63
VLAN Problem kein Internet
Hallo liebes Forum,
folgender Aufbau:
PFsense -> TL-SG116E -> Unifi Controller
Konfiguration:
PFsense -> VLans mit der ID 30 und 40 erstellt
TL-SG116E -> Portbased VLAN dort die Ports 1-10 mit VLAN 1 getaggt und Ports 11-16 mit VLAN 2
Unifi Controller -> 2 W-Lan Netze erstellt und jeweils die VLAN ID 30 und 40 zugeteilt
soweit so gut, die beiden Netze ziehen sich die richtigen IP's doch ich komme nicht ins Netz bzw. sehe auch nichts in meinem Netzwerk.
die Pfsense limitiert erstmal nicht da die Vlan's 30 und 40 zum Testen überall hin dürfen.
Die Frage ist, muss ich den Switch vom Portbased Vlan auf 802.1 Q VLAN umstellen?
oder ist es etwas anderes was ich grade nicht auf dem Schirm habe?
vielen Dank im voraus für eure Zeit und Hilfe
folgender Aufbau:
PFsense -> TL-SG116E -> Unifi Controller
Konfiguration:
PFsense -> VLans mit der ID 30 und 40 erstellt
TL-SG116E -> Portbased VLAN dort die Ports 1-10 mit VLAN 1 getaggt und Ports 11-16 mit VLAN 2
Unifi Controller -> 2 W-Lan Netze erstellt und jeweils die VLAN ID 30 und 40 zugeteilt
soweit so gut, die beiden Netze ziehen sich die richtigen IP's doch ich komme nicht ins Netz bzw. sehe auch nichts in meinem Netzwerk.
die Pfsense limitiert erstmal nicht da die Vlan's 30 und 40 zum Testen überall hin dürfen.
Die Frage ist, muss ich den Switch vom Portbased Vlan auf 802.1 Q VLAN umstellen?
oder ist es etwas anderes was ich grade nicht auf dem Schirm habe?
vielen Dank im voraus für eure Zeit und Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 601558
Url: https://administrator.de/contentid/601558
Printed on: April 19, 2024 at 05:04 o'clock
63 Comments
Latest comment
mit VLAN 1 getaggt und Ports 11-16 mit VLAN 2
VLAN 1 ist immer das Default VLAN. Das ist in der Regel niemals getagged da es an den Tagged Ports immer mit PVID 1 anliegt. Aber nungut wenn du in den jeweiligen VLANs die richtigen DHCP IPs bekommst hast du alles richtig gemacht.Bedenke das die pfSense eine Firewall ist !! Wenn du also keine entsprechenden Firewall Regeln auf deinen VLAN IP Ports in der pfSense definiert hast BLOCKT die Firewall üblicherwiese jeglichen Traffic wie es jede Firewall tut. Ohne Regeln also keine Netzwerkverbindung.
Die Frage ist, muss ich den Switch vom Portbased Vlan auf 802.1 Q VLAN umstellen?
Das ist zwingend, denn das andere Verfahren ist ein Hersteller proprietäres Verfahren was kein anderes Endgerät der Welt versteht da NICHT standartisiert ! 802.1q ist der weltweite VLAN Standard.Das hiesige TUTORIAL weisst für den TP-Link Switch explizit auf diesen Umstand hin !!
Wie immer: Lesen und verstehen !
1
Hey Aqui,
danke für die schnelle Antwort, mit dem verstehen hapert es grade noch ...
der Aufbau müsste ja dann ungefähr so sein:
Port 1 PFsense Port 2 Unifi AP
( PFSense Nic2 ) VLAN 1 -> Port 1-10
( PFsense Nic3 ) VLAN 2 -> Port 11-16
(Pfsense bezug auf Nic2) VLAN 30 -> Port 1 und 2
(Pfsense bezug auf Nic2) VLAN 40 -> Port 1 und 2
und was davon muss jetzt wie Tagged und Untagged sein, ich wäre dir sehr Dankbar wenn du mir da ein wenig Licht ins Dunkle bringen könntest
danke für die schnelle Antwort, mit dem verstehen hapert es grade noch ...
der Aufbau müsste ja dann ungefähr so sein:
Port 1 PFsense Port 2 Unifi AP
( PFSense Nic2 ) VLAN 1 -> Port 1-10
( PFsense Nic3 ) VLAN 2 -> Port 11-16
(Pfsense bezug auf Nic2) VLAN 30 -> Port 1 und 2
(Pfsense bezug auf Nic2) VLAN 40 -> Port 1 und 2
und was davon muss jetzt wie Tagged und Untagged sein, ich wäre dir sehr Dankbar wenn du mir da ein wenig Licht ins Dunkle bringen könntest
Moin,
Du mußt jedem Port auf dem Switch, auf dem ein VLAN zusätzlich laufen soll dieses als "tagged" mitgeben.
Heißt für Dich, dass Du an dem Port, mit der die pfSense an den Switch angeschlossen ist und dem AP jeweils die VLANs 30 und 40 als "tagged" mitgeben mußt.
Das VLAN1 bleibt dabei "untagged" das Default-VLAN.
Gruß
Looser
Du mußt jedem Port auf dem Switch, auf dem ein VLAN zusätzlich laufen soll dieses als "tagged" mitgeben.
Heißt für Dich, dass Du an dem Port, mit der die pfSense an den Switch angeschlossen ist und dem AP jeweils die VLANs 30 und 40 als "tagged" mitgeben mußt.
Das VLAN1 bleibt dabei "untagged" das Default-VLAN.
Gruß
Looser
Ich würde mir evtl. mal ein Tutorial über VLAN ansehen gibt bestimmt gute Youtube Videos dazu.
