musli18
Goto Top

Pfsense Watchguard Einrichten mit 2 DSL Leitungen

Hallo zusammen,

bevor ich die Einstellungen in der Pfsense vornehmen wollte, will ich gerne wissen ob die meine Einstellungen so richtig wären.

Wir haben 2 DSL Leitungen:

1x Unitymedia Fritbox Cable Router 192.168.10.1

1x Telekom Speedport Router 192.168.10.3

Die Pfsense hat die 192.168.10.250


Es wurden an der Pfsense 2 Wan Ports und 1 Lan port Konfiguriert


Wan 1 würde ich auf DHCP eisntellen da ich für die Unitymedia Leitung die Fritzbox weiterhin nutzen muss. Auf der Fritzbox ist DHCP Server weiterhin aktiv

Wan 2 würde ich auf PPOE einstellen. Auf dem Speedport würde ich DHCP ausstellen und als Modem Konfigurieren sodass die Pfsense die Einwahl vornimmt


Würde diese Konfig so funktionieren?

Content-Key: 250945

Url: https://administrator.de/contentid/250945

Printed on: April 24, 2024 at 16:04 o'clock

Member: Pjordorf
Pjordorf Oct 03, 2014 at 21:14:02 (UTC)
Goto Top
Hallo,

Zitat von @Musli18:
Würde diese Konfig so funktionieren?
FritzBox DHCP aus
Speedport DHCP aus
PFsense übernimmt als einziger DHCP für dein LAN

PFSense WAN Ports (sind ja reine Ethernet Ports) IP festverdrahten, beim Speedport braucht es noch nicht mal IPs, machst ja nur PPoE

stellen
Gruß,
Peter
Member: Lochkartenstanzer
Lochkartenstanzer Oct 04, 2014 at 04:54:26 (UTC)
Goto Top
Zitat von @Musli18:

Es wurden an der Pfsense 2 Wan Ports und 1 Lan port Konfiguriert


Wan 1 würde ich auf DHCP eisntellen da ich für die Unitymedia Leitung die Fritzbox weiterhin nutzen muss. Auf der
Fritzbox ist DHCP Server weiterhin aktiv

Ich würde die IP-Adresse festackern. gibt weniger Probleme hinterhwerm, wenn plötzlich eine der Kisten meint, die Ip-Adresse m,üsse sich ändern.

Wan 2 würde ich auf PPOE einstellen. Auf dem Speedport würde ich DHCP ausstellen und als Modem Konfigurieren sodass die
Pfsense die Einwahl vornimmt

Ist "Geschmackssache", aber sofern die Möglichkeit besteht, direkt die pfsense die einwahl machen zu lassen, soltle man das nutzen. Das ergibt dann weniger Probleme, wenn man später nciht irgendwelche Ports forwarden muß, wenn man bestimmte Dienste wie z.B. VPN nutzen will.

lks
Member: aqui
aqui Oct 04, 2014 updated at 12:06:07 (UTC)
Goto Top
1x Unitymedia Fritbox Cable Router 192.168.10.1
1x Telekom Speedport Router 192.168.10.3
Die Pfsense hat die 192.168.10.250
Das wird so nicht klappen !
Die beiden WAN Ports müssen in dedizierte eigene IP Netze !!
Also z.B.
Unitymedia Fritbox Cable Router 172.16.10.1 /24 (pfSense WAN1 Port: 172.16.10.254 /24)
Telekom Speedport Router 172.16.20.1 /24 (pfSense WAN2 Port: 172.16.20.254 /24)
Oder eben mit einer entsprechenden Subnet Maskierung deiner Wahl.
Wichtig: Denk dran die DHCP Server auf den obigen beiden Routern FB und SP zu daektivieren.
Siehe auch hier:
https://doc.pfsense.org/index.php/Multi-WAN_2.0
http://www.youtube.com/watch?v=omuklZrzopM
http://www.youtube.com/watch?v=Uiiy8YuWHcY
usw.
Welche Watchguard HW nutzt du ?
Member: Lochkartenstanzer
Lochkartenstanzer Oct 04, 2014 updated at 12:00:18 (UTC)
Goto Top
Zitat von @aqui:

> 1x Unitymedia Fritbox Cable Router 192.168.10.1
> 1x Telekom Speedport Router 192.168.10.3
> Die Pfsense hat die 192.168.10.250
Das wird so nicht klappen !
Die beiden WAN Ports müssen in dedizierte eigene IP Netze !!

