phill93
Goto Top

PFSense kein Internet Zugang

Hallo,

hab in meiner Spielwiese eine PFSense installiert.

Setup: Alter HPC Clusternode mit 2x Intel Xeon E5430 24 Gb Ram, 3 Intel NIC´s

1te NIC: WAN öffentliche IP aus dem Campusnetz
2te NIC: LAN standart 192.168.1.1 + DHCP
3te NIC: OPT1 unkonfiguriert

Ich kann von der PFSense aus nicht nach draußen Pingen (GW, 8.8.8.8). Die Firewall hab ich noch nicht angefasst.
Hat jemand eine Idee was schiefläuft?

Phill93

Content-ID: 323024

Url: https://administrator.de/contentid/323024

Ausgedruckt am: 16.11.2024 um 11:11 Uhr

Pjordorf
Pjordorf 07.12.2016 um 00:01:42 Uhr
Goto Top
Hallo,

Zitat von @Phill93:
Setup: Alter HPC Clusternode mit 2x Intel Xeon E5430 24 Gb Ram, 3 Intel NIC´s
Wow, 24 GB RAM.

Ich kann von der PFSense aus nicht nach draußen
Joa. Standard. Eine vernünftige Firewall blockiert nicht alles was von außßen kommt, sondern ebenfalls alls von innen nach außen will. Das ist Standard. Nur das wa explizit erlaubt ist kann raus. Eine Home Firewall ala FritzBox und Co. dürfen raus erstmal alles. Eine Homeuse Firewall hat andere Anforderungen als eine Firmen Firewall und sei es nur weil daheim kaum ein Admin existiert und das Ding nach dem Anschalten erstmal funktionieren muss. Hier wirst du allerdings zuerst einmal regeln zum Erlauben definieren müssen. Regeln werden von oben nach unten abgearbeit und die erste zutreffende Regel wird genutzt, der rest dann ignoriert. Die Reihenfolge ist alo auch entscheidend. Und was nicht ausdrücklich erlaubt ist, bleibt nach wie vor Verboten.

Die Firewall hab ich noch nicht angefasst. Hat jemand eine Idee was schiefläuft?
Du hättest die Regeln zwingend angehen müssen.

Gruß,
Peter
Schabersack
Schabersack 07.12.2016 um 00:56:48 Uhr
Goto Top
Hallo!

Dein LAN hat eine Adresse die dein Router wohl nicht kennt. Denn er arbeitet ja in seinem eigenen Segment. Du musst deinem Router mitteilen wo in deinem Netzwerk das Gateway ist um an dein LAN wieder etwas zurückzusenden. Jetzt bekommt er Pakete die er an eine interne IP-Adresse 192.168.1.x leiten soll. Da er das Netz aber nicht kennt nimmt er sein Default Gateway und versucht das Paket wieder ins Internet zurückzusenden. Dort wird es ausgefiltert, da dieser Adressbereich nichts im Internet zu suchen hat.
Um nun das Problem zu lösen solltest du als erstes deinem pfSense auch im WAN eine feste IP zuordnen, dann eine statische Route im Router einstellen in der du dem Netz 192.168.1.0 als Zielgateway die WAN Adresse des pfSense Servers einträgst.
Dann sollte es funktionieren. Habe noch ein Auge auf die Parameter im LAN Netzwerk. Dort sollte "Block privat network" abgeschaltet sein, da dein WAN Segment sicherlich eine private IP-Adresse hat.

Viel Erfolg

Gruß

Schabersack
aqui
aqui 07.12.2016 aktualisiert um 10:05:16 Uhr
Goto Top
Normal funktioniert die pfSense mit den Default Einstellungen sofort und ohne das man noch was zusätzlich konfigurieren muss.
Bei deiner Beschreibung ist fraglich WAS genau mit "1te NIC: WAN öffentliche IP aus dem Campusnetz" gemeint ist.
Damit es mit der Default Konfig funktioniert steht der WAN Port im DHCP Client Modus.
Sprich der WAN Port bekommt dann von einem DHCP Server im WAN Netz, das auch den Internet Zugang realisiert, automatisch das Default Gateway und auch den DNS Server.
Damit ist die pfSense dann sofort ohne weitere Konfig "einsatzklar".

Man kann hier leider nur raten das du schlicht und einfach vergessen hast eine Default Route oder ein Default Gateway anzugeben wenn du am WAN Port eine IP Adress statisch vergeben hast.
Da ist es dann klar das die pfSense nicht ins Internet kann wenn ihr die Route dazu fehlt.
Ggf. hast du dann auch vergessen den DNS Server anzugeben ?

Fazit: Wenn du statische IP Adressvergabe machst auf dem WAN Port auch Default Route und DNS angeben.
1.) Route bzw. Default Gateway unter System -> Routing konfigurieren:
pf2route

2.) Und dann im WAN Port Setting bei der IP Adresse dieses Default Gateway angegeben:
pf1

Den Status des Gateways kannst du auch immer unter Diagnostics -> Status sehen:
pf3

Es wäre sinnvoll und hilfreich für eine zielführende Hilfe gewesen wenn du einfach auch nur mal diese simplen Infos und Konfig Screenshots hier gepostet hättest face-sad
Die Überprüfung das dein LAN Client auch eine korrekte IP Adresse im 192.168.1.0er Segment am LAN Port bekommen hat sollte ebenso klar sein. (Das macht das Kommando ipconfig bei Winblows !).

Die pfSense hat alle diese guten Diagnosetools mit an Bord !!!
117471
117471 09.12.2016 um 15:20:03 Uhr
Goto Top
Hallo,

kannst Du denn die Sense anpingen?

Wenn Du den Server antracest - ist der erste Hop dann die Sense?

Und was tun die Protokolle von der Sense sagen?

Gruß,
Jörg
Phill93
Phill93 09.12.2016 um 17:49:19 Uhr
Goto Top
Wollte euere Theorien diese Woche nachprüfen, jedoch bin ich nicht da zugekommen.
Die nächsten Wochen bin ich in der Berufsschule da kann ich das auch nicht nachprüfen.
Also wird das dieses Jahr nichts mehr.

Leider

Phill93
aqui
aqui 10.12.2016 aktualisiert um 12:19:45 Uhr
Goto Top
Sowas verifiziert man in 20 Minuten am Wochenende nach dem Adventslieder Singen. Nichtmal diese Zeit hast du...??!
Fragt man sich dann warum du denn überhaupt einen Thread dazu aufmachst... face-sad

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen und 2017 einen neuen Thread anlegen !
Schabersack
Schabersack 11.12.2016 um 18:58:16 Uhr
Goto Top
Upps... habe da eine Sache übersehen: Es war nicht Computernetz, sondern Campusnetz... da haben wir etwas andere Vorausetzungen... Zumindest kann ich mri nicht vorstellen, dass du den ROuter konfigurieren kannst... Somit musst du die pfSense im NAT-Modus laufen lassen. diese kompensiert dann das Porblem der fehlenden Router, da du mit allen Geräten mit der gleichen WAN adresse dich in den weiteren Netzen bewegst...
Viel erfolg ...