26
Routing Problem mit Kaskade FritzBox und pfsense zugeriff nur von der firewall auf die clients und 0.0.0.0
Hallo,
ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS
10.5.10.53
Mein Netz baut sich wie folgt auf |
VDSL via fritzbox ------------------------------------------------------ pfsense ----- unmanaged switch ------managed switch -------------------------server
| | | | | | | |
| | WAN LAN 2 192.168.10.0/24 10.5.10.199/16 10.5.10.50/16
| LAN 4 (Guest) em0 192.168.10.254 /24 em1 10.5.10.1/16
| 192.168.179.0/24
|
|
LAN 1
192.168.10.0/24
Von der firewall kann ich sowohl das WAN als auch das LAN interface sowie das internet erreichen. Was nicht funktioniert sind ein ping vom /24 Subnetz auf das WAN oder LAN interface als auch der ssh Zugriff auf die FW auc hnicht via http oder https.
Ich hatte bei der Erstinstallation "Blockieren privater Adressen" bei der Konfiguration des WAN interfaces aktiviert , was die Urschae sein könnte.
Mehrfaches Neuinstallieren der pfsense brachte nichts ich kann sie nach wie vor nicht pingen, nicht via SSH erreichen und nicht über das Web Interface administrieren. Sie /16 Adressen werden per dhcp vergeben (DHCP auf der pfsense) die WAN und LAN Adresse sind static.
Die noch nicht aktiven NICS der FW Appliance em2 bis em4 habe ich als VLAN s eingerichtet.
Wie kann ich das Problem fixen?
Gruss aus Stuttgart
Uli
ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS
10.5.10.53
Mein Netz baut sich wie folgt auf |
VDSL via fritzbox ------------------------------------------------------ pfsense ----- unmanaged switch ------managed switch -------------------------server
| | | | | | | |
| | WAN LAN 2 192.168.10.0/24 10.5.10.199/16 10.5.10.50/16
| LAN 4 (Guest) em0 192.168.10.254 /24 em1 10.5.10.1/16
| 192.168.179.0/24
|
|
LAN 1
192.168.10.0/24
Von der firewall kann ich sowohl das WAN als auch das LAN interface sowie das internet erreichen. Was nicht funktioniert sind ein ping vom /24 Subnetz auf das WAN oder LAN interface als auch der ssh Zugriff auf die FW auc hnicht via http oder https.
Ich hatte bei der Erstinstallation "Blockieren privater Adressen" bei der Konfiguration des WAN interfaces aktiviert , was die Urschae sein könnte.
Mehrfaches Neuinstallieren der pfsense brachte nichts ich kann sie nach wie vor nicht pingen, nicht via SSH erreichen und nicht über das Web Interface administrieren. Sie /16 Adressen werden per dhcp vergeben (DHCP auf der pfsense) die WAN und LAN Adresse sind static.
Die noch nicht aktiven NICS der FW Appliance em2 bis em4 habe ich als VLAN s eingerichtet.
Wie kann ich das Problem fixen?
Gruss aus Stuttgart
Uli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 380931
Url: https://administrator.de/contentid/380931
Printed on: April 24, 2024 at 12:04 o'clock
26 Comments
Latest comment
Hallo Uli,
vielleicht solltest du dir dein Netzdesign auch nochmals genauer vornehmen, was soll denn dieses krude Konstrukt?
Warum nicht simpel
10.100.10.10/24
10.100.10.11/24
10.100.10.12/24
10.100.10.13/24 usw?
oder ich verstehe deine "Zeichnung" nicht - wird hier dann aber kaum einer...
Wenn das Problem gelöst ist, wird auch dein anderes Problem relativ zackig zu lösen sein.
Viele Grüße in die versmoggte (nicht unbedingt des Diesels wegen, dafür haben wir die Regierung
) Landeshauptstadt.
Christian
vielleicht solltest du dir dein Netzdesign auch nochmals genauer vornehmen, was soll denn dieses krude Konstrukt?
Warum nicht simpel
10.100.10.10/24
10.100.10.11/24
10.100.10.12/24
10.100.10.13/24 usw?
oder ich verstehe deine "Zeichnung" nicht - wird hier dann aber kaum einer...
Wenn das Problem gelöst ist, wird auch dein anderes Problem relativ zackig zu lösen sein.
Viele Grüße in die versmoggte (nicht unbedingt des Diesels wegen, dafür haben wir die Regierung
) Landeshauptstadt.Christian
Guten Abend,
wie bereits @certifiedit.net geschrieben hat, ist deine Erklärung über dein Aufbau sehr unübersichtlich.
Entweder das ganze einfacher Beschreiben oder eine kleinen Netzplan mit Visio oder draw.io machen und hier posten. Das wäre deutlich lesbarer.
Sind entsprechende Firewall Regeln überhaupt vorhanden?
SSH musst du übrigens auf der pfSense noch zusätzlich aktivieren.
Die Fritzbox macht das NAT? Dann hat die pfSense als WAN Adresse auch nur eine private IP? Dann muss diese Option deaktiviert werden.
Neuinstallationen helfen nicht gegen Konfigurationsfehler.
Viele Grüße,
Exception
wie bereits @certifiedit.net geschrieben hat, ist deine Erklärung über dein Aufbau sehr unübersichtlich.
Entweder das ganze einfacher Beschreiben oder eine kleinen Netzplan mit Visio oder draw.io machen und hier posten. Das wäre deutlich lesbarer.
Von der firewall kann ich sowohl das WAN als auch das LAN interface sowie das internet erreichen. Was nicht funktioniert sind ein ping vom /24 Subnetz auf das WAN oder LAN interface als auch der ssh Zugriff auf die FW auc hnicht via http oder https.
Sind entsprechende Firewall Regeln überhaupt vorhanden?
SSH musst du übrigens auf der pfSense noch zusätzlich aktivieren.
Ich hatte bei der Erstinstallation "Blockieren privater Adressen" bei der Konfiguration des WAN interfaces aktiviert , was die Urschae sein könnte.
Die Fritzbox macht das NAT? Dann hat die pfSense als WAN Adresse auch nur eine private IP? Dann muss diese Option deaktiviert werden.
