ich auch noch auf die Maschine komme, wenn die Internetverbindung nicht verfügbar ist - was hoffentlich nicht vorkommt!


Zitat von @aqui:
Das stimmt, da ist der TO ein Glückspilz oder er arbeitet für einen Provider
Glückspilz face-wink

So, ich probiere jetzt also mal die Linux variante mit dem Ping und hoffe dass es wirklich nur daran lag.

Vielen Dank soweit und schöne Feiertage!

Falk
aqui
aqui 02.04.2015 um 16:35:55 Uhr
Goto Top
und nicht daran gedacht, dass vielleicht sogar ein Ping blockiert wird.
Deswegen immer VORHER nachdenken und dann Thread aufmachen face-wink
FalkIT
FalkIT 02.04.2015 um 16:38:54 Uhr
Goto Top
Mit Linux läuft es... danke danke danke für den Hinweis!

Gruß

Falk
FalkIT
FalkIT 09.04.2015 um 13:57:54 Uhr
Goto Top
Um alles beisammen zu halten, ein weiteres Problem gibt es noch, welches ich hier gepostet habe:
Pfsense public IPs "zeigen" nur Gateway-IP (pfsense WAN IP)
aqui
aqui 09.04.2015 um 16:33:24 Uhr
Goto Top
Das ist ja aber schon von dir selber als "GELÖST" geklickt !!!
Wo ist denn jetzt dein Problem ?