dewebey
Goto Top

Pfsense Gästenetz und privates Netz sauber trennen

Hallo zusammen,

ich habe nun für unser Hotel das private Netz vom Gästenetzwerk mittels pfsense versucht zu trennen:

4dbf1803530f23e4a2efed2167f25872

Leider gibt es hierbei noch folgende Probleme:

1. Vom Gästenetz kann man auf das webinterface der fritzbox zugreifen. Das ist ein indiz für mich, dass die Trennung nicht wie gewünscht funktioniert hat.
2. Umgekehrt geht es leider nicht: Ich möchte vom privaten Netz Zugriff auf alle Access Points sowie die pfsense-Box haben, um es von dort aus konfigurieren zu können.
3. Ein Client (192.168.2.26) hängt in dem Gästenetz, der eigentlich im privaten Netz sein sollte, aber bei dem es aufgrund der vorhandenen Verkabelung nicht anders ging. Dieser soll aber auch im privaten Netz erreichbar sein.

Danke schonmal für eure Hilfe und viele Grüße,
Dennis Weiß

Content-Key: 294011

Url: https://administrator.de/contentid/294011

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: magicteddy
magicteddy 23.01.2016 um 15:36:38 Uhr
Goto Top
Moin,

beschreib die verwendete Hardware mal etwas genauer, managed Switch / VLans im Einsatz?
Ich finde in Deiner Zeichnung kein Gästenetz, wo bzw. wie realisiert?
Kannst Du bitte Punkt 3 so ausführen das auch ein aussen stehender ihn begreift? Was ging wo nicht anders zu verkabeln?
Was für Accesspoints setzt Du ein?

Die Verkabelung Fritte / ersten Switch brückt Dir das Gastnetz und das private Netz wenn Du es nicht mit einem richtig konfigurierten managed Switch verhinderst. Das heißt dann auch 2 DHCP Server für unterschiedliche Bereiche aktiv, also kurz Hüttenschnitz face-smile

-teddy
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.01.2016 um 15:36:48 Uhr
Goto Top
Hallo Dennis,

überdenke dein Konzept nochmals. Alles in allem ist das ziemlich halbgar.

Das die Box erreichbar ist, ist nicht zu umgehen. Aber auch das ist nicht sonderlich professionell.

VG
Mitglied: dewebey
dewebey 23.01.2016 um 16:27:52 Uhr
Goto Top
Hallo Teddy,

danke für deine Antwort.

Es handelt sich um einen unmanaged switch, TP-Link TL-SG1016. VLANS hab ich keine.

Das Gästenetz sind die "mehrere WLAN Access Points". Es sind die Asus RT-AC66U Router, die im AP Modus laufen.

Zu deiner Frage mit Punkt 3: Wir haben in unserem Lager einen dieser Access-Points, der einige der Gästezimmer mit Wlan versorgt. In diesem Lager haben wir noch ein Zeiterfassungsgerät für unsere Mitarbeiter, das per LAN-Kabel mit dem AP verbunden ist. Nun wollen wir vom privaten Netzwerk Zugriff auf dieses Zeiterfassungsgerät haben.

Ja, es sind 2 DHCP server aktiv.

Gruß
Dennis
Mitglied: BirdyB
BirdyB 23.01.2016 aktualisiert um 17:00:04 Uhr
Goto Top
Hallo Dennis,

kannst du die Fritzbox nicht direkt durch die pfSense ersetzen und dann mit VLANs arbeiten? Wenn du deine Asus Router mit OpenWRT flasht, kannst du auch Multi-SSID mit den verschiedenen VLANs machen und somit beide Netze überall zur Verfügung stellen, wo du sie brauchst.
Du bräuchtest dann eben einen managed Switch, den bekommst du aber auch für ca. 100 Euronen und hast dann eine gescheite Lösung...

Beste Grüße!


