13
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Hallo,
vermutlich habe ich gerade selbst Scheunentore vor den Augen.
Wobei ich zugeben muss, dass ich mich mit dem Thema Firewall-Regeln sehr schwer tue.
Nachdem ich mein gesamtes Regelwerk berechtigterweise (wegen absoluten Blödsinn) über den Haufen schmeißen musste (Danke an aqui ) bin ich zurück auf Anfang.
Ich habe in beiden LAN-Schnittstellen an oberster Stelle die default-mäßige Regel eingestellt:
Im WAN ist bisher auch alles Standard:
Trotzdem wird in beiden Netzen der Zugang zu https://www.web.de (82.165.230.17) blockiert, die unbedingt (Schwiegermutter) benötigt wird.
Der Rest geht mit diesen default-Regeln gefühlt.
Im Protokoll (gefiltert) sieht die Adresse so aus (allerdings ist das noch aus einer Testphase ohne die default-Regel.:
Wenn ich die Route verfolge sieht es so aus;
Die Adresse bap.web.de öffnet eine korrekte Startseite von web.de.
Warum geht das aber nicht mit mit https://www.web.de ??
Kann mir jemand den entscheidenden Hinweis geben?
Gruß Jörg
vermutlich habe ich gerade selbst Scheunentore vor den Augen.
Wobei ich zugeben muss, dass ich mich mit dem Thema Firewall-Regeln sehr schwer tue.
Nachdem ich mein gesamtes Regelwerk berechtigterweise (wegen absoluten Blödsinn) über den Haufen schmeißen musste (Danke an aqui ) bin ich zurück auf Anfang.
Ich habe in beiden LAN-Schnittstellen an oberster Stelle die default-mäßige Regel eingestellt:
Im WAN ist bisher auch alles Standard:
Trotzdem wird in beiden Netzen der Zugang zu https://www.web.de (82.165.230.17) blockiert, die unbedingt (Schwiegermutter) benötigt wird.
Der Rest geht mit diesen default-Regeln gefühlt.
Im Protokoll (gefiltert) sieht die Adresse so aus (allerdings ist das noch aus einer Testphase ohne die default-Regel.:
Wenn ich die Route verfolge sieht es so aus;
Die Adresse bap.web.de öffnet eine korrekte Startseite von web.de.
Warum geht das aber nicht mit mit https://www.web.de ??
Kann mir jemand den entscheidenden Hinweis geben?
Gruß Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 599679
Url: https://administrator.de/contentid/599679
Printed on: April 27, 2024 at 04:04 o'clock
13 Comments
Latest comment
Hallo,
hängt die pfsense direkt am DSL oder ist da was dazwischen?
Wenn nein: wie ist das NAT konfiguriert?
Wenn ja: Poste die Routingtabelle
Grüße
lcer
hängt die pfsense direkt am DSL oder ist da was dazwischen?
Wenn nein: wie ist das NAT konfiguriert?
Wenn ja: Poste die Routingtabelle
Grüße
lcer
Hallo,
wie hast Du es denn auf die pfSense eingegrenzt?
Das kann auch der Rechner, der Browser oder der Internetanbieter sein.
Gruß,
Jörg
wie hast Du es denn auf die pfSense eingegrenzt?
Das kann auch der Rechner, der Browser oder der Internetanbieter sein.
Gruß,
Jörg
Am VDSL hängt noch eine Fritzbox (aktuell noch wegen Telefonie), daran ist die pfSense (WAN) angeschlossen.
(router kaskade)
Das gesamte Netz sieht so aus:
Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
Gruß Jörg
(router kaskade)
Das gesamte Netz sieht so aus:
Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
Gruß Jörg
Im Grunde sollte alles mit den Default Einstellungen fehlerfrei laufen. Wenn alles andere rennt außer web.de dann kann man eher ein DNS Problem vermuten.
Gehe zum Troubleshooting immer in das Diagnostics --> Ping Menü der pfSense und pinge von dort www.web.de und lege als Absender IP die WAN IP fest ! Wenn der Ping klappt dann klappt auch generell der Zugriff auf web.de.
Du solltest dann im Hinblick auf eine evtl. DNS Problematik immer ein besonderes Augenmerkt auf die richtigen DNS Settings der pfSense legen. Das ist wichtig, damit sie als Forwarding DNS die IP Adresse der kaskadierten FritzBox verwendet und NICHT die Root DNS Server was sonst im Default der Fall ist !