Du brauchst nur ein Kabel zwischen PfSense und Switch das Tagging (markieren der Pakete) erledigt die Zuordnung in den VLANs
Genau so wie bei den AP's
Config der PfSense:
NIC2 (Port1 TP-L)
VLAN1 untagged
VLAN30 tagged
VLAN40 tagged
SWITCH
Port1 (PfSense uplink)
VLAN1 untagged
VLAN30 tagged
VLAN40 tagged
Port2 (Unifi Con)
VLAN1 untagged
Port3 (WLAN AP)
VLAN1 untagged
VLAN30 tagged
VLAN40 tagged
PORT 4-XX
Nach belieben untagged VLAN1, 30 oder 40
Du brauchst nur ein Kabel zwischen PfSense und Switch das Tagging (markieren der Pakete) erledigt die Zuordnung in den VLANs
Genau so wie bei den AP's
Config der PfSense:
NIC2 (Port1 TP-L)
VLAN1 untagged
VLAN30 tagged
VLAN40 tagged
SWITCH
Port1 (PfSense uplink)
VLAN1 untagged
VLAN30 tagged
VLAN40 tagged
Port2 (Unifi Con)
VLAN1 untagged
Port3 (WLAN AP)
VLAN1 untagged
VLAN30 tagged
VLAN40 tagged
PORT 4-XX
Nach belieben untagged VLAN1, 30 oder 40
Hallo Looser27,
danke für deine Antwort und Hilfe,
heißt:
VLAN 1 -> Untagged 1-10
VLAN 2 -> Untagged 11-16
VLAN 30 -> Tagged 1 und Tagged 2
VLAN 40 Tagged 1 und Tagged 2
dann in der PVID -> Port 2 -> 30,40
haut das so hin?
danke für deine Antwort und Hilfe,
heißt:
VLAN 1 -> Untagged 1-10
VLAN 2 -> Untagged 11-16
VLAN 30 -> Tagged 1 und Tagged 2
VLAN 40 Tagged 1 und Tagged 2
dann in der PVID -> Port 2 -> 30,40
haut das so hin?
Nein..
PVID ist für Pakete die NICHT getagged sind.. zumal nur eine PVID zum Port vergeben werden kann ...
Warum willst du 1-10 und 11-16 trennen ? Wie soll der aufbau im allgemeinen sein? Bzw was ist der Zweck / Auftrag?
Mehrere SSIDs?
Bitte schaff dir die Grundlagen drauf.
PVID ist für Pakete die NICHT getagged sind.. zumal nur eine PVID zum Port vergeben werden kann ...
Warum willst du 1-10 und 11-16 trennen ? Wie soll der aufbau im allgemeinen sein? Bzw was ist der Zweck / Auftrag?
Mehrere SSIDs?
Bitte schaff dir die Grundlagen drauf.
aufbau:
PFsense -> 3 Nics -> 1 WAN 2 LAN 3 DMZ
momentan auf dem Switch Port 1-10 ( LAN ) und 11-16 ( DMZ )
das wollte ich so eigentlich wieder abbilden:
nach dem Umbau sollen die Ports 1-10 wieder dem LAN zugeordnet werden und 11-16 der DMZ
im Unifi habe ich 3 SSID's WLAN ( LAN ) , WLAN GAST ( VLAN 30 ) , WLAN IOT ( VLAN 40 )
das war der Plan wie es aussehen sollte, bin ich grade dran und danke für die Hilfe
PFsense -> 3 Nics -> 1 WAN 2 LAN 3 DMZ
momentan auf dem Switch Port 1-10 ( LAN ) und 11-16 ( DMZ )
das wollte ich so eigentlich wieder abbilden:
nach dem Umbau sollen die Ports 1-10 wieder dem LAN zugeordnet werden und 11-16 der DMZ
im Unifi habe ich 3 SSID's WLAN ( LAN ) , WLAN GAST ( VLAN 30 ) , WLAN IOT ( VLAN 40 )
das war der Plan wie es aussehen sollte, bin ich grade dran und danke für die Hilfe
Auf dem Switch:
Port 1-10: PVID 1
Port 11-16: PVID 2
Damit sind die Ports 1-10 VLAN 1 untagged und Ports 11-16 VLAN 2 untagged.
pfSense NIC2 -> Port 1 des Switches
Jetzt braucht der Switch für Port 1 noch zusätzlich VLAN 30 & 40 als "tagged", damit er die Pakete weiterleiten kann.
AccessPoint -> Port 2 des Switches
Jetzt trägst Du auf dem Switch für diesen Port zusätzlich die VLAN 30 & 40 als "tagged" ein, damit die Pakete auch hier weitergeleitet werden können. In dem Fall aus den beiden WLAN-SSIDs die in getrennten VLAN laufen sollen.
Jetzt mußt Du nur noch auf der pfSense die Regeln für die VLAN 30 und 40 erstellen.
Damit sollte WLAN über beide VLAN funktionieren.
Gruß
Looser
Port 1-10: PVID 1
Port 11-16: PVID 2
Damit sind die Ports 1-10 VLAN 1 untagged und Ports 11-16 VLAN 2 untagged.
pfSense NIC2 -> Port 1 des Switches
Jetzt braucht der Switch für Port 1 noch zusätzlich VLAN 30 & 40 als "tagged", damit er die Pakete weiterleiten kann.
AccessPoint -> Port 2 des Switches
Jetzt trägst Du auf dem Switch für diesen Port zusätzlich die VLAN 30 & 40 als "tagged" ein, damit die Pakete auch hier weitergeleitet werden können. In dem Fall aus den beiden WLAN-SSIDs die in getrennten VLAN laufen sollen.
Jetzt mußt Du nur noch auf der pfSense die Regeln für die VLAN 30 und 40 erstellen.
Damit sollte WLAN über beide VLAN funktionieren.
Gruß
Looser
Das DMZ und LAN braucht keinen eigenen Port .. dafür sind ja die VLAN's da.
Lösung ist oben. Have fun
P.S.: die PVID beibt immer das untagged VLAN des Ports bei deiner Config
P.P.S.: die VLAN ID's müssen, da sie übertragen werden, übereinstimmen mit den des Switches und der PfSense.
Lösung ist oben. Have fun
P.S.: die PVID beibt immer das untagged VLAN des Ports bei deiner Config
P.P.S.: die VLAN ID's müssen, da sie übertragen werden, übereinstimmen mit den des Switches und der PfSense.
ich baue das in der Pause um und berichte 
bis dahin schon einmal 10000 Danke für eure Expertise.
bis dahin schon einmal 10000 Danke für eure Expertise.
VLAN:
PVID:
ist da jetzt noch ein Denkfehler drin? das 30ger und 40ger VLAN ziehen zwar wieder die richtigen IP's doch ins Netz geht es immer noch nicht
PVID:
ist da jetzt noch ein Denkfehler drin? das 30ger und 40ger VLAN ziehen zwar wieder die richtigen IP's doch ins Netz geht es immer noch nicht
Kann nicht funktionieren weil:
VLAN 1 - Untagged 1-16
VLAN 2 - Untagged 11-16
VLAN 1 - Untagged 1-16
VLAN 2 - Untagged 11-16
Bau das ganze mal OHNE das DMZ-Geraffel auf.