Berthold

P.S.: ich erinnere mich gerade an deinen vorigen Beitrag... Du solltest die Fritzbox wirklich zum Kabelmodem degradieren und die pfSense direkt dorthinter hängen...
Mitglied: dewebey
dewebey 23.01.2016 um 16:59:22 Uhr
Goto Top
Hallo Berthold,

das wollte ich nach Möglichkeit vermeiden, weil die hardware vom pfsense max. 100 Mbit erlaubt, ich aber im privaten Netz überall Gigabit einsetze.

Gruß
Dennis
Mitglied: BirdyB
BirdyB 23.01.2016 um 17:01:44 Uhr
Goto Top
Zitat von @dewebey:

Hallo Berthold,

das wollte ich nach Möglichkeit vermeiden, weil die hardware vom pfsense max. 100 Mbit erlaubt, ich aber im privaten Netz überall Gigabit einsetze.

Der Traffic, der im privaten Netz bleibt geht ja nicht über die pfSense, sondern nur bis zum Switch... Erst wenn es in ein anderes VLAN geht, geht es über die pfSense... Ansonsten mal über ein Upgrade der pfSense-Hardware nachdenken, falls du zwischen den VLANs auch GBit brauchst...

Gruß
Dennis

Beste Grüße!


Berthold
Mitglied: aqui
aqui 23.01.2016 aktualisiert um 17:15:34 Uhr
Goto Top
Die Lösung ist kinderleicht und kommt man eigentlich bei einer Firewall auch vonselber drauf:
Vom Gästenetz kann man auf das webinterface der fritzbox zugreifen.
Einfach eine simple Firewall Regel am Gäste Interface einrichten ala:
BLOCK Source: Gastnetzwerk Destination: Host IP x.y.z.a
x.y.z.a ist dabei die FB IP
Zusätzlich solltest du noch das private Netz logischerweise blocken, also zusätzlich:
BLOCK Source: Gastnetzwerk Destination: Privat Netzwerk
Umgekehrt geht es leider nicht:
Klar und logisch, denn du blockst ja den Zugriff von IP Adressen aaus dem Gastnetz auf dein Privatnetz. Dazu gehören ja logischerweise auch die AP IPs und so kommen die nicht durch. Aber auch hier ist die Lösung kinderleicht mit einer Regel !
Aber Achtung: Hast du ein Captive Portal am Laufen auf dem gastnetz ?? Vermutlich wohl ja.. ?! da musst du in den Captive Portal Settings eine Ausnahme für die IP oder besser Mac Adressen der APs konfigurieren !! Ansonsten bleiben die natürlich auch am CP hängen wie deine Gäste face-wink
So sähe die komplette Regel aus am Gastnetz Port:
PASS Source: IP Host <ap1_ip> Destination:Privates Netzwerk
PASS Source: IP Host <ap2_ip> Destination:Privates Netzwerk
PASS Source: IP Host <ap3_ip> Destination:Privates Netzwerk
BLOCK Source: Gastnetzwerk Destination: Host IP <fritz_box_ip>
BLOCK Source: Gastnetzwerk Destination: Privat Netzwerk
PASS Source: Gastnetzwerk Destination: Any

Ein Client (192.168.2.26) hängt in dem Gästenetz,
OK kein Thema...gleiches Spielchen wie die APs dann sähe deinen FW Regel am Gastnetz Port final so aus:
PASS Source: IP Host <ap1_ip> Destination:Privates Netzwerk
PASS Source: IP Host <ap2_ip> Destination:Privates Netzwerk
PASS Source: IP Host <ap3_ip> Destination:Privates Netzwerk
PASS Source: IP Host 192.168.2.26 Destination:Privates Netzwerk
BLOCK Source: Gastnetzwerk Destination: Host IP <fritz_box_ip>
BLOCK Source: Gastnetzwerk Destination: Privat Netzwerk
PASS Source: Gastnetzwerk Destination: Any

Logo das du die 192.168.2.26 oder auch hier wieder besser dessen Mac Adresse vom CP ausnhemen musst im CP Setup !
Fertisch ist der Lack ! Wo ist dein wirkliches Problem ?
Mitglied: 108012
108012 23.01.2016 um 18:17:22 Uhr
Goto Top
Hallo,

ich würde es entweder genau anders herum aufbauen oder eben beide WLANs via pfsense absichern wollen
und das private WLAN und das Gäste WLAN in ein eigenes VLAN "packen".