Er stellt das ja gerade um, daß der zweite WAN-Port sich selbst einwählt. Dann funktioniert das schon. Das was er geschildert hat ist ja der "alte" Zustand.

lks
Member: aqui
aqui Oct 04, 2014 at 12:02:22 (UTC)
Goto Top
Ooops, OK übersehen...sorry !
Trotzdem sollte man dort wie immer bei Router IP Adressen niemals mit DHCP IP Adressvergabe arbeiten sondern immer besser statisch.
Das rächt sich sonst später falls man mal mit Port Forwarding arbeiten muss (VPN, remote Access usw.)
Ansonsten ist das ein Selbstgänger....
Member: Musli18
Musli18 Oct 08, 2014 at 17:11:59 (UTC)
Goto Top
Hallo zusammen,


so die Pfsense mit 2 x Wan und Loadbalancing läuft:

Hier die Übersicht

1x Wan 192.168.20.1 Unitymedia. Die Fritzbox wird weiterhin als Router benutz und macht die einwahl ins Internet.
2x Wan 192.168.30.1 Telekom Speedport. NAT und DSL Einwahl wurde deaktiviert damit dieser als modem nur fungiert.

Pfsense 192.168.10.1
1x Wan ist als DHCP konfiguriert und hat eine feste IP (192.168.20.100)
2x Wan ist als PPOE konfiguriert und wählt sich selber ein bei der Telekom.


Alles funktioniert nur habe ich 2 Probleme:

1 Problem: Ich habe bei einer Webseite festgestellt die ganz normal über port 80 arbeitet ohne SSL oder so das wenn ich mich einlogge mit meinem Passwort das er mich nach ungefähr 5 sekunden ausloggt. Das ist die ganze Zeit so. Auf anderen Webseiten ist das Problem nicht. Es liegt vermutlich am Loadbalancing. Ich habe zum testen eine WAN Leitung deaktiviert und dann klappt es mit dem einloggen und ich wurde nicht ausgeloggt Kann ich speziel für diese Webseite das Loadbalancing deaktivieren? Oder etwas einstellen dafür?


2 Problem: Ich erstelle in der Pfsense eine NAT Regel wo ich den Port 21 öffne und auf ein Gerät im Lan (192.168.10.4) an Port 21 freigebe. Sobald ich diese anlege erzeugt die PFsene unter Firewall Rule bei der Telekom WAN Leitung eine neue Firewall Regel für die Freigabe. Mein Problem man kann sich trotzdem nicht mit FTP über dyndns verbinden Dyndns hat die Koreekte ip. Zum testen habe ich eine any any Regel erstellt für die Telekom Leitung jedoch klappte es immer noch nciht. Ich bin mit meinem Latein am Ende. Hab Ihr noch eine Idee? Kann es am Speedport Router legen? Jeodch fungiert er nur noch als Modem
Member: aqui
aqui Oct 08, 2014 updated at 17:30:29 (UTC)
Goto Top
Kann ich speziel für diese Webseite das Loadbalancing deaktivieren? Oder etwas einstellen dafür?
Ja, das geht natürlich. Das Verhalten ist aber sehr ungewöhnlich ? Du solltest dringenst mal mit dem Wireshark nachsehen was da genau passiert ! Das ist ja eine Applikation und das kann mit dem Netz so nichts zu tun haben. Zumal die Session ja so oder so immer fest auf einem Link bleibt.
Ansonsten annst du das aber nach Ziel IP "Sticky" einstellen dann bleibt das fix.
Sobald ich diese anlege erzeugt die PFsene unter Firewall Rule bei der Telekom WAN Leitung eine neue Firewall Regel für die Freigabe.
Das kannst du unterbinden indem du den Haken bei "Automatic creation of ruleset..." entfernst.
Du kannst dann eine eigene dedizierte Regel pro Port erstellen. Ist eh immer besser als der Automatismus.
Mein Problem man kann sich trotzdem nicht mit FTP über dyndns verbinden
Das ist auch klar hat aber rein gar nichts mit der pfSense oder dem netzwerk zu tun sondern mit FTP !
Vermutlich nutzt du einen FTP Client der KEIN sog. Passive FTP supportet. FTP benutzt wie jeder Netzwerker weiss 2 TCP Ports und zwar 20 und 21. Bei nromalem FTP eröffnet der externe Server den data Port der dann an der NAT Firewall hängenbleibt.
Bei Passive FTP macht das der Client und da funktioniert es dann.
Der ganze Mechanismus wird hier genau erklärt:
http://slacksite.com/other/ftp.html
Nutze also einen Client der Passive kann wie Filezilla oder einen Browser wie Firefox mit ftp://user:password@host dann klappt das auch wunderbar.
Erste Anlaufstelle ist hier wie immer das Firewall Log dort steht immer ganz genau WAS nicht durchkommt auf das du dann in den Rules reagieren kannst !!
Dyndns hat die Koreekte ip.
Welche denn ? Es muss die öffentliche Provider IP des pfSense WAN Ports haben !!
Kann es am Speedport Router legen? Jeodch fungiert er nur noch als Modem
Wenn er wirklich als nur Modem fungiert hast du die PPPoE Daten ja in der pfSense eingetragen, richtig ?
Folglich also hast du die öffentliche Provider IP auch direkt am WAN Port der pfSense, auch richtg ??
Wenn dem genau so ist ist es das Problem Passive FTP !
Member: Musli18
Musli18 Oct 08, 2014 updated at 18:31:12 (UTC)
Goto Top
Zitat von @aqui:

