19
Pfsense Watchguard kein Internet auf LAN
Hallo,
habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren und auch eine Internet Verbindung über PPPoE auf dem WAN-Port herzustellen.
Nun habe ich aber das Problem das, dass nicht auf den LAN Port geroutet wird.
Muss ich noch irgendwelche Routings einstellen?
Ich habe dazu leider nichts im Internet gefunden.
Ein Ping von der Watchguard klappt vom WAN-Port ins Internet allerdings nicht wenn ich LAN auswähle.
Ich bedanke mich schon mal im vorraus
habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren und auch eine Internet Verbindung über PPPoE auf dem WAN-Port herzustellen.
Nun habe ich aber das Problem das, dass nicht auf den LAN Port geroutet wird.
Muss ich noch irgendwelche Routings einstellen?
Ich habe dazu leider nichts im Internet gefunden.
Ein Ping von der Watchguard klappt vom WAN-Port ins Internet allerdings nicht wenn ich LAN auswähle.
Ich bedanke mich schon mal im vorraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 248561
Url: https://administrator.de/contentid/248561
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
19 Kommentare
Neuester Kommentar
Hi,
blockt die Firewall ?
Was sagen die Logs, Routingtabelle etc.
Gruß orcape
blockt die Firewall ?
Was sagen die Logs, Routingtabelle etc.
Gruß orcape
Das mit der Firewall war auch erst mein Gedanke, habe sie aber ausgeschaltet um das auszuschließen. Klappt leider auch nicht.
Welche logs möchtest du den wissen?
Kenne mich damit leider 0 aus -.-
Welche logs möchtest du den wissen?
Kenne mich damit leider 0 aus -.-
Das mit der Firewall war auch erst mein Gedanke, habe sie aber ausgeschaltet um das auszuschließen.
..das ist eine pfSense und kein SoHo-Router, wo man die SPI-Firewall so einfach per Klick abschalten kann.Ich hatte an die Firewalllogs gedacht, wenn dort etwas geblockt wird, sollte das dort erscheinen.
Hast Du mal eine any-to-any Rule auf dem LAN-Interface erstellt.
Gruß orcape
Habe die Watchguard gerade angemacht, jetzt verbindet er nicht mal mehr WAN. Im Dashboard steht WAN disasabled. Gestern Abend vorm zubett gehen war noch alles prima, ich habe nichts verstellt.
Komische Kiste
Komische Kiste
Komische Kiste
...na ja, ich bezweifle noch, das die Kiste da was dafür kann..
Das auf Grund einer Fehlkonfiguration nach einem Neustart die pfSense mal ein Interface nicht wieder hochfährt, ist nichts neues.
Also solltest Du mal an der Config arbeiten, da hast Du wohl etwas falsch gemacht...
op
1
Hallo,
PCs eintragen. und eventuell die Firewallregeln anpassen.
das gedruckte Buch zu pfSense das kommt so um die 20 € bis 30 € und ist jeden
Cent wert.
Gruß
Dobby
Muss ich noch irgendwelche Routings einstellen?
Nein aber ein Gateway definieren und dann eben dieses auch auf Deinem KlientPCs eintragen. und eventuell die Firewallregeln anpassen.
Ich habe dazu leider nichts im Internet gefunden.
Dann nimm einfach das Handbuch dazu und die Onlinehilfe oder aberdas gedruckte Buch zu pfSense das kommt so um die 20 € bis 30 € und ist jeden
Cent wert.
Ein Ping von der Watchguard klappt vom WAN-Port ins Internet allerdings
OkGruß
Dobby
nicht wenn ich LAN auswähle.
Zitat von @108012:
Hallo,
> Muss ich noch irgendwelche Routings einstellen?
Nein aber ein Gateway definieren und dann eben dieses auch auf Deinem Klient
PCs eintragen. und eventuell die Firewallregeln anpassen.
Hallo,
> Muss ich noch irgendwelche Routings einstellen?
Nein aber ein Gateway definieren und dann eben dieses auch auf Deinem Klient
PCs eintragen. und eventuell die Firewallregeln anpassen.
DAs mit dem Gateway erscheint mir logisch, kannst du mir dazu kurz hilfestellung geben?
Wenn das Netz was an dem Lan Port hängt das 192.168.1.0 Netz ist, muss ich dann den Gateway vom Lan-Port auf 192.168.1.1 setzten? quasi so wie die IP von der Pfsense? wenn ja dann habe ich dies schon probiert. Auf dem Clienten habe ich dies auch so eingetragen.
Die Pfsense Routet nicht vom Lan an WAN aus welchem Grund auch immer.
> Ich habe dazu leider nichts im Internet gefunden.
Dann nimm einfach das Handbuch dazu und die Onlinehilfe oder aber
das gedruckte Buch zu pfSense das kommt so um die
20 € bis 30 € und ist jeden
Cent wert.
Dann nimm einfach das Handbuch dazu und die Onlinehilfe oder aber
das gedruckte Buch zu pfSense das kommt so um die
20 € bis 30 € und ist jeden
Cent wert.