- Das WLAN an der AVM FB nur sporadisch anschalten wenn Besuch vor Ort ist
- Einmal eine Gruppe Gäste und privat anlegen im CP der pfSense hinterlegen und dann einen VLAN
fähigen Switch einsetzen und jedes WLAN in ein eigenes VLAN packen.

Gruß
Dobby
Mitglied: dewebey
dewebey 23.01.2016 um 18:49:45 Uhr
Goto Top
Hallo Aqui,

danke, das mit der fritzbox und dem privaten Netz sperren hat funktioniert.

Allerdings komme ich mit den anderen Regeln nicht vom privaten Netz weder auf die pfsense, noch die Access Points und auch nicht auf den einen client.

Captive Portal habe ich im Moment noch deaktiviert, das würde ich dann im nächsten step machen.

Gruß
Dennis
Mitglied: BirdyB
BirdyB 23.01.2016 um 19:29:45 Uhr
Goto Top
Kennt die Fritzbox, die für dein privates Netz wohl das Standard-Gateway ist denn eine Route zur pfSense?

Wie gesagt: Ich würde komplett auf VLAN wechseln. Das bietet dir einfach mehr Möglichkeiten...
Mitglied: dewebey
dewebey 23.01.2016 um 19:41:50 Uhr
Goto Top
Ich habe jetzt mal eine Route in der fritzbox eingetragen, aber leider auch ohne Erfolg:

Werte, die ich genommen habe:

Netzwerk: 192.168.2.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.71 (IP des WAN-Anschlusses am pfsense)

Gruß
Dennis
Mitglied: BirdyB
BirdyB 23.01.2016 um 19:57:33 Uhr
Goto Top
Das Netzwerk müsste aber eigentlich 192.168.2.0 sein... Ausserdem: Erlaubt deine pfSense den Zugriff auf das Webinterface über den WAN-Port? Ist normalerweise gesperrt...
Mitglied: dewebey
dewebey 23.01.2016 um 20:13:57 Uhr
Goto Top
habe es auf 192.168.2.0 geänder, leider ohne Erfolg.

Habe am WAN-Port nun eine Regel erstellt
PASS Source 192.168.178.1/24 Destination WAN NET

Leider auch ohne erfolg.
Mitglied: aqui
aqui 23.01.2016 aktualisiert um 23:27:05 Uhr
Goto Top
Kennt die Fritzbox, die für dein privates Netz wohl das Standard-Gateway ist denn eine Route zur pfSense?
Ich habe jetzt mal eine Route in der fritzbox eingetragen, aber leider auch ohne Erfolg:
Beide Statements sind Unsinn ! Die Route ist mit Verlaub gesagt technischer Blödsinn !
Grund: Der WAN Port der pfSense macht NAT (Network Adress Translation) Sprich alles was lokal über diesen Port rausgeht hat als Absender IP die WAN IP Adresse der pfSense.
Die kaskadierte FB davor "sieht" also gar keine Absender IP eines lokalen LANs sondern für sie ist jeglicher Absender die WAN IP Adresse der pfSense.

Du hast hier wie immer den klassischen Kaskaden Anfängerfehler begangen indem du vermutlich die RFC 1918 Netze am WAN Port blockst (Default Einstellung)
Gehe ins Setup unter Interfaces --> WAN und entferne unten den Haken bei "Block private Networks"
Dann funktioniert das sofort !
Habe am WAN-Port nun eine Regel erstellt
Die ist ebensolcher Unsinn. Kannst du gleich wieder entfernen.
Mitglied: BirdyB
BirdyB 24.01.2016 um 00:21:09 Uhr
Goto Top
@aqui: Du hast natürlich recht... Irgendwie wollte mein Hirn vorhin nicht so recht...
Mitglied: dewebey
dewebey 24.01.2016 um 13:16:42 Uhr
Goto Top
Hallo Aqui,

ich habe das "Block private Networks" nun deaktiviert, funktioniert trotzdem nicht.

