ileonard
Goto Top

Windowsserver 2019nicht pingbar

Hallo zusammen,

ich habe in der hetznercloud einen Windows Server aufgesetzt mit pfsense davor, die pfsense hat eine öffentliche IP Adresse.

Der Server hat eine private Adresse und Routet deinen Verkehr auf das Hetzner Gateway, welches den Verkehr an die pfsense gibt und diese wiederum den Verkehr in das Internet routet. Pfsense hat die 10.0.0.2 und der Server die 10.0.0.3

Mein Problem aktuell ist, das die pfsense den Server nicht pingen kann, es läuft zudem noch ein OpenVPN Server auf der sende, wenn ich in VPN bin komme ich ohne Probleme auf die pfsense drauf, aber ich kann den Server nicht aus dem VPN pingen oder eine Remotedesktop Verbindung aufbauen, der Server kann auch die pfsense nicht pingen sondern nur das hetzner Gateway und alles andere was im großen Internet ist.

Hat jemand eine Idee was ich falsch mache?

Viele Grüße

Content-Key: 6720275186

Url: https://administrator.de/contentid/6720275186

Printed on: March 3, 2024 at 03:03 o'clock

Member: Pjordorf
Solution Pjordorf Nov 29, 2023 updated at 00:14:38 (UTC)
Goto Top
Hallo,

Zitat von @ILeonard:
ich habe in der hetznercloud einen Windows Server aufgesetzt mit pfsense davor, die pfsense hat eine öffentliche IP Adresse.
Und warum in der hetzner Wolke und nicht bei dir?

Der Server hat eine private Adresse und Routet deinen Verkehr auf das Hetzner Gateway,
Also ich verbiete es dir, meinen Datenverkehr umzuleiten. Sollte das nicht umgehend abgestellt werden, kommen ein paar Freunde bei dir vorbei...

Hat jemand eine Idee was ich falsch mache?
Ich versuche immer noch zu verstehen was du wie gemacht hast, aber ich kann deiner Beschreibung nicht wirklich folgen (und somit nicht Verstehen).

Gruß,
Peter

P.S. Mit einem echten Server OS wie z.B. MS Server 2016, MS Server 2019 oder diverse Linux Varianten sollte es besser als mit dein selbstgebasteltes Server 2018 klappen. face-smile
Member: Vision2015
Vision2015 Nov 29, 2023 at 05:16:13 (UTC)
Goto Top
Moiun...
Zitat von @ILeonard:

Hallo zusammen,

ich habe in der hetznercloud einen Windows Server aufgesetzt mit pfsense davor, die pfsense hat eine öffentliche IP Adresse.
oh der Legendäre Server 2018!

Der Server hat eine private Adresse und Routet deinen Verkehr auf das Hetzner Gateway, welches den Verkehr an die pfsense gibt und diese wiederum den Verkehr in das Internet routet. Pfsense hat die 10.0.0.2 und der Server die 10.0.0.3
ach so... da ist ja schon der Fehler! du leitest "meinen Verkehr" auf deine pfSense um!
Hätte ja klappen können, doch leider habe ich das Hetzner Netz in meiner pfSense geblockt, mit solche Leute wie du, die nicht wissen was sie tun, keinen unfug machen....

Mein Problem aktuell ist, das die pfsense den Server nicht pingen kann, es läuft zudem noch ein OpenVPN Server auf der sende, wenn ich in VPN bin komme ich ohne Probleme auf die pfsense drauf, aber ich kann den Server nicht aus dem VPN pingen oder eine Remotedesktop Verbindung aufbauen, der Server kann auch die pfsense nicht pingen sondern nur das hetzner Gateway und alles andere was im großen Internet ist.
äh watt is?
also dein OpenVPN Server sendet nix, das ist kein Radio!
oder eine Remotedesktop Verbindung aufbauen
ich ahne Böses...
sondern nur das hetzner Gateway und alles andere was im großen Internet ist.
meine Vorahnungen wurden bestätigt.....

Hat jemand eine Idee was ich falsch mache?
ja...
du magst ja ein Lieber Mensch sein, allerdings hast du, von dem was du da tust keine Ahnung, und du gefährdest mitunter sogar andere Menschen, Server etc...
dein Ansatz, einen RDP Host ins Internet zu stellen, und über VPN zu Verbinden ist ja schon mal Lobenswert und Richtig.
allerdings übe und Teste doch bitte vorher zuhause, so das jeder handgriff im Netzwerk mit pfSense und Windows Server sicher sitzt!
übrigens, die pfSense hat so viel möglichkeiten ein VPN zu bauen, ich würde lieber IPSec-VPN oder Wireguard
nutzen wollen!

Viele Grüße
von mir auch...