Dummerweise ist die Online Hilfe in Englisch und das war noch nie mein Fach ;)
Das mit dem Buch, ist leider auch in Englisch.
@@orcape:
Das will ich gar nicht mal so Verneinen
Im übrigen stecht bei WAN immer noch disabled aber trotzdem hat er Verbindung ins Internet
Dummerweise ist die Online Hilfe in Englisch und das war noch nie mein Fach ;)
Dann wird es wohl eher schwer bleiben mit recht vielen Firewalls bzw. Routersystemendenn das ist meist die Sprache in der alles erklärt und beschrieben wird.
Das mit dem Buch, ist leider auch in Englisch.
Jo dem ist so, aber es lässt auch keine Fragen offen.Gruß
Dobby
P.S. Der @aqui hat hier im Forum ein paar Anleitungen zu der pfSense die man
nur abtippen muss, eventuell ist das ja etwas für Dich.
Den Eintrag "Netz1Gate" unter Gateways, solltest Du mal ganz schnell wieder löschen.
Da gehört erst mal nur Dein Internetgateway rein.
Wenn das WAN-Interface hochgefahren ist und Deine Einstellungen stimmen, sollte dann unter "Routing-Gateways" im Bereich IP des Internetgateways, Deine vom Provider zugeteilte IP stehen.
Englisch ist nun mal erforderlich, da wirst Du wohl nix dran ändern...
op
Da gehört erst mal nur Dein Internetgateway rein.
Wenn das WAN-Interface hochgefahren ist und Deine Einstellungen stimmen, sollte dann unter "Routing-Gateways" im Bereich IP des Internetgateways, Deine vom Provider zugeteilte IP stehen.
Dummerweise ist die Online Hilfe in Englisch und das war noch nie mein Fach ;)
Das mit dem Buch, ist leider auch in Englisch.
..entweder Du versuchst hier mit einem Übersetzer Deiner Wahl und viel Zeit etwas dazu zu lernen, oder vergiss das Projekt pfSense einfach.Das mit dem Buch, ist leider auch in Englisch.
Englisch ist nun mal erforderlich, da wirst Du wohl nix dran ändern...
op
Er isst vermutlich auch deutsche Bananen.... 
English wenn auch nur als Grundschulwissen wär schon hilfreich !
Eigentlich kann das nicht sein was du da sagst !!
Die pfSense hat eine Default Konfig die das lokale LAN Segment mit einer default Regel komplett freischaltet. Welches Segment das ist bestimmst du VORHER mit der Terminal Abfrage nach der Firmware Installation auf der Watchguard !!
Terminal Anschluss über die 9 pol Sub D Buchse an der Watchguard Front sollte also schon sein ! Als Termi Programm nutzt du am besten PuTTY oder TeraTerm mit 9600 Baud, N81 wie im hiesigen_Tutorial im Kapitel "Wenn nix mehr geht" beschrieben !
Machst du das nicht sind erstmal alle Interfaces gleichgestellt und es gilt dann die deny any any Firewall Regel, sprich es wird alles verboten was nicht explizit erlaubt ist.
Du musst dann zuallererst über Interface assign im Menü die Interfaces aktivieren und danach dann für diese Interfaces noch eine korrekte Firewall Rule erstellen.
Erst dann funktioniert das sauber.
Besser also über das serielle Terminal die Default Installation machen wo WAN und lokaler LAN Port abgefragt wird, dann wird das vorab schon als Default eingerichtet !
Welches Watchguard Modell setzt du ein ?? Das wäre noch wichtig zu wissen da es bei einigen Modellen wichtig ist aktuelle LAN Port Treiber einzuspielen.
English wenn auch nur als Grundschulwissen wär schon hilfreich !habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren
Wieso "endlich" ?? Das ist eine Sache von 10 Minuten, dann rennt das !Eigentlich kann das nicht sein was du da sagst !!
Die pfSense hat eine Default Konfig die das lokale LAN Segment mit einer default Regel komplett freischaltet. Welches Segment das ist bestimmst du VORHER mit der Terminal Abfrage nach der Firmware Installation auf der Watchguard !!
Terminal Anschluss über die 9 pol Sub D Buchse an der Watchguard Front sollte also schon sein ! Als Termi Programm nutzt du am besten PuTTY oder TeraTerm mit 9600 Baud, N81 wie im hiesigen_Tutorial im Kapitel "Wenn nix mehr geht" beschrieben !
Machst du das nicht sind erstmal alle Interfaces gleichgestellt und es gilt dann die deny any any Firewall Regel, sprich es wird alles verboten was nicht explizit erlaubt ist.
Du musst dann zuallererst über Interface assign im Menü die Interfaces aktivieren und danach dann für diese Interfaces noch eine korrekte Firewall Rule erstellen.
Erst dann funktioniert das sauber.