Im WAN ist jetzt nur noch eine Regel drin, "Block bogon networks"

Die Regel im GUESTLAN
SOURCE 192.168.2.26 Destination 192.168.178.1/24 habe ich direkt an erster Stelle platziert, komme trotzdem nicht drauf...
Mitglied: BirdyB
BirdyB 24.01.2016 um 13:39:08 Uhr
Goto Top
Warum nimmst du denn nicht einfach die pfSense als Router und baust dein Netzwerksetup über VLANs auf?
Das sollte dir einiges an Problemen ersparen. auch wenn deine pfSense "nur" 100MBit kann, kommt das innerhalb eines VLANs nicht zum tragen, da der Traffic dort ja garnicht bis zur pfSense kommt. Zwischen den VLANs ist es von der Geschwindigkeit her auch nicht anders als jetzt auch.

Beste Grüße


Berthold
Mitglied: transocean
transocean 24.01.2016 um 13:49:01 Uhr
Goto Top
Mitglied: aqui
aqui 24.01.2016 um 17:50:28 Uhr
Goto Top
Die Regel im GUESTLAN SOURCE 192.168.2.26 Destination 192.168.178.1/24 habe ich direkt an erster Stelle platziert, komme trotzdem nicht drauf...
Sorry aber die Regel ist sinnfrei hier weill du vergessen hast Details anzugeben face-sad
Raten wir also mal....
  • 192.168.2.26 ist der PC im Gast WLAN ??
  • 192.168.178.1 ist die FB am WAN Port, richtig ?
Die Regel am Gast Port muss lauten:
PASS Source: Host IP 192.168.2.26, Destination: Host IP 192.168.178.1 !
Das muss klappen !

Mache sonst im Zeiwefel mal einen Test und setze als erste Regel:
PASS Source: Gast netzwerk, Destination: Any

Das erlaubt erstmal alles. Damit musst du zwangsläufig die FB dann erreichen. Klappt das machst du wieder langsam zu.
Du hast de facto einen Fehler in deinem Regelwerk.
ACHTUNG !!!:
Nochmal der Hinweis an dich: Wenn du ein Captive Portal am Gastnetz Port betreibst dann MUSST du eine Ausnahmeregelung dort eintragen für die 192.168.2.26 oder die Mac dieses Rechners !!!
Machst du das nicht bleibt der Rechner am Captive Portal hängen und kommt natürlich nicht raus ! Dazu kam leider kein Feedback von dir.
Tip:
Du kannst dem .26er PC auf Basis seiner Hardware Mac Adresse im DHCP Server die .26 immer fest zuweisen. So kann der auf DHCP in seinen NIC Settings bleiben bekommt aber immer fest die .26 als IP auf Basis seiner HW Adresse (DHCP Nailing)

Im Zweifel postest du über die Forums Bilder Upload Funktion hier mal einen Screenshot deiner FW Settings !
Mitglied: dewebey
dewebey 24.01.2016 um 18:21:28 Uhr
Goto Top
Die fritzbox erreiche ich damit, aber das will ich ja grade nicht.

Ich will es umgekehrt haben, dass einige der clients aus dem Gästenetzwerk vom privaten Netz aus erreichbar sind.

Das Captive Portal habe ich im Moment deaktiviert. Der .26er hat eine fest vergebene IP-Adresse. Der DHCP-server fängt erst ab 30 an.
Mitglied: BirdyB
BirdyB 24.01.2016 um 18:52:57 Uhr
Goto Top
Zitat von @dewebey:

Die fritzbox erreiche ich damit, aber das will ich ja grade nicht.

