15
Wieder ein Amateur mit pfSense Anfängerproblem
Moinsen,
habe eben das erste mal die pfSense 2.4 angeschlossen. Installation lief gut durch.
Problem: ich komme aus dem LAN nicht ins Internet.
Szenario:
Fritzbox---------------------------------pfsense---------------------------------------------------------------pc feste IP aus 172.16.100.0/24
fritzbox IP192.168.55.1
pfsense wan 192.168.55.3
pfsense lan 172.16.100.1
Ich habe bisher keine größeren Einstellungen verändert.
Update der pfSense lief ebenfalls durch. Ich komme mit dem pc auf die lan schnittstelle und die gui. auf dieser kann ich per ping auch in das Netzwerk 192.168.55.0/24 pingen.
Ich kann aber weder mit dem Browser ins Internet, noch auf die Geräte VOR der pfSense. Auch ein Ping vom PC ins Netz 192.168.550/24 gelingt nicht. Beide Schnittstellen werden als UP angezeigt, gründer Pfeil und so.
Hier die Bilder...
Auf der FB habe ich NIX geändert bisher...
Was mach ich falsch? Und ja, ich habe wirklich schon viel im Netz gesucht (wenn ich alles zurückstecke an die FB geht es ja wie gewohnt), aber ich werde nicht fündig. Muss ich bei den WAN Regeln docch irgendwas ändern? Laut tutorial sollte die pfsense ja diesbezüglich outofthebox funktionieren, oder?
Ganz herzlichen Dank für alle Ideen und verzeiht die alten Kamellen...
Grüßle
th3other
habe eben das erste mal die pfSense 2.4 angeschlossen. Installation lief gut durch.
Problem: ich komme aus dem LAN nicht ins Internet.
Szenario:
Fritzbox---------------------------------pfsense---------------------------------------------------------------pc feste IP aus 172.16.100.0/24
fritzbox IP192.168.55.1
pfsense wan 192.168.55.3
pfsense lan 172.16.100.1
Ich habe bisher keine größeren Einstellungen verändert.
Update der pfSense lief ebenfalls durch. Ich komme mit dem pc auf die lan schnittstelle und die gui. auf dieser kann ich per ping auch in das Netzwerk 192.168.55.0/24 pingen.
Ich kann aber weder mit dem Browser ins Internet, noch auf die Geräte VOR der pfSense. Auch ein Ping vom PC ins Netz 192.168.550/24 gelingt nicht. Beide Schnittstellen werden als UP angezeigt, gründer Pfeil und so.
Hier die Bilder...
Auf der FB habe ich NIX geändert bisher...
Was mach ich falsch? Und ja, ich habe wirklich schon viel im Netz gesucht (wenn ich alles zurückstecke an die FB geht es ja wie gewohnt), aber ich werde nicht fündig. Muss ich bei den WAN Regeln docch irgendwas ändern? Laut tutorial sollte die pfsense ja diesbezüglich outofthebox funktionieren, oder?
Ganz herzlichen Dank für alle Ideen und verzeiht die alten Kamellen...
Grüßle
th3other
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 445919
Url: https://administrator.de/forum/wieder-ein-amateur-mit-pfsense-anfaengerproblem-445919.html
Ausgedruckt am: 27.12.2024 um 03:12 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @the.other:
Moinsen,
habe eben das erste mal die pfSense 2.4 angeschlossen. Installation lief gut durch.
Problem: ich komme aus dem LAN nicht ins Internet.
Szenario:
Fritzbox---------------------------------pfsense---------------------------------------------------------------pc feste IP aus 172.16.100.0/24
192.168.55.1 wan lan 172.16.100.1
192.168.55.3
Ich habe bisher keine größeren Einstellungen verändert.
Update der pfSense lief ebenfalls durch. Ich komme mit dem pc auf die lan schnittstelle und die gui. auf dieser kann ich per ping auch in das Netzwerk 192.168.55.0/24 pingen.
Ich kann aber weder mit dem Browser ins Internet, noch auf die Geräte VOR der pfSense. Auch ein Ping vom PC ins Netz 192.168.550/24 gelingt nicht. Beide Schnittstellen werden als UP angezeigt, gründer Pfeil und so.
Hier die Bilder...
Auf der FB habe ich NIX geändert bisher...
