Protectli FW4C - Netzwerkumbau Teil2

[Fidibus]

Ich bin nun wirklich ratlos.
Es gelingt gar nichts. Mit Hilfe der Logs sind deny's inzwischen ausgeräumt, anfänglich einzeln, aber das nahm mehr als Überhand, so dass ich zum Verfolgen des Ansatzes erst einmal überall any any drin hab.
Aber selbst da geht nix!
Ich kann Clients innerhalb der Netze anpingen.
Eine Anmeldung aus dem 192.168.18.0 in das 172.16.20.0 klappt nicht. Es gibt auf keinem IF ein deny.
Es gibt haufenweise Anfragen in Richtung Internet, aber auch da bekomme ich kein deny.
Auf dem WAN-IF (also dem 192.168.1.49 verändert sich der ByteCounter nicht.
Wenn ping nicht gehen würde, würde ich denken das teil routet gar nicht.

versuch einfach die Weboberfläche vom Router im Browser zu öffnen (aus dem 18er Netz)

Das geht.

 

[blurrrr]

Also... machen wir mal ganz langsam:

1) Das Routing (inkl. NAT) muss stimmen, heisst, die Pakete müssen die entsprechenden Wege nehmen:

- Netze hinter der Firewall -> i.d.R. "kein" NAT untereinander (die Firewall kennt die jeweiligen Netze sowieso)
- Alles was bei der Firewall auf dem WAN-Port rauspurzelt ("Internet" + "192.168.1.0/24") muss via NAT mit der WAN-IP der Firewall maskiert werden

2) Bzgl. der Firewall-Regeln ist eine initial besonders wichtig: "LAN darf - egal mit welchem Protokoll - überall hin" (LAN * * erlauben), bedeutet auch automatisch, dass die Antworten zurück dürfen. Grundlegend gilt übrigens: Alles was nicht erlaubt ist, ist verboten, um ein besseres Bild davon zu bekommen, ein "übliches" Firewall-Regelwerk sieht wie folgt aus:

Erste Regel) Anti-Lockout-Regel (aka "Sperr Dich selbst nicht aus!"
zweite bis x. Regel) div. Erlaubnisse
Letzte Regel) Es ist alles verboten, was nicht vorher explizit erlaubt wurde

---

Poste vielleicht auch einfach mal die Screenshots der Firewall-Regeln von a) LAN und b) WAN. Dazu dann noch die NAT-Regeln (Outbound, Inbound sollte nichts vorhanden sein).

EDIT: Btw... im initialen Zustand sollten eigentlich entsprechende NAT-Regeln für das WAN-Interface existieren und aus dem LAN sollte man auch einfach "raus" können. Vielleicht schon ein bisschen viel gebastelt - im Zweifelsfall das Ding einfach kurzerhand nochmal kurz neu installieren, WAN erstmal auf DHCP belassen, LAN konfigurieren (ggf. noch OPT2), DNS-Resolver auf gewünschten Interfaces aktivieren, dann sollte es theoretisch schon funktionieren. Falls nicht, kann es sein, dass ggf. automatisch erstellte Firewall-Regeln dazwischen grätschen (z.B. dass WAN-seitig alle Pakete aus "privaten Netzwerken" automatisch verworfen werden - auf der WAN-Seite der Firewall ist ja auch noch ein privates Netz).

 

[Fidibus]

Ihr müsst den Eindruck haben, ich habe von der Materie gar keinen Schimmer....aber eigentlich....lassen wir das.

NAT-Regeln (Outbound

Die markierte Regel ist neu hinzugefügt, da:

Alles was bei der Firewall auf dem WAN-Port rauspurzelt ("Internet" + "192.168.1.0/24") muss via NAT mit der WAN-IP der Firewall maskiert werden

Das war mir so nicht klar. Ändert aber an der Funktionalität nichts. Der Zugriff von 192.168.18.0 nach 192.168.1.0 ging und geht weiterhin.

Screenshots der Firewall-Regeln von a) LAN und b) WAN

Funktional überschneiden sich Regeln, das ist mir klar, Aufräumen kann ich später.

 

[the other]

Moinsen,
bin noch auf Arbeit, daher nur kurz...
aufgefallen ist mir bei deinen screenshots:
- NAT sieht eigentlich gut aus, das Mapping muss eigentlich bei der pfsense nicht extra zugefügt werden im 08/15 Szenario (Post #43)
- Die Angaben zu den Gateways (Post #29): hier mal für Standardgateway IPv4 nicht automatic sondern per drop-down-menu den Namen wählen (also den Namen > bei dir WAN_DHCP), genauso dann auch für IPv6 (für das aktuell ja noch kein gateway vorhanden ist).
Außerdem: ein standard gateway für IF LAN habe ich dort nicht (und es geht trotzdem). Was keinen Sinn macht: hier automatic aussuchen ohne dass überhaupt ein IPv6 standard gateway eingerichtet ist, dann eher None wählen, wenn bisher kein v6
- mag sich doof anhören bei einer vorhandenen allow any any, aber setz doch nochmal eine explizite allow Regel für any ICMP Port

So, später mehr...muss den Tag mal zum Ende bringen auf Arbeit...

