25
Pfsense einrichten als Test hinter Fritzbox
Hallo Experten,
ich habe aktuell eine Fritzbox als DSL Router bei Osnatel. Nun würde ich gerne eine pfsense installieren. Das dafür notwendige Modem (Draytek Vigor 167 ist bereits gekauft, aber noch nicht angeschlossen.
Ich wollte erst einmal mit pfsense warm werden, da ich kein Experte bin. Ich habe also pfsense auf einem ipu-Board installiert und den WAN Anschluss an einen Lan-Anschluss der Fritzbox angeschlossen. Mir ist klar, dass Doppel-NAT nicht sinnvoll ist aber für einen Test halte ich das für die richtige Vorgehensweise.
Ich bekomme die pfsense so weit eingerichtet, dass ich mit meinem Laptop (anschlossen am LAN von der pfsense / ipu-Board) auf die Fritzbox zugreifen kann (kann die Weboberfläche öffnen.).
Ich kann auch den Google-Server anpingen, das klappt also auch.
Bei der Grundinstallation von pfsense aus den verschiedenen Tutorials (vielen Dank an aqui) habe ich entnehmen können, dass ich dann auch schon per Webbrowser ins Internet kommen müsste. Aber genau das klappt bei mir nicht.
Kann mir da irgendwer helfen?
Gruss Norbert
ich habe aktuell eine Fritzbox als DSL Router bei Osnatel. Nun würde ich gerne eine pfsense installieren. Das dafür notwendige Modem (Draytek Vigor 167 ist bereits gekauft, aber noch nicht angeschlossen.
Ich wollte erst einmal mit pfsense warm werden, da ich kein Experte bin. Ich habe also pfsense auf einem ipu-Board installiert und den WAN Anschluss an einen Lan-Anschluss der Fritzbox angeschlossen. Mir ist klar, dass Doppel-NAT nicht sinnvoll ist aber für einen Test halte ich das für die richtige Vorgehensweise.
Ich bekomme die pfsense so weit eingerichtet, dass ich mit meinem Laptop (anschlossen am LAN von der pfsense / ipu-Board) auf die Fritzbox zugreifen kann (kann die Weboberfläche öffnen.).
Ich kann auch den Google-Server anpingen, das klappt also auch.
Bei der Grundinstallation von pfsense aus den verschiedenen Tutorials (vielen Dank an aqui) habe ich entnehmen können, dass ich dann auch schon per Webbrowser ins Internet kommen müsste. Aber genau das klappt bei mir nicht.
Kann mir da irgendwer helfen?
Gruss Norbert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2140812283
Url: https://administrator.de/contentid/2140812283
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
25 Kommentare
Neuester Kommentar
Alles zu dem Thema Router Kaskade erklärt dir das pfSense/OPNsense Tutorial im Kapitel "Kaskaden Lösung":
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen... !
Nebenbei hast du kein Internet sondern ein DNS Problem durch völlig falsches DNS Setup.
Nur Dummies nutzen 8.8.8.8 als DNS Server ! Vernünftige nutzen hier eine Datenschutz freundlichere Alternative ! Aber auch die ist unsinnig da völlig überflüssig !
Hier musst du NICHTS eintragen, denn die pfSense "lernt" per DHCP den DNS Server automatisch von der FritzBox. Also im DNS Feld des Setups alles LEER lassen.
Das richtige Setup des DNS Cachings wird HIER erklärt ! Also auch einmal die weiterführenden Links lesen !
Vernüftige Adminstratoren gehen dann logischerweise strategisch vor und immer zuerst ins "Diagnostics" Menü der pfSense und checken unter Ping und nslookup ob von dort eine Hostnamen Auflösung, sprich DNS sauber klappt.
Erst danach dann an den Endgeräten !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen... !
Nebenbei hast du kein Internet sondern ein DNS Problem durch völlig falsches DNS Setup.
Nur Dummies nutzen 8.8.8.8 als DNS Server ! Vernünftige nutzen hier eine Datenschutz freundlichere Alternative ! Aber auch die ist unsinnig da völlig überflüssig !
Hier musst du NICHTS eintragen, denn die pfSense "lernt" per DHCP den DNS Server automatisch von der FritzBox. Also im DNS Feld des Setups alles LEER lassen.
Das richtige Setup des DNS Cachings wird HIER erklärt ! Also auch einmal die weiterführenden Links lesen !
Vernüftige Adminstratoren gehen dann logischerweise strategisch vor und immer zuerst ins "Diagnostics" Menü der pfSense und checken unter Ping und nslookup ob von dort eine Hostnamen Auflösung, sprich DNS sauber klappt.
Erst danach dann an den Endgeräten !
Hallo Trebron!
Du blockierst auf dem WAN-Interface alle privaten Netzwerke. Da dein Gateway (die FB) aber eine private IP hat, kann das nix werden. Nimm da mal den Haken raus.
Welchen DNS Server man nimmt ist Glaubenssache. Häufig hängt man am Provider-DNS weil z.B. bei O2 nur damit die Telefonie funktioniert. Wenn man mehr Freiheit braucht nimmt man andere. Quad9 nehme ich auch.
Hier gilt aber was @aqui (Schönen Gruß!) geschrieben hat. In der PfSense benötigst du bei deinem Setup keinen.