Besser also über das serielle Terminal die Default Installation machen wo WAN und lokaler LAN Port abgefragt wird, dann wird das vorab schon als Default eingerichtet !
Welches Watchguard Modell setzt du ein ?? Das wäre noch wichtig zu wissen da es bei einigen Modellen wichtig ist aktuelle LAN Port Treiber einzuspielen.
1Zitat von @aqui:
Er isst vermutlich auch deutsche Bananen....
> habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren
Wieso "endlich" ?? Das ist eine Sache von 10 Minuten, dann rennt das !
Er isst vermutlich auch deutsche Bananen....
> habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren
Wieso "endlich" ?? Das ist eine Sache von 10 Minuten, dann rennt das !
Es handelt sich um eine x700.
Da ist es wenn man den ein Null-Modem Kabel mit Serial to USB adapter besitzt, mag das so stimmen.
Natürlich habe ich es so eingerichtet über Putty und auch die WAN und LAN-Ports manuell hinzugefügt über Putty, nicht über das Webinterface.
Okay das er bei Interfaces im Dashboard die mir zugeordnete IP anzeigen sollte ist mir neu, was natürlich darauf hinweißt das die Verbindung über PPPoE nicht richtig zustande gekommen ist. Wieso auch immer. Ich habe ein W921V als Modem konfiguriert (Weiter Verbindungen zulassen im Einstellungsmenü) und ihm die IP 192.168.2.1 gegeben. Dort ist ein DHCP-Server aktiviert um den per WLAN angebundenen Devices eine Internet Verbindung zu ermöglichen, dies sollte abgeschaltet werden wenn die Watchbox richtig konfiguriert ist.
Ich verstehe nicht warum die Watchbox eine Internetverbindung hat,da die externe IP ja nicht angezeigt wird, obwohl ich bei ihr die Einwahl nur über PPPoE eingestellt habe und keine statische IP Vergeben habe, weder bei IPv4 noch bei IPv6. DHCP habe ich auch nicht aktiviert.
Ich danke euch das ihr mir trotzdem versucht zu helfen! obwohl ich ja augenscheinlich mal so garkeien ahnung davon habe.
Hintergrund:
Die Watchbox soll dafür da sein um die verschiedenen Netzte bei uns im Haus zu Routen, wir haben ein 0er Netz, ein 1er Netz, im 2er Netz was über WAN angeschlossen ist steht ein w921V der dann den Zugang in Internet für das 1er Netz übernehmen soll und eine NAS und in zukunft auch noch ein Win2012 Server die dann im 3er Netz sitzen sollen. Das 0er Netz hat einen eigenen Netzanschluss der nicht angefasst werden darf, daher soll dann über die Watchbox geroutet werden. Ich möchte wenn der Win2012 Server läuft ein VPN Tunnel einrichten die dazu nötige Feste-IP-Adresse habe ich bereits vom meinem ISP zugeteilt bekommen.
Wieso auch immer. Ich habe ein W921V als Modem konfiguriert (Weiter Verbindungen zulassen im Einstellungsmenü) und ihm die IP 192.168.2.1 gegeben.
...na dann ist alles klar.Na Du bist ein Scherzkeks.
Wenn Du dem Speedport die IP 192.168.2.1 gibst und dann auch noch den DHCP-Server laufen lässt, dann arbeitet dieses wohl als Router und vergibt eine IP an den Watchguard. Also nix mit Modem.
Dann hast Du vermutlich die pppoE-Daten auch dort eingegeben.
Nun versuchst Du das WAN der pfSense noch mit pppoE-Daten zu füttern. Wie soll denn das gehen.
Also entweder das Speedport als Modem, dann die pppoE-Daten auf die pfSense oder das Speedport als Router, dann sollte das WAN der pfSense als DHCP-Client eingerichtet weden.
Du solltest Dich wirklich mal etwas intensiver in das Thema einlesen, bevor Du eine Firewall a'la pfSense in Dein Netz einbaust.
Sonst könntest Du auch ganz schnell das sicher geplante "mehr an Sicherheit" ins Gegenteil umkehren.
op
Zitat von @orcape:
> Wieso auch immer. Ich habe ein W921V als Modem konfiguriert (Weiter Verbindungen zulassen im Einstellungsmenü) und ihm
die IP 192.168.2.1 gegeben.
...na dann ist alles klar.
Na Du bist ein Scherzkeks.
Wenn Du dem Speedport die IP 192.168.2.1 gibst und dann auch noch den DHCP-Server laufen lässt, dann arbeitet dieses wohl als
Router und vergibt eine IP an den Watchguard. Also nix mit Modem.
Dann hast Du vermutlich die pppoE-Daten auch dort eingegeben.
Nun versuchst Du das WAN der pfSense noch mit pppoE-Daten zu füttern. Wie soll denn das gehen.
Also entweder das Speedport als Modem, dann die pppoE-Daten auf die pfSense oder das Speedport als Router, dann sollte das WAN der
pfSense als DHCP-Client eingerichtet weden.