Mehrfaches Neuinstallieren der pfsense brachte nichts ich kann sie nach wie vor nicht pingen, nicht via SSH erreichen und nicht über das Web Interface administrieren
Neuinstallationen helfen nicht gegen Konfigurationsfehler.
Viele Grüße,
Exception
Hallo,
Gruß,
Peter
Zitat von @ukl1967:
ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS
10.5.10.53
Mein Netz baut sich wie folgt auf |
Und das kann hier keiner wirklich nachvollziehen was deine ganzen senkrechten Striche alle zu uns sagen sollen. Schau dir deinen Beitrag bitte noch mal an dann nehm Visio oder ein Blatt Papier und ein Bleistift, male dein Netz auf und stell es als PDF oder JPG (Smartphone Bild) hier im Forum uns zur Verfügung, danke.ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS
10.5.10.53
Mein Netz baut sich wie folgt auf |
Gruß,
Peter
Hallo ihr Lieben,
mea culpa ich habe den Beitrag gestern abend ziemlich fertig auf die quick n dirty Art verfasst.
Also nochmals ganz in Ruhe:
Ich habe derzeit folgende Situation
Hinter meiner Fritzbox7490 hängt mein LAN 192.168.10.0/24 in dem sich mein Homeoffice befindet . An dieser Fritzbox hängt seit kurzem die pfsense auf LAN2 und LAN3 LA4 das Gästenetz will ich für WIFI nutzen (derzeit läuft das unter 10.8.0.1/16 via einem externen WIFI Router ).
Die Pfsense hat als WAN interface die statische IP 192.168.10.254/24 und als LAN 10.5.10.0/16 (Die Netzmasken wurden mir aus der Historie so vorgegeben könnte ich ggf einheitlich auf /24 ändern ist nur so in dem 10 -er Netz hängt ein Proxmox mit derzeit ca. 50 VM und ich weiss nicht wieviele das noch werden )
Auf jeden Fall sollen das /24 und das /16 strikt voneinander getrennt sein also das /16 soll auch von außen erreichbar sein (ssh evtl. https) das /24 nicht.
Nun zu dem Roting Problem: von der pfsense shell kann ich in beide netze und nach draußen pingen meine clients sind alle per ssh im /24 erreichbar, nur kome ich nicht von dem /24 netz per ssh oder ping auf die pfsense selbst dann nicht wenn ich dem client eine Adresse aus dem 10-er subnetz gebe. Anders gesagt vom client auf die FW geht nicht umgekehrt funktionierts.
Ich habe das Netz mal skizziert, ich hoffe so wirds verständlicher:
https://www.file-upload.net/download-13239228/meinnetz.dia.html
https://www.file-upload.net/download-13239230/meinnetz.pdf.html
https://www.file-upload.net/download-13239231/meinnetz.bmp.html
https://www.file-upload.net/download-13239232/meinnetz.svg.html
Schonmal vielen Dank im Voeruas für eure Hilfe
Uli
mea culpa ich habe den Beitrag gestern abend ziemlich fertig auf die quick n dirty Art verfasst.
Also nochmals ganz in Ruhe:
Ich habe derzeit folgende Situation
Hinter meiner Fritzbox7490 hängt mein LAN 192.168.10.0/24 in dem sich mein Homeoffice befindet . An dieser Fritzbox hängt seit kurzem die pfsense auf LAN2 und LAN3 LA4 das Gästenetz will ich für WIFI nutzen (derzeit läuft das unter 10.8.0.1/16 via einem externen WIFI Router ).
Die Pfsense hat als WAN interface die statische IP 192.168.10.254/24 und als LAN 10.5.10.0/16 (Die Netzmasken wurden mir aus der Historie so vorgegeben könnte ich ggf einheitlich auf /24 ändern ist nur so in dem 10 -er Netz hängt ein Proxmox mit derzeit ca. 50 VM und ich weiss nicht wieviele das noch werden )
Auf jeden Fall sollen das /24 und das /16 strikt voneinander getrennt sein also das /16 soll auch von außen erreichbar sein (ssh evtl. https) das /24 nicht.
Nun zu dem Roting Problem: von der pfsense shell kann ich in beide netze und nach draußen pingen meine clients sind alle per ssh im /24 erreichbar, nur kome ich nicht von dem /24 netz per ssh oder ping auf die pfsense selbst dann nicht wenn ich dem client eine Adresse aus dem 10-er subnetz gebe. Anders gesagt vom client auf die FW geht nicht umgekehrt funktionierts.
Ich habe das Netz mal skizziert, ich hoffe so wirds verständlicher:
https://www.file-upload.net/download-13239228/meinnetz.dia.html
https://www.file-upload.net/download-13239230/meinnetz.pdf.html
https://www.file-upload.net/download-13239231/meinnetz.bmp.html
https://www.file-upload.net/download-13239232/meinnetz.svg.html
Schonmal vielen Dank im Voeruas für eure Hilfe
Uli
Hi,
Alle VM's in ein /16 Subnetz bzw. in einer Broadcast Domäne zu stecken ist dennoch Unsinn. Erstell lieber mehrere kleinere Subnetze und Verbinde diese mit Routing.
Beide Subnetze in jeweils separate VLANs stecken und mit Firewall Regeln den Zugriff bestimmen.
Für die Dienste, die von extern aus erreichbar sein sollen, richtest du dann Port Forwarding auf der Fritzbox ein.
Wie bereits geschrieben klingt das nach fehlenden Freischaltungen. Schon geprüft?
Viele Grüße,
Exception
Die Pfsense hat als WAN interface die statische IP 192.168.10.254/24 und als LAN 10.5.10.0/16 (Die Netzmasken wurden mir aus der Historie so vorgegeben könnte ich ggf einheitlich auf /24 ändern ist nur so in dem 10 -er Netz hängt ein Proxmox mit derzeit ca. 50 VM und ich weiss nicht wieviele das noch werden )
Alle VM's in ein /16 Subnetz bzw. in einer Broadcast Domäne zu stecken ist dennoch Unsinn. Erstell lieber mehrere kleinere Subnetze und Verbinde diese mit Routing.
Auf jeden Fall sollen das /24 und das /16 strikt voneinander getrennt sein also das /16 soll auch von außen erreichbar sein (ssh evtl. https) das /24 nicht.