 

[blurrrr]

Die markierte Regel ist neu hinzugefügt

Ok, das ist nicht richtig, da existiert schon etwas, das genau richtig ist:



Das wäre auch erstmal die einzigste (S)NAT-Regel, welche Du benötigst.

Ferner benötigst Du noch auf dem LAN-Interface die Standard-Regel, dass aus dem LAN alles raus darf:



Die ist bei Dir aber auch schon vorhanden. Haut also ggf. noch irgendwas anderes dazwischen...

Ich denke, am zielführensten bzw. "am schnellsten" wäre es wohl, wenn Du das Ding kurzerhand mal einfach neu aufsetzt. Dann sollte schon direkt alles funktionieren, lediglich der DNS-Resolver muss ggf. nochmal kurz aktiviert werden für die entsprechenden Interfaces, das sollte es dann aber bzgl. LAN schon gewesen sein (NAT ist da, Standard-Firewall-Regel ist da, sollte also passen). Dabei ggf. auch OPT1 erstmal aussen vor lassen und erstmal zusehen, dass die LAN-Geschichte erstmal funktioniert. OPT1 kann man danach noch immer konfigurieren.

Falls das nach Neueinrichtung und Aktivierung vom DNS-Resolver NICHT funktioniert, ist an dieser Stelle sofort zu stoppen. NAT kann es nicht sein und die Default-Firewall-Regel erlaubt eigentlich jeglichen ausgehenden Traffic aus dem LAN, dann muss es noch irgendwo eine Einstellung sein (sonstige automatische Firewall-Regel oder irgendein Haken irgendwo in den sonstigen Optionen (abseits von Firewall-Regeln / NAT)).

EDIT: Und so nebenbei: Wenn Firewall-Regeln beim testen "weg" sollen, ggf. erstmal nur den Haken setzen, dass die Regel deaktiviert ist

 

[the other]

Moinsen,
so, endlich Feierabend...
Falls du das Neuaufsetzen noch NICHT gemacht hast, dann poste doch mal bitte auch die Einstellungen vom DNS resolver, hier bzgl der Interfaces, auf denen unbound lauscht, ingoing wie auch outgoing...
Nur um das mal kurz zu sehen...
Die automatic NAT rules sehen gut aus, das sollte passen...

Was gerne mal in einer solchen Routerkaskade (2 x NAT) übersehen wird: hast du auf dem WAN Interface den Haken bei "Block private Networks..." rausgenommen?

Außerdem: unter Routing > Gateways hast du das LAN mit einem eigenen Gateway beschenkt...das ist nicht nötig. Es gibt eigentlich genau 2 gateway Angaben: für v4 und v6, fertig. Das erstere würde ich immer als static konfigurieren, da das WAN IF der pfsense ja hier eine reserviert/feste IP aus 192.168.1.0/24 bekommt (hier die .49). Für v6 dann via DHCP anlegen...
Aber nicht für LAN, opt1,2,3,4usw. Die nehmen dann alles automagisch das standard gateway. Das ist in deinem setting aber nicht nötig, hatte ich ja bereits geschrieben (Post #20), vermutlich ein Überbleibsel?

Keine Sorge, das wird schon...wäre ja langweilig, wenn es gleich auf Anhieb alles läuft.

 

[Fidibus]

Sehe gerade, hab das gestern gar nicht mehr gepostet.
-----
Danke euch bis hierher.
Ich glaube in der pfsense irgendwo so etwas wie "Werksreset" gesehen zu haben.
Neu installieren sonst komplett vom Stick?
Ich bin nun auch erst mal wieder morgen raus, da ich kein Gerät habe, mit dem ich Konfigurieren könnte.
Werde bis dahin eure Hinweise studieren.

 

[Fidibus]

Moin, neue Woche, neues Glück.
Ich habe das Gateway angepasst, die zusätzliche (unnötige) NAT-Regel rausgenommen.

Was gerne mal in einer solchen Routerkaskade (2 x NAT) übersehen wird: hast du auf dem WAN Interface den Haken bei "Block private Networks..." rausgenommen?

Ist raus, denke ich zumindest.

poste doch mal bitte auch die Einstellungen vom DNS resolver,

Wenn ihr nun keine weiter Idee habt, dann muss ich Werkseinstellungen mal machen.
Dazu muss ich eine ganze Menge wieder umbauen, ich muss ja lokal wieder mit einem Monitor dann ran :-/

 

[blurrrr]

Wenn ihr nun keine weiter Idee habt, dann muss ich Werkseinstellungen mal machen.
Dazu muss ich eine ganze Menge wieder umbauen, ich muss ja lokal wieder mit einem Monitor dann ran :-/

Hättest Du ja schon längst hinter Dir haben können Kleiner Hinweis am Rande: Grund- Ersteinrichtung durchführen, direkt danach ein Backup der Config machen, dann hat man es nach der Rumbastelei nicht so schwer, wenn man wieder in den Ursprungszustand möchte

Also los, noch einmal ran, danach machste direkt ein Backup und dann kannste das Ding auch wieder dort hinstellen, wo es keiner mehr findet

 

[Fidibus]

Moin,
ist nicht so schlimm....

