justas
Goto Top

Routing Problem seit dem pfSense upgrade von 2.0.3 auf 2.1

Hallo,

ich habe pfSense hinter einem Modem bzw. NAT-Router (FritzBox). Vor dem Upgrade auf 2.1 konnte ich problemlos auf das Interface der FB zugreifen.
Jetzt nicht mehr. Habe etwas recherchiert und die Beschreibung https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall entdeckt.

Unten gibt es einen Kapitel für pfSense 2.0, es stimmt aber nicht, was dort steht. Mit 2.0 gab es das Problem nicht. Und mit 2.1 kann ich kein weiteres Interface auf dem Port erstellen, auf dem das WAN-Interface registriert ist, es kommt zu Fehlermeldung:

The following input errors were detected:
Port vr1 was assigned to 2 interfaces: WAN OPT2

Any ideas?

Gruß
justas

Content-ID: 227440

Url: https://administrator.de/forum/routing-problem-seit-dem-pfsense-upgrade-von-2-0-3-auf-2-1-227440.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

orcape
orcape 23.01.2014 um 07:57:38 Uhr
Goto Top
Hi,
schon mal daran gedacht das er vieleicht mit Interfaces und MAC Probleme macht.
Die pfSense mal rebootet ?
Auf welcher Hardware läuft das Teil.
Gruß orcape
justas
justas 23.01.2014 um 14:38:36 Uhr
Goto Top
Zitat von @orcape:

schon mal daran gedacht das er vieleicht mit Interfaces und MAC Probleme macht.
Die pfSense mal rebootet ?
Auf welcher Hardware läuft das Teil.

Bereits mehrfach rebooted und mehrere Sachen ausprobiert. Nützt nix.
Es läuft auf einem Alix-Board

Gruß
justas
orcape
orcape 23.01.2014 um 14:56:28 Uhr
Goto Top
Schau mal auf "Interfaces: Assign network ports" wie die Zuordung auf "v1" aussieht.
Nach dieser Meldung.....
The following input errors were detected:
Port vr1 was assigned to 2 interfaces: WAN OPT2
müsstest Du vr1 WAN und OPT2 zugeordnet haben.
Gruß orcape
justas
justas 23.01.2014 um 16:13:00 Uhr
Goto Top
Zitat von @orcape:

Schau mal auf "Interfaces: Assign network ports" wie die Zuordung auf "v1" aussieht.
Nach dieser Meldung.....
> The following input errors were detected:
> Port vr1 was assigned to 2 interfaces: WAN OPT2
müsstest Du vr1 WAN und OPT2 zugeordnet haben.

Stimmt. Der Fehler passiert, wenn ich der o.g. Anleitung folge und auf dem vr1 ein weiteres Interface anlege.
Deswegen meine ich, dass die Lösung in der Anleitung nicht korrekt ist, da ich kein zweites Interface auf dem vr1 anlegen kann.

Somit sind wir wieder am Anfang und ich weiß nicht, wie ich an das FB-Interface kommen kann.

Gruß
justas
orcape
orcape 23.01.2014 um 16:29:48 Uhr
Goto Top
Was hast Du denn unter "Interfaces: Assign network ports" überhaupt für Zuordungsmöglichkeiten für vr1 ?
vr1 ist normalerweise dem WAN zugeordnet, (bei mir z.B. pppoE).
Bei Dir, wenn ein Router (FB) davor ist, eine LAN-IP.
Dann, je nach Einstellung in der FB muss im WAN-Interface der pfSense entweder DHCP oder statische IP´s
angegeben werden und dann in "Interfaces: Assign network ports" entsprechend zugeordnet.
Gruß orcape
justas
justas 23.01.2014 um 17:24:09 Uhr
Goto Top
Zitat von @orcape:

Was hast Du denn unter "Interfaces: Assign network ports" überhaupt für Zuordungsmöglichkeiten für
vr1 ?
vr1 ist normalerweise dem WAN zugeordnet, (bei mir z.B. pppoE).
Bei Dir, wenn ein Router (FB) davor ist, eine LAN-IP.
Dann, je nach Einstellung in der FB muss im WAN-Interface der pfSense entweder DHCP oder statische IP´s
angegeben werden und dann in "Interfaces: Assign network ports" entsprechend zugeordnet.
Gruß orcape

vr1 ist auf WAN konfiguriert und bekommt von der FB die IP per DHCP. Mit WAN ist aber das Netz hinter der FB gemeint (Internet).
Aber auf das Subnetz zwischen den WAN-Port (vr1) und der FB gibt es keinen Zugriff.