> Kann ich speziel für diese Webseite das Loadbalancing deaktivieren? Oder etwas einstellen dafür?
Ja, das geht natürlich. Das Verhalten ist aber sehr ungewöhnlich ? Du solltest dringenst mal mit dem Wireshark nachsehen
was da genau passiert ! Das ist ja eine Applikation und das kann mit dem Netz so nichts zu tun haben. Zumal die Session ja so oder
so immer fest auf einem Link bleibt.
Ansonsten annst du das aber nach Ziel IP "Sticky" einstellen dann bleibt das fix.

Muss ich das in der Loadbalancing regel einstellen oder eine neue regel dafür erstellen? KAnnst du das näher erläutern wo ich das machen muss

> Sobald ich diese anlege erzeugt die PFsene unter Firewall Rule bei der Telekom WAN Leitung eine neue Firewall Regel für
die Freigabe.
Das kannst du unterbinden indem du den Haken bei "Automatic creation of ruleset..." entfernst.
Du kannst dann eine eigene dedizierte Regel pro Port erstellen. Ist eh immer besser als der Automatismus.
> Mein Problem man kann sich trotzdem nicht mit FTP über dyndns verbinden
Das ist auch klar hat aber rein gar nichts mit der pfSense oder dem netzwerk zu tun sondern mit FTP !
Vermutlich nutzt du einen FTP Client der KEIN sog. Passive FTP supportet. FTP benutzt wie jeder Netzwerker weiss 2 TCP
Ports und zwar 20 und 21. Bei nromalem FTP eröffnet der externe Server den data Port der dann an der NAT Firewall
hängenbleibt.
Bei Passive FTP macht das der Client und da funktioniert es dann.
Der ganze Mechanismus wird hier genau erklärt:
http://slacksite.com/other/ftp.html
Nutze also einen Client der Passive kann wie Filezilla oder einen Browser wie Firefox mit ftp://user:password@host dann klappt das
auch wunderbar.

Mein FTP Client benutzt schon den Passive Modus. Die Portfreigaben waren vorher am Speedport schon aktiv bevor die Pfsense kam und da hat es ohne Probleme funktioniert. Davor hatte ich einfach den Port 80 weitergeleitet auf einen client der einen Webserver laufen hat. Dort hat es auch nicht funktioniert und mir wurde nichts angezeigt


Erste Anlaufstelle ist hier wie immer das Firewall Log dort steht immer ganz genau WAS nicht durchkommt auf das du dann in den
Rules reagieren kannst !!

Kann ich die Logs über das Webinterface einsehen?


> Dyndns hat die Koreekte ip.
Welche denn ? Es muss die öffentliche Provider IP des pfSense WAN Ports haben !!

Dyndns hat die Korrekte Öffentliche IP

> Kann es am Speedport Router legen? Jeodch fungiert er nur noch als Modem
Wenn er wirklich als nur Modem fungiert hast du die PPPoE Daten ja in der pfSense eingetragen, richtig ?
Ja

Folglich also hast du die öffentliche Provider IP auch direkt am WAN Port der pfSense, auch richtg ??