Du solltest Dich wirklich mal etwas intensiver in das Thema einlesen, bevor Du eine Firewall a'la pfSense in Dein Netz
einbaust.
Sonst könntest Du auch ganz schnell das sicher geplante "mehr an Sicherheit" ins Gegenteil umkehren.
op
> Wieso auch immer. Ich habe ein W921V als Modem konfiguriert (Weiter Verbindungen zulassen im Einstellungsmenü) und ihm
die IP 192.168.2.1 gegeben.
...na dann ist alles klar.
Na Du bist ein Scherzkeks.
Wenn Du dem Speedport die IP 192.168.2.1 gibst und dann auch noch den DHCP-Server laufen lässt, dann arbeitet dieses wohl als
Router und vergibt eine IP an den Watchguard. Also nix mit Modem.
Dann hast Du vermutlich die pppoE-Daten auch dort eingegeben.
Nun versuchst Du das WAN der pfSense noch mit pppoE-Daten zu füttern. Wie soll denn das gehen.
Also entweder das Speedport als Modem, dann die pppoE-Daten auf die pfSense oder das Speedport als Router, dann sollte das WAN der
pfSense als DHCP-Client eingerichtet weden.
Du solltest Dich wirklich mal etwas intensiver in das Thema einlesen, bevor Du eine Firewall a'la pfSense in Dein Netz
einbaust.
Sonst könntest Du auch ganz schnell das sicher geplante "mehr an Sicherheit" ins Gegenteil umkehren.
op
Dummerweise ist dies die Anleitung der Telekom und dem Telekom Forum und auch so hier in diversen Theards beschrieben ;)
Aber werde jetzt die Geschichte einfach über DHCP laufen lassen dann sollte sich das ja erledigt haben.
Da ist es wenn man den ein Null-Modem Kabel mit Serial to USB adapter besitzt, mag das so stimmen.
Mag nicht nur...das stimmt auch so ! Was aus deinem Satz aber nicht hervorgeht ist die Beantwortung der Frage ob du solch einen seriellen Zugang auch wirklich hast bzw. benutzt. 
Denn die Initial Config nach Flashen der CF ist nur damit möglich !
Ansonsten wenn du übers WebGUI gehst musst du alles Manuell einrichten. WAN Port, LAN Port und sämtliche FW Regeln
Dashboard die mir zugeordnete IP anzeigen sollte ist mir neu, was natürlich darauf hinweißt das die Verbindung über PPPoE nicht richtig zustande gekommen ist.
Das ist de facto so !In den Firewall Logs kannst du dir dann ganz genau ansehen WARUM sie nicht zustande gekommen ist !
Wieso auch immer. Ich habe ein W921V als Modem konfiguriert (Weiter Verbindungen zulassen im Einstellungsmenü) und ihm die IP 192.168.2.1 gegeben.
Der W921V ist auch ein VDSL Router und kann auch als VDSL Modem arbeiten. Machst du VDSL ?? Bedenke das du dann die PPPoE Daten mit einer VLAN ID von 7 taggen musst. Wie das geht...siehe hier:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel VDSL Anbindung. Oder auch hier:
http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html
Welche IP der zum NUR Modem gemachte Speedport 921 dann hat spielt keinerlei Rolle mehr, denn wenn er als nur Modem arbeitet routet er nicht mehr. Die Funktion heisst PPPoE Passthrough.
Bedeutet das PPPoE Pakete einfach durchgereicht werden. Die Authentisierung und IP Vergabe passiert dann nicht mehr auf dem Speedport sondern direkt in der pfSense. Folglich zeigt die pfSense dann auch die öffentliche Provider IP im Dashboard an am WAN Port.
Wichtig ist natürlich das man den IP Mode am pfSense WAN Port auf PPPoE schaltet und die Provider Zugangsdaten auch dort definiert !
Bei der T-Com sieht das dann so aus:
Anschlusskennung: 00194951864
Online-Nummer: 62169816
Mitbenutzer-Suffix: 0002
Internetanbieter: t-online
Also kommt als Username dort hin: 00194951864621698160001@t-online.de
Passwort entsprechend.
Wie gesagt die Firewall System Logs sagen dir immer was fehlschlägt sofern du keine IP bekommst am WAN Port.
Ich verstehe nicht warum die Watchbox eine Internetverbindung hat,da die externe IP ja nicht angezeigt wird, obwohl ich bei ihr die Einwahl nur über PPPoE eingestellt habe und keine statische IP Vergeben habe, weder bei IPv4 noch bei IPv6. DHCP habe ich auch nicht aktiviert.
Der Satz ist auch irgendwie Unsinn, sorry !Bei PPPoE bekommst du immer dynamisch eine IP Adresse, dort kann man gar keine statische eingeben macht es auch nie da PPPoE sie ja dynmaisch vergibt.
Hast du keine IP zeigt das auch immer das gerade keine funktionoerende Internet verbindung hast !
DHCP oder Static gibt man nur ein wenn man dort eine Router Kaskade betreibt also einen vorgeschalteten Router wie es hier in der Alternative 2 beschrieben ist !