Was mach ich falsch? Und ja, ich habe wirklich schon viel im Netz gesucht (wenn ich alles zurückstecke an die FB geht es ja wie gewohnt), aber ich werde nicht fündig. Muss ich bei den WAN Regeln docch irgendwas ändern? Laut tutorial sollte die pfsense ja diesbezüglich outofthebox funktionieren, oder?
Ganz herzlichen Dank für alle Ideen und verzeiht die alten Kamellen...
Grüßle
th3other
Moinsen,
habe eben das erste mal die pfSense 2.4 angeschlossen. Installation lief gut durch.
Problem: ich komme aus dem LAN nicht ins Internet.
Szenario:
Fritzbox---------------------------------pfsense---------------------------------------------------------------pc feste IP aus 172.16.100.0/24
192.168.55.1 wan lan 172.16.100.1
192.168.55.3
Ich habe bisher keine größeren Einstellungen verändert.
Update der pfSense lief ebenfalls durch. Ich komme mit dem pc auf die lan schnittstelle und die gui. auf dieser kann ich per ping auch in das Netzwerk 192.168.55.0/24 pingen.
Ich kann aber weder mit dem Browser ins Internet, noch auf die Geräte VOR der pfSense. Auch ein Ping vom PC ins Netz 192.168.550/24 gelingt nicht. Beide Schnittstellen werden als UP angezeigt, gründer Pfeil und so.
Hier die Bilder...
Auf der FB habe ich NIX geändert bisher...
Was mach ich falsch? Und ja, ich habe wirklich schon viel im Netz gesucht (wenn ich alles zurückstecke an die FB geht es ja wie gewohnt), aber ich werde nicht fündig. Muss ich bei den WAN Regeln docch irgendwas ändern? Laut tutorial sollte die pfsense ja diesbezüglich outofthebox funktionieren, oder?
Ganz herzlichen Dank für alle Ideen und verzeiht die alten Kamellen...
Grüßle
th3other
Moin,
du hast auf dem WAN interface wahrscheinlich die unteren beiden harken nicht rausgenommen.
Diese blocken den private-address-space in Richtung WAN.
Gruß
Spirit
Zitat von @Spirit-of-Eli:
du hast auf dem WAN interface wahrscheinlich die unteren beiden harken nicht rausgenommen.
du hast auf dem WAN interface wahrscheinlich die unteren beiden harken nicht rausgenommen.
Zitat von @BirdyB:
Harken?
Zitat von @Spirit-of-Eli:
du hast auf dem WAN interface wahrscheinlich die unteren beiden harken nicht rausgenommen.
du hast auf dem WAN interface wahrscheinlich die unteren beiden harken nicht rausgenommen.
Ja, genau die und gleich zwei mal.
Moinsen, danker für deinen Tip, aber zumindest die "Block private..." sind nicht geHARKT 
Das hatte ich bereits gecheckt wie auf dem Bild zu WAN auch ganz untenzu sehen ist. Block bogon networks hatte ich auch mal mit mal ohne Aktivierung versucht, ging und geht beides ohne Unterschied leider immer noch nicht...
Auch im LAN Interface habe ich die Block private..Regel deaktiviert versuchsweise, geht och nüscht.
Es scheint also an etwas anderem zu liegen, oder die pfSense verarbeitet die Konfig ähnlich langsam wie die alten Fritzboxen...(was ich aber nicht glaube).
Auf weiter Ideen freue ich mich also.
Grüßle
th3other
Das hatte ich bereits gecheckt wie auf dem Bild zu WAN auch ganz untenzu sehen ist. Block bogon networks hatte ich auch mal mit mal ohne Aktivierung versucht, ging und geht beides ohne Unterschied leider immer noch nicht...
Auch im LAN Interface habe ich die Block private..Regel deaktiviert versuchsweise, geht och nüscht.
Es scheint also an etwas anderem zu liegen, oder die pfSense verarbeitet die Konfig ähnlich langsam wie die alten Fritzboxen...(was ich aber nicht glaube).
Auf weiter Ideen freue ich mich also.
Grüßle
th3other
Kannst du einmal die outbound NAT regeln zeigen. Vielleicht ist da der Fehler.
Moinsen, die sollten bereits im Post zu sehen sein, unterstes Bild, ausgehende NAT Regeln....fällt dir da was auf?