Dann wird es für Dich einfacher nachzuvollziehen.
Also VLAN 2 raus.
PVID 1 Port 1-16
Somit VLAN 1 untagged 1-16
Ports für Accesspoint und pfSense mit VLAN 30 & 40 ausstatten und los.....
Dann wird es für Dich einfacher nachzuvollziehen.
Also VLAN 2 raus.
PVID 1 Port 1-16
Somit VLAN 1 untagged 1-16
Ports für Accesspoint und pfSense mit VLAN 30 & 40 ausstatten und los.....
also Stand jetzt habe ich:
-die DMZ NIC in der PFsense komplett deaktiviert
-im Switch DMZ als VLAN (2) rausgelöscht
-dem AP und der PFsense jeweils Tagged Port 1 und 2 zugewiesen ( einmal für VLAN 30 und 40 )
-> dann Verbinde ich mich mit dem AP und dem "neuen" Gast W-LAN -> ich komme innerhalb meines Netzwerks an alles ran ( daher gehe ich von aus das meine Regel soweit funktioniert ( GastWLANnet to any ) nur ins Internet komme ich immer noch nicht die IP's zieht er sich auch sauber
VLAN:
PFsense Rule:
-die DMZ NIC in der PFsense komplett deaktiviert
-im Switch DMZ als VLAN (2) rausgelöscht
-dem AP und der PFsense jeweils Tagged Port 1 und 2 zugewiesen ( einmal für VLAN 30 und 40 )
-> dann Verbinde ich mich mit dem AP und dem "neuen" Gast W-LAN -> ich komme innerhalb meines Netzwerks an alles ran ( daher gehe ich von aus das meine Regel soweit funktioniert ( GastWLANnet to any ) nur ins Internet komme ich immer noch nicht die IP's zieht er sich auch sauber
VLAN:
PFsense Rule:
Hallo,
was bedeutet "IP's zieht er sich auch sauber", ich konnte leider im kompletten Beitrag nirgends IP-Adressen entdecken.
Evtl. teils du allen mal dein "IP-Layout" mit, welche IP (mit Subnet, Gateway, DNS,.....) wird wo verwendet, vielleicht liegt es ja "nur" an einem Routingproblem.
Gruß IceBeer
was bedeutet "IP's zieht er sich auch sauber", ich konnte leider im kompletten Beitrag nirgends IP-Adressen entdecken.
Evtl. teils du allen mal dein "IP-Layout" mit, welche IP (mit Subnet, Gateway, DNS,.....) wird wo verwendet, vielleicht liegt es ja "nur" an einem Routingproblem.
Gruß IceBeer
Nic1 WAN (PFsense) hat die 192.168.0.20...
Nic2 LAN hat die 10.0.1.1...254
Subnet mask 255.255.255.0
( momentan deaktiviert ) Nic3 DMZ hatte die 10.0.2.1...254
Subnet mask 255.255.255.0
VLAN30 (hört gegen Nic2) GuestWLan hat die 10.0.4.1...254
Subnet mask 255.255.255.0
VLAN 40 (hört gegen Nic2) IOT hat die 10.0.5.1...254
Subnet mask 255.255.255.0
sie nutzen alle das default GateWay mit der 192.168.178.1
habe ich hier schon was verkonfiguriert oder muss umkonfigurieren?
( kurze Erklärung die PFsense wurde nicht von mir eingerichtet ( Netzwerk war bis jetzt nicht so meine Baustelle ))
Nic2 LAN hat die 10.0.1.1...254
Subnet mask 255.255.255.0
( momentan deaktiviert ) Nic3 DMZ hatte die 10.0.2.1...254
Subnet mask 255.255.255.0
VLAN30 (hört gegen Nic2) GuestWLan hat die 10.0.4.1...254
Subnet mask 255.255.255.0
VLAN 40 (hört gegen Nic2) IOT hat die 10.0.5.1...254
Subnet mask 255.255.255.0
sie nutzen alle das default GateWay mit der 192.168.178.1
habe ich hier schon was verkonfiguriert oder muss umkonfigurieren?
( kurze Erklärung die PFsense wurde nicht von mir eingerichtet ( Netzwerk war bis jetzt nicht so meine Baustelle ))
Das Gateway ist immer im selben Netz wie der Client. Also immer die IP von der PfSense im jeweiligem Netz .. Der Client kann die IP 192.168.178.1 ja garnicht finden da nicht in seinem Netz..
Wenn man in der falschen Stadt ist findet man nun mal Straße und Hausnummer nicht. Und da Fragt man nun mal wer in dieser Stadt könnte es wissen?
https://de.wikipedia.org/wiki/Gateway_(Informatik)
VLAN 1 GW 10.0.1.1
VLAN 30 GW 10.0.4.1
usw ...
Ließ dich auch nochmal im Thema Routing usw. ein bevor du mit VLAN anfängst.
Wenn man in der falschen Stadt ist findet man nun mal Straße und Hausnummer nicht. Und da Fragt man nun mal wer in dieser Stadt könnte es wissen?
https://de.wikipedia.org/wiki/Gateway_(Informatik)
VLAN 1 GW 10.0.1.1
VLAN 30 GW 10.0.4.1
usw ...
Ließ dich auch nochmal im Thema Routing usw. ein bevor du mit VLAN anfängst.
dann dürfte doch mein LAN eigentlich auch kein Netz haben oder? ( komme damit ins Netz sowie ins Internet )
sorry ich sehe langsam den Wald vor lauter Bäumen nicht mehr
sorry ich sehe langsam den Wald vor lauter Bäumen nicht mehr
Ja, so seh ich das auch. Eigentlich dürfte da "gar nichts gehen", zumindest nicht auf Basis der Info's oben.
Ich spekuliere jetzt mal, da die von dir angegebene Adresse die "Standadresse" einer Fritzbox ist.
Schwirrt da irgendwo noch eine Fritzbox rum, die irgendwo angeklemmt ist und daher dein Netz teilweise tut?
Ich spekuliere jetzt mal, da die von dir angegebene Adresse die "Standadresse" einer Fritzbox ist.
Schwirrt da irgendwo noch eine Fritzbox rum, die irgendwo angeklemmt ist und daher dein Netz teilweise tut?
Je nachdem wie du das ganze dann doch zusammen gewürfelt hast mit VLAN oder auch nicht VLAN kann das durchaus passieren wenn man die beiden Netze dann Physikalisch zusammen gelegt hat.
