12
Pfsense 2.2.1 Router: öffentliche IP-Adressen nicht erreichbar
Hi zusammen,
Ich habe einen pfsense aufgesetzt um unsere öffentlichen IP-Adressen zu verwalten (89.xxx.159.1/24). Der Router selbst hat eine IP aus dem Transfernetz (89.xxx.157.58). Vom Provider werden unsere öffentlichen IP-Adressen an die 89.xxx.157.58 geleitet.
Auf dem pfsense habe ich aktuell 9 IP-Netze laufen, die jeweils einen Teil unserer öffentlichen IP-Adressen nutzen. Jetzt zu meinem Problem.
Das erste Netz sieht z.B. wie folgt aus:
Router Interface: 89.xxx.159.1/27
PC an diesem Interface: 89.xxx.159.2/27
Die IP des Interfaces ist von extern erreichbar (PING kommt an, Interface von pfsense öffnet sich), der Rechner allerdings nicht - er selbst kommt aber in's Internet.
Es passt also fast alles, nur eine Regel die dafür sorgt, dass alle IP-Adressen in diesem Bereich von extern erreichbar sind fehlt mir noch.
Danke schon mal im Vorraus,
Falk
Ich habe einen pfsense aufgesetzt um unsere öffentlichen IP-Adressen zu verwalten (89.xxx.159.1/24). Der Router selbst hat eine IP aus dem Transfernetz (89.xxx.157.58). Vom Provider werden unsere öffentlichen IP-Adressen an die 89.xxx.157.58 geleitet.
Auf dem pfsense habe ich aktuell 9 IP-Netze laufen, die jeweils einen Teil unserer öffentlichen IP-Adressen nutzen. Jetzt zu meinem Problem.
Das erste Netz sieht z.B. wie folgt aus:
Router Interface: 89.xxx.159.1/27
PC an diesem Interface: 89.xxx.159.2/27
Die IP des Interfaces ist von extern erreichbar (PING kommt an, Interface von pfsense öffnet sich), der Rechner allerdings nicht - er selbst kommt aber in's Internet.
Es passt also fast alles, nur eine Regel die dafür sorgt, dass alle IP-Adressen in diesem Bereich von extern erreichbar sind fehlt mir noch.
Danke schon mal im Vorraus,
Falk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 268171
Url: https://administrator.de/contentid/268171
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
89.xxx.159.1/24 und 89.xxx.159.1/27 ist mal ne blöde Idee wenn xxx gleich sind.
Wenn Du mit dem Rechner ins Internet gehst was sagt www.wieistmeineip.de was der Für ne IP hat?
Wenn 89.xxx.159.1/27 das Defaultgateway von 89.xxx.159.2/27 ist musst Du Dir mal die Routingtabelle vom 89.xxx.159.1/27 anschauen.
Die wäre im übrigeen interesannt.
Gruß
Chonta
89.xxx.159.1/24 und 89.xxx.159.1/27 ist mal ne blöde Idee wenn xxx gleich sind.
Wenn Du mit dem Rechner ins Internet gehst was sagt www.wieistmeineip.de was der Für ne IP hat?
Wenn 89.xxx.159.1/27 das Defaultgateway von 89.xxx.159.2/27 ist musst Du Dir mal die Routingtabelle vom 89.xxx.159.1/27 anschauen.
Die wäre im übrigeen interesannt.
Gruß
Chonta
Hallo,
für mich klingt das alles etwas verwirrend um ehrlich zu sein.
Wie viele öffentliche IP Adressen bestitz du denn nun?
Wie viele NICs hast du auf deiner PfSense?
Ein Screenshot von deinem Dashboard der PfSense wäre auch von Vorteil.
Bezüglich Ping wird wahrscheinlich nur das ICMP Paket geblockt.
Gruß
für mich klingt das alles etwas verwirrend um ehrlich zu sein.
Wie viele öffentliche IP Adressen bestitz du denn nun?
Wie viele NICs hast du auf deiner PfSense?
Ein Screenshot von deinem Dashboard der PfSense wäre auch von Vorteil.
Bezüglich Ping wird wahrscheinlich nur das ICMP Paket geblockt.
Gruß
So verwirrend ist das gar nicht. Der TO betreibt wie es scheint ein öffentliches /24er Subnetz (89.xxx.159.0 /24). Seine Angabe oben mit der .1 ist natürlich Blödsinn, denn das ist eine Host IP Adresse in diesem Netz. .0 (alle Hostbits auf 0 bezeichnet immer das Netz selber 
) wäre hier adresstechnisch richtig als Bezeichnung aber wolln mer mal nicht so sein so kurz vor Ostern...