Beide Subnetze in jeweils separate VLANs stecken und mit Firewall Regeln den Zugriff bestimmen.
Für die Dienste, die von extern aus erreichbar sein sollen, richtest du dann Port Forwarding auf der Fritzbox ein.
Nun zu dem Roting Problem: von der pfsense shell kann ich in beide netze und nach draußen pingen meine clients sind alle per ssh im /24 erreichbar, nur kome ich nicht von dem /24 netz per ssh oder ping auf die pfsense selbst dann nicht wenn ich dem client eine Adresse aus dem 10-er subnetz gebe. Anders gesagt vom client auf die FW geht nicht umgekehrt funktionierts.
Wie bereits geschrieben klingt das nach fehlenden Freischaltungen. Schon geprüft?
Viele Grüße,
Exception
Mach mal eine zeichnung oder schreib das mal so um, daß man es auch lesen kann, ohne es in ein eTexteditor zu packen.
Von der firewall kann ich sowohl das WAN als auch das LAN interface sowie das internet erreichen.
Gut.
Was nicht funktioniert sind ein ping vom /24 Subnetz auf das WAN oder LAN interface als auch der ssh Zugriff auf die FW auc hnicht via http oder https.
Entweder NAT auf der pfsense in Richtung Fritzbox aktivieren oder Route auf Fritzbox korrekt setzen.
Ich hatte bei der Erstinstallation "Blockieren privater Adressen" bei der Konfiguration des WAN interfaces aktiviert , was die Urschae sein könnte.
Dann mach das doch wieder weg.
Mehrfaches Neuinstallieren der pfsense brachte nichts ich kann sie nach wie vor nicht pingen, nicht via SSH erreichen und nicht über das Web Interface administrieren. Sie /16 Adressen werden per dhcp vergeben (DHCP auf der pfsense) die WAN und LAN Adresse sind static.
Mehrfaches Installieren hilft nicht, wenn man den Fehler immer wieder macht.
Die noch nicht aktiven NICS der FW Appliance em2 bis em4 habe ich als VLAN s eingerichtet.
Das ist im prinzip egal, solange NAt opder Routing korrekt konfiguriert sind.
Wie kann ich das Problem fixen?
Indem Du erstmal die Config so darstelltst, daß man sie auf einen Blick erfassen kann udn nciht erst groß Deinen Post umeditierren muß.
Gruss aus Stuttgart
Gruß aus dem Nordbadischen.
lks
Zitat von @ukl1967:
Ich habe das Netz mal skizziert, ich hoffe so wirds verständlicher:
https://www.file-upload.net/download-13239228/meinnetz.dia.html
https://www.file-upload.net/download-13239230/meinnetz.pdf.html
https://www.file-upload.net/download-13239231/meinnetz.bmp.html
https://www.file-upload.net/download-13239232/meinnetz.svg.html
Ich habe das Netz mal skizziert, ich hoffe so wirds verständlicher:
https://www.file-upload.net/download-13239228/meinnetz.dia.html
https://www.file-upload.net/download-13239230/meinnetz.pdf.html
https://www.file-upload.net/download-13239231/meinnetz.bmp.html
https://www.file-upload.net/download-13239232/meinnetz.svg.html
Und warum stellst Du das nich thier hinein statt auf externe Links? Einfach auf "Fotoapparat" klicken udn Bild hochladen.
lks
Hallo,
Warum ist die PFSense an LAN und LAN3 angebunden?
Zwischen deiner Schreibweise "LAN3 LA4 das Gästenetz" sollen wir und das als "LAN3. LAN4 das Gästenetz." "Will ich für WIFI..." vorstellen oder wie soll sonst deine Satz Sinn ergeben?
Bedenke du willst etwas von uns, nicht wir von dir. Also gebe dir auch Mühe so wie du es von uns erwartest...
Gruß,
Peter
Warum ist die PFSense an LAN und LAN3 angebunden?
Zwischen deiner Schreibweise "LAN3 LA4 das Gästenetz" sollen wir und das als "LAN3. LAN4 das Gästenetz." "Will ich für WIFI..." vorstellen oder wie soll sonst deine Satz Sinn ergeben?
nutzen (derzeit läuft das unter 10.8.0.1/16 via einem externen WIFI Router ).
Anstelle eines Routers reicht ein einfacher MulisID Access Point oder etwas nicht?Die Pfsense hat als WAN interface die statische IP 192.168.10.254/24 und als LAN
Un d dein Port LAN3 deine Fritte ist was auf deiner PFSense?Auf jeden Fall sollen das /24 und das /16 strikt
VLANs ist dein Wunsch unbd dein FreundIch habe das Netz mal skizziert, ich hoffe so wirds verständlicher:
Und deine Bilder nicht hier hochgeladen. Im EditorFenster Links auf die Kamera klicken, ist das so schwer?Bedenke du willst etwas von uns, nicht wir von dir. Also gebe dir auch Mühe so wie du es von uns erwartest...
Gruß,
Peter
So bitte das Bild als png
Hallo,
Warum 2 mal das gleiche Bild?
Und du hast bedacht das deine Fritte ihr Gastnetz als extra Netz betrachtet und auch nicht vom LAN ins Gastnetz routen kann oder tut. Das Gastnetz dort ist ein strikt getrenntes Gastnetz.
Gruß,
Peter
Warum 2 mal das gleiche Bild?
Und du hast bedacht das deine Fritte ihr Gastnetz als extra Netz betrachtet und auch nicht vom LAN ins Gastnetz routen kann oder tut. Das Gastnetz dort ist ein strikt getrenntes Gastnetz.
Gruß,
Peter
Danke für die super Ideen , verrätst du mir auc noch wie ich ohne Zugriff auf das Webinterface
NAT auf der pfsense aktiviere bzw. die Option "Blockieren privater Adressen" deaktiviere.?
Die Routen auf der FB sehen so aus:
10.5.10.0 255.255.0.0 gw 192.168.10.254 (pfsense)
192.168.10.0 255.255.25.0 gw 192.168.10.1 (Fritz)
wenn ich dich richtig verstadnen habe also statt dessen
10.5.10.0 255.255.0 gw 192.168.10.1 ?