Ich will es umgekehrt haben, dass einige der clients aus dem Gästenetzwerk vom privaten Netz aus erreichbar sind.
Das wirst du aber mit deiner aktuellen Konfiguration nicht erreichen. Deine pfSense macht ja ein NAT am WAN-Port. Das bedeutet eben, dass sich alle Clients in deinem Gästenetz hinter der IP von der pfSense "verstecken". Damit ist es ohne Weiteres nicht möglich, eine IP im Gästenetz vom privaten Netz aus zu erreichen.
Entweder müsstest du dann mit Port-Forwarding auf der pfSense arbeiten oder aber das NAT deaktivieren und dann mit den echten IPs arbeiten (Dann sind wir auch wieder bei der Route aus meinem Beitrag von gestern angekommen) oder du äusserst dich mal in irgendeinerweise zu meiner (schon 2-Mal vorgebrachten) Empfehlung das ganze mit VLANs zu lösen, denn dann kannst du recht einfach festlegen, wer wohin zugreifen darf, bzw. kannst du diesen gewünschten Client direkt ins private Netz hängen.
Das Captive Portal habe ich im Moment deaktiviert. Der .26er hat eine fest vergebene IP-Adresse. Der DHCP-server fängt erst ab 30 an.
Das ist schonmal eine gute Idee, wenn du das Captive-Portal aktivierst musst du trotzdem die Mac-Ausnahme eintragen.

Beste Grüße


Berthold
Mitglied: dewebey
dewebey 24.01.2016 um 19:12:40 Uhr
Goto Top
Hallo Berthold,

leider kann ich die pfsense nicht vor die Fritzbox hängen, da ich nur eine Leitung dort habe und nicht 2 verschiedene. Die fritzbox steht in einem anderen Raum und es läuft nur ein Kabel zum switch.

Gruß
Dennis
Mitglied: BirdyB
BirdyB 24.01.2016 aktualisiert um 19:22:44 Uhr
Goto Top
Hallo Dennis,

1 Kabel genügt ja auch voll und ganz... Wie gesagt, VLANs sind dein Freund.

Ich würde die pfSense direkt an die Fritzbox hängen, auf der pfSense 2 VLANs konfigurieren (Privat/Gast) und dann kannst du die Anschlüsse des Switches ja so konfigurieren, wie du es benötigst...

Kabeltechnisch sehe ich da kein Problem...

Weiterhin könntest du sogar über deine APs mehrere WLANs (SSIDs) zur Verfügung stellen, so dass du mit deinen Geräten überall im privaten Netz bist und deine Gäste im Gästenetz...

Das wäre mMn die optimale Lösung für dein Setup...

Wenn du das so nicht willst, musst du eben mit den genannten Lösungen arbeiten, wenngleich es hier Sicherheitslücken geben kann...(z.B. MAC-Spoofing im Gästenetz)

Beste Grüße!

Berthold
Mitglied: dewebey
dewebey 24.01.2016 um 19:46:08 Uhr
Goto Top
Dann bräuchte ich aber wieder neue hardware, was ich nach Möglichkeit vermeiden will.

Die APs sind so verteilt, dass ich da immer nur ein WLAN laufen lassen muss, d.h. in den privaten Bereichen läuft das private Netz, analog dazu in den Gästebereichen.

an dem pfsense hab ich ja noch einen 3. Port, vllt kann man mit dem was machen? Z.b. direkt in das private netz hängen?

Grüße
Dennis
Mitglied: BirdyB
Lösung BirdyB 24.01.2016, aktualisiert am 26.01.2016 um 22:09:02 Uhr
Goto Top
Also die Hardwarekosten wären für einen neuen Switch bei ca. 100€. Wenn du das unbedingt vermeiden willst, dann kannst du natürlich auch andere Wege gehen.

Du musst dir halt immer überlegen wie ein IP-Paket dahin kommt, wo es hin soll...

In deinem privaten Netz wandern alle Pakete, die ausserhalb des privaten Netzes ankommen sollen über dein Standardgateway (Fritzbox).

