10
Pfsense 2.3 Firewalleinstellungen - Portfreigabe
Hallo zusammen,
ich habe hier eine kleine Testumgebung:
pfsense mit 1 x WAN (xxx.xxx.158.48) und 1 x LAN (192.168.2.xxx)
1 x WIN 2012 mit AD+DNS (192.168.2.xxx)
1 x CRM (192.168.2.xxx)
Ich dachte immer eine Portfreigabe auf pfsense ist relativ verständlich und machbar, aber sobald ich einen nicht vordefinierten Port freigeben will, geht es in die Hose. Habe zu Testzwecken eine weitere Webseite auf dem IIS erstellt. Diese hört auf Port 81. Intern im Netzt klappt alles, sobald ich aber trotz "angeblicher" Portfeigabe von außen darauf zugreifen möchte, kommt ein Fehler: Verbindung fehlgeschlagen.
RulesConfig:
Protocol: IPv4 TCP
Source: *
Port: *
Destination: IP von Testwebseite
Port: 81
Gateway: *
NATConfig:
Interface: WAN
Protocol: TCP
SourceAddress: *
SourcePorts: *
Dest.Adress: WAN adress
Port: 81
NAT IP: IP von Testwebseite
NAT Ports: 81
Bin über jede Hilfe dankbar, da ich echt nicht weiß wo der Fehler liegt.
Danke im vorraus
der Lago
ich habe hier eine kleine Testumgebung:
pfsense mit 1 x WAN (xxx.xxx.158.48) und 1 x LAN (192.168.2.xxx)
1 x WIN 2012 mit AD+DNS (192.168.2.xxx)
1 x CRM (192.168.2.xxx)
Ich dachte immer eine Portfreigabe auf pfsense ist relativ verständlich und machbar, aber sobald ich einen nicht vordefinierten Port freigeben will, geht es in die Hose. Habe zu Testzwecken eine weitere Webseite auf dem IIS erstellt. Diese hört auf Port 81. Intern im Netzt klappt alles, sobald ich aber trotz "angeblicher" Portfeigabe von außen darauf zugreifen möchte, kommt ein Fehler: Verbindung fehlgeschlagen.
RulesConfig:
Protocol: IPv4 TCP
Source: *
Port: *
Destination: IP von Testwebseite
Port: 81
Gateway: *
NATConfig:
Interface: WAN
Protocol: TCP
SourceAddress: *
SourcePorts: *
Dest.Adress: WAN adress
Port: 81
NAT IP: IP von Testwebseite
NAT Ports: 81
Bin über jede Hilfe dankbar, da ich echt nicht weiß wo der Fehler liegt.
Danke im vorraus
der Lago
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308342
Url: https://administrator.de/contentid/308342
Printed on: April 24, 2024 at 20:04 o'clock
10 Comments
Latest comment
Hi,
der Server darf auch über die pfSense raus kommunizieren? Ansonsten mal die Log Files der Firewall schauen und die Connection-States für den Anfang mal
Gruß
der Server darf auch über die pfSense raus kommunizieren? Ansonsten mal die Log Files der Firewall schauen und die Connection-States für den Anfang mal
Gruß
Hallo,
https://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense
Gruß,
Peter
Zitat von @Lagoles:
Intern im Netzt klappt alles, sobald ich aber trotz "angeblicher" Portfeigabe von außen darauf zugreifen möchte, kommt ein Fehler: Verbindung fehlgeschlagen.
Joa. Wie rufst du intern deine 2te Website denn auf? IP:81 oder was? Wenn du vom Internet aus testest, wie rufst du dann deine 2te Website auf IP:81 (dyndns:81) (http://IP:81) oder https://IP:81) 2ten Server auf? Oder wird die Website bei dir aufgrund des Namens ermittelt und zugeordnet?Intern im Netzt klappt alles, sobald ich aber trotz "angeblicher" Portfeigabe von außen darauf zugreifen möchte, kommt ein Fehler: Verbindung fehlgeschlagen.