VG
Buc
Du blockierst auf dem WAN-Interface alle privaten Netzwerke. Da dein Gateway (die FB) aber eine private IP hat, kann das nix werden. Nimm da mal den Haken raus.
Welchen DNS Server man nimmt ist Glaubenssache. Häufig hängt man am Provider-DNS weil z.B. bei O2 nur damit die Telefonie funktioniert. Wenn man mehr Freiheit braucht nimmt man andere. Quad9 nehme ich auch.
Hier gilt aber was @aqui (Schönen Gruß!) geschrieben hat. In der PfSense benötigst du bei deinem Setup keinen.
VG
Buc
Hallo aqui,
vielen Dank für die Rückmeldung. Ich bin noch mal komplett von vorne angefangen (Installation).
Als DNS Server in der Fritzbox habe ich 1.1.1.1! Ich denke das ist auch in Ordnung. Mit 4x8 auf Google war nur zum Testen!
Ich habe auch alles so eingestellt. Trotzdem kann ich keine Website aufrufen. Anpingen von web.de geht.
Es ist wahrscheinlich nur ne Kleinigkeit, aber ich stehe da völlig auf der Leitung
Muss ich evtl in der Fritzbox etwas einstellen? Die pfsense bekommt die IP per DHCP.
Gruß Norbert
vielen Dank für die Rückmeldung. Ich bin noch mal komplett von vorne angefangen (Installation).
Als DNS Server in der Fritzbox habe ich 1.1.1.1! Ich denke das ist auch in Ordnung. Mit 4x8 auf Google war nur zum Testen!
Ich habe auch alles so eingestellt. Trotzdem kann ich keine Website aufrufen. Anpingen von web.de geht.
Es ist wahrscheinlich nur ne Kleinigkeit, aber ich stehe da völlig auf der Leitung
Muss ich evtl in der Fritzbox etwas einstellen? Die pfsense bekommt die IP per DHCP.
Gruß Norbert
Guck mal auf Clientseite was da an IP, Gateway, DNS eingestellt ist.
Die PfSense kann ja nun offenbar die Namen auflösen.
Die PfSense kann ja nun offenbar die Namen auflösen.
Hallo,
das müsste aus meiner Sicht passen!
Gruss Norbert
das müsste aus meiner Sicht passen!
Gruss Norbert
Hallo,
Mein Konto müsste aus meiner Sicht auch passen, trotzdem kommen da keine unzähligen neuen EURs drauf an
Ein IPConfig /all deines Clients ist hier hilfreicher da du niemanden von dein Netzkonstrukt etwas Gehaltvolles Erzählst.
Gruß,
Peter
Mein Konto müsste aus meiner Sicht auch passen, trotzdem kommen da keine unzähligen neuen EURs drauf an
Ein IPConfig /all deines Clients ist hier hilfreicher da du niemanden von dein Netzkonstrukt etwas Gehaltvolles Erzählst.
Gruß,
Peter
Welchen DNS Server verwendet denn dein Client?
@Pjordorf: Wenn du die passenden Einstellungen gefunden hast, poste die mal. Mein Konto hat auch so ne Fehlkonfiguration.
Buc
@Pjordorf: Wenn du die passenden Einstellungen gefunden hast, poste die mal. Mein Konto hat auch so ne Fehlkonfiguration.
Buc
Kollege @Pjordorf hat aber Recht. Ein ipconfig -all eines Clients würde hier helfen.
Auch ein nslookup www.administrator.de von einem Client.
Normalerweise muss man gar nichts an der pfSense konfigurieren. Nur mit ihrer Default Konfig funktioniert das alles schon so out of the Box !
Du solltest parallel nochmal checken ob ggf. IPv6 aktiviert ist in deiner FB (Dual Stack) aber dort die DNS Server fehlen und deshalb primär IPv6 genutzt wird aber mit einer falschen DNS Konfig.
IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Auch ein nslookup www.administrator.de von einem Client.
Normalerweise muss man gar nichts an der pfSense konfigurieren. Nur mit ihrer Default Konfig funktioniert das alles schon so out of the Box !
Du solltest parallel nochmal checken ob ggf. IPv6 aktiviert ist in deiner FB (Dual Stack) aber dort die DNS Server fehlen und deshalb primär IPv6 genutzt wird aber mit einer falschen DNS Konfig.
IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Moinsen,
und nimm (da ja kein IPv6 am Start) mal die Einstellung unter "general settings" (LAN Interface) > IPv6 configuration raus...
Du hast da "Track Interface" stehen...welches "trackst" du denn? Denn unter WAN hast du IPv6 ja nicht aktiviert...
Hat aber afaik nix damit zu tun...
Sinniger sind da die Fragen nach ifconfig -a, nslookup und die Idee auf der FB dann mal wegen IPv6 DNS Servern zu schauen...
Hier zB ist auch doppel NAT, Dualstack, DNS macht unbound auf der pfsense als resolver.
Da ich noch weitere Subnetze habe, sind einige Regeln nötig um DNS Abfragen zu erlauben, das ist ja aber bei deinem setting egal (da keine weiteren VLANs).
Du kannst also in deinem Beispiel "web.de" pingen, erreichst die Seite aber nicht via Browser? Läuft der ping von der pfsense oder vom Client aus??