Ja

Wenn dem genau so ist ist es das Problem Passive FTP !
Member: Musli18
Musli18 Oct 09, 2014 at 07:25:38 (UTC)
Goto Top
so das mit den Webseiten und Loadbalancing funktioniert jetzt.

Nur noch mit der Portfreigabe klappt es nicht. In den Firewall logs sehe ich die externe ip und die anfrage an der Telekom Leitung. mit dem Port 21. Ich habe einfach mal auf das + Zeichen geklickt damit er die Firewall regel selber erstellt. Jedoch klappt das auch nicht.


Kann es daran liegen das die Unitymedia an sk0 und die Telekom Leitung an Opt1 eingestellt ist?
Member: aqui
aqui Oct 09, 2014 updated at 07:43:43 (UTC)
Goto Top
so das mit den Webseiten und Loadbalancing funktioniert jetzt.
Wäre ja mal interessant für die Forumscommunity hier WAS denn die Lösung war ?
Kann ich die Logs über das Webinterface einsehen?
Ja natürlich ! Unter Status -> System Logs
Und jetzt sag nicht das du da noch nie nachgesehen hast ?? Kennst du eigentlich deine pfSense ?? Scheinbar wohl nicht wirklich ?! face-sad
Ich habe einfach mal auf das + Zeichen geklickt damit er die Firewall regel selber erstellt. Jedoch klappt das auch nicht.
Sinnvoll wäre mal einen anonymisierten Screenshot der Regeln zu sehen... Nicht das du durch die sinnfreie Klickerei und all den Automatismus dort nun ein Murks Regelwerk geklickt hast. Kontrollier das also besser nochmal direkt auf Plausibilität und bedenke immer:
  • Regeln greifen nur auf eingehende Pakete !
  • Es gilt "First match wins...!" also bei einer ersten positiven Regel werden die danach NICHT mehr abgearbeitet !
Bedenke auch noch folgendes wichtiges bei Dual WAN:
Wenn ein FTP Request ankommt von außen macht es erstmal Sinn mit tcpdump oder dem Wireshark auf dem lokalen Endgerät mal nachzusehen ob das da auch wirklich ankommt !!
Ist das der Fall kann es sein, das durch das Load Balancing die Antwort aber auf dem anderen Port rausgeht und damit dann die FTP Session abgebrochen wird. Aller Voraussicht nach ist das der Fall bei dir vermutlich ?
Es ist also logisch, das du den internen FTP Server auch "sticky" auf den Speedport (Telekom) WAN Port festnageln musst !! Der darf NICHT gebalanced werden !
Durch die Port Forwarding Regel an dem einen WAN Port dürfen Sessions dieser Maschine niemals den anderen Port benutzen !
Vergiss das nicht in deinem Setup !
Member: Musli18
Musli18 Oct 09, 2014 at 10:09:51 (UTC)
Goto Top
Zitat von @aqui:

> so das mit den Webseiten und Loadbalancing funktioniert jetzt.
Wäre ja mal interessant für die Forumscommunity hier WAS denn die Lösung war ?

Ich hatte unter Advanced "Sticky Connections" Aktiviert. Jedoch habe ich jetzt festgestellt, dass das Problem weiterhin besteht.

Ich müsste doch in der Firewall in dem Reiter LAN eine Regel erstellen, das für port 80 kein Loadbalancing vorgenommen werden soll sondern er ein Standard Gateway nutzen soll oder?

Könntest du mir die Regel nennen wie es korrekt sein sollte


> Kann ich die Logs über das Webinterface einsehen?
Ja natürlich ! Unter Status -> System Logs
Und jetzt sag nicht das du da noch nie nachgesehen hast ?? Kennst du eigentlich deine pfSense ?? Scheinbar wohl nicht wirklich ?!
face-sad