Wenn du PPPoE an der pfSense terminieren willst musst du folgende ToDos machen:
- DSL Router in den reinen Modem Betrieb konfigurieren mit "PPPoE Passthrough" oder dediziertes Modem verwenden.
- DHCP Server hier muss AUS !! Geht aber so oder so aus im nur Modem Betrieb, denn der deaktiviert alle IP Funktionen. Und auch wenn machst du ja PPPoE am WAN Port und da stört die pfSense dann kein DHCP Server dadran.
- Am WAN Port der pfSense den Modus PPPoE einstellen und Provider Zugangsdaten dort konfigurieren. Achtung bei VDSL ! Dort noch ein VLAN ID 7 Tagging einstellen.
obwohl ich ja augenscheinlich mal so garkeien ahnung davon habe.
Das macht ja nix wir sind hier ja einiges gewöhnt und bringen dich und deine "Watchbox" schon ins Internet...keine Sorge !Die Watchbox soll dafür da sein um die verschiedenen Netzte bei uns im Haus zu Routen, wir haben ein 0er Netz, ein 1er Netz, im 2er Netz was über WAN angeschlossen ist steht ein w921V der dann den Zugang in Internet
Das ist ja auch genau der richtige Weg den du da nimmst.Dummerweise ist dies die Anleitung der Telekom und dem Telekom Forum und auch so hier in diversen Theards beschrieben ;)
...da hast Du wohl etwas falsch interpretiert oder Dir fehlt einfach die Erfahrung so etwas zu stemmen...Wenn Du da nicht richtig durchblickst, dann such Dir einfach jemanden der Dir dabei helfen kann...
Das war nicht umsonst geschrieben...
Sonst könntest Du auch ganz schnell das sicher geplante "mehr an Sicherheit" ins Gegenteil umkehren
Gruß orcape
Okay, komische Sache :D
ich habe einfach nochmal vom Anfang gestartet.
Pfsense in Neudrauf gezogen, mit dem Null-Modem-Kabel manuell konfiguriert.
Den W921V als Modem konfiguriert und DHCP auf diesem abgeschaltet. Zugangsdaten im Router habe ich gelöscht (siehe Anmerkung)
Den Router per direkt Leitung an dem WAN Port der Pfsense angeschlossen und diesen mit den Zugangsdaten der Telekom gefüttert (meine Zugangsdaten haben ein anderes Format als von @aqui geschildert da ich einen Geschäftskundenzugang habe).
Jetzt klappt es, bei WAN interface auf dem Dashboard wird mir jetzt meine Feste IP die mir die Telekom zugeordnet hat angezeigt, ebenso wie eine IPv6 IP, wobei ich nicht weiß ob die für die Kommunikation im Internet gilt.
Ich danke euch aufjedenfall!
Endlich ein Erfolgserlebnis
@orcape
Ja da magst du recht haben, mir fehlt die Erfahrung definitiv. Daher bin auch dankbar das ihr mir helft, nur so kann ich lernen und später anderen ebenfalls Helfen!
Ein Teufelskreis ;)
Jetzt habe ich nur noch eine Frage, muss ich irgendwelche Ports auf der WAN Seite freigebgen? oder ist es erstmal alles richtig von Haus aus Konfiguriert?
Mit Ports meine ich Standard dinger wie Email oder FTP
Anmerkung:
Der Router kann trotzdem theoretisch weiter als Router fungieren da er das PPPoE-Signal einfach durchschleust auch bei einer eigenen Internetverbindung, er schleust das Signal für bis zu 10 weitere Wählverbindungen einfach durch, steht so im Konfigurationsmenü.
ich habe einfach nochmal vom Anfang gestartet.
Pfsense in Neudrauf gezogen, mit dem Null-Modem-Kabel manuell konfiguriert.
Den W921V als Modem konfiguriert und DHCP auf diesem abgeschaltet. Zugangsdaten im Router habe ich gelöscht (siehe Anmerkung)
Den Router per direkt Leitung an dem WAN Port der Pfsense angeschlossen und diesen mit den Zugangsdaten der Telekom gefüttert (meine Zugangsdaten haben ein anderes Format als von @aqui geschildert da ich einen Geschäftskundenzugang habe).
Jetzt klappt es, bei WAN interface auf dem Dashboard wird mir jetzt meine Feste IP die mir die Telekom zugeordnet hat angezeigt, ebenso wie eine IPv6 IP, wobei ich nicht weiß ob die für die Kommunikation im Internet gilt.
Ich danke euch aufjedenfall!
Endlich ein Erfolgserlebnis
@orcape
Ja da magst du recht haben, mir fehlt die Erfahrung definitiv. Daher bin auch dankbar das ihr mir helft, nur so kann ich lernen und später anderen ebenfalls Helfen!
Ein Teufelskreis ;)
Jetzt habe ich nur noch eine Frage, muss ich irgendwelche Ports auf der WAN Seite freigebgen? oder ist es erstmal alles richtig von Haus aus Konfiguriert?