Denn bei deinem Client-screenshot fällt mir auf, dass du zwar "Manuell" ausgewählt hast, dann aber kein Eintrag bei zB DNS Server dort hinterlegt ist...
Grüßle
the other
und nimm (da ja kein IPv6 am Start) mal die Einstellung unter "general settings" (LAN Interface) > IPv6 configuration raus...
Du hast da "Track Interface" stehen...welches "trackst" du denn? Denn unter WAN hast du IPv6 ja nicht aktiviert...
Hat aber afaik nix damit zu tun...
Sinniger sind da die Fragen nach ifconfig -a, nslookup und die Idee auf der FB dann mal wegen IPv6 DNS Servern zu schauen...
Hier zB ist auch doppel NAT, Dualstack, DNS macht unbound auf der pfsense als resolver.
Da ich noch weitere Subnetze habe, sind einige Regeln nötig um DNS Abfragen zu erlauben, das ist ja aber bei deinem setting egal (da keine weiteren VLANs).
Du kannst also in deinem Beispiel "web.de" pingen, erreichst die Seite aber nicht via Browser? Läuft der ping von der pfsense oder vom Client aus??
Denn bei deinem Client-screenshot fällt mir auf, dass du zwar "Manuell" ausgewählt hast, dann aber kein Eintrag bei zB DNS Server dort hinterlegt ist...
Grüßle
the other
Da ich noch weitere Subnetze habe, sind einige Regeln nötig um DNS Abfragen zu erlauben
Kann man nur hoffen das der TO so intelligent war das Default LAN Interface zu nutzen was per Default schon ein entsprechendes Regelwerk hat.Neue Interfaces, sei es native oder VLANs, haben das nicht. Da wird im Default erstmal ALLES geblockt wie es ja bei Firewalls üblich ist. Hoffentlich hat der TO das auf dem Radar ?!
Ein Blick in die Firewall Logs kann hier, wie immer, nicht schaden.
Moinsen @aqui,
ja eben, das hatte mich auch schon mal in die Verwirrung geschickt...ist eben ne Firewall. Aber wenn mensch von Fritzbox kommt, dann ist das schon was anderes und der Umdenkprozess muss auch erst in die Gänge kommen... wie ich aus eigener Erfahrung bestätigen kann, denn ohne deine Tipps hätte ich auch erst mal ein langes Gesicht gemacht...
ja eben, das hatte mich auch schon mal in die Verwirrung geschickt...ist eben ne Firewall. Aber wenn mensch von Fritzbox kommt, dann ist das schon was anderes und der Umdenkprozess muss auch erst in die Gänge kommen...
wie ich aus eigener Erfahrung bestätigen kann, denn ohne deine Tipps hätte ich auch erst mal ein langes Gesicht gemacht...
Hallo Zusammen,
vielen Dank für Eure Hilfe! Anbei mal ein paar Infos (vom Client auf Linux Rechner):
$ nslookup www.administrator.de
;; connection timed out; no servers could be reached
$ nslookup www.administrator.de 9.9.9.9
Server: 9.9.9.9
Address: 9.9.9.9#53
Non-authoritative answer:
Name: www.administrator.de
Address: 82.149.225.19
$ ip route show
default via 192.168.1.1 dev eth0 proto static metric 100
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.20 metric 100
$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 54:05:db:b9:eb:6b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.20/24 brd 192.168.1.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 fe80::4e0c:6f9a:c685:ca60/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 6a:fd:72:8f:e1:8c brd ff:ff:ff:ff:ff:ff
$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether 54:05:db:b9:eb:6b brd ff:ff:ff:ff:ff:ff
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DORMANT group default qlen 1000
link/ether da:d5:25:18:27:4d brd ff:ff:ff:ff:ff:ff
$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 54:05:db:b9:eb:6b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.20/24 brd 192.168.1.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 fe80::4e0c:6f9a:c685:ca60/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 6a:fd:72:8f:e1:8c brd ff:ff:ff:ff:ff:ff
$ ip r
default via 192.168.1.1 dev eth0 proto static metric 100
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.20 metric 100
Ich hoffe, das ist hilfreich!
Gruß Norbert
vielen Dank für Eure Hilfe! Anbei mal ein paar Infos (vom Client auf Linux Rechner):
$ nslookup www.administrator.de
;; connection timed out; no servers could be reached
$ nslookup www.administrator.de 9.9.9.9
Server: 9.9.9.9
Address: 9.9.9.9#53
Non-authoritative answer:
Name: www.administrator.de
Address: 82.149.225.19
$ ip route show
default via 192.168.1.1 dev eth0 proto static metric 100
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.20 metric 100
$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 54:05:db:b9:eb:6b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.20/24 brd 192.168.1.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 fe80::4e0c:6f9a:c685:ca60/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 6a:fd:72:8f:e1:8c brd ff:ff:ff:ff:ff:ff
$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether 54:05:db:b9:eb:6b brd ff:ff:ff:ff:ff:ff
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DORMANT group default qlen 1000
link/ether da:d5:25:18:27:4d brd ff:ff:ff:ff:ff:ff
$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 54:05:db:b9:eb:6b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.20/24 brd 192.168.1.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 fe80::4e0c:6f9a:c685:ca60/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 6a:fd:72:8f:e1:8c brd ff:ff:ff:ff:ff:ff
$ ip r
default via 192.168.1.1 dev eth0 proto static metric 100
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.20 metric 100
Ich hoffe, das ist hilfreich!
