Whatsapp hinter pfsense direkt geht, hinter weiterer NAT (Router) nicht
Hallo zusammen, ich habe ein Problem mit pfSense und Android-Smartphones mit Whatsapp bei Double-NAT
Hallo zusammen,
ich habe folgendes Problem:
Ich habe einen PC mit pfSense, welcher an WAN über eine Fritzbox ins Internet geht. Wenn ich direkt an den LAN-Anschluss einen Access Point hänge, funktioniert Whatsapp an einem Android-Gerät wunderbar. Sobald ich allerdings einen weiteren Router dazwischenschalte (WAN-Anschluss an pfSense, IP wird über DHCP von pfSense gezogen, eigener DHCP-Server verteilt IP's in einem anderem Subnetz) funktioniert Whatsapp nicht mehr. Der sonstige Internetzugriff scheint zu funktionieren, wobei aber einige andere Apps, z.B. das PlayStore/Android Market-Update auch nicht funktioniert. In pfSense habe ich schon eine Regel am LAN-Interface erstellt, welche sämtlichen eingehenden Traffic vom internen Subnetz des Routers hinter dem pfSense-LAN erlaubt, trotzdem geht es nicht und im Firewall-Log tauchen weiterhin Pakete von IP's aus dem internen Subnetz auf, die geblockt werden.
In Kurzform:
Internet---Fritzbox--pfSense--LAN mit Access Point -> Geht
Internet---Fritzbox--pfSense--LAN--Router mit Wlan -> Geht nicht
Muss ich irgendwo in den NAT-Einstellungen etwas anpassen?
Vielleicht findet sich ja jemand, der sich damit auskennt...
Gruß und danke schonmal,
Eagle2
Hallo zusammen,
ich habe folgendes Problem:
Ich habe einen PC mit pfSense, welcher an WAN über eine Fritzbox ins Internet geht. Wenn ich direkt an den LAN-Anschluss einen Access Point hänge, funktioniert Whatsapp an einem Android-Gerät wunderbar. Sobald ich allerdings einen weiteren Router dazwischenschalte (WAN-Anschluss an pfSense, IP wird über DHCP von pfSense gezogen, eigener DHCP-Server verteilt IP's in einem anderem Subnetz) funktioniert Whatsapp nicht mehr. Der sonstige Internetzugriff scheint zu funktionieren, wobei aber einige andere Apps, z.B. das PlayStore/Android Market-Update auch nicht funktioniert. In pfSense habe ich schon eine Regel am LAN-Interface erstellt, welche sämtlichen eingehenden Traffic vom internen Subnetz des Routers hinter dem pfSense-LAN erlaubt, trotzdem geht es nicht und im Firewall-Log tauchen weiterhin Pakete von IP's aus dem internen Subnetz auf, die geblockt werden.
In Kurzform:
Internet---Fritzbox--pfSense--LAN mit Access Point -> Geht
Internet---Fritzbox--pfSense--LAN--Router mit Wlan -> Geht nicht
Muss ich irgendwo in den NAT-Einstellungen etwas anpassen?
Vielleicht findet sich ja jemand, der sich damit auskennt...
Gruß und danke schonmal,
Eagle2
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197685
Url: https://administrator.de/contentid/197685
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
9 Kommentare
Neuester Kommentar
Die Regel auf der pfSense ist überflüssig und auch kontraproduktiv. Bringt also nix. Der Router macht ja NAT und damit tauchen alle Datenpakete aus dem lokalen LAN Netz des Routers mit seiner WAN IP am pfSense LAN auf, das ja eine gültige IP aus dem LAN Segment der pfSense hat. Die FW "sieht" also folglicherweise das IP Netz hinter dem Router gar nicht da die ursprüngliche Absender IP per NAT umgesetzt wird auf die WAN IP.
Folglich kann die Regel dann auch nix bringen...
Eigentlich ist das Verhalten ungewöhnlich, denn da am pfSense LAN Port alles erlaubt ist muss das gehen. Zeigt ja auch das Szenario wo der Client direkt am LAN Port angeschlossen ist per AP.
Ungewöhnlich..... ggf. solltest du es mal mit einer statischen IP versuchen. Anpassen muss man nix. Ggf. macht der AP im Router Zicken.
MTU Problem kann es auch nicht sein, denn du hast nur Ethernet dazwischen. MTU Probleme treten nur bei PPPoE auf.
Ansonsten Wireshark hernehmen oder die Trace Option in der pfSense und mal sehen was da abläuft bzw. Pakete mal genau vergleichen mit einem Whatsapp Zugriff ohne Router.
Ggf. auch mal die Firewall Logs querchecken..
Folglich kann die Regel dann auch nix bringen...
Eigentlich ist das Verhalten ungewöhnlich, denn da am pfSense LAN Port alles erlaubt ist muss das gehen. Zeigt ja auch das Szenario wo der Client direkt am LAN Port angeschlossen ist per AP.
Ungewöhnlich..... ggf. solltest du es mal mit einer statischen IP versuchen. Anpassen muss man nix. Ggf. macht der AP im Router Zicken.
MTU Problem kann es auch nicht sein, denn du hast nur Ethernet dazwischen. MTU Probleme treten nur bei PPPoE auf.