Port: 81
Und deine 2te Website horcht auch da drauf und darf Anfragen aus fremden Netzen beantworten?Gateway: *
Bei Portforwarding? (Sorry, hab gerade keine PfSense zum nachschauen)https://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense
Gruß,
Peter
Hallo zusammen,
danke erst einmal für die Antworten.
- http://interne-IP:81
- http://servername:81
- localhost:81 (lokal vom Server aus)
Das alles klappt ohne Probleme.
Ja. eigentlich die 3te Website, weil:
1te Webseite ist die DefaultWebsite, die hört auf Port 80 und kann auch über die Domain von außerhalb erreicht werden.
2te Website ist die DRM-Website, die hört auf den Port 5555. Im lokalen Netz klappt das, aber aus dem Internet heraus nicht
3te Website ist die TestWebsite, die hört auf den Port 81. Die kann ich wie oben beschrieben aufrufen, aber aus dem Internet heraus nicht.
Was meinst Du mit "... darf Anfragen aus fremden Netzen beantworten?"?
Ok. Keine Ahnung warum ich "Gateway" geschrieben habe, entschuldigung.
Danke, werde mir die Seite noch einmal anschauen.
Gruß
Stefan
danke erst einmal für die Antworten.
Zitat von @Pjordorf:
Hallo,
Intern kann ich die 2te Website aufrufen wie ich will:Hallo,
Zitat von @Lagoles:
Intern im Netzt klappt alles, sobald ich aber trotz "angeblicher" Portfeigabe von außen darauf zugreifen möchte, kommt ein Fehler: Verbindung fehlgeschlagen.
Joa. Wie rufst du intern deine 2te Website denn auf? IP:81 oder was? Wenn du vom Internet aus testest, wie rufst du dann deine 2te Website auf IP:81 (dyndns:81) (http://IP:81) oder https://IP:81) 2ten Server auf? Oder wird die Website bei dir aufgrund des Namens ermittelt und zugeordnet?Intern im Netzt klappt alles, sobald ich aber trotz "angeblicher" Portfeigabe von außen darauf zugreifen möchte, kommt ein Fehler: Verbindung fehlgeschlagen.
- http://interne-IP:81
- http://servername:81
- localhost:81 (lokal vom Server aus)
Das alles klappt ohne Probleme.
Port: 81
Und deine 2te Website horcht auch da drauf und darf Anfragen aus fremden Netzen beantworten?1te Webseite ist die DefaultWebsite, die hört auf Port 80 und kann auch über die Domain von außerhalb erreicht werden.
2te Website ist die DRM-Website, die hört auf den Port 5555. Im lokalen Netz klappt das, aber aus dem Internet heraus nicht
3te Website ist die TestWebsite, die hört auf den Port 81. Die kann ich wie oben beschrieben aufrufen, aber aus dem Internet heraus nicht.
Was meinst Du mit "... darf Anfragen aus fremden Netzen beantworten?"?
Gateway: *
Bei Portforwarding? (Sorry, hab gerade keine PfSense zum nachschauen)Danke, werde mir die Seite noch einmal anschauen.
Gruß
Stefan
Hallo,
Dann musst du aus dem Internet heraus deine Server mit http://dein.servername.de:81 oder http://dein.servername.de:5555 aufrufen. Und zwar zeigt dein.servername.de auf deine Öffentliche IP. Und von dort geht es mit Portforwarding weiter (oder du nutzt Reverse Proxy....
Eingangs schriebs du was vo CRM. Jetzt ist daraus ein DRM geworden? Du willst weder ein CRM noch ein DRM im Internet Prostituieren.
Ansonsten Wireshark anwerfen und schauen wo die Anfragen aus dem Internet sind und wo die hängenbleiben bzw. schauen warum keinerlei Antwort vom WebServer kommt falls der überhaupt die Anfragen bekommt.