Frank
Member: nEmEsIs
nEmEsIs Nov 29, 2023 at 05:28:04 (UTC)
Goto Top
Hi

Die windows firewall lässt im default Firewall Profil ob Public oder Privat keinen Ping zu.
Muss man erst in der FW aktivieren

Z.B Hier: https://www.zdv.uni-mainz.de/icmp-ping-in-der-windows-firewall-erlauben/

Mit freundlichen Grüßen Nemesis
Member: ILeonard
ILeonard Nov 29, 2023 at 06:40:26 (UTC)
Goto Top
Ich meinte natürlich Windows Server 2019.

Gut, ich gehe von einem grundlegenden Problem aus, da der Server ja nicht einmal die pfsense pingen kann.
Member: ILeonard
ILeonard Nov 29, 2023 at 06:47:09 (UTC)
Goto Top
War spät gestern, also ich habe meine pfsense mit öffentlicher IP und OpenVPN mit angehängtem 10.0.0.0/24er subnet, dahinter einen Windows Server 2019, ich hatte diesen mit statischer IP konfiguriert, diese jedoch gelöscht und ihm auch das private subnet eingehängt, dabei hat er die 10.0.0.3 erhalten.

Was nicht geht:
Win 2019 kann pfsense (10.0.0.3) nicht pingen
Pfsense kann Win 2019 nicht pingen

Was geht:
Win 2019 kann hetzner Gateway pingen
Win 2019 kann ins Internet pingen
Member: em-pie
em-pie Nov 29, 2023 updated at 07:17:01 (UTC)
Goto Top
Moin,

Dann fangen wir mal langsam an:

  • Welche IP/ welches Netz liegt am Herzner-Netz/ -Gateway an?
  • Welche IP hat die pfSense im LAN? Ggf. 10.0.0.1?
  • Welches Gateway hast du am Win2019 hinterlegt?
  • Hast du in der Sense ICMP (ping) eingehend erlaubt?
  • Hast du am WinServer ICMP (ping) erlaubt?
Member: ILeonard
ILeonard Nov 29, 2023 at 07:50:44 (UTC)
Goto Top
Folgendes Netz:
10.0.0.0/24 Gateway von hetzner ist die 10.0.0.2 und 10.0.0.3 der Windows Server

In Windows Server ist 10.0.0.1 als Gateway drinnen

Ja, die LAN Regel ist auf Any Any gestellt.

Ja, habe die Drucker Freigabe in der Firewall angepasst…
Member: Vision2015
Vision2015 Nov 29, 2023 at 08:04:59 (UTC)
Goto Top
Moin...
Zitat von @ILeonard:

Folgendes Netz:
10.0.0.0/24 Gateway von hetzner ist die 10.0.0.2 und 10.0.0.3 der Windows Server

In Windows Server ist 10.0.0.1 als Gateway drinnen
ist den die 10.0.0.1 die pfsense?

Ja, die LAN Regel ist auf Any Any gestellt.

Ja, habe die Drucker Freigabe in der Firewall angepasst…

Frank
Member: ILeonard
ILeonard Nov 29, 2023 at 08:10:12 (UTC)
Goto Top
Moin

Nein, die 10.0.0.1 ist das hetzner Gateway
Member: em-pie
em-pie Nov 29, 2023 at 08:12:53 (UTC)
Goto Top
Zitat von @ILeonard:

Moin

Nein, die 10.0.0.1 ist das hetzner Gateway
Kann nicht sein, du hast ja geschrieben, dass das Hetzner GW die 10.0.0.2 ist
10.0.0.0/24 Gateway von hetzner ist die 10.0.0.2 und 10.0.0.3 der Windows Server

Schreib doch bitte mal auf, welches Endgerät welche IP hat. Ist doch nicht so schwer…
Member: ILeonard
ILeonard Nov 29, 2023 at 08:32:38 (UTC)
Goto Top
Ah sorry, genau
10.0.0.1 hetzner Gateway,
10.0.0.2 pfsense
und 10.0.0.3 Windows Server
Member: ILeonard
ILeonard Nov 29, 2023 at 08:49:31 (UTC)
Goto Top
Anbei noch Fotos
img_3814
img_3813
Member: em-pie
em-pie Nov 29, 2023 at 08:57:09 (UTC)
Goto Top
Moin,

die DNS-Einträge am windows-Server sind schon mal Mist:
Sofern der Server selbst kein DNS-Server ist: Trag dort mal die IP der pfSense ein. Die muss wiederum natürlich ein Forwarding zur z.B. 1.1.1.1 oder 8.8.8.8 haben.

pingst du via IP-Adresse oder DNS-Record?
Was sagen die log-Files in der pfSense? die müssten ja etwas registrieren, wenn du vom Server ein
ping 10.0.0.2 absetzt
Member: Vision2015
Vision2015 Nov 29, 2023 at 08:58:20 (UTC)
Goto Top
Moin...
Zitat von @ILeonard:

Ah sorry, genau
10.0.0.1 hetzner Gateway,
10.0.0.2 pfsense
und 10.0.0.3 Windows Server

also wenn das Hetzner Gateway dein WAN port an der pfsense ist, und der LAN port im gleichen netz ist, ist das in meinen augen nicht richtig!

