PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Hallo,
vermutlich habe ich gerade selbst Scheunentore vor den Augen.
Wobei ich zugeben muss, dass ich mich mit dem Thema Firewall-Regeln sehr schwer tue.
Nachdem ich mein gesamtes Regelwerk berechtigterweise (wegen absoluten Blödsinn) über den Haufen schmeißen musste (Danke an aqui ) bin ich zurück auf Anfang.
Ich habe in beiden LAN-Schnittstellen an oberster Stelle die default-mäßige Regel eingestellt:
Im WAN ist bisher auch alles Standard:
Trotzdem wird in beiden Netzen der Zugang zu https://www.web.de (82.165.230.17) blockiert, die unbedingt (Schwiegermutter) benötigt wird.
Der Rest geht mit diesen default-Regeln gefühlt.
Im Protokoll (gefiltert) sieht die Adresse so aus (allerdings ist das noch aus einer Testphase ohne die default-Regel.:
Wenn ich die Route verfolge sieht es so aus;
Die Adresse bap.web.de öffnet eine korrekte Startseite von web.de.
Warum geht das aber nicht mit mit https://www.web.de ??
Kann mir jemand den entscheidenden Hinweis geben?
Gruß Jörg
vermutlich habe ich gerade selbst Scheunentore vor den Augen.
Wobei ich zugeben muss, dass ich mich mit dem Thema Firewall-Regeln sehr schwer tue.
Nachdem ich mein gesamtes Regelwerk berechtigterweise (wegen absoluten Blödsinn) über den Haufen schmeißen musste (Danke an aqui ) bin ich zurück auf Anfang.
Ich habe in beiden LAN-Schnittstellen an oberster Stelle die default-mäßige Regel eingestellt:
Im WAN ist bisher auch alles Standard:
Trotzdem wird in beiden Netzen der Zugang zu https://www.web.de (82.165.230.17) blockiert, die unbedingt (Schwiegermutter) benötigt wird.
Der Rest geht mit diesen default-Regeln gefühlt.
Im Protokoll (gefiltert) sieht die Adresse so aus (allerdings ist das noch aus einer Testphase ohne die default-Regel.:
Wenn ich die Route verfolge sieht es so aus;
Die Adresse bap.web.de öffnet eine korrekte Startseite von web.de.
Warum geht das aber nicht mit mit https://www.web.de ??
Kann mir jemand den entscheidenden Hinweis geben?
Gruß Jörg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 599679
Url: https://administrator.de/forum/pfsense-web-de-wird-trotz-aktiver-scheunentor-regel-blockiert-599679.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
wie hast Du es denn auf die pfSense eingegrenzt?
Das kann auch der Rechner, der Browser oder der Internetanbieter sein.
Gruß,
Jörg
wie hast Du es denn auf die pfSense eingegrenzt?
Das kann auch der Rechner, der Browser oder der Internetanbieter sein.
Gruß,
Jörg
Im Grunde sollte alles mit den Default Einstellungen fehlerfrei laufen. Wenn alles andere rennt außer web.de dann kann man eher ein DNS Problem vermuten.
Gehe zum Troubleshooting immer in das Diagnostics --> Ping Menü der pfSense und pinge von dort www.web.de und lege als Absender IP die WAN IP fest ! Wenn der Ping klappt dann klappt auch generell der Zugriff auf web.de.
Du solltest dann im Hinblick auf eine evtl. DNS Problematik immer ein besonderes Augenmerkt auf die richtigen DNS Settings der pfSense legen. Das ist wichtig, damit sie als Forwarding DNS die IP Adresse der kaskadierten FritzBox verwendet und NICHT die Root DNS Server was sonst im Default der Fall ist !
Hier sind dazu nochmals die wichtigsten ToDo Schritte:
Auf der OPNsense muss das ebenfalls gemacht werden unter Services -> Unbound DNS -> Query Forwarding
Damit sollte es fehlerfrei funktionieren.