Gruss aus dem Stuttgarter Norden
Uli
NAT auf der pfsense aktiviere bzw. die Option "Blockieren privater Adressen" deaktiviere.?
Die Routen auf der FB sehen so aus:
10.5.10.0 255.255.0.0 gw 192.168.10.254 (pfsense)
192.168.10.0 255.255.25.0 gw 192.168.10.1 (Fritz)
wenn ich dich richtig verstadnen habe also statt dessen
10.5.10.0 255.255.0 gw 192.168.10.1 ?
Gruss aus dem Stuttgarter Norden
Uli
Hi,
Warum kannst du nicht mehr auf das Webinterface zugreifen? Die pfSense hat standardgemäß Anti-Lockout Regeln die ein Zugriff auf die Weboberfläche auf jeden Fall aus dem LAN Interface gewährleistet. Von wo versuchst du dich mit der pfSense zu verbinden? Hast du diese Option ausgeschaltet?
Falls ja kannst du über die CLI den Paketfilter kurz ausschalten: "pfctl -d".
Anschließend korrigierst du dein Regelwerk und tust den Filter wieder aktivieren.
Viele Grüße,
Exception
Danke für die super Ideen , verrätst du mir auc noch wie ich ohne Zugriff auf das Webinterface
NAT auf der pfsense aktiviere bzw. die Option "Blockieren privater Adressen" deaktiviere.?
NAT auf der pfsense aktiviere bzw. die Option "Blockieren privater Adressen" deaktiviere.?
Warum kannst du nicht mehr auf das Webinterface zugreifen? Die pfSense hat standardgemäß Anti-Lockout Regeln die ein Zugriff auf die Weboberfläche auf jeden Fall aus dem LAN Interface gewährleistet. Von wo versuchst du dich mit der pfSense zu verbinden? Hast du diese Option ausgeschaltet?
Falls ja kannst du über die CLI den Paketfilter kurz ausschalten: "pfctl -d".
Anschließend korrigierst du dein Regelwerk und tust den Filter wieder aktivieren.
Viele Grüße,
Exception
Hallo Exception,
Ja das Nat macht die FRITZBOX und die die pfsense hat eine private WAN IP aus dem Netz der FRITZBOX 192.168.10.254/24
Firewall Regeln gibts noch gar keine Neuinstalation wurde in einen anderen Forum empfohlen, weil ich nicht mehr auf das Webinterface komme.
Also wenn Konfiurtionsfehler dann ggf. daß ich die Option "Private Adressen blockieren" bei der Konfiguration des WAN devices aktiviert habe. SSH ist aktiviert wie ich NAT auf dr pfsense Konsole aktiviere weiss ich nicht müsste ich nach suchen.
Gruss aus Stuttgart
Uli
Ja das Nat macht die FRITZBOX und die die pfsense hat eine private WAN IP aus dem Netz der FRITZBOX 192.168.10.254/24
Firewall Regeln gibts noch gar keine Neuinstalation wurde in einen anderen Forum empfohlen, weil ich nicht mehr auf das Webinterface komme.
Also wenn Konfiurtionsfehler dann ggf. daß ich die Option "Private Adressen blockieren" bei der Konfiguration des WAN devices aktiviert habe. SSH ist aktiviert wie ich NAT auf dr pfsense Konsole aktiviere weiss ich nicht müsste ich nach suchen.
Gruss aus Stuttgart
Uli
Hallo Christian,
ich wohne oberhalb also am Rande des "Drecklochs" und den hier gesammelten Feistaub scheknt der Backshop - Namen darf ic nicht nennen - am Bahnhof als Kaffee aus.
(Schlimmer kann der auch nicht schmecken.)
Ja warum nicht so einfach mein Auftraggeber wollte es so - don t ask me why!
aber es wäre sinnvoll da stimme ich dir zu - ich leg es ihm mal vor vlt. akzeptiert wer deine Meinung.
Grüssle
Uli
ich wohne oberhalb also am Rande des "Drecklochs" und den hier gesammelten Feistaub scheknt der Backshop - Namen darf ic nicht nennen - am Bahnhof als Kaffee aus.
(Schlimmer kann der auch nicht schmecken.)
Ja warum nicht so einfach mein Auftraggeber wollte es so - don t ask me why!
aber es wäre sinnvoll da stimme ich dir zu - ich leg es ihm mal vor vlt. akzeptiert wer deine Meinung.
Grüssle
Uli
Hallo Exception ,
"Alle VM's in ein /16 Subnetz bzw. in einer Broadcast Domäne zu stecken ist dennoch Unsinn. Erstell lieber mehrere kleinere Subnetze und Verbinde diese mit Routing. Stimme ich zu war nicht meine idee.
"
Beide Subnetze in jeweils separate VLANs stecken und mit Firewall Regeln den Zugriff bestimmen.
Für die Dienste, die von extern aus erreichbar sein sollen, richtest du dann Port Forwarding auf der Fritzbox ein. "
Ok wie kann ich das auf der Konsole der pfsense tun ich kommr nicht mehr an das Webinterface der pfsense das ist mein Problem kein Zugrif auf die FW weder per ssh noch via http.
Nein noch nichtweil bei der allersten Installation funktionierte das einwandfrei, deshalb auch die Neuinstallationsversuche.
Gruss aus Stuttgart
Uli
"Alle VM's in ein /16 Subnetz bzw. in einer Broadcast Domäne zu stecken ist dennoch Unsinn. Erstell lieber mehrere kleinere Subnetze und Verbinde diese mit Routing. Stimme ich zu war nicht meine idee.
"
Beide Subnetze in jeweils separate VLANs stecken und mit Firewall Regeln den Zugriff bestimmen.
Für die Dienste, die von extern aus erreichbar sein sollen, richtest du dann Port Forwarding auf der Fritzbox ein. "
Ok wie kann ich das auf der Konsole der pfsense tun ich kommr nicht mehr an das Webinterface der pfsense das ist mein Problem kein Zugrif auf die FW weder per ssh noch via http.
Nein noch nichtweil bei der allersten Installation funktionierte das einwandfrei, deshalb auch die Neuinstallationsversuche.