Das ist auch in der Anleitung richtig beschrieben: "Some DSL or cable modems have web interfaces on private IP addresses. Since these sit outside your firewall and don't have a public IP, accessing them isn't as straight forward as it might seem"

Nur der Weg, um das Problem zu lösen schein falsch zu sein. Der Schritt "Instead, under Interfaces > (assign), create a new OPT interface, and assign it to the physical network card that is on WAN." führt zu dem oben beschriebenen Fehler, da der Port vr1 sich nur einem Interface (in dem Fall WAN) zuweisen läßt.

Gruß
justas
orcape
orcape 23.01.2014 um 19:00:59 Uhr
Goto Top
vr1 ist auf WAN konfiguriert und bekommt von der FB die IP per DHCP.
Ok...
Mit WAN ist aber das Netz hinter der FB gemeint (Internet).
..WAN der pfSense = LAN der FB und die Eiwahldaten sind auf der FB.
Wenn Du darauf so keinen Zugriff hast, solltest die Rules auf der pfSense checken und das ganze mitloggen.
Hier blockt wohl die FW. Kannst Du das Netz wenigstens pingen ?
Gruß orcape
justas
justas 23.01.2014 um 21:47:55 Uhr
Goto Top
Wenn Du darauf so keinen Zugriff hast, solltest die Rules auf der pfSense checken und das ganze mitloggen.

Ich kann keine Rule für ein Subnetz machen, welches gar nicht offiziell existiert, das Netz ist ausserhalb der Firewall, aber nicht WAN.
Genau das ist ja in der Anleitung erkannt: "Since these sit outside your firewall and don't have a public IP, accessing them isn't as straight forward as it might seem"

Hier blockt wohl die FW. Kannst Du das Netz wenigstens pingen ?

Die Firewall block das nicht, sondern routet alle Pakete, die im WAN-Port ankommen direkt an die FB. Und im Internet ist meine lokale Adresse der FB (192.168.x.y) nicht bekannt.

Deswegen wird in der Anleitung vorgeschlagen, ein weiteres Interface auf dem Port zu erstellen und für dieses Interface eine Outbound Rule zu erstellen. Das geht aber nicht, wie oben dargelegt.

Bis zur pfSense-Version 2.0.3 hat es funktioniert, nur seit dem Update nicht mehr.

Sonst Ideen?

Gruß
justas
orcape
orcape 24.01.2014 aktualisiert um 08:21:45 Uhr
Goto Top
Hi justas,
so wie ich das interpretiere, solltest Du vr1 auf das neu angelegten Interface OPT1 (oder wie auch immer Du das dann nennst) legen. Da sich keine 2 Interfaces auf vr1 legen lassen, musst Du das WAN als Schnittstelle komplett abschalten und dann noch eine NAT-Regel erstellen.
Add an Outbound NAT rule as described above but do NOT choose the WAN interface, choose your
new OPT interface.
Gruß orcape
aqui
Lösung aqui 24.01.2014, aktualisiert am 09.02.2014 um 15:46:57 Uhr
Goto Top
Hast du am WAN Port das Blocken von "RFC 1918 Networks" abgeschaltet (Haken entfernt ?).
Ansonsten werden alle privaten IP Netze an diesem Port geblockt und damit auch die Antwortpakete deiner FritzBox !!

Ansonsten mal in das Firewall Log der pfSense gesehen (voher löschen und dann Zugriff versuchen) dort steht meist schwarz auf weiss woran es klemmt !
Mit Sicherheit ein Konfig Fehler ?!
justas
justas 09.02.2014 um 15:46:26 Uhr
Goto Top
Zitat von @aqui:

Hast du am WAN Port das Blocken von "RFC 1918 Networks" abgeschaltet (Haken entfernt ?).

