12
Pfsense - no route to host
Wenn ich auf:
System/Paketverwaltung/Verfügbare Pakete
gehe, dann sind keine Pakete sichtbar.
Nach einem Neustart erscheinen die Pakete wieder, woran kann das liegen.
Ich vermute das er keine route zu pfsense findet, weil ich bei manchen Pakten die
ich versuche zu installieren die Meldung bekam:
no route to host
Ping von pfsense funktioniert aber? hmm.
Am WAN Port habe ich die Fritzbox verbunden, d.h. Default GW ist 192.168.178.1
Die FB selber ist aber auch in einer Kaskade, d.h. bis zum DSL Anschluss kommt noch eine FW und dann eine
weitere FB. Aber das sollte eigentlich nicht das Problem sein, weil ich ja im LAN ganz normal surfen kann.
Folgende Meldung kann interessant sein --> Status/Systemprotokollierung/System/Gateways
Was könnte die Lösung für das Problem sein?
System/Paketverwaltung/Verfügbare Pakete
gehe, dann sind keine Pakete sichtbar.
Nach einem Neustart erscheinen die Pakete wieder, woran kann das liegen.
Ich vermute das er keine route zu pfsense findet, weil ich bei manchen Pakten die
ich versuche zu installieren die Meldung bekam:
no route to host
Ping von pfsense funktioniert aber? hmm.
Am WAN Port habe ich die Fritzbox verbunden, d.h. Default GW ist 192.168.178.1
Die FB selber ist aber auch in einer Kaskade, d.h. bis zum DSL Anschluss kommt noch eine FW und dann eine
weitere FB. Aber das sollte eigentlich nicht das Problem sein, weil ich ja im LAN ganz normal surfen kann.
Folgende Meldung kann interessant sein --> Status/Systemprotokollierung/System/Gateways
Die letzten 24 Gateways Protokolleinträge. (Größtmögliche 500)
Dec 15 15:24:26 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:24:25 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:24:16 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:24:16 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:24:15 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:24:15 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:24:14 dpinger WANGW 192.168.178.1: sendto error: 65
Dec 15 15:23:33 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.178.1 bind_addr 192.168.178.23 identifier "WANGW " Was könnte die Lösung für das Problem sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 526046
Url: https://administrator.de/contentid/526046
Printed on: April 26, 2024 at 20:04 o'clock
12 Comments
Latest comment
Hallo,
und alle drei Fritz!Boxen haben das 192.168.178.0/24 Netz?
Ein Wunder, dass da überhaupt etwas funktioniert...
1. Was sagt ein Traceroute?
2. Jede Route braucht auch eine Route zurück
3. Die Fritz!Boxen filtern alles, was vom WAN kommt und nicht durch die Portfreigaben passt.
Mehr gibt es eigentlich nicht zu sagen.
Gruß,
Jörg
und alle drei Fritz!Boxen haben das 192.168.178.0/24 Netz?
Ein Wunder, dass da überhaupt etwas funktioniert...
1. Was sagt ein Traceroute?
2. Jede Route braucht auch eine Route zurück
3. Die Fritz!Boxen filtern alles, was vom WAN kommt und nicht durch die Portfreigaben passt.
Mehr gibt es eigentlich nicht zu sagen.
Gruß,
Jörg
d.h. bis zum DSL Anschluss kommt noch eine FW und dann eine weitere FB.
Da hat Kollege @fa-jka in der Tat recht. Den Grund für so ein ziemlich krankes Konstrukt muss man wohl erstmal verstehen.Theoretisch könnte der TO aber auch 10 FritzBoxen so kaskadieren auch das würde gehen.
Ob es sauber klappt kann man immer ganz einfach testen indem man statt der Firewall einfach mal einen Test Rechner mit gleicher IP an die letzte FB anschliesst und dann dort die Connection ins Internet testet.
Klappt das fehlerfrei, klappt es auch fehlerfrei mit der Firewall, denn aus Sicht dieser kranken FB Kaskade ist das ja auch nichts weiteres als ein simples Endgerät.
Vermutlich hat der TO, wie immer, schlicht und einfach den Haken zur Blockierung der RFC 1918 IP Adressen am WAN Port der Firewall vergessen. ?! 192.168.178.0 ist ja zweifelsohne ein RFC 1918 IP Netz.
Der typische Anfängerfehler... !
Zitat von @117471:
und alle drei Fritz!Boxen haben das 192.168.178.0/24 Netz?
Wer redet von 3? es sind nur 2 und alle drei Fritz!Boxen haben das 192.168.178.0/24 Netz?
Ganz sicher nicht
Natürlich alles eigene NetzeEin Wunder, dass da überhaupt etwas funktioniert...
Ich surfe und arbeite aus dem LAN heraus GANZ normal mit meinem Laptop.