Mit Ports meine ich Standard dinger wie Email oder FTP
Anmerkung:
Der Router kann trotzdem theoretisch weiter als Router fungieren da er das PPPoE-Signal einfach durchschleust auch bei einer eigenen Internetverbindung, er schleust das Signal für bis zu 10 weitere Wählverbindungen einfach durch, steht so im Konfigurationsmenü.
@medikopter
Noch 3 wichtige Punkte zum Watchguard X700 Setup um sie etwas aufzupimpen !!!
Es kann sein das der Vorbesitzer das schon gemacht hat aber wenn du eine nackte Installation gemacht hat solltest du alle diese Punkte noch ausführen, da sie ein erhebliches Plus an Funktionen bieten auf der Plattform !
Detailiert ist das hier beschrieben: https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox#X-Core
Für dich die Übersetzung in Deutsch:
WICHTIG !!!:
Ab der Version 2.2 bootet das nanobsd Image und der i386 installer nicht mehr auf nicht DMA fähigen Watchguard Plattformen und bleibt mit folgender Fehlermeldung hängen:
ata0: DMA limited to UDMA33, controller found non-ATA66 cable
Das kann man aber sehr einfach fixen:
Bevor der Kernel bootet die Leertaste drücken bei der Abfrage und:
set hint.ata.0.mode=PIO4
am "OK" Prompt eingeben.
Danach mit "boot" fortfahren und booten.
Dann via Terminal und Shell Zugriff dieses Kommando ohne das "set" in die Datei /boot/loader.conf eintragen.
Danach booten die älteren Watchguard Plattformen die 2.3.5 fehlerlos !
Siehe dazu auch:
https://thinkthenclick.wordpress.com/2015/09/02/pfsense-2-2-and-watchgua ...
1.)
Wie du bemerkt hast hat die X Serie einen Bug am seriellen Port. Der sollte bei dir vermutlich auch nicht funktionieren. Bzw. du siehst dort die Bootmeldungen aber wenn die Box fertig gebootet hat, dann ist die serielle Konsole mit 9600 Baud tot
Es gibt 2 Möglichkeiten das zu fixen:
a.)
Im Menü "Advanced Setup" setzt du den Haken bei SSH Access enable
Damit kannst du dann via PuTTY oder TeraTerm übers Netz einen SSH Shell Zugang bekommen. Username und Login sind die gleichen wie bei beim Web GUI Login.
Bist du im Shell Prompt gibst du ein:
/etc/rc.conf_mount_rw
dann
echo 'console="comconsole"' >> /boot/loader.conf.local
und
echo 'comconsole_speed="115200"' >> /boot/loader.conf.local
Das erzeugt eine neue Date loader.conf.local im Verzeichnis /boot was das Problem final fixt indem es die serielle Baudrate auf der seriellen Schnittstelle auf 115200 Baud umstellt.
Bevor du rebootest kannst du mit cat /boot/loader.conf.local ckecken ob die Datei da ist und ob der Inhalt stimmt.
Danach rebootest du die Firewall und wirst sehen das nun auch das serielle Menü am Seriell Port sauber funktioniert.
Klar das du natürlich auch PuTTY oder TeraTerm auf diese Baudrate umstellen musst !!
b.)
Dasgleiche kannst du über den seriellen Port erreichen aber darfst nicht bis zum Menü booten.
Wenn die Bootmessages erscheinen wartest du bis der Selftest gemacht wurde und pfSense bzw. das BSD Unix bootet. Wenn die Messages durchscrollen gibst du ctrl c ein (ctrl oder STRG Taste gedrückt halten und dann c)
Dann bricht der Bootvorgang ab und die pfSense landet auch mit 9600 Bauf am Shellprompt. Nun wieder wie oben:
/etc/rc.conf_mount_rw
dann
echo 'console="comconsole"' >> /boot/loader.conf.local
und
echo 'comconsole_speed="115200"' >> /boot/loader.conf.local
Check mit cat und Rebbot mit 115200 Baud...
Option a.) ist aber ggf. stressfreier für einen Anfänger
2.)
Sicher willst du auch das LCD Panel der Watchguard für pfSense funktionsfähig machen um die Firewall damit optisch überwachbar zu machen.
Das ist schnell und einfach gemacht über das Web Setup:
Zuerst installierst du dazu über den Package Manager im Web GUI folgende 2 pfSense Pakete zusätzlich:
lcdproc-dev package
und
Shellcmd
Im Web Setup dann folgendes:
a.).
In Services: LCDproc: Server: Menü aktivierst du
Enable LCDproc at startup auf yes
Com port auf Parallel Port 1
Display Size auf 2x20
Driver auf Watchguard Firebox with SDEC
Dann klickst du den Save Button unten
b.)
Jetzt gehst du auf den Menüpunkt "Diagnostics --> Command Prompt und gibst dort in die Kommandozeile:
cp /usr/local/etc/LCDd.conf /conf
ein.
c.)