Komme also doch remote gleich drauf.

 

[Fidibus]

Komme also doch remote gleich drauf.

Naja, wundern tut es mich jetzt nicht wirklich.
So funktioniert das nicht. Ich bekomme keine DHCP-Adresse, ein händischer Neustart hilft auch nicht.
Nicht einmal der Powerknopf (blau) funktioniert.
Das macht mir das Teil jetzt nicht gerade symphatisch.

 

[blurrrr]

Wenn ich mich richtig erinnere, müsste die LAN-IP nach Installation theoretisch auf 192.168.1.1 lauten, keine Ahnung, ob da direkt ein DHCP-Dienst läuft, von daher würde ich dem Rechner einfach mal die 192.168.1.100 oder so geben und dann mal schauen, ob sich die Firewall unter 192.168.1.1 anpingen lässt + Webinterface-Zugriff prüfen.

 

[blurrrr]

Hier steht nochmal genau, wie es nach der Grundinstallation aussieht:
https://docs.netgate.com/pfsense/en...e.html#pfsense-software-default-configuration

So wie ich das sehe, sollte dann aber im LAN auch direkt DHCP laufen. Manchmal brauchen die Dinge aber auch einfach etwas Zeit, vielleicht einfach ma in Ruhe stehen lassen und machen lassen? Alternativ halt flott einen Monitor dran, dann sieht man wenigstens, was das Ding derweil so treibt

 

[Fidibus]

Nein, irgendwas passt gar nicht in der Prozedur.

Und leider erkennt das Teil nun auch die (ist gecheckt) USB-Tastatur nicht mehr.

 

[Fidibus]

Alternativ halt flott einen Monitor dran, dann sieht man wenigstens, was das Ding derweil so treibt

Jo...siehe oben, bin wohl raus, wenn er die TA-Eingaben nicht nimmt.

 

[blurrrr]

Mal einen anderen USB-Port versucht? War die Tastatur schon eingesteckt, bevor das Gerät eingeschaltet wurde? Falls nicht, reboote einfach nochmal mit eingesteckter Tastatur.

 

[Fidibus]

Mal einen anderen USB-Port versucht? War die Tastatur schon eingesteckt, bevor das Gerät eingeschaltet wurde? Falls nicht, reboote einfach nochmal mit eingesteckter Tastatur.

Ja, ja und noch einmal ja.
Es geht auch die Tastatur-LED gar nicht an.
Habe die TA gerade an einem anderen Gerät noch einmal geprüft.

 

[blurrrr]

Einen PS2-Anschluss hat das Ding aber nicht, oder? Kenn es halt nur noch von "damals", wo man im BIOS ggf. noch umkonfigurieren musste (i.d.R. musste der "USB Legacy Support" aktiviert werden). Auf der anderen Seite... "irgendwie" wirst Du das Ding ja auch installiert haben und da muss die Tastatur ja funktionsfähig gewesen sein. Da Du nun eh schon einen Monitor dran hast, klemm Dir das mit dem Werksreset vllt einfach und versuch einfach eine frische Installation.

 

[the other]

Moinsen,
für später bzgl. DNS:
- unter System > General Settings habe ich hier KEINEN DNS Server eingetragen....
- daher habe ich unter Services > DNS resolver auch keinen Haken bei "DNS query forwarding" da ja der RESOLVER läuft, nicht der FORWARDER
- ebenfalls dort sollte im Outgoing Network Interfaces Feld eigentlich nur "localhost" markiert werden (denn darüber gehen die Fragen ja raus, nicht über die anderen Interfaces

Dann das Thema "block private networks"...dazu sagst du:

Ist raus, denke ich zumindest.

Weißt du es auch?
Schau doch einfach hier:
Interfaces > WAN > hier ganz unten sollte KEIN Haken bei "block private..." gesetzt sein (denn dein WAN ist ja in einem privaten (durch die VFbox) Netzwerk)

Ich würde auch einfach alles einmal neu aufsetzen.
Dann wie vorgeschlagen: BACKUP der Konfiguration...
Dann ggf. bei der erneuten Einrichtung...auch mal ssh aktivieren, damit du nicht wieder ein Tastaturproblem bekommst...ssh ist da dein Freund, kannst du später immer noch weiter absichern.

Sorry, wieder ein heftiger Montag auf Arbeit, daher immer nur kurz...

 

[Fidibus]

Ja... @the other MONTAG!
Ich habe das Gerät jetzt abkühlen lassen, 10min oder so und dann noch einmal wie bisher auch, neu gestartet.
Die TA wurde jetzt erkannt und ich habe das LAN per Konsole gesetzt.
Mom...ich baue wieder um, so dass ich mich mit meinem Notenbuch verbinden kann.