Der Tipp war gut, der Haken war an! Aber selbst danach hat es nicht funktioniert.

Ansonsten werden alle privaten IP Netze an diesem Port geblockt und damit auch die Antwortpakete deiner FritzBox !!

Ansonsten mal in das Firewall Log der pfSense gesehen (voher löschen und dann Zugriff versuchen) dort steht meist schwarz auf
weiss woran es klemmt !

In Logs war nichts.

Mit Sicherheit ein Konfig Fehler ?!

Ja. Habe doch den Fehler gefunden! Es gab unter NAT/Outbound ganz ober eine Rule, dass alles war Richtung FB-LAN geht über NAT rausgehen muss. Ich habe diese Rule nicht erstellt, vermutlich kam sie irgendwie durch das Update auf pfSense 2.1. Sobald ich diese gelöscht habe, komme ich auf das Interface der FB.

Danke und Gruß
justas
aqui
aqui 09.02.2014 um 16:27:10 Uhr
Goto Top
Das ist auch eigentlich normal am WAN Port, dort wird im Firewall Mode global NAT gemacht und man kann diese Rule gar nicht löschen. Ausnahme man stellt in den System Settings das Routing komplett aus was aber sinnfrei wäre. Ist also schon komisch was du da machst oder gemacht hast ?!
Ggf. hast du damit die NAT Firewall deaktiviert ?

Normalerweise kann dieses Verhalten niemals sein und zeugt eher von einem grundsetzlichen Fehler im Setup !!
Wenn die FB mit dem Internet und der LAN FB Port mit dem WAN Port der pfSense verbunden ist und zusätzlich der Haken zum blocken der Privaten IP Netze entfernt wurde (die FB arbeitet im Default im 192.168.178.0er Netz) funktioniert das fehlerlos !
So ein Szenario sähe so aus FritzBox mit LAN IP .178.1 und pfSense WAN IP 192.168.178.254:

(Internet)--DSL---WAN=FritzBox=LAN---192.168.168.0/24---WAN=pfSense=LAN---192.168.1.0---(PC)

Wenn der PC nun den Browser öffnet um auf das WebGUI der FB zuzugreifen kommt er mit einer Absender IP von 192.168.1.100 und einer Ziel IP von 192.168.178.1 (FritzBox) an der pfSense an.
Die pfSense NATet das nun auf die 192.168.178.254 als Absender IP und die Ziel IP 192.168.178.1 bleibt logischerweise.
So kommt das Paket nun an der FB an.
Diese "denkt" jetzt die GUI Anfrage kommt von einem lokalen PC in ihrem LAN Netz da der Absender ja die 192.168.178.254 ist.
Folglich antwortet sie nun auch mit dem HTTP GUI auf diese IP 192.168.178.254 und ihrer eigenen IP als Absender 192.168.178.1.
So landet das Antwortpaket nun am WAN Port der pfSense.
Da dort der Filter zum generell Blocken der Privaten IPs deaktiviert wurde darf das Paket mit der Absender IP 192.168.178.254 passieren (Würde der Filter aktiv sein würde es geblockt)
Die pfSense "sieht" in der NAT Tabelle das es eine gültige NAT Session mit der .1.100 gibt und ändert die Ziel IP dann in 192.168.1.100 bevor sie das Paket an den Ziel PC weiterleitet.
Der empfängt es und zeigt das GUI auf dem Schirm !

So einfach ist das. Das ist ein Szenario was die pfSense ganz einfach so ohne jegliche Konfiguration schon im Default von sich aus macht !
Haken bei den Privaten Netzwerken natürlich entfernt !
Da muss man rein gar nix für konfigurieren oder Rules irgendwo entfernen, das ist Unsinn !
Nimm einen Wireshark und miss das an der FB nach, dann wirst auch du das schwarz auf weiss sehen !
Irgendwie also hast du da generell was falsch gemacht !
Aber egal...wenns dir reicht und es für deine Zwecke klappt ist ja gut. Vermutlich hast du nun nur die Firewall gänzlich ausgehebelt ?!
justas
justas 10.02.2014, aktualisiert am 11.02.2014 um 16:53:08 Uhr
Goto Top
Ich habe zuerst mal die Config zurückgedreht, die NAT-Oubound-Rule ist wieder da, das WebGUI der FB ist wieder nicht erreichbar.