Hallo,
https://www.thomas-krenn.com/de/wiki/Open_Source_Firewall_pfSense_instal ...
https://www.biteno.com/tutorial/pfsense-firewall-installieren-und-konfig ...
Richtige Grundeinstellungen der Pfsense für mein Netzwerk
Netzwerkkonfiguration und Firewall-Regeln in pfSense
Gruß,
Peter
Zitat von @the.other:
Problem: ich komme aus dem LAN nicht ins Internet.
Ich habe bisher keine größeren Einstellungen verändert.
Ich kann aber weder mit dem Browser ins Internet, noch auf die Geräte VOR der pfSense. Auch ein Ping vom PC ins Netz 192.168.550/24 gelingt nicht. Beide Schnittstellen werden als UP angezeigt, gründer Pfeil und so.
Laut tutorial sollte die pfsense ja diesbezüglich outofthebox funktionieren, oder?
Du hast vergessen das du ein Regelwerk zuerst definieren musst. Ein PFSense ist nicht wie wie ein Fritzbox, auspacken, anschliessen, einschalten und huch - ich bin ja schon im Internet. Wie bei Richtigen Router/Firewalls geht erstmal nichts raus und es kommt nichts rein - ohne das ein Regelwerk festgelegt wird. Das die Schnittstellen UP anzeigen ist zwar richtig, aber ohne Regelwerk auch nutzlos.Problem: ich komme aus dem LAN nicht ins Internet.
Ich habe bisher keine größeren Einstellungen verändert.
Ich kann aber weder mit dem Browser ins Internet, noch auf die Geräte VOR der pfSense. Auch ein Ping vom PC ins Netz 192.168.550/24 gelingt nicht. Beide Schnittstellen werden als UP angezeigt, gründer Pfeil und so.
Laut tutorial sollte die pfsense ja diesbezüglich outofthebox funktionieren, oder?
https://www.thomas-krenn.com/de/wiki/Open_Source_Firewall_pfSense_instal ...
https://www.biteno.com/tutorial/pfsense-firewall-installieren-und-konfig ...
Richtige Grundeinstellungen der Pfsense für mein Netzwerk
Netzwerkkonfiguration und Firewall-Regeln in pfSense
Gruß,
Peter
Moinsen Peter und danke für die links.
Mir war eigentlich klar, dass ich da keine 2. Fritzbox kaufe. Und ich habe echt viel gelesen im Vorfeld. Es scheint trotzdem nicht zu reichen, aber hey, war ja klar.... Und wär ja auch langweilig.
Gerade durch die viele leserei bin ich wiederholt auf posts von aqui gestoßen, die ich so verstehe, dass der wan Port eigentlich default funktionieren sollte.auch seine Bemerkungen bzgl. Einsatz in einer routerkaskade habe ich eigentlich gelesen, vermutlich nicht verstanden...
Und auch nach Vergleich mit den diversen Lösungen die ich zu ähnlichen postsggefunden habe... Ich finde den verdammten Fehler in meinen Einstellungen nicht.
morgen vielleicht, war ja auch erst der erste Nachmittag mit dem lustigen Ding in der Praxis.
für etwas weitere Ideen weiter dankbar...
Grüssle
th30ther
Mir war eigentlich klar, dass ich da keine 2. Fritzbox kaufe. Und ich habe echt viel gelesen im Vorfeld. Es scheint trotzdem nicht zu reichen, aber hey, war ja klar.... Und wär ja auch langweilig.
Gerade durch die viele leserei bin ich wiederholt auf posts von aqui gestoßen, die ich so verstehe, dass der wan Port eigentlich default funktionieren sollte.auch seine Bemerkungen bzgl. Einsatz in einer routerkaskade habe ich eigentlich gelesen, vermutlich nicht verstanden...
Und auch nach Vergleich mit den diversen Lösungen die ich zu ähnlichen postsggefunden habe... Ich finde den verdammten Fehler in meinen Einstellungen nicht.
morgen vielleicht, war ja auch erst der erste Nachmittag mit dem lustigen Ding in der Praxis.
für etwas weitere Ideen weiter dankbar...
Grüssle
th30ther
Hi,
Hast du denn in der Fritzbox ne Default Route für das 172.16.100.0 Netz erstellt ?
Mfg
Hast du denn in der Fritzbox ne Default Route für das 172.16.100.0 Netz erstellt ?