Im Gästenetz wandern die Pakete, die ausserhalb des Gästenetzes zugestellt werden sollen an die pfSense (Standardgateway- Gästenetz). Die pfSense baut das Paket dann so um, dass es aussieht, als käme es von der pfSense (NAT) und schickt es mit seiner WAN-IP in dein privates Netz. Gehört das Paket nicht in das private Netz, geht es dort wieder an das Standardgateway (Fritzbox) und dann weiter.

Wenn du also einen, bzw. mehrere Rechner im Gästenetz aus deinem privaten Netz erreichen möchtest, musst du also erstmal auf das NAT verzichten, damit die Pakete die aus dem Gästenetz durch dein privates Netz gehen, auch als Pakete aus dem Gästenetz erkennbar sind.
Das Problem: Die Pakete gehen raus, die Fritzbox weiß aber nicht, wo die Antworten hin sollen. das Gästenetz kennt Sie nicht, also würde sie es allenfalls an ihr Standard-Gateway schicken und damit sind die Pakete futsch.

Also musst du dann deiner Fritzbox beibringen, dass das Gästenetz nicht über das Standard-Gateway erreichbar ist, sondern über die pfSense. Diesen Weg bezeichnet man dann als Route. Dann müssten die Wege soweit passen.

Dann ist es ja noch so, dass eben nicht alle Clients überallhin zugreifen dürfen. Also musst du dann über die Firewall den Zugriff einschränken.

Beste Grüße!


Berthold
Mitglied: aqui
Lösung aqui 25.01.2016, aktualisiert am 26.01.2016 um 22:08:57 Uhr
Goto Top
Die fritzbox erreiche ich damit, aber das will ich ja grade nicht.
Ahh, ok sorry missverstanden, dann muss das natürlich eine Block Regel sein also am Gastnetz dann zuerst:
BLOCK Source: Gast netzwerk, Destination: IP Host 172.168.178.1

Soll der .26er PC im Gastnetz aber die FB auch erreichen muss die Regel davor, also:
PASS Source: IP Host 192.168.2.26, Destination: IP Host 172.168.178.1
BLOCK Source: Gast netzwerk, Destination: IP Host 172.168.178.1

Der .26er hat eine fest vergebene IP-Adresse. Der DHCP-server fängt erst ab 30 an.
Deshalb ja der Verbesserungsvorschlag die .26 fest auf Basis der Mac Adresses dieses Rechners im DHCP zu vergeben. Dann musst du den Rechner nicht immer von statisch auf DHCP umstellen wenn du ihn bewegst. OK, steht er nur immer fest an einem Platze ist das egal dann kannst du statisch auch belassen.
Kosmetischer Tip: Trage unter Firewall -> Aliases den .26er rechner fest ein, dann kannst du in den Regeln immer diesen Alias verwenden, was übersichtlicher ist.
an dem pfsense hab ich ja noch einen 3. Port, vllt kann man mit dem was machen? Z.b. direkt in das private netz hängen?
Das wäre technisch gesehen die sinnigste Lösung !! Warum hast du das nicht längs schon so gemacht ?
Sinnvoll wären auch MSSID fähige APs die 2 oder mehr WLANs über eine Hardware abstrahlen, wie es im Tutorial unter "Praxisbeispiel" beschrieben ist.
Aber OK, das bedeutet dann VLANs. Allerdings kostet ein einfacher VLAN Switch mit 5 Ports 25 Euronen. Ganz so hart wird es also nicht face-wink
Mitglied: dewebey
dewebey 25.01.2016 um 18:05:01 Uhr
Goto Top
Hallo Aqui,

nein, der 26. soll die fritzbox nicht erreichen, sondern die fritzbox (bzw. die clients im fritzbox-Netzwerk) soll den 26er PC erreichen.
Ich fürchte, in dem Fall muss ich es so machen, wie Berthold es vorgeschlagen hat mittels NAT ausschalten.
Mitglied: aqui
Lösung aqui 25.01.2016, aktualisiert am 26.01.2016 um 22:08:51 Uhr
Goto Top
nein, der 26. soll die fritzbox nicht erreichen,
OK, dann kannst du die erste PASS Regel wieder vergessen und ignorieren.
sondern die fritzbox (bzw. die clients im fritzbox-Netzwerk) soll den 26er PC erreichen.
Oha...ja das ist tricky weil die pfSense NAT macht. Dazu müsstest du für alles Port Forwarding eintragen um das NAT zu überwinden, da du ja vom WAN zum LAN musst bzw. willst.
Da hat der Berthold recht.