Die pfSense WAN IP Adresse wie legst du die fest ??
Gehe zum Troubleshooting immer in das Diagnostics --> Ping Menü der pfSense und pinge von dort www.web.de und lege als Absender IP die WAN IP fest ! Wenn der Ping klappt dann klappt auch generell der Zugriff auf web.de.
Du solltest dann im Hinblick auf eine evtl. DNS Problematik immer ein besonderes Augenmerkt auf die richtigen DNS Settings der pfSense legen. Das ist wichtig, damit sie als Forwarding DNS die IP Adresse der kaskadierten FritzBox verwendet und NICHT die Root DNS Server was sonst im Default der Fall ist !
Hier sind dazu nochmals die wichtigsten ToDo Schritte:
- RFC1918 IP Netz Blocking am WAN Port deaktivieren Sollte man in einer Router Kaskade (und nur in einer Kaskade, nie bei direktem Provider Link!!) immer machen.
- DNS Forwarder deaktivieren !
- DNS Resolver aktivieren !
- DNSSEC deaktivieren im Resolver und Query Forwarder aktivieren !!
Auf der OPNsense muss das ebenfalls gemacht werden unter Services -> Unbound DNS -> Query Forwarding
Damit sollte es fehlerfrei funktionieren.
Die pfSense WAN IP Adresse wie legst du die fest ??
- Statisch ?
- Oder mit DHCP Reservierung in der FritzBox über die Mac Adresse der pfSense (WAN Port Mac Adresse) ?
Hallo,
Wenn die selber routet - poste mal deren Routingtabelle und bitte auch die der pfsense und die der 192.168.1.1-Fritzbox
Grüße
lcer
Zitat von @Nominis:
Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
nun, da ist ja noch eine Fritzbox, die wohl als Access-Point arbeiten soll: 192.168.178.10Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
Wenn die selber routet - poste mal deren Routingtabelle und bitte auch die der pfsense und die der 192.168.1.1-Fritzbox
Grüße
lcer
Bingo !
Dann rennt doch alles wie es soll !
Der Rest kann dann rein nur noch am Client liegen wenn es wider Erwarten immer nich nicht gehen sollte.
Dann dort folgendes machen:
So oder so stimmt dann aber an den Zertifikaten der Web.de Webseite etwas nicht ! Mit dir und deiner Infrastruktur hat die Fehlermeldung nichts zu tun.
Dann rennt doch alles wie es soll !
Der Rest kann dann rein nur noch am Client liegen wenn es wider Erwarten immer nich nicht gehen sollte.
Dann dort folgendes machen:
- Check das der Client nicht mit LAN und WLAN (sofern beides vorhanden) nicht parallel online ist. Es darf nur ein einziges Netzinterface aktiv sein !
- Check mit ipconfig -all (Winblows) ob der Client zum Netz korrekte IP Adressen, Gateway, DNS bekommen hat.
- Zuerst DNS check mit nslookup www.web.de korrekt über die pfSense aufgelöst wird.
- Ping Check mit ping www.web.de
Im Edge-Browser kommt diese Meldung:
Igitt, Microsoft Schrott. Versuche es doch bitte mal mit einem "richtigen" Browser wie Firefox usw.So oder so stimmt dann aber an den Zertifikaten der Web.de Webseite etwas nicht ! Mit dir und deiner Infrastruktur hat die Fehlermeldung nichts zu tun.
nein, das ist die Gateway-Tabelle, eine Routing-Tabelle sieht anders aus.
https://docs.netgate.com/pfsense/en/latest/routing/viewing-routes.html
Verstehe ich das richtig, das Gerät, wo es nicht geht, hängt am LAN2 direkt per Kabel angebunden?
Grüße
lcer
https://docs.netgate.com/pfsense/en/latest/routing/viewing-routes.html
Verstehe ich das richtig, das Gerät, wo es nicht geht, hängt am LAN2 direkt per Kabel angebunden?
Grüße
lcer