Deine Erklärung habe ich verstanden, aber ich glaube, dass meine Konfiguration nicht vollständig dargestellt ist. NAT Outbound steht auf "manual", damit für einige Verbindungen ein anderes Interface verwendet werden kann. Das funktioniert gut.

Solange diese Rule aktiv ist, kommt nicht mal ein Eintrag in logs.

Hier das Screenshot des Teils der NAT-Rules, wo man die o.g. FB-Rule sieht.
d53ff947f6b09ea290292739cc6583ce

Die Details der Rule sind hier.
ac0790b109223b2632bd619557f4ae29

Wie gesagt, die Rule kam vermutlich nach dem Update von pfSense 2.0.3 auf 2.1 dazu, ohne meine Mitwirkung. Wenn ich sie entferne, was funktioniert, dann bekomme ich aus das GUI der FB. Sonst sehe ich keinen Unterschied. Die NAT-Outbound-WAN-Rules bleiben aktiv, der Sinn dieser FB-Rule ist mir nicht klar.

Bleibt es immer noch bei der Darstellung, dass ich mit dem Löschen der Rule die Firewall aushebele?
aqui
aqui 11.02.2014 aktualisiert um 10:03:46 Uhr
Goto Top
Bitte lasse den Unsinn mit externen Bilderlinks und Zwangswerbung hier im Forum ! Wenn du deinen original Thread oben mit Klick auf "Bearbeiten" editierst wird dir die Bilder Upload Funktion hier ja nicht entgangen sein, oder ?
Die kannst du klicken, deine Bilder hochladen dann hochladen und den dann erscheinenden Bilder URL einfach mit einem Rechtsklick Cut and Pasten und hier in jeglichen Text einbinden. Statt des URLs wird dann immer...et voila...dein Bild angezeigt. So schwer kann das doch nun wahrlich nicht sein, oder ?
Kann man übrigens auch immer noch nachträglich machen !
justas
justas 11.02.2014 aktualisiert um 13:06:56 Uhr
Goto Top
Danke für den Tipp! Ich habe die Funktion einfach nicht gefunden, deswegen externe URL's.
Jetzt sind die Bilder drin.
aqui
aqui 11.02.2014 aktualisiert um 20:12:54 Uhr
Goto Top
Sorry, aber deine NAT Regeln sind total wirr und irgendwie Murks und nicht nachzuvollziehen.
Was soll denn der tiefere Sinn sein das .178er Netz aus dem NAT rauszunehmen ? Das ist doch eigentlich unsinnig, denn auch mit NAT kommst du problemlos auf den vorgeschalteten Router und sein GUI wie oben mit dem Paket Walkthrough ja auch beschrieben.
Was also bezweckst du denn damit ??
Und auch UDP 500 ist einzeln ausgenommen...warum ?? Das kommt immer in Verbindung mit ESP oder AH vor (IPsec) aber nie einzeln. Auch das erschliesst sich einem normalen Netzwerk nicht wirklich...sorry ?!
justas
justas 11.02.2014 um 20:34:24 Uhr
Goto Top
Jetzt sind wir beim Punkt! Ich habe keine dieser Regeln erstellt oder geändert. Sämtliche NAT-Regeln Richtung WAN sind "auto created" von pfSense, als Outbound-NAT von Automatic auf Manual umgeschaltet wurde.

Die Rule für das .178-Netz ist auch nicht von mir erstellt worden, sondern von pfSense beim Upgrade von 2.0.3 auf 2.1. Wenn ich diese Rule deaktiviere, dann funktioniert der Zugriff auf das FB-WebGUI. Du hast gemeint, dass ich damit die Firewall aushebele, dann habe ich die Rule wieder aktiviert.

Jetzt ist das gesamte Bild etwas vollständiger und Du stellst genau diegleiche Frage, die ich eingangs hatte: den Sinn dieser NAT-Rule für die FritzBox.

Ich weiss nicht, warum pfSense die Rule erstellt hat und bin nicht 100%-ig sicher ob es beim Löschen der Rule nicht zu Nebenwirkungen kommt.