Hier sind dazu nochmals die wichtigsten ToDo Schritte:
Auf der OPNsense muss das ebenfalls gemacht werden unter Services -> Unbound DNS -> Query Forwarding
Damit sollte es fehlerfrei funktionieren.
Die pfSense WAN IP Adresse wie legst du die fest ??
Gehe zum Troubleshooting immer in das Diagnostics --> Ping Menü der pfSense und pinge von dort www.web.de und lege als Absender IP die WAN IP fest ! Wenn der Ping klappt dann klappt auch generell der Zugriff auf web.de.
Du solltest dann im Hinblick auf eine evtl. DNS Problematik immer ein besonderes Augenmerkt auf die richtigen DNS Settings der pfSense legen. Das ist wichtig, damit sie als Forwarding DNS die IP Adresse der kaskadierten FritzBox verwendet und NICHT die Root DNS Server was sonst im Default der Fall ist !
Hier sind dazu nochmals die wichtigsten ToDo Schritte:
- RFC1918 IP Netz Blocking am WAN Port deaktivieren Sollte man in einer Router Kaskade (und nur in einer Kaskade, nie bei direktem Provider Link!!) immer machen.
- DNS Forwarder deaktivieren !
- DNS Resolver aktivieren !
- DNSSEC deaktivieren im Resolver und Query Forwarder aktivieren !!
Auf der OPNsense muss das ebenfalls gemacht werden unter Services -> Unbound DNS -> Query Forwarding
Damit sollte es fehlerfrei funktionieren.
Die pfSense WAN IP Adresse wie legst du die fest ??
- Statisch ?
- Oder mit DHCP Reservierung in der FritzBox über die Mac Adresse der pfSense (WAN Port Mac Adresse) ?
Hallo,
Wenn die selber routet - poste mal deren Routingtabelle und bitte auch die der pfsense und die der 192.168.1.1-Fritzbox
Grüße
lcer
Zitat von @Nominis:
Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
nun, da ist ja noch eine Fritzbox, die wohl als Access-Point arbeiten soll: 192.168.178.10Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
Wenn die selber routet - poste mal deren Routingtabelle und bitte auch die der pfsense und die der 192.168.1.1-Fritzbox
Grüße
lcer
Die Einstellungen der Grafik 1 - 3 waren schon so vorhanden.
Grafik 4 (DNSSEC deaktivieren und DNS Query Forwarding aktivieren) habe ich übernommen.
In der FritzBox (für den Internetzugang) habe ich testweise auch nochmals die DNS-Einstellungen auf vom Internetanbieter zugewiesene DNSv4-Server umgestellt.
Zuvor war dort 1.1.1x sowie DNS over TLS (DoT) aktiv.
Die pfSense hat eine statische WAN-IP-Adresse.
Der Ping sieht eigentlich ok. aus:
HSTS ??
Im Edge-Browser kommt diese Meldung:
Gruß Jörg
Grafik 4 (DNSSEC deaktivieren und DNS Query Forwarding aktivieren) habe ich übernommen.
In der FritzBox (für den Internetzugang) habe ich testweise auch nochmals die DNS-Einstellungen auf vom Internetanbieter zugewiesene DNSv4-Server umgestellt.
Zuvor war dort 1.1.1x sowie DNS over TLS (DoT) aktiv.
Die pfSense hat eine statische WAN-IP-Adresse.
Der Ping sieht eigentlich ok. aus:
HSTS ??
Im Edge-Browser kommt diese Meldung:
Gruß Jörg
Bingo !
Dann rennt doch alles wie es soll !
Der Rest kann dann rein nur noch am Client liegen wenn es wider Erwarten immer nich nicht gehen sollte.
Dann dort folgendes machen:
So oder so stimmt dann aber an den Zertifikaten der Web.de Webseite etwas nicht ! Mit dir und deiner Infrastruktur hat die Fehlermeldung nichts zu tun.
Dann rennt doch alles wie es soll !
Der Rest kann dann rein nur noch am Client liegen wenn es wider Erwarten immer nich nicht gehen sollte.
Dann dort folgendes machen:
- Check das der Client nicht mit LAN und WLAN (sofern beides vorhanden) nicht parallel online ist. Es darf nur ein einziges Netzinterface aktiv sein !
- Check mit ipconfig -all (Winblows) ob der Client zum Netz korrekte IP Adressen, Gateway, DNS bekommen hat.