OK um das mal etwas aufzuklären, das ist nur ein Testlauf, um die sense einzurichten, natürlich wird die dann im normalem Betrieb nur an eine FB angeschlossen, und die eventuell sogar nur als Modem. Aber nichts desto trotz, im Internet haben wir doch auch viele Netze, das sollte die sense nicht davon abhalten, sauber zu arbeiten, oder nicht. Wie gesagt alles untersch. Netze
1. Was sagt ein Traceroute?
1?: [LOCALHOST] pmtu 1500
1: pf.local 0.685ms
1: pf.local 0.649ms
2: 192.168.178.1 1.195ms
3: 192.168.20.1 1.823ms
4: 192.168.40.1 4.580ms
5: x9dc8wb0.dyn.telefonica.de 14.521ms pmtu 14922. Jede Route braucht auch eine Route zurück
3. Die Fritz!Boxen filtern alles, was vom WAN kommt und nicht durch die Portfreigaben passt.
3. Die Fritz!Boxen filtern alles, was vom WAN kommt und nicht durch die Portfreigaben passt.
Wenn das allgemein gilt, dann dürfte ja kein Paket mehr an der letzten FB ins Netz rein, da diese ja auch alles blockt
Aber was raus geht darf wieder rein, wo ist da das Problem?
Vermutlich hat der TO, wie immer, schlicht und einfach den Haken zur Blockierung der RFC 1918 IP Adressen am WAN Port der Firewall vergessen. ?! 192.168.178.0 ist ja zweifelsohne ein RFC 1918 IP Netz.
Nein, RFC1918 ist erlaubt, nur Bogon Netze habe ich blockiert.
So, wo könnte der Fehler denn nun sein?
Wer redet von 3? es sind nur 2
(Zitat) "Die FB selber ist aber auch in einer Kaskade, d.h. bis zum DSL Anschluss kommt noch eine FW und dann eine weitere FB"Nach Adam Riese wäre das für den Mitlesenden hier 3 !
Ich surfe und arbeite aus dem LAN heraus GANZ normal mit meinem Laptop.
Dann wird das auch mit der pfSense ganz normal klappen. Logisch, denn die arbeitet ja kein bischen anderes als der Laptop !Was sagt ein Traceroute?
x9dc8wb0.dyn.telefonica.de Bingo ! Bis zu Telefonica ins Internet klappt es also. Wo ist denn nun dein wirkliches Problem ?Wenn das allgemein gilt, dann dürfte ja kein Paket mehr an der letzten FB ins Netz rein, da diese ja auch alles blockt
Das ist Blödsinn, denn die Regeln greifen immer nur inbound. Also alles was vom Draht in das Firewall Interface reinkommt. Zudem gilt noch First match wins. Also der erste positive Hit bewirkt das die danach folgenden Regeln nicht mehr abgearbeitet werden ! Banale Grundregeln eben beim FW Betrieb... 
So, wo könnte der Fehler denn nun sein?
Es gibt doch gar keinen Fehler....du kommst doch fehlerlos ins Internet. Der Telefonica Traceroute zeigt es doch ?! Works as designed !So, wo könnte der Fehler denn nun sein?
Es gibt doch gar keinen Fehler....du kommst doch fehlerlos ins Internet. Der Telefonica Traceroute zeigt es doch ?! Works as designed !Siehe erste Frage
--> keine Pakete sichtbar.
Das ist das Problem
WO genau sind diese Pakete nicht sichtbar und wie misst du das ??
Generell müsste man auf der Firewall nichts einstellen, denn sowas würde auch schon mit der simplen Default Konfig (WAN Port = DHCP Client) sofort fehlerlos funktionieren.
Kann dann nur sein das du im WAN Port Setup irgendwas verfummelt hast an der FW ?!
Werksreset auf Default, anschliessen und nochmal testen...
Generell müsste man auf der Firewall nichts einstellen, denn sowas würde auch schon mit der simplen Default Konfig (WAN Port = DHCP Client) sofort fehlerlos funktionieren.
Kann dann nur sein das du im WAN Port Setup irgendwas verfummelt hast an der FW ?!
Werksreset auf Default, anschliessen und nochmal testen...
Die Pakete zum installieren meine ich
(keine IP Pakete)System/Paketverwaltung/Verfügbare Pakete
🤦♂️ OK, diese "Pakete"...
Dann hast du keinen Internet Zugang oder das Packet Repository ist nicht erreichbar.
Dann hast du keinen Internet Zugang oder das Packet Repository ist nicht erreichbar.
Internet Zugang hatte ich ja trotzdem, d.h. das Rep. ist nicht erreichbar? Das passt nicht ganz, weil ich ja wie oben beschrieben, nach dem Neustart alle Pakete (Repos.) wieder sehen kann. Es sollte eher damit zusammenhängen:
Dec 15 15:24:26 dpinger WANGW 192.168.178.1: sendto error: 65
Hallo,
IP doppelt vergeben?
Fehlerhafte Filterregeln?
Gruß,
Jörg
IP doppelt vergeben?
Fehlerhafte Filterregeln?
Gruß,
Jörg
Es ist keine IP Doppelt, im LAN ist nur ein Rechner, auch die anderen Netzte sind alle unterschiedlich.
Ob das ständige blinken am WAN Port der Pfsense (APU Board) was damit zu tun hat?
Ich werde mal weiter nach forschen.
Ob das ständige blinken am WAN Port der Pfsense (APU Board) was damit zu tun hat?
Ich werde mal weiter nach forschen.
Ob das ständige blinken am WAN Port der Pfsense (APU Board) was damit zu tun hat?
Nein das ist der Gateway Health Check (Polling bzw. Monitoring des Default Gateway) der leider immer unnötigerweise per Default aktiv ist !Sollte man immer abschalten wenn man es nicht wirklich braucht !