Gruss aus Stuttgart
Uli
Hallo,
dann kein Wunder dass nichts funktioniert. Nach einer Installation gibt es außer der Anti Lockout Regeln keine weiteren Regeln. Hast du das LAN Interface über die CLI konfiguriert? Dann könntest du über einen der Clients im LAN auf die pfSense zugreifen.
Alternativ du deaktivierst die Firewall über die CLI mit dem oben genannten Befehl und du kannst anschließend auch über die WAN IP zugreifen.
Viele Grüße,
Exception
Firewall Regeln gibts noch gar keine Neuinstalation wurde in einen anderen Forum empfohlen, weil ich nicht mehr auf das Webinterface komme.
dann kein Wunder dass nichts funktioniert. Nach einer Installation gibt es außer der Anti Lockout Regeln keine weiteren Regeln. Hast du das LAN Interface über die CLI konfiguriert? Dann könntest du über einen der Clients im LAN auf die pfSense zugreifen.
Alternativ du deaktivierst die Firewall über die CLI mit dem oben genannten Befehl und du kannst anschließend auch über die WAN IP zugreifen.
Viele Grüße,
Exception
Hallo Exception,
ja ich habe WAN und LAN inteface über die CLI konfiguriert. Werde mal ein netbook als clientdirekt mit der pfsense connecten und sehen ob ich darauf zugreifen kann.
"Alternativ du deaktivierst die Firewall über die CLI mit dem oben genannten Befehl und du kannst anschließend auch über die WAN IP zugreifen."
Welchen Befehl meinst Du bitte diesen pfctl -d?
Werde morgen mal alles probieren und die Verjkabelung auch nochmals durchsehen, um alle Fehlermöglichlichkeiten auszuschalten.
Danke schonmal
Uli
ja ich habe WAN und LAN inteface über die CLI konfiguriert. Werde mal ein netbook als clientdirekt mit der pfsense connecten und sehen ob ich darauf zugreifen kann.
"Alternativ du deaktivierst die Firewall über die CLI mit dem oben genannten Befehl und du kannst anschließend auch über die WAN IP zugreifen."
Welchen Befehl meinst Du bitte diesen pfctl -d?
Werde morgen mal alles probieren und die Verjkabelung auch nochmals durchsehen, um alle Fehlermöglichlichkeiten auszuschalten.
Danke schonmal
Uli
Hallo,
Ja.
http://man.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man8/pfctl.8?que ...
Sollte dir aber über deinen weg gelaufen sein beim Einrichten deiner LAN und WAN Schnittstelle per CLI...
Gruß,
Peter
Ja.
http://man.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man8/pfctl.8?que ...
Sollte dir aber über deinen weg gelaufen sein beim Einrichten deiner LAN und WAN Schnittstelle per CLI...
Gruß,
Peter
Hi,
eine Reparatur wird länger dauern als eine vernünftige Neuinstallation.
Also mach eine Neuinstallation.
Du benötigst zwei Admin PCs zur Ersteinrichtung; einen auf der WAN Seite, einen auf de LAN Seite.
Installation und Zugriff von Admin PC aus
1. Installation:
WAN = em0 = 192.168.10.254/24; GW = 192.168.10.1 ; DNS = 192.168.10.1.
LAN = em1 = 10.5.10.1/16
2. [System-Advanced-Admin Access] enable (check) Secure Shell Server (falls benötigt).
3. Prüfe mit Admin PC LAN Seite Zugriff auf
a) pfSense (ICMP, HTTP(S) ud SSH).
b) WAN, Fritzbox und Admin PC auf der LAN Seite.
Wenn OK:
4. Backup
5. [Interfaces-WAN] uncheck <Block private networks and loopback addresses>
6. erstelle Regeln auf dem WAN interface: Allow ICMP, HTTP(S) und SSH von Admin PC WAN auf IP WAN.
7. Prüfe mit Admin PC WAN Seite Zugriff auf pfSense IP WAN (ICMP, HTTP(S) ud SSH), wenn OK
8. Backup (ganz wichtig !!!!!)
Zugriff von 192.168.10.x (WAN) auf Server in 10.5.10.0/16 (LAN) Netzwerk
A) Routing ohne NAT Variante
1. [Firewall-NAT-Outbound]: <Disable Outbound NAT rule generation>.
2. Erstelle notwendige Regeln auf der WAN und LAN Seite der pfSense
3. Backup
4. alle Geräte die von 192.168.10.x (WAN) auf die Server in 10.5.10.0/16 (LAN) zugreifen sollen müsse die entsprechende Route in Ihren Netzwerkeinstellungen haben, die Route auf der FB ist nicht ausreichend !
B) 1:1 NAT Variante
benütze die Suchmaschine deiner Wahl, falls es das Richtige ist kann ich dir da auch weiterhelfen wen es die Zeit erlaubt.
BTW: ich finde euer Netzwerkaufbau, -konstrukt sehr irritierend.
50 VMs, eine Fritzbox als Perimeter Gateway (und ein Admin der nicht 100% fit in Routing etc. ist).
CH
eine Reparatur wird länger dauern als eine vernünftige Neuinstallation.
Also mach eine Neuinstallation.
Du benötigst zwei Admin PCs zur Ersteinrichtung; einen auf der WAN Seite, einen auf de LAN Seite.
Installation und Zugriff von Admin PC aus
1. Installation:
WAN = em0 = 192.168.10.254/24; GW = 192.168.10.1 ; DNS = 192.168.10.1.
LAN = em1 = 10.5.10.1/16
2. [System-Advanced-Admin Access] enable (check) Secure Shell Server (falls benötigt).
3. Prüfe mit Admin PC LAN Seite Zugriff auf
a) pfSense (ICMP, HTTP(S) ud SSH).
b) WAN, Fritzbox und Admin PC auf der LAN Seite.
Wenn OK:
4. Backup
5. [Interfaces-WAN] uncheck <Block private networks and loopback addresses>
6. erstelle Regeln auf dem WAN interface: Allow ICMP, HTTP(S) und SSH von Admin PC WAN auf IP WAN.
7. Prüfe mit Admin PC WAN Seite Zugriff auf pfSense IP WAN (ICMP, HTTP(S) ud SSH), wenn OK
8. Backup (ganz wichtig !!!!!)
Zugriff von 192.168.10.x (WAN) auf Server in 10.5.10.0/16 (LAN) Netzwerk
A) Routing ohne NAT Variante
1. [Firewall-NAT-Outbound]: <Disable Outbound NAT rule generation>.