Ändere doch mal die Gateways und aus deinem LAN postest du ein tracert, dort sieht man dann worüber er wirklich ins Internet Routet.
Ändere doch mal die Gateways und aus deinem LAN postest du ein tracert, dort sieht man dann worüber er wirklich ins Internet Routet.
also die VLAN's sind nun alle aus und DMZ
es gibt momentan dann nur WAN und LAN
Trace vom Laptop aus ( per WLAN mit LAN verbunden )
traceroute to google.de (172.217.18.163), 30 hops max, 60 byte packets
1 _gateway (10.0.1.1) 1.936 ms 2.081 ms 2.008 ms
2 192.168.178.1 (192.168.178.1) 3.741 ms 4.479 ms 3.727 ms
usw.
also raus kommt er bedeutet doch aber ich muss WAN eine andere IP geben aus dem Bereich also als Beispiel die 10.0.1.1
ist ein VodafoneKabelModem, ich hatte nur die IP der alten Fritzbox wieder eingetragen
-> 192.168.178.1
Nic1 WAN (PFsense) hat die 10.0.1.1
Nic2 LAN hat die 10.0.2.1...254
Subnet mask 255.255.255.0
( momentan deaktiviert ) Nic3 DMZ hatte die 10.0.3.1...254
Subnet mask 255.255.255.0
VLAN30 (hört gegen Nic2) GuestWLan hat die 10.0.5.1...254
Subnet mask 255.255.255.0
VLAN 40 (hört gegen Nic2) IOT hat die 10.0.6.1...254
Subnet mask 255.255.255.0
es gibt momentan dann nur WAN und LAN
Trace vom Laptop aus ( per WLAN mit LAN verbunden )
traceroute to google.de (172.217.18.163), 30 hops max, 60 byte packets
1 _gateway (10.0.1.1) 1.936 ms 2.081 ms 2.008 ms
2 192.168.178.1 (192.168.178.1) 3.741 ms 4.479 ms 3.727 ms
usw.
also raus kommt er bedeutet doch aber ich muss WAN eine andere IP geben aus dem Bereich also als Beispiel die 10.0.1.1
ist ein VodafoneKabelModem, ich hatte nur die IP der alten Fritzbox wieder eingetragen
-> 192.168.178.1
Nic1 WAN (PFsense) hat die 10.0.1.1
Nic2 LAN hat die 10.0.2.1...254
Subnet mask 255.255.255.0
( momentan deaktiviert ) Nic3 DMZ hatte die 10.0.3.1...254
Subnet mask 255.255.255.0
VLAN30 (hört gegen Nic2) GuestWLan hat die 10.0.5.1...254
Subnet mask 255.255.255.0
VLAN 40 (hört gegen Nic2) IOT hat die 10.0.6.1...254
Subnet mask 255.255.255.0
Also irgendwas stimmt doch da bei dir nicht.
Welche IP hatte der Laptop mit dem du den Trace gemacht hast?
Wenn wir von /24er-Netzen ausgehen, dann müsste dein LAN-Interface die 10.0.1.1 haben und das WAN-Interface eine Adresse aus 192.168.178.0/24.
Irgendwas ist da bei dir ganz wirr. Mach uns doch mal eine Grafik mit den IPs und poste Screenshots von der Konfiguration deiner pfSense. Sonst raten wir uns hier einen Wolf.
Viele Grüße
Welche IP hatte der Laptop mit dem du den Trace gemacht hast?
Wenn wir von /24er-Netzen ausgehen, dann müsste dein LAN-Interface die 10.0.1.1 haben und das WAN-Interface eine Adresse aus 192.168.178.0/24.
Irgendwas ist da bei dir ganz wirr. Mach uns doch mal eine Grafik mit den IPs und poste Screenshots von der Konfiguration deiner pfSense. Sonst raten wir uns hier einen Wolf.
Viele Grüße
Hm, demnach würde ich deuten, dass die PFsense auf der WAN Seite im 192.168.178.x-Band ist, das widerspricht aber deiner Aussage oben, dass die auf der WAN Seite die 192.168.0.20 hat.
Wie du die Bänder "verteilst" ist egal, solange sie sich nicht "überlappen", was du ja durch die Subnet-Maske aus meiner Sicht korrekt gemacht hast.
Aha, eben kommt man der 192.168.178.1 näher.....
Sicher dass das VodafoneKabelModem ein Modem und kein Router ist? Das riecht für mich nach einer Routerkaskade.
Sollte das der Fall sein, musst du dem VodafoneKabelRouter alle Netze bekannt machen die du hinter der PFsense hast und ihm sagen über welche Route er dieses erreicht.
Wie du die Bänder "verteilst" ist egal, solange sie sich nicht "überlappen", was du ja durch die Subnet-Maske aus meiner Sicht korrekt gemacht hast.
Aha, eben kommt man der 192.168.178.1 näher.....
Sicher dass das VodafoneKabelModem ein Modem und kein Router ist? Das riecht für mich nach einer Routerkaskade.
Sollte das der Fall sein, musst du dem VodafoneKabelRouter alle Netze bekannt machen die du hinter der PFsense hast und ihm sagen über welche Route er dieses erreicht.
Vermutlich wieder laienhaft Modem und Router durcheinandergewürfelt was wie immer hier zu Verwirrung führt.
Gehen wir als mal von einer Router Kaskade aus mit doppeltem NAT und keinem nur Modem.
Was dann zu beachten ist steht, wie immer, hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Und genau danach sollte man sich mit der Konfig auch richten !
In der Tat wäre eine wirklich genaue Beschreibung und eine kleine Skizze, wie oben schon zu Recht gefordert, sehr hilfreich bei den verwirrenden Schilderungen um mal Klarheit ins Setup zu bringen...
Gehen wir als mal von einer Router Kaskade aus mit doppeltem NAT und keinem nur Modem.
Was dann zu beachten ist steht, wie immer, hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Und genau danach sollte man sich mit der Konfig auch richten !
In der Tat wäre eine wirklich genaue Beschreibung und eine kleine Skizze, wie oben schon zu Recht gefordert, sehr hilfreich bei den verwirrenden Schilderungen um mal Klarheit ins Setup zu bringen...
Der Laptop hat die:
Die PFsense auf dem WAN hat die IP 192.168.178.20/24
laut Vodafone ist das nur ein Modem: und hat die IP 192.168.178.1
LAN hat die 10.0.1.1/24
@ IceBeer sorry das mit der 192.168.0.20 war ein Fehler meinerseits...