Gruß Norbert
Moinsen,
also:
dein Client hängt hinter der pfsense am LAN...die pfsense mit ihrem WAN an einem LAN der Fritzbox.
Dein pfsense WAN bekommt den DNS Server durch DHCP von der Fritzbox zugeteilt (hier 1.1.1.1.).
Wenn du auf dem Client dann eine DNS Abfrage startest, kommt time-out...
Wenn du auf dem Client dann eine mit Angabe eines ANDEREN DNS-Servers machst geht es...
Welchen DNS-Server hast du denn beim Client im Netzwerkmanager hinterlegt (bei manueller Konfig wie im screenshot zu sehen)??
Was ergibt nslookup mit administrator.de 1.1.1.1. ?
Sollte ja passen. Vermutlich fehlt deinem Client einfach ein DNS-Servereintrag, er fragt dann sich selber, kennt die Antwort nicht und Ende.
Gibst du ihm aber vor, wen er (statt sich selbst) zu fragen hat nach "administrator.de" mit der Ergänzung, dann geht es ja...
Da du alle Tipps für die unbound Konfiguration der pfsense ja bereits umgesetzt hast, scheint doch da der Hund begraben.
Und weil ich es vermutlich überlesen habe:
ein Ping von der pfsense aus (Diagnostics > Ping sowie nslookup) bringen ein passendes Ergebnis, oder?
Grüßle
th30ther
also:
dein Client hängt hinter der pfsense am LAN...die pfsense mit ihrem WAN an einem LAN der Fritzbox.
Dein pfsense WAN bekommt den DNS Server durch DHCP von der Fritzbox zugeteilt (hier 1.1.1.1.).
Wenn du auf dem Client dann eine DNS Abfrage startest, kommt time-out...
Wenn du auf dem Client dann eine mit Angabe eines ANDEREN DNS-Servers machst geht es...
Welchen DNS-Server hast du denn beim Client im Netzwerkmanager hinterlegt (bei manueller Konfig wie im screenshot zu sehen)??
Was ergibt nslookup mit administrator.de 1.1.1.1. ?
Sollte ja passen. Vermutlich fehlt deinem Client einfach ein DNS-Servereintrag, er fragt dann sich selber, kennt die Antwort nicht und Ende.
Gibst du ihm aber vor, wen er (statt sich selbst) zu fragen hat nach "administrator.de" mit der Ergänzung, dann geht es ja...
Da du alle Tipps für die unbound Konfiguration der pfsense ja bereits umgesetzt hast, scheint doch da der Hund begraben.
Und weil ich es vermutlich überlesen habe:
ein Ping von der pfsense aus (Diagnostics > Ping sowie nslookup) bringen ein passendes Ergebnis, oder?
Grüßle
th30ther
Wenn ich nun web.de anpinge, bekomme ich keine Rückmeldung. Die hatte ich noch, als ich als in der pfsense als DNS-Server einen Eintrag hatte Den habe ich ja auf Vorschlag aqui entfernt und habe ich dieses Ergebnis (alles vom Client):
$ ping web.de
ping: web.de: Der Name oder der Dienst ist nicht bekannt
$ ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
64 bytes from 192.168.178.1: icmp_seq=1 ttl=63 time=0.536 ms
64 bytes from 192.168.178.1: icmp_seq=2 ttl=63 time=0.753 ms
64 bytes from 192.168.178.1: icmp_seq=3 ttl=63 time=0.751 ms
64 bytes from 192.168.178.1: icmp_seq=4 ttl=63 time=0.812 ms
64 bytes from 192.168.178.1: icmp_seq=5 ttl=63 time=0.794 ms
64 bytes from 192.168.178.1: icmp_seq=6 ttl=63 time=0.796 ms
64 bytes from 192.168.178.1: icmp_seq=7 ttl=63 time=0.737 ms
64 bytes from 192.168.178.1: icmp_seq=8 ttl=63 time=0.815 ms
64 bytes from 192.168.178.1: icmp_seq=9 ttl=63 time=0.808 ms
^C
--- 192.168.178.1 ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 209ms
rtt min/avg/max/mdev = 0.536/0.755/0.815/0.089 ms
$ ping 9.9.9.9
PING 9.9.9.9 (9.9.9.9) 56(84) bytes of data.