Der Glückliche wenn man noch solch großen Bereich bekommt
Das hat er vermutlich dann in mehrere /27er Subnetze unterteilt....also alles OK und kein Hexenwerk
Vermutlich aber beim PC wie immer die lokale Firewall des Rechners, erst recht wenn das OS ein Winblows OS ist !
Wenn von extern die lokale PfSense Interface IP erreichbar ist hast du ja soweit mit den Regeln erstmal alles richtig gemacht, sonst würde schon das scheitern.
Denk immer dran das du von extern mit einer fremden IP Adresse ankommst an dem Rechner. Die lokale Firewall blockt abber ALLES was nicht aus dem lokalen Netzwekr kommt per Default !
Entsprechend musst du hier also auch die Firewall customizen damit es klappt.
Zusätzlich blockiert die Firewall ab Windows 7 und höher per Default ICMP. Da Ping auf dem ICMP Protokoll basiert scheitert also auch schon ein Ping.
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
All das solltest du beachten.
Ansonsten ist wie immer das Firewall Log auf der pfSense deine erste Anlaufstelle, dort wird alles dokumentiert was geblockt wird !
) wäre hier adresstechnisch richtig als Bezeichnung aber wolln mer mal nicht so sein so kurz vor Ostern...Der Glückliche wenn man noch solch großen Bereich bekommt
Das hat er vermutlich dann in mehrere /27er Subnetze unterteilt....also alles OK und kein Hexenwerk
Vermutlich aber beim PC wie immer die lokale Firewall des Rechners, erst recht wenn das OS ein Winblows OS ist !
Wenn von extern die lokale PfSense Interface IP erreichbar ist hast du ja soweit mit den Regeln erstmal alles richtig gemacht, sonst würde schon das scheitern.
Denk immer dran das du von extern mit einer fremden IP Adresse ankommst an dem Rechner. Die lokale Firewall blockt abber ALLES was nicht aus dem lokalen Netzwekr kommt per Default !
Entsprechend musst du hier also auch die Firewall customizen damit es klappt.
Zusätzlich blockiert die Firewall ab Windows 7 und höher per Default ICMP. Da Ping auf dem ICMP Protokoll basiert scheitert also auch schon ein Ping.
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
All das solltest du beachten.
Ansonsten ist wie immer das Firewall Log auf der pfSense deine erste Anlaufstelle, dort wird alles dokumentiert was geblockt wird !
Zitat von @aqui:
So verwirrend ist das gar nicht. Der TO betreibt wie es scheint ein öffentliches /24er Subnetz (89.xxx.159.0 /24). Der
Glückliche wenn man noch solch großen Bereich bekommt
Das hat er vermutlich in mehrere /27er Subnetze unterteilt....also alles OK und kein Hexenwerk
So verwirrend ist das gar nicht. Der TO betreibt wie es scheint ein öffentliches /24er Subnetz (89.xxx.159.0 /24). Der
Glückliche wenn man noch solch großen Bereich bekommt
Das hat er vermutlich in mehrere /27er Subnetze unterteilt....also alles OK und kein Hexenwerk
Okay, das wusste ich gar nicht, dass sowas möglich ist
Aber 9 Netze auf der PfSense? Vlans? Oder wirklich 9 Nics?
Okay, das wusste ich gar nicht, dass sowas möglich ist
Na komm, das wäre aber nun höchstpeinlich... Das ist stinknormales, doofes Subnetting und lernt man als IT Azubi in der ersten Lehrwoche !Wenn du ein Netzwerk bekommst, kannst du das doch selber so aufteilen wie du willst. Der Provider routet ja nur einen /24 Maske zu ihm. Was dahinter gemacht wird ist sein Ding !
Aber 9 Netze auf der PfSense? Vlans? Oder wirklich 9 Nics?
Spielt ja für die eigentliche Fragestellung erstmal keine Rolle wie er das umgesetzt hat. Interface ist Interface Zitat von @aqui:
Na komm, das wäre aber nun höchstpeinlich... Das ist stinknormales, doofes Subnetting und lernt man als IT Azubi in der
ersten Lehrwoche !
Wenn du ein Netzwerk bekommst, kannst du das doch selber so auftilen wie du willst. Der Provider routet ja nur einen /24 Maske zu
ihm. Was dahinter gemacht wird ist sein Ding !
Na komm, das wäre aber nun höchstpeinlich... Das ist stinknormales, doofes Subnetting und lernt man als IT Azubi in der
ersten Lehrwoche !
Wenn du ein Netzwerk bekommst, kannst du das doch selber so auftilen wie du willst. Der Provider routet ja nur einen /24 Maske zu
ihm. Was dahinter gemacht wird ist sein Ding !