@aqui ich versuche das mal aufs Papier zu bringen
Die PFsense auf dem WAN hat die IP 192.168.178.20/24
laut Vodafone ist das nur ein Modem: und hat die IP 192.168.178.1
LAN hat die 10.0.1.1/24
@ IceBeer sorry das mit der 192.168.0.20 war ein Fehler meinerseits...
@aqui ich versuche das mal aufs Papier zu bringen
Alleine, dass das Gerät eine "private IP Adresse" hat ist ein Indiz dass es ein Router ist.
Eine kurze Google-Recherche bestätigt das (sofern ich das korrekte Gerät erwischt habe):
https://kabel.vodafone.de/hilfe_und_service/geraete/wlan_kabelrouter_vod ...
https://kabel.vodafone.de/static/media/KIP_Aufbauanleitung_Station.pdf
Gleich auf der ersten Seite:
Schritt 1: Gerät installieren
Schließe Deinen Kabel-Router in wenigen Schritten an.
Eine kurze Google-Recherche bestätigt das (sofern ich das korrekte Gerät erwischt habe):
https://kabel.vodafone.de/hilfe_und_service/geraete/wlan_kabelrouter_vod ...
https://kabel.vodafone.de/static/media/KIP_Aufbauanleitung_Station.pdf
Gleich auf der ersten Seite:
Schritt 1: Gerät installieren
Schließe Deinen Kabel-Router in wenigen Schritten an.
Na großartig... Oben hast du noch behauptet, WAN hätte die 10.0.1.1
So ergibt das alles doch schon mehr Sinn...
Du kannst deine Vodafone-Box auch in den Bridge-Modus setzen, dann hast du kein doppeltes NAT mehr.
So ergibt das alles doch schon mehr Sinn...
Du kannst deine Vodafone-Box auch in den Bridge-Modus setzen, dann hast du kein doppeltes NAT mehr.
da dachte ich es verstanden zu haben und das wäre meine Idee zwecks des Umkonfigurierens gewesen
Nicht denken sondern nachdenken !
Damit sagt einen schon der gesunde Menschenverstand das das ein simpler NAT Router und eben kein Modem ist.
Vodafone ist wohl auf den AVM Zug mit aufgesprungen und nutz das .178.0er FritzBox Netz intern wohl um AVM Knechte nicht zu verwirren mit unterschiedlichen IP Adressen ?!
Ein Modem ist immer ein reiner passiver Medienwandler der nicht am IP Paket Forwarding aktiv beteiligt ist. Genau deshalb hätte man bei Verwendung eines reinen Modems auch die öffentliche IP Adresse des Providers direkt am WAN Port der Firewall. Und...dort müsste zudem PPPoE aktiviert sein und die Provider Zugangsdaten wären dann direkt auf der pfSense was bei dir ganz sicher NICHT der Fall ist in so einem Design ! All das hast du sehr wahrscheinlich in der Vodafone Gurke davor eingestellt was dann eben eine Router Kaskade ist und kein Modem !
Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Lesen und verstehen...!
Fazit:
Du hast eine simple Router Kaske mit doppeltem NAT.
Alles was da wichtig und zu beachten ist steht wie bereits gesagt HIER.
Wichtig ist dann bei einer Kaskade das du immer den Haken zum Filtern der RFC1918 IP Netze am WAN Port entfernst:
Logisch, denn die Koppelnetze sind in der regel allesamt immer RFC 1918 Private IPs:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
laut Vodafone ist das nur ein Modem: und hat die IP 192.168.178.1
Das ist ja Blödsinn, vergiss was die Vodafone Heinis da sagen, denn die private RFC 1918 IP Adresse spricht ja schon komplett dagegen und das Vodafone im internen Providernetz ausgerechnet eine Massen IP Netzwerk Adresse von den FritzBoxen (AVM) nutzt ist wohl recht utopisch.Damit sagt einen schon der gesunde Menschenverstand das das ein simpler NAT Router und eben kein Modem ist.
Vodafone ist wohl auf den AVM Zug mit aufgesprungen und nutz das .178.0er FritzBox Netz intern wohl um AVM Knechte nicht zu verwirren mit unterschiedlichen IP Adressen ?!
Ein Modem ist immer ein reiner passiver Medienwandler der nicht am IP Paket Forwarding aktiv beteiligt ist. Genau deshalb hätte man bei Verwendung eines reinen Modems auch die öffentliche IP Adresse des Providers direkt am WAN Port der Firewall. Und...dort müsste zudem PPPoE aktiviert sein und die Provider Zugangsdaten wären dann direkt auf der pfSense was bei dir ganz sicher NICHT der Fall ist in so einem Design ! All das hast du sehr wahrscheinlich in der Vodafone Gurke davor eingestellt was dann eben eine Router Kaskade ist und kein Modem !
Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Lesen und verstehen...!
Fazit:
Du hast eine simple Router Kaske mit doppeltem NAT.
Alles was da wichtig und zu beachten ist steht wie bereits gesagt HIER.
Wichtig ist dann bei einer Kaskade das du immer den Haken zum Filtern der RFC1918 IP Netze am WAN Port entfernst:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Du kannst deine Vodafone-Box auch in den Bridge-Modus setzen, dann hast du kein doppeltes NAT mehr.
Was dann die vernüftigste da performanteste Lösung ist...
Also: Jetzt mal ganz von vorne:
1) Für jedes Interface dass deine pfSense hat, bekommt diese eine IP. Egal ob VLAN oder nicht. Diese ist dann zwingend das Gateway für das besagte Netz.
2) Wenn du ein neues Interface anlegst, wird dort standardmäßig JEDER Traffic geblockt, solange du keine Regeln MANUELL angelegt hast.
3) Was aus der pfSense getagged ist, muss auch auf dem verbundenen Switch getagged sein.
4) Es kann pro Port nur ein VLAN untagged sein, aber beliebig viele tagged
Vielleicht versuchst du es mit diesen 4 Punkten nochmal.
VG
1) Für jedes Interface dass deine pfSense hat, bekommt diese eine IP. Egal ob VLAN oder nicht. Diese ist dann zwingend das Gateway für das besagte Netz.
2) Wenn du ein neues Interface anlegst, wird dort standardmäßig JEDER Traffic geblockt, solange du keine Regeln MANUELL angelegt hast.
3) Was aus der pfSense getagged ist, muss auch auf dem verbundenen Switch getagged sein.