64 bytes from 9.9.9.9: icmp_seq=1 ttl=57 time=46.3 ms
64 bytes from 9.9.9.9: icmp_seq=2 ttl=57 time=36.8 ms
64 bytes from 9.9.9.9: icmp_seq=3 ttl=57 time=37.5 ms
64 bytes from 9.9.9.9: icmp_seq=4 ttl=57 time=33.8 ms
64 bytes from 9.9.9.9: icmp_seq=5 ttl=57 time=50.9 ms
64 bytes from 9.9.9.9: icmp_seq=6 ttl=57 time=30.5 ms
^C
--- 9.9.9.9 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 14ms
rtt min/avg/max/mdev = 30.478/39.301/50.930/7.094 ms
vom Client:
$ nslookup administrator.de 1.1.1.1
Server: 1.1.1.1
Address: 1.1.1.1#53
Non-authoritative answer:
Name: administrator.de
Address: 82.149.225.19
aus der pfsense:
$ ping web.de
ping: web.de: Der Name oder der Dienst ist nicht bekannt
$ ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
64 bytes from 192.168.178.1: icmp_seq=1 ttl=63 time=0.536 ms
64 bytes from 192.168.178.1: icmp_seq=2 ttl=63 time=0.753 ms
64 bytes from 192.168.178.1: icmp_seq=3 ttl=63 time=0.751 ms
64 bytes from 192.168.178.1: icmp_seq=4 ttl=63 time=0.812 ms
64 bytes from 192.168.178.1: icmp_seq=5 ttl=63 time=0.794 ms
64 bytes from 192.168.178.1: icmp_seq=6 ttl=63 time=0.796 ms
64 bytes from 192.168.178.1: icmp_seq=7 ttl=63 time=0.737 ms
64 bytes from 192.168.178.1: icmp_seq=8 ttl=63 time=0.815 ms
64 bytes from 192.168.178.1: icmp_seq=9 ttl=63 time=0.808 ms
^C
--- 192.168.178.1 ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 209ms
rtt min/avg/max/mdev = 0.536/0.755/0.815/0.089 ms
$ ping 9.9.9.9
PING 9.9.9.9 (9.9.9.9) 56(84) bytes of data.
64 bytes from 9.9.9.9: icmp_seq=1 ttl=57 time=46.3 ms
64 bytes from 9.9.9.9: icmp_seq=2 ttl=57 time=36.8 ms
64 bytes from 9.9.9.9: icmp_seq=3 ttl=57 time=37.5 ms
64 bytes from 9.9.9.9: icmp_seq=4 ttl=57 time=33.8 ms
64 bytes from 9.9.9.9: icmp_seq=5 ttl=57 time=50.9 ms
64 bytes from 9.9.9.9: icmp_seq=6 ttl=57 time=30.5 ms
^C
--- 9.9.9.9 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 14ms
rtt min/avg/max/mdev = 30.478/39.301/50.930/7.094 ms
vom Client:
$ nslookup administrator.de 1.1.1.1
Server: 1.1.1.1
Address: 1.1.1.1#53
Non-authoritative answer:
Name: administrator.de
Address: 82.149.225.19
aus der pfsense:
Moinsen,
also, wenn deine pfsense administrator.de pingen kann, dann löst die pfsense den Namen ja auch korrekt auf. Es geht also generell in deinem kleinen Netzwerk hinter der Fritzbox...
Nicht so dein Client...der weiß immer noch nicht weiter.
Und daher (dreimal ist ja bekanntlich keinmal) nochmals gefragt:
WIE sind die Einstellungen des Clients zum Netzwerk?
Manuell? Falls ja > welchen DNS Server angegeben?
also, wenn deine pfsense administrator.de pingen kann, dann löst die pfsense den Namen ja auch korrekt auf. Es geht also generell in deinem kleinen Netzwerk hinter der Fritzbox...
Nicht so dein Client...der weiß immer noch nicht weiter.
Und daher (dreimal ist ja bekanntlich keinmal) nochmals gefragt:
WIE sind die Einstellungen des Clients zum Netzwerk?
Manuell? Falls ja > welchen DNS Server angegeben?
Der Fehler der (mal wieder) oben beim Ping gemacht wurde ist die "Source Address" fälschlicherweise auf Automatic zu belassen.
Mit nur ein wenig intelligentem Nachdenken wäre es sinnvoll diese auf das lokale LAN Segment zu setzen in das auch der Client angeschlossen ist !!! So bekommen dann die ICMP Pings eine Absender IP aus dem lokalen LAN Segment des Clients.
So könnte man dann zu 99,9% so realistisch pingen wie es auch ein Client im lokalen LAN machen würde !
Dann wäre ein ipconfig -all vom Testclient sinnvoll wie zu Recht 3mal schon gefordert plus die Info ob es Firewall Log irgendwelche Blocking Meldungen gibt !
Firewall Log daher VOR dem Ping löschen (wegen der Übersichtlichkeit) und die Log Reihenfolge im Log Setting so setzten das die aktuellste Meldung immer OBEN erscheint !
Kollege @th30ther hat hier absolut Recht das es die Firewall so gut wie sicher nicht ist sondern der Client oder ein falsches oder fehlendes Regelwerk am lokalen LAN Port der Firewall an dem der Client hängt.
Aber auch der Screenshot des LAN Regelwerkes wurde ebenso schon 3mal nachgefragt.
So kann man sich natürlich auch im Kreis drehen.
Mit nur ein wenig intelligentem Nachdenken wäre es sinnvoll diese auf das lokale LAN Segment zu setzen in das auch der Client angeschlossen ist !!! So bekommen dann die ICMP Pings eine Absender IP aus dem lokalen LAN Segment des Clients.
So könnte man dann zu 99,9% so realistisch pingen wie es auch ein Client im lokalen LAN machen würde !
Dann wäre ein ipconfig -all vom Testclient sinnvoll wie zu Recht 3mal schon gefordert plus die Info ob es Firewall Log irgendwelche Blocking Meldungen gibt !
Firewall Log daher VOR dem Ping löschen (wegen der Übersichtlichkeit) und die Log Reihenfolge im Log Setting so setzten das die aktuellste Meldung immer OBEN erscheint !