Mfg
Ich bin zwar gestern nicht ganz bei der Sache gewesen. Aber so wie es jetzt ist, sollte es mit NAT funktionieren.
Die Fritzbox bekommt von dem LAN nix mit.
Auch mehr regeln sind nicht nötig.
Die Sense arbeitet nach dem Prinzip, das nur eingehender Traffic dem Regelwerk unterliegt.
Anschließend wird intern geroutet sobald es Netz übergreifend wird.
Die Fritzbox bekommt von dem LAN nix mit.
Auch mehr regeln sind nicht nötig.
Die Sense arbeitet nach dem Prinzip, das nur eingehender Traffic dem Regelwerk unterliegt.
Anschließend wird intern geroutet sobald es Netz übergreifend wird.
Moinsen, ja, so hatte ich das auch verstanden. In der alten Kaskade mit 2 fritzbox en war im ersten Gerät ja auch keine Weiterleitung nötig.
Ich werde am Nachmittag noch mal alles verkabeln, alles neustarten, hilft ja manchmal auch, und sag dann wie es aussieht.
Allen erstmal einen schönen Tag.
Grüssle
th30ther
Ich werde am Nachmittag noch mal alles verkabeln, alles neustarten, hilft ja manchmal auch, und sag dann wie es aussieht.
Allen erstmal einen schönen Tag.
Grüssle
th30ther
Hallo,
Sondern eine richtige Firewall usw. Da ist erstmal nichts erlaubt.
Gruß,
Peter
Sondern eine richtige Firewall usw. Da ist erstmal nichts erlaubt.
die ich so verstehe, dass der wan Port eigentlich default funktionieren sollte.
Tut er auch und der ist sogar Up. Aber wenn kein Regelwerk etabliert wurde, ist es eina´fach nur ein WAN Port ohne Funktion. Dein Regelwerk fehlt. Du musst regelen für das ausgehen von Traffic aus dein LAN notfalls einrichten usw. Im Profibereich sperrt erstmal alles was nicht explizit erlaubt ist. Eine Fritte sperrt nichts ausgehend nach dem einschalten und daher funktioniert die erstmal.auch seine Bemerkungen bzgl. Einsatz in einer routerkaskade habe ich eigentlich gelesen, vermutlich nicht verstanden...
Eine Routerkaskade ists wenn zwei Router/Firewalls hintereinander geschaltet/Verdrahtet werden. Da müssen dann eben in jedem Gerät Regeln notfalls eingerichtet werden. Bei einer Fritte merkst du das nur wenn du Portforwarding machst. Bei einer PFSense merkst du das das du eben noch nicht mal rauskommst. Works as Designed. Dein Regelwerk fehlt.Gruß,
Peter
Installation lief gut durch.
Glückwunsch ! 👏Problem: ich komme aus dem LAN nicht ins Internet.
Mmmhhh...sollte eigentlich immer gehen !- LAN Port der pfSense hat DHCP und ein Client dort bekommt automatisch die richtige IP
- WAN Port ist im DHCP Client Mode und zieht sich Adresse, Gateway und DNS von der kaskadierten FritzBox
Resette die pfSense mal in die Factory Defaults) und nehme zum Grundtest erstmal die Default Einstellungen ! Klappt das dann ist die FW per se in Ordnung und alles funktioniert wie es soll.
Die Tatsache das du ein anderes lokales LAN Netz an der FW verwendest (172.16.100.0 /24) lässt sehr stark vermuten das du irgendwo einen Fehler gemacht hast in der Konfig.
Ansonsten immer strategisch vorgehen wenn du die LAN IP geändert hast !!
- LAN IP und Maske ändern
- Danach den DHCP Server auf dem LAN Interface auf die neue LAN IP und Range anpassen
- Wichtig: LAN Port FW Regel anpassen ! PASS Source: LAN_network, Port: ANY, Destination: ANY, Port:ANY !! Die Source ist immer das "Netzwerk" an dem FW Port und niemals ANY. Das hast du oben falsch gemacht ist aber nicht dein Problem.
- Client am LAN Port anschliessen.
- Bekommt der Client eine richtige IP aus dem 172.16.100.0 /24er Netz. Stimmt Gateway und DNS (ipconfig -all) ?