WAN = 10.0.0.1... frage mich nur warum das keine öffentliche IP ist!
LAN = 10.10.200.1
wäre in meinen augen richtig.
oder läuft da was anders bei Hetzner?

Frank
Member: ILeonard
ILeonard Nov 29, 2023 at 09:37:02 (UTC)
Goto Top
Hier eine skizze, hilft die?
img_0524.
Member: ILeonard
ILeonard Nov 29, 2023 at 10:19:02 (UTC)
Goto Top
Also wenn ich vom Server auf die Sense pinge sehe ich folgendes im:

10:15:14.719197 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12305, length 9
10:15:14.719557 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12305, length 9
10:15:15.260500 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12306, length 9
10:15:15.260918 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12306, length 9
10:15:15.801811 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12307, length 9
10:15:15.802144 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12307, length 9
10:15:16.311930 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12308, length 9
10:15:16.312282 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12308, length 9
10:15:16.823204 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12309, length 9
10:15:16.823542 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12309, length 9
10:15:17.363027 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12310, length 9
10:15:17.363384 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12310, length 9
10:15:17.896668 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12311, length 9
10:15:17.897044 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12311, length 9
10:15:18.422991 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12312, length 9
10:15:18.423290 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12312, length 9
10:15:18.963013 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12313, length 9
10:15:18.963380 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12313, length 9
10:15:19.504307 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12314, length 9
10:15:19.504618 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12314, length 9
10:15:20.022957 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12315, length 9
10:15:20.023261 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12315, length 9
10:15:20.562946 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12316, length 9
10:15:20.563295 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12316, length 9
10:15:21.073121 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12317, length 9
10:15:21.073382 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12317, length 9
10:15:21.596529 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12318, length 9
10:15:21.596872 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12318, length 9
10:15:22.123109 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12319, length 9
10:15:22.123398 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12319, length 9
10:15:22.663006 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12320, length 9
10:15:22.663322 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12320, length 9
10:15:23.204296 IP 10.0.0.2 > 10.0.0.1: ICMP echo request, id 62410, seq 12321, length 9
10:15:23.204692 IP 10.0.0.1 > 10.0.0.2: ICMP echo reply, id 62410, seq 12321, length 9


10.0.0.2 pfsense und 10.0.0.1 Gateway Hetzner
Member: ILeonard
ILeonard Nov 29, 2023 at 10:24:33 (UTC)
Goto Top
Hier mal die Settings der PFsense.

Ich pinge direkt die IP an ohne DNS, habe den DNS jetzt aber auch mal auf die IP von der pfsense gestellt auf dem WIndows Server
img_0525.
img_0526.
img_0527.
Member: gammelobst
gammelobst Nov 29, 2023 at 10:59:05 (UTC)
Goto Top
Hallo,

wie genau hast du:

ich habe in der hetznercloud einen Windows Server aufgesetzt mit pfsense davor, die pfsense hat eine öffentliche IP Adresse.

gemacht?

cya
Member: ILeonard
ILeonard Nov 29, 2023 updated at 11:32:23 (UTC)
Goto Top
Jop, genau das habe ich auch
Member: em-pie
em-pie Nov 29, 2023 at 18:03:47 (UTC)
Goto Top
Zitat von @ILeonard:

Hier eine skizze, hilft die?
Und wo kommt jetzt die 10.0.0.1 vor?
Member: Vision2015
Vision2015 Nov 29, 2023 at 19:19:35 (UTC)
Goto Top
Moin...
Zitat von @ILeonard:

Jop, genau das habe ich auch
das war nicht die erwartete antwort!
du machst einen denkfehler

Moin....
Zitat von @ILeonard:

Folgendes Netz:
10.0.0.0/24 Gateway von hetzner ist die 10.0.0.2 und 10.0.0.3 der Windows Server
das ist falsch, was du schreibst!
das Hetzner Gateway, also deine WAN Schnittstelle in der pfSense ist eine öffentlich IP, und keine 10.0.0.0/24 Adresse!
können wir uns Bitte darauf einigen, mit alle wissen, wo von du sprichst!

In Windows Server ist 10.0.0.1 als Gateway drinnen
das ist richtig, wenn die LAN schnittstelle der pfSense die IP 10.0.0.1 /24 hat!
dein Windows Server hat als IP 10.0.0.3 und als Gateway die 10.0.0.1, also die pfSense!
als DNS nimmst du entweder 8.8.8.8 oder 9.9.9.9 oder nen Hetzner DNS...

was jetzt die 10.0.0.2 sein soll... keine ahnung.

Ja, die LAN Regel ist auf Any Any gestellt.
ok...
was aber dein Hybrid Outbound NAT soll, ist auch sehr fraglich face-sad

Ja, habe die Drucker Freigabe in der Firewall angepasst…
na sowas...

Frank