2. Erstelle notwendige Regeln auf der WAN und LAN Seite der pfSense
3. Backup
4. alle Geräte die von 192.168.10.x (WAN) auf die Server in 10.5.10.0/16 (LAN) zugreifen sollen müsse die entsprechende Route in Ihren Netzwerkeinstellungen haben, die Route auf der FB ist nicht ausreichend !
B) 1:1 NAT Variante
benütze die Suchmaschine deiner Wahl, falls es das Richtige ist kann ich dir da auch weiterhelfen wen es die Zeit erlaubt.
BTW: ich finde euer Netzwerkaufbau, -konstrukt sehr irritierend.
50 VMs, eine Fritzbox als Perimeter Gateway (und ein Admin der nicht 100% fit in Routing etc. ist).
CH
Hi,
Warum "reparieren" bzw. "neuinstallation"? Er hat doch sein pfSense System bereits mehrmals neuinstalliert und funktioniert auch.
Er greift lediglich falsch darauf zu. Denn Standardgemäß ist der Zugriff nach einer Installation nur vom LAN Interface aus möglich
Warum zwei PCs? Für das WAN Interface gibts keine FW Regeln - somit auch kein Zugriff. Könnte man aber auch anders machen:
Dann darf er nach der Installation nur das WAN Interface konfigurieren. Das LAN und die anderen Interfaces müssen unkonfiguriert bzw. deaktiviert bleiben. Somit würde die Anti Lockout Regel für das WAN Interface gelten und der Zugriff würde über die WAN IP funktionieren.
Viele Grüße,
Exception
eine Reparatur wird länger dauern als eine vernünftige Neuinstallation. Also mach eine Neuinstallation.
Warum "reparieren" bzw. "neuinstallation"? Er hat doch sein pfSense System bereits mehrmals neuinstalliert und funktioniert auch.
Er greift lediglich falsch darauf zu. Denn Standardgemäß ist der Zugriff nach einer Installation nur vom LAN Interface aus möglich
Du benötigst zwei Admin PCs zur Ersteinrichtung; einen auf der WAN Seite, einen auf de LAN Seite.
Warum zwei PCs? Für das WAN Interface gibts keine FW Regeln - somit auch kein Zugriff. Könnte man aber auch anders machen:
Dann darf er nach der Installation nur das WAN Interface konfigurieren. Das LAN und die anderen Interfaces müssen unkonfiguriert bzw. deaktiviert bleiben. Somit würde die Anti Lockout Regel für das WAN Interface gelten und der Zugriff würde über die WAN IP funktionieren.
Viele Grüße,
Exception
Hallo Exception,
sodele ich kann egal wie icjh die route in der fritte setze nicht vom client auf das LAN intrface zugreifen genausowenig wie auf das WAN interface pfctl -d hab ich gemacht .
Jetzt eine vlt. saublöde Frage: Kann das ein Verkabelungsproblem sein ? (bevor ich das ganz Rack hier neu verkabel )
Ich abe auch auf der CLI den Wekszustand wiederhergestellt gewahlt keine Änderrung alles wie es war.
Was da subentting angeht gute Nachricht da dargf ic nun wie ich will könnte also das netz 10.5.10.0 in eine /26 /25 oder /24 Netzmaske packen . Was würdest Du empfehlen? Mehr als 128 Vhosts werden es nach Aussage nie werden .
Gruss aus Stuttgart
Uli
sodele ich kann egal wie icjh die route in der fritte setze nicht vom client auf das LAN intrface zugreifen genausowenig wie auf das WAN interface pfctl -d hab ich gemacht .
Jetzt eine vlt. saublöde Frage: Kann das ein Verkabelungsproblem sein ? (bevor ich das ganz Rack hier neu verkabel )
Ich abe auch auf der CLI den Wekszustand wiederhergestellt gewahlt keine Änderrung alles wie es war.
Was da subentting angeht gute Nachricht da dargf ic nun wie ich will könnte also das netz 10.5.10.0 in eine /26 /25 oder /24 Netzmaske packen . Was würdest Du empfehlen? Mehr als 128 Vhosts werden es nach Aussage nie werden .
Gruss aus Stuttgart
Uli
Hi,
In welchem Netz steht den dein Client? In dem 192.168.10.0/24? Das Netz steht vor der pfSense. Und wie bereits mehrfach geschrieben, beim WAN Interface gibt es per default keine Regeln! Somit kein Zugriff von diesem Netz! Entweder du greifst von einem Client aus dem Netz 10.5.10.0/16 zu, da es sich hierbei um das interne LAN Netz von der pfSense handelt, wo der Zugriff durch die Anti Lockout Regeln geschützt ist oder du musst über die CLI den Paketfilter mit dem Befehl "pfctl -d" deaktivieren. Dann funktioniert der Zugriff von jedem Netz bzw. von jedem Interface aus, da mit diesem Befehl die Firewall Funktionalität deaktiviert wird. Falls dann der Zugriff immer noch nicht funktioniert, dann hast du entweder das Interface falsch konfiguriert und/oder falsch verkabelt. Wobei das ja nicht sein kann, da du bei deinem initialen Post geschrieben hast, dass die pfSense Zugriff auf alle Netze hat.
Logisch. Ändert auch nichts an der oben genanten Tatsache!
Grundsätzlich würde ich nie größere Subnetze als /24 machen. Was machen denn die Server? Haben alle unterschiedliche Aufgaben? Alle einem Bereich zuzuordnen? Ansonsten würde ich prüfen, welche Server für interne Zwecke sind und welche die öffentlich erreichbar sein müssen z.B. E-Mail Server, Webserver und die jeweils trennen in Intern und DMZ VLAN.
Am besten du beschäftigst dich mal mit Netzwerk Grundlagen....
Viele Grüße,
Exception
sodele ich kann egal wie icjh die route in der fritte setze nicht vom client auf das LAN intrface zugreifen genausowenig wie auf das WAN interface pfctl -d hab ich gemacht .