- Zuerst DNS check mit nslookup www.web.de korrekt über die pfSense aufgelöst wird.
- Ping Check mit ping www.web.de
Im Edge-Browser kommt diese Meldung:
Igitt, Microsoft Schrott. Versuche es doch bitte mal mit einem "richtigen" Browser wie Firefox usw.So oder so stimmt dann aber an den Zertifikaten der Web.de Webseite etwas nicht ! Mit dir und deiner Infrastruktur hat die Fehlermeldung nichts zu tun.
Hier nochmals die Routing-Tabelle der pfSense:
Die 2. FritzBox (7362SL - als Client / 192.168.178.10) spielt dabei erst mal keine Rolle.
Darüber geht nix.
Momentan hängt sie auch wieder am Gast-Netzwerk der 1. Fritzbox.
Damit funktioniert auch der Aufruf von www.web.de problemlos, wie auch direkt an bzw. hinter der 1. Fritzbox.
Damit ist erkennbar, dass das Problem erst hinter der Fritzbox (also durch die pfSense) erzeugt wird.
Gruß Jörg
Die 2. FritzBox (7362SL - als Client / 192.168.178.10) spielt dabei erst mal keine Rolle.
Darüber geht nix.
Momentan hängt sie auch wieder am Gast-Netzwerk der 1. Fritzbox.
Damit funktioniert auch der Aufruf von www.web.de problemlos, wie auch direkt an bzw. hinter der 1. Fritzbox.
Damit ist erkennbar, dass das Problem erst hinter der Fritzbox (also durch die pfSense) erzeugt wird.
Gruß Jörg
Oh mann !!!!! 
Ich habe eben pfBlockerNG deaktiviert .... und web.de funktioniert.
da muss wohl in einer der Listen die www.web.de-Adresse stehen.
Also alles geklärt.
Vielen Dank für die Mühe.
Gruß Jörg
Ich habe eben pfBlockerNG deaktiviert .... und web.de funktioniert.
da muss wohl in einer der Listen die www.web.de-Adresse stehen.
Also alles geklärt.
Vielen Dank für die Mühe.
Gruß Jörg
nein, das ist die Gateway-Tabelle, eine Routing-Tabelle sieht anders aus.
https://docs.netgate.com/pfsense/en/latest/routing/viewing-routes.html
Verstehe ich das richtig, das Gerät, wo es nicht geht, hängt am LAN2 direkt per Kabel angebunden?
Grüße
lcer
https://docs.netgate.com/pfsense/en/latest/routing/viewing-routes.html
Verstehe ich das richtig, das Gerät, wo es nicht geht, hängt am LAN2 direkt per Kabel angebunden?
Grüße
lcer
Danke für Deine Unterstützung.
Es ging weder auf der LAN1-Schnittstelle - noch auf LAN2-Schnittstelle.
Es ging aber vor der pfSense, daher lag das Problem bei der Firewall.
In meinem Fall wurde die web.de-Seite durch eine der Listen von pfBloggerNG geblockt.
Durch Deaktivieren des Filters konnte ich das Problem erst einmal lösen.
Jetzt muss ich schauen ob ein Eintrag in eine Whitelist oder das deaktivieren der betreffenden Listenquelle das Problem endgültig löst.
Gruß Jörg
Es ging weder auf der LAN1-Schnittstelle - noch auf LAN2-Schnittstelle.
Es ging aber vor der pfSense, daher lag das Problem bei der Firewall.
In meinem Fall wurde die web.de-Seite durch eine der Listen von pfBloggerNG geblockt.
Durch Deaktivieren des Filters konnte ich das Problem erst einmal lösen.
Jetzt muss ich schauen ob ein Eintrag in eine Whitelist oder das deaktivieren der betreffenden Listenquelle das Problem endgültig löst.
Gruß Jörg
Die Listen sind stinknormale Text Dateien. Gehe also auf den URL der Liste und lasse die Suchfunktion des Browsers darauf los.
Mit diesen Listen wird web.de nicht gefiltert:
Mit diesen Listen wird web.de nicht gefiltert:
Danke für den Tipp.
Habe web erst mal zu Whitelist hinzugefügt.
Für heute reicht das erst mal.
Gruß Jörg
Habe web erst mal zu Whitelist hinzugefügt.
Für heute reicht das erst mal.
Gruß Jörg