Da rächt sich jetzt dein grundsätzlich falsches Netzwerk Design ! face-sad
Es ist kontraproduktiv die privaten Clients an den WAN Port zu hängen. Dadurch wird die Firewall davor quasi konterkariert und sie ist mehr oder weniger sinnlos, da du alle Gast User über dein privates Netz ins Internet bringst.
Du musst erheblich mehr Aufwand bei den regeln treiben.
Wie du schon selber sagts wäre es designtechnisch sinnvoller an die beiden Ports der pfSense einmal das Private und das gastnetz zu klemmen und das dann mit einem dedizierten Link auf den Router davor zu schalten.
Darüber solltest du mal nachdenken. Der .26er Rechner kann im Gastnetz verbleiben.
Mitglied: dewebey
dewebey 26.01.2016 um 22:09:34 Uhr
Goto Top
Hallo,

habe es nun hinbekommen mit der route in der fritzbox und dem NAT-Portforwarding.

Danke vielmals für eure Hilfe!
Mitglied: dewebey
dewebey 26.01.2016 um 22:22:50 Uhr
Goto Top
Da hab ich mich wohl zufrüh gefreut:
habe noch 2 netgear R6300v2 als AP eingerichtet und auf die komme ich nicht drauf. Habe aber genau dieselben Portforwarding Regeln eingestellt wie bei den anderen APs.

Habt ihr ne Idee, weshalb ich da nicht drauf komme?
Mitglied: BirdyB
BirdyB 27.01.2016 um 07:26:43 Uhr
Goto Top
Hi Dennis,

haben die APs das richtige Default-Gateway?
Welche Ports hast du weitergeleitet?

Beste Grüße!


Berthold
Mitglied: dewebey
dewebey 27.01.2016 um 13:17:29 Uhr
Goto Top
Hi Berthold,

habe als Default-Gateway bei allen die 192.168.2.1 eingetragen.
Ich leite jeweils den Port 80 weiter.

Grüße,
Dennis
Mitglied: BirdyB
BirdyB 27.01.2016 um 13:50:43 Uhr
Goto Top
Hallo Dennis,

du musst dann auf der WAN-Seite natürlich für jedes Gerät einen anderen Port wählen. also z.B. 10080 o.Ä.

BG

Berthold
Mitglied: dewebey
dewebey 28.01.2016 um 11:03:47 Uhr
Goto Top
Hallo Berthold,

Port-Änderung brachte leider auch nicht den gewünschten Erfolg.

Gruß
Dennis
Mitglied: BirdyB
BirdyB 28.01.2016 um 12:58:18 Uhr
Goto Top
Hallo Dennis,

du greifst aber schon über die WAN-IP der pfSense auf deine APs zu, oder?
Gibt es sonst Firewallregeln, die die Verbindung verhindern könnten?
Mitglied: aqui
aqui 28.01.2016 um 19:53:15 Uhr
Goto Top
Einfach mal ins Firewall Log sehen...da steht wo es kneift face-wink
Es ist aber höchst kontraproduktiv, das so zu lösen, denn das Port Forwarding kannst du gerade mal für ein einziges Endgerät machen. Hast du mehrere geht das nicht mehr.
Es ist also zu bezweifeln das dir diese Lösung wirklich hilft.
Verteil die Netze doch auf die lokalen LAN Ports und kauf dir für 15 Euro einen WLAN Router(z.B. TP-Link 841n) als AP, So ist die Lösung wenigstens sauber und nicht so ein elendes Gefrickel das zu nichts führt.