Jetzt gehst du wieder zurück ins Menü Services --> LCDproc --> Server: und entfernst den Haken bei 'Enable LCDproc at startup' und setzt den COM Port wieder auf 'none'
d.)
Jetzt gehst du unter Services --> Shellcmd in das Menü und gibst folgende Kommandos ein dort ein in die Eingabezeile:
und noch eine Zeile:
Beide vom Typ shellcmd !
e.)
Nun rebootest du die Firewall und Tadaaaa...jetzt funktioniert auch das LCD Display mit allen wichtigen Daten !
3.)
Die Firewall hat auch eine ARM / Disarm LED die man natürlich auch aktivieren kann. Die Firewall zeigt dann je nach Farbe ob sie aktiv ist oder nicht.
Hierzu ist ein Shell Zugriff nötig. Also entweder wieder übers Netz und SSH oder über die nun funktionierende serielle Konsole
Jetzt gehst du in die Shell entweder seriell (funktioniert ja jetzt) oder via SSH in Netz und am Shell Prompt machst du folgende Eingaben:
/etc/rc.conf_mount_rw
danach die folgenden Kommandos eingeben:
fetch -o /conf https://sites.google.com/site/pfsensefirebox/home/WGXepc
Jetzt die Datei WGXepc nach /usr/local/bin kopieren:
cp /conf/WGXepc /usr/local/bin
Nun wirds etwas anspruchsvoll für einen Unix Anfänger
Im Verzeichnis /usr/local/etc/rc.d jetzt eine Datei WGXepc.sh erzeugen mit folgendem Inhalt:
und auf chmod 755 setzen.
Dafür musst du dich aber mit dem vi Editor rumquälen
http://www.sits.de/mini/vi.html
http://www.linux-fuer-alle.de/doc_show.php?docid=29 usw.
Damit holst du dann alles raus aus deiner Watchguard pfSense
Noch 3 wichtige Punkte zum Watchguard X700 Setup um sie etwas aufzupimpen !!!
Es kann sein das der Vorbesitzer das schon gemacht hat aber wenn du eine nackte Installation gemacht hat solltest du alle diese Punkte noch ausführen, da sie ein erhebliches Plus an Funktionen bieten auf der Plattform !
Detailiert ist das hier beschrieben: https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox#X-Core
Für dich die Übersetzung in Deutsch:
WICHTIG !!!:
Ab der Version 2.2 bootet das nanobsd Image und der i386 installer nicht mehr auf nicht DMA fähigen Watchguard Plattformen und bleibt mit folgender Fehlermeldung hängen:
ata0: DMA limited to UDMA33, controller found non-ATA66 cable
Das kann man aber sehr einfach fixen:
Bevor der Kernel bootet die Leertaste drücken bei der Abfrage und:
set hint.ata.0.mode=PIO4
am "OK" Prompt eingeben.
Danach mit "boot" fortfahren und booten.
Dann via Terminal und Shell Zugriff dieses Kommando ohne das "set" in die Datei /boot/loader.conf eintragen.
Danach booten die älteren Watchguard Plattformen die 2.3.5 fehlerlos !
Siehe dazu auch:
https://thinkthenclick.wordpress.com/2015/09/02/pfsense-2-2-and-watchgua ...
1.)
Wie du bemerkt hast hat die X Serie einen Bug am seriellen Port. Der sollte bei dir vermutlich auch nicht funktionieren. Bzw. du siehst dort die Bootmeldungen aber wenn die Box fertig gebootet hat, dann ist die serielle Konsole mit 9600 Baud tot
Es gibt 2 Möglichkeiten das zu fixen:
a.)
Im Menü "Advanced Setup" setzt du den Haken bei SSH Access enable
Damit kannst du dann via PuTTY oder TeraTerm übers Netz einen SSH Shell Zugang bekommen. Username und Login sind die gleichen wie bei beim Web GUI Login.
Bist du im Shell Prompt gibst du ein:
/etc/rc.conf_mount_rw
dann
echo 'console="comconsole"' >> /boot/loader.conf.local
und
echo 'comconsole_speed="115200"' >> /boot/loader.conf.local
Das erzeugt eine neue Date loader.conf.local im Verzeichnis /boot was das Problem final fixt indem es die serielle Baudrate auf der seriellen Schnittstelle auf 115200 Baud umstellt.
Bevor du rebootest kannst du mit cat /boot/loader.conf.local ckecken ob die Datei da ist und ob der Inhalt stimmt.
Danach rebootest du die Firewall und wirst sehen das nun auch das serielle Menü am Seriell Port sauber funktioniert.
Klar das du natürlich auch PuTTY oder TeraTerm auf diese Baudrate umstellen musst !!
b.)
Dasgleiche kannst du über den seriellen Port erreichen aber darfst nicht bis zum Menü booten.