- Wen ja kannst du das LAN Interface der FW pingen ?
- Wenn ja gehe ins Menü Diagnostics ==> Ping und stelle das Source Interface auf WAN. Dann pingst du folgende IPs:
- Die des LAN Port der FritzBox = verifiziert die Connectivity zur FritzBox (*)
- Die eines Internet Hosts z.B. 8.8.8.8 = verifiziert die Internet Connectivity
- Einen Domain Namen wie www.heise.de = verifiziert ein funktionierendes DNS
Oben stand ein (*)
Das bedeutet das gilt NUR wenn dein WAN Port im DHCP Client Mode ist, was der Default ist. Nur dann bekommt die FW ihre WAN IP, Gateway IP und DNS Server automatisch per DHCP von der FritzBox !!!
Hast du das auf Static gestellt musst du zwingend im General Setup die DNS Server IP (FritzBox LAN Adresse), unter Routing das Gateway (FritzBox LAN Adresse) manuell konfigurieren.
In einer Kaskade wie du sie hast, muss am WAN Port unten der Ha"r"ken bei "Block RFC 1918 networks" entfernt sein. Den bei "Bogon networks" solltest du belassen !
Du kannst das auch an den Widgets im Dashboard sehen oder unter Status ==> Interfaces
Das sollte dann zum Erfolg führen
Alles was fürs Grundsetup wichtig ist erklärt dir das hiesige Tutorial !!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bitte lesen, verstehen und dann strategisch vorgehen !
Moinsen,
@peter: danke für deinen support. Die Lösung verdanke ich aber doch aqui, der ja auch noch mal bestätigt hat, dass für die out-of-the-box Anwendung keine Regeln für die WAN Schnittstelle eingerichtet werden müssen (außer eben die block private).
@aqui: du hast durch deine klare Strukturierung die Lösung geliefert, vielen lieben Dank dafür. Erneut...
Am Ende war es eigentlich gar kein pfSense Problem muss ich zu meiner riesigen Schande gestehen, sondern eine fehlerhafte Einstellung am Client-PC. Jetzt rennt es, WAN IP der pfSense ist fix vergeben, LAN Netzwerkbereich ist auch auf den gewünschten Bereich angepasst. Ich kann ins www, auf das vorgelagert FB Netz zugreifen und auch alle GUI der diversen Geräte im vorgelagerten Netz zugreifen. SUPER!!
Damit komme ich dann demnächst zur VLAN Gestaltung, mal sehen...
Allen hier vielen Dank für die Geduld mit uns DAUS allgemein und mir speziell (oh man) und natürlich auch für die Hilfe(n)!!! Schönen Abend noch und natürlich
Grüßle
th30ther
@peter: danke für deinen support. Die Lösung verdanke ich aber doch aqui, der ja auch noch mal bestätigt hat, dass für die out-of-the-box Anwendung keine Regeln für die WAN Schnittstelle eingerichtet werden müssen (außer eben die block private).
@aqui: du hast durch deine klare Strukturierung die Lösung geliefert, vielen lieben Dank dafür. Erneut...
Am Ende war es eigentlich gar kein pfSense Problem muss ich zu meiner riesigen Schande gestehen, sondern eine fehlerhafte Einstellung am Client-PC. Jetzt rennt es, WAN IP der pfSense ist fix vergeben, LAN Netzwerkbereich ist auch auf den gewünschten Bereich angepasst. Ich kann ins www, auf das vorgelagert FB Netz zugreifen und auch alle GUI der diversen Geräte im vorgelagerten Netz zugreifen. SUPER!!
Damit komme ich dann demnächst zur VLAN Gestaltung, mal sehen...
Allen hier vielen Dank für die Geduld mit uns DAUS allgemein und mir speziell (oh man) und natürlich auch für die Hilfe(n)!!! Schönen Abend noch und natürlich
Grüßle
th30ther
sondern eine fehlerhafte Einstellung am Client-PC
Kann im Eifer des Gefechts immer mal passieren. Was zählt ist das du es selber troubleshooten konntest ! Damit komme ich dann demnächst zur VLAN Gestaltung, mal sehen...
Die Kochanleitung dafür kennst du ja sicher schon...:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Also dann...erfolgreiches Konfigurieren und bei Fragen weisst du ja wo du sie posten musst ?! Dafür ist das Forum ja da...!