Kollege @th30ther hat hier absolut Recht das es die Firewall so gut wie sicher nicht ist sondern der Client oder ein falsches oder fehlendes Regelwerk am lokalen LAN Port der Firewall an dem der Client hängt.
Aber auch der Screenshot des LAN Regelwerkes wurde ebenso schon 3mal nachgefragt.
So kann man sich natürlich auch im Kreis drehen.
Könnt Ihr mir bitte dann den Befehl ipconfig -all unter Linux nennen! Ich habe versucht, mit den oben genannten Infos alle benötigten Infos zu liefern. Zumindest waren das die Befehle, die ich als Äquivalent zu ipconfig /all gefunden habe.
Ich habe nicht genug Wissen, um mehr zu liefern. Bitte gebt mir dann einen Hinweis, wie ich das unter Linux hinbekomme! Ich nutze zwar seit vielen Jahren Linux, bin aber kein Experte!
Ich bräuchte auch einen Hinweis, wie ich an das fehlende Regelwerk vom lokalen Lan rankomme. Sorry, aber mir fehlen da leider die Kenntnisse. An der Motivation, diese Daten zu liefern scheitert es definitiv nicht.
@aqui: auf der pfsense kann ich ich ja die administrator. de anpingen (auch in automatic mode). Die Ergebnisse sind doch auch dort abgebildet! Oder habe ich auch da was falsch verstanden.
Gruß Norbert
Ich habe nicht genug Wissen, um mehr zu liefern. Bitte gebt mir dann einen Hinweis, wie ich das unter Linux hinbekomme! Ich nutze zwar seit vielen Jahren Linux, bin aber kein Experte!
Ich bräuchte auch einen Hinweis, wie ich an das fehlende Regelwerk vom lokalen Lan rankomme. Sorry, aber mir fehlen da leider die Kenntnisse. An der Motivation, diese Daten zu liefern scheitert es definitiv nicht.
@aqui: auf der pfsense kann ich ich ja die administrator. de anpingen (auch in automatic mode). Die Ergebnisse sind doch auch dort abgebildet! Oder habe ich auch da was falsch verstanden.
Gruß Norbert
Ich weiß nicht warum, aber nun kann ich Websites aufrufen. Verändert an der pfsense habe ich nichts. Auch an meinem Client habe ich nichts geändert. Ich habe wirklich keine Erklärung.
Ich bin jetzt erst mal superhappy und bedanke mich Euren Input. Über eine Info, wie ich an die Daten komme die Ihr Euch gewünscht habt würde ich mich natürlich trotzdem freuen. Ich bin ja willig zu lernen!
Gruß Norbert
Ich bin jetzt erst mal superhappy und bedanke mich Euren Input. Über eine Info, wie ich an die Daten komme die Ihr Euch gewünscht habt würde ich mich natürlich trotzdem freuen. Ich bin ja willig zu lernen!
Gruß Norbert
Moinsen,
Also erstmal: super, dass es läuft.
Der Befehl unter Linux lautet ifconfig -a , wie ich hier auch schon etwas versteckt geschrieben hatte
Da dein client ja an der pfsense hängt, ist das regelwerk für lan ja via gui einsehbar (firewall >regeln > lan), hattest du ja auch gepostet... ;)
Es gibt zwar noch verborgene default regeln für bestimmte Dienste, aber das spielt bei deinem Szenario IMHO keine Rolle.
Persönlicher Tipp? Da du dich ja eh von der fritzbox trennen willst, dann bau dir deine pfsense langsam auf...
...einlesen ggf in den Resolver Dienst unbound (wenn dann später die fritzbox als DNS forwarder wegfällt) und für lan konfigurieren
...einlesen in dhcp auf der pfsense und dann für lan konfigurieren bzw. Statische IPs vergeben für clients
Wäre jetzt ideal zu beginnen, solange du dir Zeit zum Lesen nehmen kannst...erleichtert den Umstieg später.
Du hast dann alles zentral auf deiner pfsense und schon Ahnung, was da wie grundsätzlich geht.
Also erstmal: super, dass es läuft.
Der Befehl unter Linux lautet ifconfig -a , wie ich hier auch schon etwas versteckt geschrieben hatte
Zitat von @th30ther:
Sinniger sind da die Fragen nach ifconfig -a, nslookup
Sinniger sind da die Fragen nach ifconfig -a, nslookup
Da dein client ja an der pfsense hängt, ist das regelwerk für lan ja via gui einsehbar (firewall >regeln > lan), hattest du ja auch gepostet... ;)
Es gibt zwar noch verborgene default regeln für bestimmte Dienste, aber das spielt bei deinem Szenario IMHO keine Rolle.
Persönlicher Tipp? Da du dich ja eh von der fritzbox trennen willst, dann bau dir deine pfsense langsam auf...
...einlesen ggf in den Resolver Dienst unbound (wenn dann später die fritzbox als DNS forwarder wegfällt) und für lan konfigurieren
...einlesen in dhcp auf der pfsense und dann für lan konfigurieren bzw. Statische IPs vergeben für clients
Wäre jetzt ideal zu beginnen, solange du dir Zeit zum Lesen nehmen kannst...erleichtert den Umstieg später.