Habe die ganze Zeit unter Diagnostics nachgeschaut face-smile

> Ich habe einfach mal auf das + Zeichen geklickt damit er die Firewall regel selber erstellt. Jedoch klappt das auch nicht.
Sinnvoll wäre mal einen anonymisierten Screenshot der Regeln zu sehen... Nicht das du durch die sinnfreie Klickerei und all
den Automatismus dort nun ein Murks Regelwerk geklickt hast. Kontrollier das also besser nochmal direkt auf Plausibilität und
bedenke immer:
  • Regeln greifen nur auf eingehende Pakete !
  • Es gilt "First match wins...!" also bei einer ersten positiven Regel werden die danach NICHT mehr abgearbeitet !
Bedenke auch noch folgendes wichtiges bei Dual WAN:
Wenn ein FTP Request ankommt von außen macht es erstmal Sinn mit tcpdump oder dem Wireshark auf dem lokalen
Endgerät
mal nachzusehen ob das da auch wirklich ankommt !!
Ist das der Fall kann es sein, das durch das Load Balancing die Antwort aber auf dem anderen Port rausgeht und damit dann die FTP
Session abgebrochen wird. Aller Voraussicht nach ist das der Fall bei dir vermutlich ?
Es ist also logisch, das du den internen FTP Server auch "sticky" auf den Speedport (Telekom) WAN Port festnageln musst
!! Der darf NICHT gebalanced werden !
Durch die Port Forwarding Regel an dem einen WAN Port dürfen Sessions dieser Maschine niemals den anderen Port benutzen !
Vergiss das nicht in deinem Setup !


Die Regel das mein Nas mit FTP nur über die Telekom Leitung surft muss ich ja in der Firewall in dem Reiter TCom_Wan einstellen oder?

Wie muss die Regel genau aussehen? Muss ich in der Regel noch das Gateway auswählen oder auf default lassen?
Member: Musli18
Musli18 Oct 10, 2014 at 10:44:28 (UTC)
Goto Top
So Portfreigaben und Load Balancing funktioniert. Es lag am Speedport habe diesen Resettet und dann nochmal NAT augeschaltet.


Einziges Problem ist das durch das Loadbalancing eine bestimmte Webseite mich immer wieder rausschmeißt sobald ich mich einlogge. Kann ich nur für diese bestimmt Webseite das ausstellen?
Member: Musli18
Musli18 Oct 10, 2014 updated at 11:02:49 (UTC)
Goto Top
Zitat von @Musli18:

So Portfreigaben und Load Balancing funktioniert. Es lag am Speedport habe diesen Resettet und dann nochmal NAT augeschaltet.


Einziges Problem ist das durch das Loadbalancing eine bestimmte Webseite mich immer wieder rausschmeißt sobald ich mich
einlogge. Kann ich nur für diese bestimmt Webseite das ausstellen?


Ich würde wie folgt vorgehen wenn Ihr euer OK gibt


-Ich würde eine neue Gateway gruppe erstellen: zb: StickyGW mit Wan1 Tier1 und Wan2 Tier 1
- Dann unter Alias z.B. Stickproblem erstellen und die URLS dort einfügen
-Unter Firewall --> LAN würde ich ganz oben über der Loadbalancing Regel folgende Regel rein packen

Pass * Protocol all * source LANnet * destination Stickproblem * Gateway StickyGW


Würde das so funzen? Sprich ich muss dan die Webseiten unter Alias pflegen die dieses Problem verursachen
Member: aqui
aqui Oct 20, 2014 at 17:40:16 (UTC)
Goto Top
Es lag am Speedport habe diesen Resettet und dann nochmal NAT augeschaltet.
Ist leider häufig das Problem bei den üblen Büchsen ! face-sad
Deine Lösung müsste so funktionieren...
Member: Musli18
Musli18 May 27, 2015 at 12:18:45 (UTC)
Goto Top
Hi,

ich habe jetzt das Problem das ftp Verbindungen nicht funktionieren. Sobald ich mich mit z.B. Filezilla mit einem FTP Server im Internet verbinden will, klappt die snciht. Die Verbindung ist arsch langsam und gibt eine Fehlermeldung aus.

Ich habe schon herausgefunden das es am loadbalancing Regel in der Firewall liegt.

Im Internet hatte ich das hier gefunden https://forum.pfsense.org/index.php?topic=8063.0 jedoch klappt es trotzdem nicht
Member: aqui
aqui May 27, 2015 at 18:40:55 (UTC)
Goto Top
Ich habe schon herausgefunden das es am loadbalancing Regel in der Firewall liegt.
Kann gut sein, denn FTP benutzt 2 Sessions einaml die Control Session TCP 21 und die Daten Session TCP 20. Die sollte man besser nicht sessionweise balancen wie das bei Dual WAN passiert.
Nagle als FTP Sessions fest auf einen Link oder verwende Passive FTP
http://slacksite.com/other/ftp.html
dann passiert das auch nicht mehr und FTP ist wieder pfeilschnell.
Member: Musli18
Musli18 May 27, 2015 updated at 19:40:01 (UTC)
Goto Top
@ aqui

Danke für die Rückmeldung.