Ansonsten Wireshark hernehmen oder die Trace Option in der pfSense und mal sehen was da abläuft bzw. Pakete mal genau vergleichen mit einem Whatsapp Zugriff ohne Router.
Ggf. auch mal die Firewall Logs querchecken..
Hi,
Das funktioniert definitive so nicht. Vielleicht auf der pfSense mal mit statischen IP's versuchen.
Gruß orcape
Was ja auch zwei Router sind, also Fritzbox und dann pfSense
Also die Fritzbox dann als einfaches Modem betreiben.(WAN-Anschluss an pfSense, IP wird über DHCP von pfSense gezogen, eigener DHCP-Server verteilt IP's in einem anderem
Subnetz)
...und wieso auf der pfSense DHCP und am weiteren Router auch noch DHCP...Subnetz)
Das funktioniert definitive so nicht. Vielleicht auf der pfSense mal mit statischen IP's versuchen.
Gruß orcape
.@Eagle2
Denk dran wenn du die FB davor hast das du die default Filterregel mit den RFC 1918 IPs (Private Netze) entfernst (Haken davor entfernen !)
Das Transfernetz FB LAN zu pfSense WAN Port ist ja ein RFC 1918 Netz (FB Default 192.168.178.0 /24) und das darf natürlich nicht gefiltert werden.
Ist aber eigentlich nicht das Urproblem.
Checke auch nochmal ob der 3te Router einen korrekten DNS Eintrag hat und sofern er selber als DNS rennt ob die Proxyfunktion läuft (Client mit nslookup Kommando) Nur um DNS problematiken auszuschliessen.
Du solltest sonst wirklich einen Wireshark dazwischenschleifen und beide Kommunikatione mal mitsniffern und checken wo er hängenbleibt.
.@Orcape
Doch, das funktioniert so mit DHCP. Der WAN Port des 3ten Routers ist als DHCP Client ausgeführt und steckt im LAN der pfSense. Hier bekommt er vom pfSense DHCP Server am FW LAN Port eine gültige IP, Gateway und DNS Server (hoffentlich).
Der 3te Router selber ist dann in seinem eigenen LAN Segment wieder DHCP Server und vergibt dort IPs an Endgeräte.
Das sollte also sauber klappen sofern alle IP Netz IPs einzigartig sind.
Denk dran wenn du die FB davor hast das du die default Filterregel mit den RFC 1918 IPs (Private Netze) entfernst (Haken davor entfernen !)
Das Transfernetz FB LAN zu pfSense WAN Port ist ja ein RFC 1918 Netz (FB Default 192.168.178.0 /24) und das darf natürlich nicht gefiltert werden.
Ist aber eigentlich nicht das Urproblem.
Checke auch nochmal ob der 3te Router einen korrekten DNS Eintrag hat und sofern er selber als DNS rennt ob die Proxyfunktion läuft (Client mit nslookup Kommando) Nur um DNS problematiken auszuschliessen.
Du solltest sonst wirklich einen Wireshark dazwischenschleifen und beide Kommunikatione mal mitsniffern und checken wo er hängenbleibt.
.@Orcape
Doch, das funktioniert so mit DHCP. Der WAN Port des 3ten Routers ist als DHCP Client ausgeführt und steckt im LAN der pfSense. Hier bekommt er vom pfSense DHCP Server am FW LAN Port eine gültige IP, Gateway und DNS Server (hoffentlich).
Der 3te Router selber ist dann in seinem eigenen LAN Segment wieder DHCP Server und vergibt dort IPs an Endgeräte.
Das sollte also sauber klappen sofern alle IP Netz IPs einzigartig sind.
Das ist vermutlich ein DNS Problem. Die Clients hinter dem 3ten Router können ja den 3ten Router als DNS haben genauso wie das pfSense LAN IP Interface. Beides sollte klappen, denn beide arbeiten als DNS Proxy.
Ggf. kannst du das am 3ten Router alles mal statisch nachtragen und testen ob das ein Unterschied macht.
Durch 3 DNS Proxies ist natürlch ne Herausforderung sollte aber klappen
Du solltest immer am Client sniffern. Also einmal zwischen Client und FW LAN Interface wo es klappt.
Dann mit dem 3ten Router dazwischen und wieder zw. Client und 3ten Router LAN Interface. Gleiche prozedur.
Idelaerweise nimmst du da einen Laptop mit Wireshark drauf, dann musst du nicht Frickeln mit Monitor Port usw.
Die FW hat unter Diagnostics auch einen Sniffer an Bord. Ggf. nutzt du den ist erstmal einfacher...
Ggf. kannst du das am 3ten Router alles mal statisch nachtragen und testen ob das ein Unterschied macht.
Durch 3 DNS Proxies ist natürlch ne Herausforderung sollte aber klappen
Du solltest immer am Client sniffern. Also einmal zwischen Client und FW LAN Interface wo es klappt.
Dann mit dem 3ten Router dazwischen und wieder zw. Client und 3ten Router LAN Interface. Gleiche prozedur.
Idelaerweise nimmst du da einen Laptop mit Wireshark drauf, dann musst du nicht Frickeln mit Monitor Port usw.
Die FW hat unter Diagnostics auch einen Sniffer an Bord. Ggf. nutzt du den ist erstmal einfacher...