4) Es kann pro Port nur ein VLAN untagged sein, aber beliebig viele tagged
Vielleicht versuchst du es mit diesen 4 Punkten nochmal.
VG
Er müsste nur einmal das hiesige Tutorial dazu wirklich einmal lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort steht es eigentlich alles haarklein auch für Laien erklärt...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort steht es eigentlich alles haarklein auch für Laien erklärt...
1
BridgeModus (Kabel) ist durch und aktiviert, nun will die PFsense jedoch nicht mehr so richtig...
mit dem Laptop am Modem funktioniert erstmal das Netz bekomme jetzt auch eine Öffentliche IP
Update -> Reboot tut gut Wan hat jetzt eine Öffentliche IP an der PFsense ( WAN IP-Config Typ DHCP )
mit dem Laptop am Modem funktioniert erstmal das Netz bekomme jetzt auch eine Öffentliche IP
Update -> Reboot tut gut Wan hat jetzt eine Öffentliche IP an der PFsense ( WAN IP-Config Typ DHCP )
Zitat von @aqui:
Er müsste nur einmal das hiesige Tutorial dazu wirklich einmal lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort steht es eigentlich alles haarklein auch für Laien erklärt...
Da gebe ich dir vollkommen recht... Ich wollte nur auf ein paar Punkte besondere Aufmerksamkeit lenken...Er müsste nur einmal das hiesige Tutorial dazu wirklich einmal lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort steht es eigentlich alles haarklein auch für Laien erklärt...
also Stand jetzt ist:
PFsense
WAN -> bekommt eine öffentliche IP ( Bridge-Modus )
auf dem Switch:
Port 1 -> PFsense
Port 2 -> Unifi AP
Port 3 -> Unifi Controller
Unifi Controller:
so wenn ich mich mit dem Handy nun mit dem Gast WLAN Verbinde bekomme ich nur eine APIPA IP.
rein Technisch müsste das doch jetzt alles richtig konfiguriert sein oder?
zu den Tipps von BirdyB ->
1) so gemacht vom jeweiligen Interface ist der Gateway nun die jeweilige .1
2) fürs Gastnetz habe ich die Regel das es überall hin kann ( zum Testen (IPv4 GuestWlan * * * *)
3) sollte ja theoretisch jetzt so sein
4) daraus werde ich nicht ganz schlau
PFsense
WAN -> bekommt eine öffentliche IP ( Bridge-Modus )
auf dem Switch:
Port 1 -> PFsense
Port 2 -> Unifi AP
Port 3 -> Unifi Controller
Unifi Controller:
so wenn ich mich mit dem Handy nun mit dem Gast WLAN Verbinde bekomme ich nur eine APIPA IP.
rein Technisch müsste das doch jetzt alles richtig konfiguriert sein oder?
zu den Tipps von BirdyB ->
1) so gemacht vom jeweiligen Interface ist der Gateway nun die jeweilige .1
2) fürs Gastnetz habe ich die Regel das es überall hin kann ( zum Testen (IPv4 GuestWlan * * * *)
3) sollte ja theoretisch jetzt so sein
4) daraus werde ich nicht ganz schlau
Hast du denn für die neuen Interfaces auch den DHCP-Server konfiguriert?
Was verstehst du nicht daran, dass auf jedem Port nur ein VLAN untagged vorhanden sein kann?
Was verstehst du nicht daran, dass auf jedem Port nur ein VLAN untagged vorhanden sein kann?
DHCP -> in der PFSense habe ich alle Konfiguriert und das Gateway ist immer die jeweilige .1
VLAN Untagged -> VLAN 1 da sind wie oben alle Untagged , VLAN 30 hat 1 Tagged und 2 Untagged bedeutet die Konfig ist falsch?
wenn ja muss ich dann alle auf Tagged setzen?
VLAN Untagged -> VLAN 1 da sind wie oben alle Untagged , VLAN 30 hat 1 Tagged und 2 Untagged bedeutet die Konfig ist falsch?
wenn ja muss ich dann alle auf Tagged setzen?
Hast du dir mal Gedanken gemacht, was tagged und untagged bedeutet?
Versuche es dir doch einfach mal vorzustellen...
Versuche es dir doch einfach mal vorzustellen...
dann ist es doch aber richtig wenn Port 1 Tagged ist da dort wiederum die PFsense dran hängt
Zitat von @Jellyfish:
dann ist es doch aber richtig wenn Port 1 Tagged ist da dort wiederum die PFsense dran hängt
Da fehlt ja schon die Hälfte der Information. Du musst schon angeben, welches VLAN an welchem Port wie konfiguriert ist (tagged/untagged)dann ist es doch aber richtig wenn Port 1 Tagged ist da dort wiederum die PFsense dran hängt
Beispiel:
VLAN 1 -> Port 1 -> untagged
VLAN 30 -> Port 1 -> tagged
und pro Port darf nur einmal untagged vorkommen.
Stand jetzt:
VLAN 1 -> Member 1-16 -> alle untagged
VLAN 30 -> Member 1-3 -> Tagged Port 1 -> Untagged Port 2 und 3
VLAN 40 -> Member 1-3 -> Tagged Port 1 -> Untagged Port 2 und 3
VLAN 1 -> Member 1-16 -> alle untagged
VLAN 30 -> Member 1-3 -> Tagged Port 1 -> Untagged Port 2 und 3
VLAN 40 -> Member 1-3 -> Tagged Port 1 -> Untagged Port 2 und 3
Jetzt hast du schon wieder zwei VLANs untagged auf dem gleichen Port...
Das geht nicht! Habe ich doch jetzt mehrfach geschrieben...
Das geht nicht! Habe ich doch jetzt mehrfach geschrieben...
P.S.: Abgesehen davon braucht der Port mit deinem
AP das VLAN 30 tagged...
AP das VLAN 30 tagged...
neuer Stand:
VLAN 1 -> Member 1-16 -> alle untagged
VLAN 30 -> Member 1-3 -> Tagged Port 1 und 2 -> Untagged 3
VLAN 40 gelöscht
VLAN 1 -> Member 1-16 -> alle untagged
VLAN 30 -> Member 1-3 -> Tagged Port 1 und 2 -> Untagged 3
VLAN 40 gelöscht
erstmal danke ich allen für Ihre Hilfe und die aufgebrachte Geduld, ich bin jedoch für heute fertig im Kopf und mache morgen weiter.