Gruß,
Peter
Dann musst du aus dem Internet heraus deine Server mit http://dein.servername.de:81 oder http://dein.servername.de:5555 aufrufen. Und zwar zeigt dein.servername.de auf deine Öffentliche IP. Und von dort geht es mit Portforwarding weiter (oder du nutzt Reverse Proxy....
Und deine 2te Website horcht auch da drauf und darf Anfragen aus fremden Netzen beantworten?
2te Website ist die DRM-Website,Was meinst Du mit "... darf Anfragen aus fremden Netzen beantworten?"?
Na, woher kommen denn die Anfrage? Aus dem Internet. Und darf dein Webserver denn diese Anfragen auch beantworten (das sind doch völlig andere IPs als aus dein Netz)? Dein Webserver hat doch eine Firewall, oder?Ansonsten Wireshark anwerfen und schauen wo die Anfragen aus dem Internet sind und wo die hängenbleiben bzw. schauen warum keinerlei Antwort vom WebServer kommt falls der überhaupt die Anfragen bekommt.
Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
Dann musst du aus dem Internet heraus deine Server mit http://dein.servername.de:81 oder http://dein.servername.de:5555 aufrufen. Und zwar zeigt dein.servername.de auf deine Öffentliche IP. Und von dort geht es mit Portforwarding weiter (oder du nutzt Reverse Proxy....
Und genau das will er nicht machen, egal ob ich externe IP plus Port (:81) nehme oder externe Domain plus Port (:81)Hallo,
Dann musst du aus dem Internet heraus deine Server mit http://dein.servername.de:81 oder http://dein.servername.de:5555 aufrufen. Und zwar zeigt dein.servername.de auf deine Öffentliche IP. Und von dort geht es mit Portforwarding weiter (oder du nutzt Reverse Proxy....
- reverse Proxy wird nicht benutzt.
Und deine 2te Website horcht auch da drauf und darf Anfragen aus fremden Netzen beantworten?
2te Website ist die DRM-Website,Was meinst Du mit "... darf Anfragen aus fremden Netzen beantworten?"?
Na, woher kommen denn die Anfrage? Aus dem Internet. Und darf dein Webserver denn diese Anfragen auch beantworten (das sind doch völlig andere IPs als aus dein Netz)? Dein Webserver hat doch eine Firewall, oder?Ansonsten Wireshark anwerfen und schauen wo die Anfragen aus dem Internet sind und wo die hängenbleiben bzw. schauen warum keinerlei Antwort vom WebServer kommt falls der überhaupt die Anfragen bekommt.
An Wireshark hab ich auch schon gedacht, habe dies aber nach hinten verschoben, da ja nichts an dem Server ankommt.Eben habe ich doch Wireshark bemüht. Port 80 wird schön protokolliert, aber kein Eintrag bezüglich Port 81.
Gruß
Stefan
Hallo,
Deine PfSense hat doch auch logs. Kommt eine Anfrage denn überhaupt von Extern an? Nicht das da noch ein Router vor deiner PfSense sitzen tut....
Gruß,
Peter
Zitat von @Lagoles:
Eben habe ich doch Wireshark bemüht. Port 80 wird schön protokolliert, aber kein Eintrag bezüglich Port 81.
Wo an welcher steller deiner Verkabelung hast du mitgeschnitten?Eben habe ich doch Wireshark bemüht. Port 80 wird schön protokolliert, aber kein Eintrag bezüglich Port 81.
Deine PfSense hat doch auch logs. Kommt eine Anfrage denn überhaupt von Extern an? Nicht das da noch ein Router vor deiner PfSense sitzen tut....
Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
Mittgeschnitten habe ich einmal auf dem CRM und einmal an der Firewall. Auf dem CRM-System tut sich nichts.Hallo,
Zitat von @Lagoles:
Eben habe ich doch Wireshark bemüht. Port 80 wird schön protokolliert, aber kein Eintrag bezüglich Port 81.
Wo an welcher steller deiner Verkabelung hast du mitgeschnitten?Eben habe ich doch Wireshark bemüht. Port 80 wird schön protokolliert, aber kein Eintrag bezüglich Port 81.