Du hast dann alles zentral auf deiner pfsense und schon Ahnung, was da wie grundsätzlich geht.
PS
Pfsense / Client zwischendurch neu gestartet / neu verbunden? Auf automatische Einstellungen gegangen in der client Netzwerkkonfiguration? Unter manuellen Einstellungen den DNS Server nachgetragen? IT voodoo...?
Zitat von @Trebron:
Ich weiß nicht warum, aber nun kann ich Websites aufrufen. Verändert an der pfsense habe ich nichts. Auch an meinem Client habe ich nichts geändert. Ich habe wirklich keine Erklärung.
Ich weiß nicht warum, aber nun kann ich Websites aufrufen. Verändert an der pfsense habe ich nichts. Auch an meinem Client habe ich nichts geändert. Ich habe wirklich keine Erklärung.
Pfsense / Client zwischendurch neu gestartet / neu verbunden? Auf automatische Einstellungen gegangen in der client Netzwerkkonfiguration? Unter manuellen Einstellungen den DNS Server nachgetragen? IT voodoo...?
Könnt Ihr mir bitte dann den Befehl ipconfig -all unter Linux nennen!
Terminal öffnen, mit sudo su root Rechte zuweisen und dann ifconfigBesser wäre aber ein ip a und ein ip route
Ich bräuchte auch einen Hinweis, wie ich an das fehlende Regelwerk vom lokalen Lan rankomme.
Oha...an solchen Banalitäten scheiterst du schon ??Firewall --> Rules und dort wählst du dann in der roten Interface Übersicht das Interface aus an dem du das Regelwerk sehen oder bearbeiten willst !
Schön, dass es nun geht. Ein einfaches nslookup administrator.de hätte dir den aktiven DNS Server gezeigt. Hier hätte die PfSense auftauchen sollen.
Kleiner Tip: Denke daran, die Konfiguration der PfSense regelmässig zu sichern, wenn du dich einarbeitest und an verschiedensten Einstellungen rumspielst. Da kannst du immer wieder auf eine funktionierende Version zurückspringen wenn was schiefgeht.
VG
Buc
Kleiner Tip: Denke daran, die Konfiguration der PfSense regelmässig zu sichern, wenn du dich einarbeitest und an verschiedensten Einstellungen rumspielst. Da kannst du immer wieder auf eine funktionierende Version zurückspringen wenn was schiefgeht.
VG
Buc
Ein einfaches nslookup administrator.de hätte dir den aktiven DNS Server gezeigt.
Oder ein dig www.administrator.de sofern man vorher mit apt install dnsutils die DNS Utility Tools installiert hat.Ein Blick in die Datei resolv.conf (mit cat /etc/resolv.conf) hätte da auch sofort Klarheit geschaffen. Aber der TO befindet sich ja noch in der Lernphase.
Liebe Experten,
ich möchte hier wirklich nicht als Besserwisser auftreten, das steht mir nicht zu. Trotzdem mal eine Info zu ifconfig unter Linux:
ifconfig wird seit 2009 nicht mehr weiterentwickelt. Seit Debian 9 ist ifconfig wohl nicht mehr im Standard enthalten.
Der Nachfolger ist der Befehl ip, dessen Ergebnisse ich hier in mehreren Varianten gepostet habe (siehe Post vom 14.03. um 16:51 Uhr)! Evtl. gebe ich ja zu viele Infos, die dann auf Grund der Fülle übersehen werden. Ich bin selbstverständlich der Meinung, dass ich hier schon die notwendigen Informationen liefern muss, damit man mir qualifiziert Hilfestellung leisten kann.
Hier mal eine Info, was sich bezüglich ifconfig geändert hat:
Ich hoffe, ich kann evtl. mit dieser Info zu ifconfig und ip bei dem Einen oder Anderen für ein Aha-Erlebnis sorgen und somit den Experten hier im Forum etwas zurückgeben (wirklich nur konstruktiv und positiv gemeint)!
Deshalb war ich der Meinung, ich hätte die notwendigen Infos geliefert. Ich habe die Anfrage auf das Ergebnis von ifconfig nicht ignoriert, sie sind oben zu finden (auch die Ergebnisse von ip a, ip route und nslookup). Mich verunsichert das dann aber, wenn ich dann nochmals aufgefordert werde, diese Informationen zu liefern. Ich weiß dann nicht was oder wie, einfach meiner Unwissenheit geschuldet.
Auch die Frage von aqui nach meinen Regeln für LAN habe ich bereits in meinem ersten Post (direkt in meiner Eingangsfrage) mitgeliefert. Deshalb habe ich ja auch nicht verstanden, was damit gemeint ist oder wie ich an diese Info komme.
Es handelt sich bei mir um eine jungfräuliche Installation von pfsense auf einem ipu-Bord, welche ich mit dem Wan an einen Lan von meiner Fritzbox angeschlossen habe. Ich habe keine Regeln verändert. Bei verschiedenen Youtube Videos, Tutorials hier usw. kommen dann immer alle direkt nach der Installation von ihrem Lan hinter der pfsense ins Internet und das war bei mir nicht der Fall.
Es gibt auch keine VLans, da aktuell noch Fritzbox. Auch das mit den Subnetzen kommt nicht von mir, da habe ich nichts von erwähnt!