Müsste ich folgende regel in der Firewall unter LAN erstellen?


Prot
Ipv4 TCP


Source
192.168.10.45 (feste ip von meinem NB)


Port
any


Destination
any


Port
20-21


Gateway
Wan1


Queue
none
Member: aqui
Solution aqui May 28, 2015 updated at 08:39:24 (UTC)
Goto Top
Jau, richtig.
Member: Musli18
Musli18 May 28, 2015 at 08:40:04 (UTC)
Goto Top
so ftp klappt jetzt im Aktiv Modus. Was müsste ich denn machen wenn ich den Passiv Modus auch noch freigeben will ?
Member: aqui
aqui May 28, 2015 updated at 10:44:55 (UTC)
Goto Top
Sollte damit auch erledigt sein.
Probier es einfach aus. Clients wie Filezilla oder alle Browser wie Firefox, Chrome usw. nutzen in der Regel immer den Passive Mode bei Zugriff auf einen Server:
Gib im Browser einfach ein ftp://username:password@ftp_server.domain oder entsprechend die Ziel IP.
Im Filezilla aktiviert man im Setup den Passive Mode.
Member: Musli18
Musli18 May 28, 2015 at 10:51:52 (UTC)
Goto Top
Zitat von @aqui:

Sollte damit auch erledigt sein.
Probier es einfach aus. Clients wie Filezilla oder alle Browser wie Firefox, Chrome usw. nutzen in der Regel immer den Passive
Mode bei Zugriff auf einen Server:
Gib im Browser einfach ein ftp://username:password@ftp_server.domain oder entsprechend die Ziel IP.
Im Filezilla aktiviert man im Setup den Passive Mode.


sobal dich im Filezilla Passive Modus auswähle klappt di everbindung nicht. Aber wenn im Filezilla Aktiv Modus ausgewählt ist klappt die FTP Verbindung
Member: aqui
aqui May 28, 2015 at 18:42:30 (UTC)
Goto Top
Logisch das der FTP Server auch den Passive Mode supporten muss !!
In der Regel sollten das alle Server machen denn sonst ist ein Betrieb über eine NAT Firewall unmöglich. (Siehe Link oben)
Vermutlich kann also dein Ziel FTP Server schlicht und einfach kein Passive Mode.
Kannst du selber checken indem du ihn mit einem CLI Client verbindest und ihm mal händisch das Kommando passive gibst.
Member: Musli18
Musli18 May 28, 2015 at 19:45:57 (UTC)
Goto Top
der server mit dem ich mich versuche zu verbinden kann den Passiv Modus. Es liegt irgendwie an der Pfsense evtl noch wegen dem Loadbalancing.


Bei kollegen zuhause der nur 1 DSL verbindung hat klappt der passiv modus ohne Probleme zu diesem Server
Member: aqui
aqui May 30, 2015 at 10:53:19 (UTC)
Goto Top
Dann macht dein Client ggf. kein passiv Modus. Kannst du doch kinderleicht mit dem Wireshark testen ?!
Member: Musli18
Musli18 May 30, 2015 at 21:49:44 (UTC)
Goto Top
Zitat von @aqui:

Dann macht dein Client ggf. kein passiv Modus. Kannst du doch kinderleicht mit dem Wireshark testen ?!



in meinem FTP Client kann ich den Passiv Modus auswählen (Filezilla, Transmit). Ich vermute die FIrewall blockt etwas noch
Member: aqui
aqui May 31, 2015 updated at 08:14:39 (UTC)
Goto Top
Der Client selber kann kein Passive. Das bedeutet nur das er nach dem Login ein Passive Kommando sendet an den Server und der Client daraufhin dann die Data Session eröffnet. Siehe Session Diagramm im o.a. URL.
Checke einfach dein Firewall Log ! Dort steht genau drin wenn was wichtiges geblockt wird. Ggf. zuerst löschen, dann erst die Session eröffnen und checken wegen der Übersichtlichkeit.
Oder den Packet Tracer unter "Diagnostics" in der pfSense verwenden.