Deine PfSense hat doch auch logs. Kommt eine Anfrage denn überhaupt von Extern an? Nicht das da noch ein Router vor deiner PfSense sitzen tut....
Auf dem Port:81 regt sich nichts, auf Port:80 sind die Einträge vorhanden.Einen Router gibt es davor nicht. Infrastruktur sieht wie folgt aus:
KabelBW-Cisco-Modem -> pfsense-Firewall -> die Server
Danke und Gruß
Stefan
Hallo,
Wo an der Firewall - WAN oder LAN?
Deine PfSense hat WAN und LAN. Kommt am WAN deine Anfrage überhaupt an? Erst danach kannst du am LAN oder an dein CRM suchen gehen...
Frag mich manchmal ob wir immer darauf hinweisen müssen wie und wierum ein RJ-45 Stecker in eine R-J-45 Buchse getan wird damit es ....
Enfachste logische Fehlersuche ist wohl vielen zu viel Aufwand.
Meine Glaskugel hat neuerdings ein LCD Panel. Dort steht in Farbigen Lettern "Schließe aus was nicht der Fehler ist - übrig bleibt der Fehler" - Schön bunt
Gruß,
Peter
Wo an der Firewall - WAN oder LAN?
KabelBW-Cisco-Modem -> pfsense-Firewall -> die Server
Dein Cisco ist wirklich ein reinrassiges Modem?Deine PfSense hat WAN und LAN. Kommt am WAN deine Anfrage überhaupt an? Erst danach kannst du am LAN oder an dein CRM suchen gehen...
Frag mich manchmal ob wir immer darauf hinweisen müssen wie und wierum ein RJ-45 Stecker in eine R-J-45 Buchse getan wird damit es ....
Enfachste logische Fehlersuche ist wohl vielen zu viel Aufwand.
Meine Glaskugel hat neuerdings ein LCD Panel. Dort steht in Farbigen Lettern "Schließe aus was nicht der Fehler ist - übrig bleibt der Fehler" - Schön bunt
Gruß,
Peter
Das Cisco-Gerät ist ein klassisches EPC3212 Gerät, welches von KabelBW versendet wird.
CRM mit Wireshark und Firewall die Firewall-Logs
Deine PfSense hat WAN und LAN. Kommt am WAN deine Anfrage überhaupt an? Erst danach kannst du am LAN oder an dein CRM suchen gehen...
Frag mich manchmal ob wir immer darauf hinweisen müssen wie und wierum ein RJ-45 Stecker in eine R-J-45 Buchse getan wird damit es ....
Enfachste logische Fehlersuche ist wohl vielen zu viel Aufwand.
Die pfsense läuft als VM auf einem ESXi welcher 2 NICs zugeordnet sind.
Gruß
Stefan
CRM mit Wireshark und Firewall die Firewall-Logs
KabelBW-Cisco-Modem -> pfsense-Firewall -> die Server
Dein Cisco ist wirklich ein reinrassiges Modem?Deine PfSense hat WAN und LAN. Kommt am WAN deine Anfrage überhaupt an? Erst danach kannst du am LAN oder an dein CRM suchen gehen...
Frag mich manchmal ob wir immer darauf hinweisen müssen wie und wierum ein RJ-45 Stecker in eine R-J-45 Buchse getan wird damit es ....
Enfachste logische Fehlersuche ist wohl vielen zu viel Aufwand.
Meine Glaskugel hat neuerdings ein LCD Panel. Dort steht in Farbeigen Lettern "Schließe aus was nicht der Fehler ist - übrig bleibt der Fehler" - Schön bunt
Gruß
Stefan
Hallo zusammen,
und weiteres nachdenken ergab.....
Hat sich gelöst, danke aber für die Hilfe.
Gruß
Stefan
und weiteres nachdenken ergab.....
Hat sich gelöst, danke aber für die Hilfe.
Gruß
Stefan