Ich bin froh und dankbar für Jeden der mir hilft. Für mich ist Netzwerk wie eine Fremdsprache, die ich erst noch lernen muss (Pebcak). Da nützt es auch wenig, ein Wörterbuch durchzulesen. Man muss sich damit beschäftigen und die Zusammenhänge verstehen. Der Wille ist vorhanden, leider holpert es noch überall. Ich bitte um Nachsicht für ein typisches Layer 8 Problem! Auto fahren lernt man auch nicht durch Lesen von Handbüchern, man muss sich ans Steuer setzen. Ich hoffe, Ihr seid weiterhin mein Fahrlehrer!
Evtl. macht es Sinn, dass ich noch mal in einem separaten Thread schildere, was ich aktuell habe und wo ich warum hin will (step by step)!
Nochmals vielen Dank
Gruss Norbert
ich möchte hier wirklich nicht als Besserwisser auftreten, das steht mir nicht zu. Trotzdem mal eine Info zu ifconfig unter Linux:
ifconfig wird seit 2009 nicht mehr weiterentwickelt. Seit Debian 9 ist ifconfig wohl nicht mehr im Standard enthalten.
Der Nachfolger ist der Befehl ip, dessen Ergebnisse ich hier in mehreren Varianten gepostet habe (siehe Post vom 14.03. um 16:51 Uhr)! Evtl. gebe ich ja zu viele Infos, die dann auf Grund der Fülle übersehen werden. Ich bin selbstverständlich der Meinung, dass ich hier schon die notwendigen Informationen liefern muss, damit man mir qualifiziert Hilfestellung leisten kann.
Hier mal eine Info, was sich bezüglich ifconfig geändert hat:
Ich hoffe, ich kann evtl. mit dieser Info zu ifconfig und ip bei dem Einen oder Anderen für ein Aha-Erlebnis sorgen und somit den Experten hier im Forum etwas zurückgeben (wirklich nur konstruktiv und positiv gemeint)!
Deshalb war ich der Meinung, ich hätte die notwendigen Infos geliefert. Ich habe die Anfrage auf das Ergebnis von ifconfig nicht ignoriert, sie sind oben zu finden (auch die Ergebnisse von ip a, ip route und nslookup). Mich verunsichert das dann aber, wenn ich dann nochmals aufgefordert werde, diese Informationen zu liefern. Ich weiß dann nicht was oder wie, einfach meiner Unwissenheit geschuldet.
Auch die Frage von aqui nach meinen Regeln für LAN habe ich bereits in meinem ersten Post (direkt in meiner Eingangsfrage) mitgeliefert. Deshalb habe ich ja auch nicht verstanden, was damit gemeint ist oder wie ich an diese Info komme.
Es handelt sich bei mir um eine jungfräuliche Installation von pfsense auf einem ipu-Bord, welche ich mit dem Wan an einen Lan von meiner Fritzbox angeschlossen habe. Ich habe keine Regeln verändert. Bei verschiedenen Youtube Videos, Tutorials hier usw. kommen dann immer alle direkt nach der Installation von ihrem Lan hinter der pfsense ins Internet und das war bei mir nicht der Fall.
Es gibt auch keine VLans, da aktuell noch Fritzbox. Auch das mit den Subnetzen kommt nicht von mir, da habe ich nichts von erwähnt!
Ich bin froh und dankbar für Jeden der mir hilft. Für mich ist Netzwerk wie eine Fremdsprache, die ich erst noch lernen muss (Pebcak). Da nützt es auch wenig, ein Wörterbuch durchzulesen. Man muss sich damit beschäftigen und die Zusammenhänge verstehen. Der Wille ist vorhanden, leider holpert es noch überall. Ich bitte um Nachsicht für ein typisches Layer 8 Problem! Auto fahren lernt man auch nicht durch Lesen von Handbüchern, man muss sich ans Steuer setzen. Ich hoffe, Ihr seid weiterhin mein Fahrlehrer!
Evtl. macht es Sinn, dass ich noch mal in einem separaten Thread schildere, was ich aktuell habe und wo ich warum hin will (step by step)!
Nochmals vielen Dank
Gruss Norbert
Trotzdem mal eine Info zu ifconfig unter Linux:
Du hast absolut Recht mit dem obigen Statement, also keine Sorge !Leider ist aber die ip Syntax nicht in allen Distros immer enthalten und muss dann ggf. über den Packet Manager nachinstalliert werden, würde man sich blind darauf verlassen. ifconfig gibts aber, obwohl veraltet, schon seit Jahrhunterten und liefert diese Info auch. Genau deshalb waren oben in weiser Voraussicht ja auch beide Optionen genannt. 😉
Müsste man das zusätzlich Linux Anfängern immer noch on top erklären verwirrt man sie ggf. noch mehr als zielführend beim Problem zu helfen. Ist für die Supporter hier also immer ein Vabanque Spiel wie weit man gehen sollte mit zusätzlichen Bürden die man Fragenden mit einfachen Grundkenntnissen ggf. auferlegt.
Aber gut wenn nun alles rennt wie es soll bei dir. Der Rest ist dann genau wie du oben schon richtig sagst ausprobieren und Erfahrungen machen. Und wenns mal kneift hier fragen...
Bitte dann auch nicht vergessen deinen Thread dann zu schliessen.
Wie kann ich einen Beitrag als gelöst markieren?