In welchem Netz steht den dein Client? In dem 192.168.10.0/24? Das Netz steht vor der pfSense. Und wie bereits mehrfach geschrieben, beim WAN Interface gibt es per default keine Regeln! Somit kein Zugriff von diesem Netz! Entweder du greifst von einem Client aus dem Netz 10.5.10.0/16 zu, da es sich hierbei um das interne LAN Netz von der pfSense handelt, wo der Zugriff durch die Anti Lockout Regeln geschützt ist oder du musst über die CLI den Paketfilter mit dem Befehl "pfctl -d" deaktivieren. Dann funktioniert der Zugriff von jedem Netz bzw. von jedem Interface aus, da mit diesem Befehl die Firewall Funktionalität deaktiviert wird. Falls dann der Zugriff immer noch nicht funktioniert, dann hast du entweder das Interface falsch konfiguriert und/oder falsch verkabelt. Wobei das ja nicht sein kann, da du bei deinem initialen Post geschrieben hast, dass die pfSense Zugriff auf alle Netze hat.
Ich abe auch auf der CLI den Wekszustand wiederhergestellt gewahlt keine Änderrung alles wie es war.
Logisch. Ändert auch nichts an der oben genanten Tatsache!
Was da subentting angeht gute Nachricht da dargf ic nun wie ich will könnte also das netz 10.5.10.0 in eine /26 /25 oder /24 Netzmaske packen . Was würdest Du empfehlen? Mehr als 128 Vhosts werden es nach Aussage nie werden .
Grundsätzlich würde ich nie größere Subnetze als /24 machen. Was machen denn die Server? Haben alle unterschiedliche Aufgaben? Alle einem Bereich zuzuordnen? Ansonsten würde ich prüfen, welche Server für interne Zwecke sind und welche die öffentlich erreichbar sein müssen z.B. E-Mail Server, Webserver und die jeweils trennen in Intern und DMZ VLAN.
Am besten du beschäftigst dich mal mit Netzwerk Grundlagen....
Viele Grüße,
Exception
Hallo Exception,
danke für deine Antwort; ich habe mich da offensichtlich etwas missverständlich ausgedrückt.
Also natürlich ist der client mit dem ich die Firrewall pingen will im 10.5.10.0/24 Netz also hinter der der pfsense -sonst wäre es ja wenig sinnvoll da bin ich ganz deiner Meinung.
dem client hab ich die IP 10.5.10.20 gegeben und die LAN Schnittstelle der pfsense hat die
10.5.10.1 beides /24
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.5.10.20 netmask 255.255.255.0 broadcast 10.5.10.255
und siehe ein ping von 10.5.10.20 auf die LAN Schnittstelle der FW 10.5.10.1 bringt
PING 10.5.10.1 (10.5.10.1) 56(84) bytes of data.
From 10.5.10.20 icmp_seq=1 Destination Host Unreachable
From 10.5.10.20 icmp_seq=2 Destination Host Unreachable
From 10.5.10.20 icmp_seq=3 Destination Host Unreachable
Also Routen gecheckt auf dem Client
route add -net 10.5.10.0/24 gw 10.5.10.1 dev eth0
aber ich kann jetzt weder von der fw 10.5.10.1/24 auf den client 10.5.10.20/24 pingen noch umgekehrt.
von der FW raus ins web geht auch auf die 192.168.10.72 der WAN .
pfctl -d habe ich ausgeführt.
Also habe ich ein Verkabelungsproblem vermutet, was aber nicht sein kann, weil alles andere ja funktioniert.
Merkwürdig nur bei der alleresrten Installation konnte ich die WAN Schnittstelle aus dem 192.168.10.0/24 Netz pingen und via http darauf zugreifen was ja auch immer noch nicht funktioniert.
Was die Netzmasken angeht, meine Idee war die /16 nicht , doch nach meine Ideen gehts hier leider nicht .
Meine Idee wäre gewesen 192.168.10.0/24 vor der pfsense 192.168.11.0/24 dahinter evtl. sogar 192.168.11.0/26 oder 192.168.11.0/28 und noch ein 192.168.12.0/28 für die V-Server die von außen erreichbar sein sollen . (Das werden nicht viele sein die Web und Mailserver stehen in einem externen RZ. )
Von daher die Frage wegen > /24
Da die HW auf der die ofsense läuft genügend ressourcen hat habe ich vor daraf auch noch ein SNORT zu installieren und die in dem Fall 10-er netze (derzeit nur 10.5.10.0) in ID-getaggte VLANS zu untergliedern .
(Evtl. setze ich ja auch meine Idee mit den 192.168.11 --x /24 durch)
Ich denke das ist soweit zulässig oder? Dennoch erlaube ich mir zu fragen ich habe den Kram hier nicht verkabelt nicht geplant und könnte was übersehen haben . Ferner möchte ich gern schlauer werden und nicht alle Fehler, die schon 1000 vor mir gemacht haben, nochmals machen .
Gruss aus Stuttgart
Uli
danke für deine Antwort; ich habe mich da offensichtlich etwas missverständlich ausgedrückt.
Also natürlich ist der client mit dem ich die Firrewall pingen will im 10.5.10.0/24 Netz also hinter der der pfsense -sonst wäre es ja wenig sinnvoll da bin ich ganz deiner Meinung.
dem client hab ich die IP 10.5.10.20 gegeben und die LAN Schnittstelle der pfsense hat die
10.5.10.1 beides /24
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.5.10.20 netmask 255.255.255.0 broadcast 10.5.10.255
und siehe ein ping von 10.5.10.20 auf die LAN Schnittstelle der FW 10.5.10.1 bringt
PING 10.5.10.1 (10.5.10.1) 56(84) bytes of data.
From 10.5.10.20 icmp_seq=1 Destination Host Unreachable
From 10.5.10.20 icmp_seq=2 Destination Host Unreachable
From 10.5.10.20 icmp_seq=3 Destination Host Unreachable
Also Routen gecheckt auf dem Client
route add -net 10.5.10.0/24 gw 10.5.10.1 dev eth0
aber ich kann jetzt weder von der fw 10.5.10.1/24 auf den client 10.5.10.20/24 pingen noch umgekehrt.
von der FW raus ins web geht auch auf die 192.168.10.72 der WAN .
pfctl -d habe ich ausgeführt.