Wenn die Bootmessages erscheinen wartest du bis der Selftest gemacht wurde und pfSense bzw. das BSD Unix bootet. Wenn die Messages durchscrollen gibst du ctrl c ein (ctrl oder STRG Taste gedrückt halten und dann c)
Dann bricht der Bootvorgang ab und die pfSense landet auch mit 9600 Bauf am Shellprompt. Nun wieder wie oben:
/etc/rc.conf_mount_rw
dann
echo 'console="comconsole"' >> /boot/loader.conf.local
und
echo 'comconsole_speed="115200"' >> /boot/loader.conf.local
Check mit cat und Rebbot mit 115200 Baud...
Option a.) ist aber ggf. stressfreier für einen Anfänger
2.)
Sicher willst du auch das LCD Panel der Watchguard für pfSense funktionsfähig machen um die Firewall damit optisch überwachbar zu machen.
Das ist schnell und einfach gemacht über das Web Setup:
Zuerst installierst du dazu über den Package Manager im Web GUI folgende 2 pfSense Pakete zusätzlich:
lcdproc-dev package
und
Shellcmd
Im Web Setup dann folgendes:
a.).
In Services: LCDproc: Server: Menü aktivierst du
Enable LCDproc at startup auf yes
Com port auf Parallel Port 1
Display Size auf 2x20
Driver auf Watchguard Firebox with SDEC
Dann klickst du den Save Button unten
b.)
Jetzt gehst du auf den Menüpunkt "Diagnostics --> Command Prompt und gibst dort in die Kommandozeile:
cp /usr/local/etc/LCDd.conf /conf
ein.
c.)
Jetzt gehst du wieder zurück ins Menü Services --> LCDproc --> Server: und entfernst den Haken bei 'Enable LCDproc at startup' und setzt den COM Port wieder auf 'none'
d.)
Jetzt gehst du unter Services --> Shellcmd in das Menü und gibst folgende Kommandos ein dort ein in die Eingabezeile:
/usr/bin/nice -20 /usr/local/sbin/LCDd -r 0 -c /conf/LCDd.conf > /dev/null & /usr/bin/nice -20 /usr/local/bin/lcdproc T U C L I & e.)
Nun rebootest du die Firewall und Tadaaaa...jetzt funktioniert auch das LCD Display mit allen wichtigen Daten !
3.)
Die Firewall hat auch eine ARM / Disarm LED die man natürlich auch aktivieren kann. Die Firewall zeigt dann je nach Farbe ob sie aktiv ist oder nicht.
Hierzu ist ein Shell Zugriff nötig. Also entweder wieder übers Netz und SSH oder über die nun funktionierende serielle Konsole
Jetzt gehst du in die Shell entweder seriell (funktioniert ja jetzt) oder via SSH in Netz und am Shell Prompt machst du folgende Eingaben:
/etc/rc.conf_mount_rw
danach die folgenden Kommandos eingeben:
fetch -o /conf https://sites.google.com/site/pfsensefirebox/home/WGXepc
Jetzt die Datei WGXepc nach /usr/local/bin kopieren:
cp /conf/WGXepc /usr/local/bin
Nun wirds etwas anspruchsvoll für einen Unix Anfänger
Im Verzeichnis /usr/local/etc/rc.d jetzt eine Datei WGXepc.sh erzeugen mit folgendem Inhalt:
#!/bin/sh
#
/usr/local/bin/WGXepc -l green
/usr/local/bin/WGXepc -f 30 Dafür musst du dich aber mit dem vi Editor rumquälen
http://www.sits.de/mini/vi.html
http://www.linux-fuer-alle.de/doc_show.php?docid=29 usw.
Damit holst du dann alles raus aus deiner Watchguard pfSense
1
Nein das hatte der Vorbesitzer nicht gemacht, bzw. habe ich die Pfsense neuinstalliert auf der CF-Karte da ich angst hatte das er da irgendwelche Regeln eingetragen hat womit er unter Umständen auf mein System kommt.
Ja, mit der Verbindung über Serial war wirklich Schluss nach dem Booten -.-
und bei dem Rest stimme ich dir da auch zu und bedanke mich nochmal für die Deutsche Übersetzung
Habe schon einschlägige Erfahrung mit Linux gesammelt durch meinen kleinen Raspberry PI, da gibt es ja auch eine menge Tut's in deutsch ;) das kriege ich hin.
Ja, mit der Verbindung über Serial war wirklich Schluss nach dem Booten -.-
und bei dem Rest stimme ich dir da auch zu und bedanke mich nochmal für die Deutsche Übersetzung
Habe schon einschlägige Erfahrung mit Linux gesammelt durch meinen kleinen Raspberry PI, da gibt es ja auch eine menge Tut's in deutsch ;) das kriege ich hin.
Habe schon einschlägige Erfahrung mit Linux gesammelt durch meinen kleinen Raspberry PI, da gibt es ja auch eine menge Tut's in deutsch ;) das kriege ich hin.
Bestens...dann bist du ja der Unix Profi OT: Als RasPi Tip mal dann dieses_Tutorial lesen