Jetzt haben wir uns missverstanden ;) Das Subnetting verstehe ich schon.
Mir war nur nicht bekannt, dass man so viele öffentliche IP Adressen zugewiesen bekommen kann.
Spielt ja für die eigentliche Fragestellung erstmal keine Rolle wie er das umgesetzt hat. Interface ist Interface
Da geb ich dir recht. Hätte mich nur interessiert.
Mir war nur nicht bekannt, dass man so viele öffentliche IP Adressen zugewiesen bekommen kann.
Das stimmt, da ist der TO ein Glückspilz oder er arbeitet für einen Provider 
So, nun bin ich auch wieder zurück am Rechner, danke für die zahlreichen Antworten, besonders für den Tipp bzgl. der Windows Firewall. Ich habe einfach ein Windows notebook an den Switch gehängt und nicht daran gedacht, dass vielleicht sogar ein Ping blockiert wird. Werde es dann gleich noch einmal mit einem nackten Debian probieren!
Auch wenn nicht relevant, trotzdem hier noch die Antworten auf die Fragen:
89.xxx.159.0/24 und dazu ein kleines Transfernetz 89.xxx.157.56/29
Physikalisch sind es 3 NICs, der Aufbau ist aber noch etwas anders als mit Vlans.
Ich habe auf der physikalischen Maschine Proxmox laufen, worauf dann zwei virtuelle pfsenses(?) laufen, eine für öffentliche IP-Adressen, die andere für private. Wobei ich hier gezwungen war zwei Maschinen aufzusetzen, weil Proxmox nicht ausreichend NICs pro Host unterstützt
NIC 1: Transfernetz Gateway auf Proxmox, Transfernetz IP für WAN Interfaces auf den pfsenses
NIC 2: hier sind 60 vlans konfiguriert, 30 je pfsense, welche dann als LAN Interface auf pfsense dienen. Bei der privaten pfsense, normale private Class C Netze, auf der öffentlichen pfsense wie aqui schon erraten hat, mein unterteiltes öffentliches Netz
NIC 3: private IP-Adresse auf Proxmox, damit ich auch noch auf die Maschine komme, wenn die Internetverbindung nicht verfügbar ist - was hoffentlich nicht vorkommt!
Glückspilz
So, ich probiere jetzt also mal die Linux variante mit dem Ping und hoffe dass es wirklich nur daran lag.
Vielen Dank soweit und schöne Feiertage!
Falk
Auch wenn nicht relevant, trotzdem hier noch die Antworten auf die Fragen:
89.xxx.159.0/24 und dazu ein kleines Transfernetz 89.xxx.157.56/29
Physikalisch sind es 3 NICs, der Aufbau ist aber noch etwas anders als mit Vlans.
Ich habe auf der physikalischen Maschine Proxmox laufen, worauf dann zwei virtuelle pfsenses(?) laufen, eine für öffentliche IP-Adressen, die andere für private. Wobei ich hier gezwungen war zwei Maschinen aufzusetzen, weil Proxmox nicht ausreichend NICs pro Host unterstützt
NIC 1: Transfernetz Gateway auf Proxmox, Transfernetz IP für WAN Interfaces auf den pfsenses
NIC 2: hier sind 60 vlans konfiguriert, 30 je pfsense, welche dann als LAN Interface auf pfsense dienen. Bei der privaten pfsense, normale private Class C Netze, auf der öffentlichen pfsense wie aqui schon erraten hat, mein unterteiltes öffentliches Netz
NIC 3: private IP-Adresse auf Proxmox, damit ich auch noch auf die Maschine komme, wenn die Internetverbindung nicht verfügbar ist - was hoffentlich nicht vorkommt!
Glückspilz
So, ich probiere jetzt also mal die Linux variante mit dem Ping und hoffe dass es wirklich nur daran lag.
Vielen Dank soweit und schöne Feiertage!
Falk
und nicht daran gedacht, dass vielleicht sogar ein Ping blockiert wird.
Deswegen immer VORHER nachdenken und dann Thread aufmachen
Mit Linux läuft es... danke danke danke für den Hinweis!
Gruß
Falk
Gruß
Falk
Um alles beisammen zu halten, ein weiteres Problem gibt es noch, welches ich hier gepostet habe:
Pfsense public IPs "zeigen" nur Gateway-IP (pfsense WAN IP)
Pfsense public IPs "zeigen" nur Gateway-IP (pfsense WAN IP)
Das ist ja aber schon von dir selber als "GELÖST" geklickt !!!
Wo ist denn jetzt dein Problem ?
Wo ist denn jetzt dein Problem ?