Also habe ich ein Verkabelungsproblem vermutet, was aber nicht sein kann, weil alles andere ja funktioniert.
Merkwürdig nur bei der alleresrten Installation konnte ich die WAN Schnittstelle aus dem 192.168.10.0/24 Netz pingen und via http darauf zugreifen was ja auch immer noch nicht funktioniert.
Was die Netzmasken angeht, meine Idee war die /16 nicht , doch nach meine Ideen gehts hier leider nicht .
Meine Idee wäre gewesen 192.168.10.0/24 vor der pfsense 192.168.11.0/24 dahinter evtl. sogar 192.168.11.0/26 oder 192.168.11.0/28 und noch ein 192.168.12.0/28 für die V-Server die von außen erreichbar sein sollen . (Das werden nicht viele sein die Web und Mailserver stehen in einem externen RZ. )
Von daher die Frage wegen > /24
Da die HW auf der die ofsense läuft genügend ressourcen hat habe ich vor daraf auch noch ein SNORT zu installieren und die in dem Fall 10-er netze (derzeit nur 10.5.10.0) in ID-getaggte VLANS zu untergliedern .
(Evtl. setze ich ja auch meine Idee mit den 192.168.11 --x /24 durch)
Ich denke das ist soweit zulässig oder? Dennoch erlaube ich mir zu fragen ich habe den Kram hier nicht verkabelt nicht geplant und könnte was übersehen haben . Ferner möchte ich gern schlauer werden und nicht alle Fehler, die schon 1000 vor mir gemacht haben, nochmals machen .
Gruss aus Stuttgart
Uli
Guten Abend,
Diese Route ist Schwachsinn. Überleg mal bitte nochmal genau nach...
Entfern diese Route und poste mal die Ausgabe von "ip route" von dem Client.
Heißt du hast auch das Interface bei der pfSense auf /24 umgestellt?
Poste mal die Konfiguration des LAN Interface auf der pfSense.
Laut dem Netzplan müsste dein Client an dem Lancom Switch hängen.
Oder hast du testweise den Client direkt an den LAN Port der FW gehängt?
Ansonsten: Port Interface vom Switch ist up? Selbes VLAN?
Wie bereits geschrieben: Server nach Rolle bzw. DMZ und intern trennen und die Netze mit VLANs isolieren.
Das wäre ein normaler und sicherer Aufbau. -> Also ja.
Viele Grüße,
Exception
route add -net 10.5.10.0/24 gw 10.5.10.1 dev eth0
Diese Route ist Schwachsinn. Überleg mal bitte nochmal genau nach...
Entfern diese Route und poste mal die Ausgabe von "ip route" von dem Client.
10.5.10.1 beides /24
Heißt du hast auch das Interface bei der pfSense auf /24 umgestellt?
Poste mal die Konfiguration des LAN Interface auf der pfSense.
Also habe ich ein Verkabelungsproblem vermutet, was aber nicht sein kann, weil alles andere ja funktioniert.
Laut dem Netzplan müsste dein Client an dem Lancom Switch hängen.
Oder hast du testweise den Client direkt an den LAN Port der FW gehängt?
Ansonsten: Port Interface vom Switch ist up? Selbes VLAN?
Ich denke das ist soweit zulässig oder?
Wie bereits geschrieben: Server nach Rolle bzw. DMZ und intern trennen und die Netze mit VLANs isolieren.
Das wäre ein normaler und sicherer Aufbau. -> Also ja.
Viele Grüße,
Exception
Hallo Exception ,
nochmals vielen Dank für deine Hilfe - Problem gelöst es war ein Verkabelungsproblem im Rack.
Ich habe einfach mal den Lancom abgeklemmt und mein netbook direkt an die pfsense angeschlossen und siehe da:
Das LAN -kabel der pfsense war falsch angeschlossen an einem sog opt NIC , der gar nicht entsprechend konfiguriert war - heisst der bekam zwar eine IP aus dem LAN das wars aber auch .
Die Routen habe ich sämtlich gelöscht und das Netz so konfiguriert wie ich es von Beginn an wollte
192.168.11.0/24 LAN 192.168.10.254/24 WAN
das LAN will ich nun sinnvoll mittels TAG basiertem VLAN in 4 VLANS aufteilen. (auch /24)
Brauche ich weitere Subnetzte werden die auch alle nach Schema 192.168.xx.xx/24 sein .
Die VMs auf der PROXMOX Kiste sollen ihre IPs aus dem LAN per DHCP von der pfsense bekommen. Von den ca 50 VM sollen nur ca 3 bis 5 via dyndns über die Fritz von aussen erreichbar sein und i.d.r. nur via ssh .
Die Apachen und den Mailserver haben sie in eine externes RZ gepackt.
Nochmals ganz viel Dankeschön , Du hast meinen Auftraggeber überzeugt.
Uli
nochmals vielen Dank für deine Hilfe - Problem gelöst es war ein Verkabelungsproblem im Rack.
Ich habe einfach mal den Lancom abgeklemmt und mein netbook direkt an die pfsense angeschlossen und siehe da:
Das LAN -kabel der pfsense war falsch angeschlossen an einem sog opt NIC , der gar nicht entsprechend konfiguriert war - heisst der bekam zwar eine IP aus dem LAN das wars aber auch .
Die Routen habe ich sämtlich gelöscht und das Netz so konfiguriert wie ich es von Beginn an wollte
192.168.11.0/24 LAN 192.168.10.254/24 WAN
das LAN will ich nun sinnvoll mittels TAG basiertem VLAN in 4 VLANS aufteilen. (auch /24)
Brauche ich weitere Subnetzte werden die auch alle nach Schema 192.168.xx.xx/24 sein .
Die VMs auf der PROXMOX Kiste sollen ihre IPs aus dem LAN per DHCP von der pfsense bekommen. Von den ca 50 VM sollen nur ca 3 bis 5 via dyndns über die Fritz von aussen erreichbar sein und i.d.r. nur via ssh .
Die Apachen und den Mailserver haben sie in eine externes RZ gepackt.
Nochmals ganz viel Dankeschön , Du hast meinen Auftraggeber überzeugt.
Uli