Wie mehrfach schon gesagt wurde, aber ich versuchs mal mit einer anderen Formuliereung:
In der Spalte "Untagged Ports" darf kein Port doppelt benutzt werden, du aber nutz zwei der Ports (Port 2 und Port 3) sogar dreifach!
In der Spalte "Untagged Ports" darf kein Port doppelt benutzt werden, du aber nutz zwei der Ports (Port 2 und Port 3) sogar dreifach!
Mahlzeit
okay also lass ich das Default drin: VLAN 1 alle untagged
VLAN 30 sind nun alle 3 Tagged ( Port 1, 2 und 3 )
damit sollte nun keiner Doppelt oder wie in meinem Fall dreifach Untagged sein
den Rest habe ich gelöscht der Einfachheit halber
okay also lass ich das Default drin: VLAN 1 alle untagged
VLAN 30 sind nun alle 3 Tagged ( Port 1, 2 und 3 )
damit sollte nun keiner Doppelt oder wie in meinem Fall dreifach Untagged sein
den Rest habe ich gelöscht der Einfachheit halber
Und funktioniert es damit ?
Nee, er zieht sich zwar die richtige IP also die 10.0.4.100 und Anpingen geht aus dem LAN auch, aber ins Internet kommt er soweit erstmal nicht.
VLAN konfigurieren - Frage zu Tagged und Untagged
Hilft vielleicht zum Wochenende etwas zu den Tagging Grundlagen... ?!
Wenn das Gateway eine Firewall ist auch prüfen ob das FW Regelwerk das 10.0.4er Netz ins Internet erlaubt ! Zum Check dafür immer das Ping Tool von der Firewall oder Router nutzen und als Absender IP Adresse ihre 10.0.4er Interface IP verwenden !
Traceroute (tracert bei Winblows) und Pathping sind hier wie immer auch deine besten Freunde !
Hilft vielleicht zum Wochenende etwas zu den Tagging Grundlagen... ?!
aber ins Internet kommt er soweit erstmal nicht.
Da fehlt dann immer eine Default Route auf den Internet Provider ! Mit ipconfig die Gateway IP am Client checken !Wenn das Gateway eine Firewall ist auch prüfen ob das FW Regelwerk das 10.0.4er Netz ins Internet erlaubt ! Zum Check dafür immer das Ping Tool von der Firewall oder Router nutzen und als Absender IP Adresse ihre 10.0.4er Interface IP verwenden !
Traceroute (tracert bei Winblows) und Pathping sind hier wie immer auch deine besten Freunde !
Hey @aqui,
den wiederholten Ping mit dem Lesen habe ich verstanden, nur wenn es mir geholfen hätte würde ich ja nicht weiter Fragen.
es muss einmal Klick machen.
Default Route im 4.0er Netz ist auf den Geräten die sich einwählen die 10.0.4.1.
das Regelwerk hat ein any any ( zum Testen).
vielleicht hilft das: muss ich bei dem Default V-LAN den Port 1 auch auf Tagged setzen und den rest Untagged?
den wiederholten Ping mit dem Lesen habe ich verstanden, nur wenn es mir geholfen hätte würde ich ja nicht weiter Fragen.
es muss einmal Klick machen.
Default Route im 4.0er Netz ist auf den Geräten die sich einwählen die 10.0.4.1.
das Regelwerk hat ein any any ( zum Testen).
vielleicht hilft das: muss ich bei dem Default V-LAN den Port 1 auch auf Tagged setzen und den rest Untagged?
Wenn du doch die richtige IP von der pfSense zugewiesen bekommst, muss die VLAN-Konfiguration ja erstmal passen.
Also: Finger weg!
Also: Finger weg!
es muss einmal Klick machen.
Deshalb immer auf den Router gehen der ins Internet routet, dessen Ping Tool nehmen und als Absender IP seine 10.0.4er Interface IP nehmen und z.B. 8.8.8.8 anpingen.Das sollte dann klappen.
Wenn's nicht mal auf dem Internet Router klappt hast du ein anderes Problem dort.
- Firewall Regel falsch, fehlt oder fehlerhaft
- NAT translated nicht für das 10.0.4er Netz
- DNS IP im 10.0.4er Netz fehlt oder ist falsch. (nslookup Check)
also:
der Ping aus der FW heraus:
PING 8.8.8.8 (8.8.8.8) from 10.0.4.1: 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=116 time=16.229 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=116 time=13.573 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=116 time=12.114 ms
bedeutet ja das sollte grundlegend stimmen.
die Firewall Regeln hatte ich wie gesagt auf Any Any gesetzt
( das sollte wenn ich es richtig verstehe so stimmen)
NAT: habe ich auf AutoRule und es stehen in der Regel auch alle Netze drin mit einem Any Any
NSLookUp-> im LAN geht er über die 10.0.1.3 ( PiHole)
im Gast über die 10.0.4.1
der Ping aus der FW heraus:
PING 8.8.8.8 (8.8.8.8) from 10.0.4.1: 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=116 time=16.229 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=116 time=13.573 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=116 time=12.114 ms
bedeutet ja das sollte grundlegend stimmen.
die Firewall Regeln hatte ich wie gesagt auf Any Any gesetzt
( das sollte wenn ich es richtig verstehe so stimmen)
NAT: habe ich auf AutoRule und es stehen in der Regel auch alle Netze drin mit einem Any Any
NSLookUp-> im LAN geht er über die 10.0.1.3 ( PiHole)
im Gast über die 10.0.4.1
Du solltest deinen Fokus erst einmal auf ein Grundsetup beschränken als auch noch mit einem PiHole rumzuspielen .. diesen einmal komplett aus dem Setup raus nehmen und die DNS auf die PfSense oder besser noch auf 8.8.8.8 legen
oder besser noch auf 8.8.8.8 legen
Das machen heutzutage nur noch ziemliche Dummies, denn jeder weiss ja mittlerweile das Google davon Surf- und Verhaltensprofile erstellt und weltweit mit Dritten vermarktet. Wenn überhaupt dann eine etwas Datenschutz freundlichere Alternative wiehttps://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Ist aber auch sinnfrei, denn die FW ist ja per Default FW Proxy und deshalb reicht es vollends die lokale FW IP anzugeben was der TO ja auch übergangsweise wohl erstmal macht. Siehe oben "im Gast über die 10.0.4.1".
ACHTUNG:
Dazu sollte man den Firewall DNS Forwarder entsprechend richtig einstellen:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
bedeutet ja das sollte grundlegend stimmen.
Richtig !Aus Layer 3 Routing Sicht ist dann alles OK
die Firewall Regeln hatte ich wie gesagt auf Any Any gesetzt
Gilt das auch für das Firewall Interface was das 10.0.4er Netzwerk bedient ?? VLAN Interface ??Leider gibst du oben NICHT an für welches Interface das gilt. Vermutung ist das du die Any Regel auf dem falschen Interface gesetzt hast ?!
Hast du einmal ins Firewall Log gesehen ??
Dort ggf. die reverse Ansicht aktivieren, dann siehst du die aktuellen Filter Meldungen gleich immer oben in der ersten Zeile.
im Gast über die 10.0.4.1
Ooops... Warum das denn ?? Willst du deinen Gästen das Malware und Werbe Filtern vorenthalten ??Aber egal über die 10.0.4.1 gehts natürlich auch nur dann eben ohne Filter. Sinnvoller wäre es ja allen Teilnehmern den PiHole als DNS zu geben..
Nur nochmal zur Übersicht. So sähe dein Design dann aus. Etwas andere VLAN IDs was aber nur kosmetisch ist.
Zitat von @aqui:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
oder besser noch auf 8.8.8.8 legen
Das machen heutzutage nur noch ziemliche Dummies, denn jeder weiss ja mittlerweile das Google davon Surf- und Verhaltensprofile erstellt und weltweit mit Dritten vermarktet. Wenn überhaupt dann eine etwas Datenschutz freundlichere Alternative wiehttps://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Natürlich nur zum Testen .. ;)
auf ein neues und nochmal danke für eure Hilfe,
genau die Rules habe ich auf alle Interfaces angepasst und das sollte soweit auch passen.
Logs gucke ich mir jetzt gleich mal durch.
Nein der Plan ist die Gäste auch noch zu schützen doch erstmal wollte ich das alles einmal funktioniert und dann weiter ausbauen ;)
genau so sieht es Quasi aus
Die Einstellungen habe ich jetzt auch so gesetzt
und nochmal danke für eure Hilfe,genau die Rules habe ich auf alle Interfaces angepasst und das sollte soweit auch passen.
Logs gucke ich mir jetzt gleich mal durch.
Nein der Plan ist die Gäste auch noch zu schützen doch erstmal wollte ich das alles einmal funktioniert und dann weiter ausbauen ;)
genau so sieht es Quasi aus
Die Einstellungen habe ich jetzt auch so gesetzt
Wenn man auf deinen Link klickt... 
oh sorry ich meinte den letzten von dir
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
ich habe das ganze auch noch einmal mit NIC2 nachgebaut um den Controller und den AP ausschließen zu können
das gleiche Phänomen er kommt nicht raus also kann es ja eigentlich nur noch eine fehlende Berechtigung oder Route sein vermute ich.
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
ich habe das ganze auch noch einmal mit NIC2 nachgebaut um den Controller und den AP ausschließen zu können
das gleiche Phänomen er kommt nicht raus also kann es ja eigentlich nur noch eine fehlende Berechtigung oder Route sein vermute ich.
Dort kann dann nur eine Firewall Regel fehlen. Anders ist das nicht zu erklären.
Was sagt denn das Firewall Log ?
Im Zweifel einen Werksreset auf der pfSense und dann Schritt für Schritt nochmal alles neu aufsetzen. Irgendwo hast du im Setup einen Fehler gemacht.
Bedenke nochmals das die Firewall Regel auf dem VLAN Interface und NICHT auf dem physischen Interface gemacht werden MUSS !!
Was sagt denn das Firewall Log ?
Im Zweifel einen Werksreset auf der pfSense und dann Schritt für Schritt nochmal alles neu aufsetzen. Irgendwo hast du im Setup einen Fehler gemacht.
Bedenke nochmals das die Firewall Regel auf dem VLAN Interface und NICHT auf dem physischen Interface gemacht werden MUSS !!
so nach einer längeren Nacht... funktioniert es ( erstmal 1000 Dank für die viele Hilfe bis dahin)
habe es auch noch erweitert und eine DMZ gebastelt mein letztes Problem ist nur noch das er den PiHole nicht erkennen mag,
trage ich dort die 10.0.1.3 ein komme ich nicht raus trage ich die 9.9.9.9 als DNS ein geht es
habe es auch noch erweitert und eine DMZ gebastelt mein letztes Problem ist nur noch das er den PiHole nicht erkennen mag,
trage ich dort die 10.0.1.3 ein komme ich nicht raus trage ich die 9.9.9.9 als DNS ein geht es
okay da haben mir noch die Routen in den beiden Netzwerken gefehlt, habe jetzt noch
erste Regel: Pass
Action: Pass
Protocol: TCP/UDP
Destination: 10.0.1.3
Destination Port Range: 53 (DNS)
Description: Allow internal DNS
zweite Regel: Block
Action: Block
Protocol: TCP/UDP
Destination Port Range: 53 (DNS)
Description: Block external DNS
und es läuft! ich Danke euch allen !
ich denke mal damit kann das hier auch zu.
erste Regel: Pass
Action: Pass
Protocol: TCP/UDP
Destination: 10.0.1.3
Destination Port Range: 53 (DNS)
Description: Allow internal DNS
zweite Regel: Block
Action: Block
Protocol: TCP/UDP
Destination Port Range: 53 (DNS)
Description: Block external DNS
und es läuft! ich Danke euch allen !
ich denke mal damit kann das hier auch zu.
okay da haben mir noch die Routen in den beiden Netzwerken gefehlt,
Sorry, das ist Quatsch ! Statische "Routen" brauchst du nicht. Du meinst sicher die "Firewall Regeln" denn solche sind das die du oben gepostet hast keine Routen.Aber egal, wenns es jetzt rennt ist ja alles OK !
nur noch das er den PiHole nicht erkennen mag,
Auch das ist doch kinderleicht... (und hast du oben schon intuitiv richtig gemacht)- Im DHCP Server der pfSense gibts du allen Endgeräten immer die IP Adresse des Pi Hole als primären DNS Server.
- PiHole stellst du in seinem Setup GUI den DNS Weiterleitungshost auf die lokale IP Adresse der pfSense in dem FW Segment indem sich der PiHole befindet !
- Fertisch, das wars
Dann genau dein obiges korrektes Regelwerk fürs DNS was verhindert das User den PiHole umgehen.
Also alles intuitiv richtig gemacht !
Case closed ! Bitte dann
How can I mark a post as solved?
nicht vergessen !
