Protectli FW4C - Netzwerkumbau Teil2

Wird das denn sonderlich warm?
Warm? Heiß!
Ich habe es jetzt mal etwas anders positioniert. Ich werde später mal die Temperatur schätzen.
So, nun ist das Teil wieder on. Ich habe eine Adresse aus dem 192.168.18.0/24 bekommen, das Gateway an der FW hat fest die 1.
Das WAN-IF hat bestimmungsgemäß die 192.168.1.49 wieder erhalten.
Auf dem WAN-IF ist
Interfaces > WAN > hier ganz unten sollte KEIN Haken bei "block private..." gesetzt sein
überprüft. Der Haken ist von mir entfernt, war vorher auch.
Der DNS-Resolver:
1694427373410.png
Ein Aufruf der VF-Box geht zum jetzigen Zeitpunkt nicht. Google auch nicht.
 
Erstes Suchen von mir:
AA1.jpg
Hat der Rechner kein Gateway bekommen? In der DHCP-Beschreibung steht drin:
"The default is to use the IP address of this firewall interface as the gateway. Specify an alternate gateway here if this is not the correct gateway for the network. Enter "none" for no gateway assignment."
Bei mir ist es frei/leer.
Und so sieht das IF aus.
AA2.jpg
NAT outbound ist wie gehabt und automatisch erstellt.
 
Das ist korrekt soweit, DHCP brauchst Du nur an zwei Stellen:

1) Firewall-WAN (muss ja wissen, wo es weiter geht, wäre die IP vom Router)
2) Clients (verteilt via DHCP), damit die Clients wissen, wohin sie Pakete schicken müssen, wenn sie das Zielnetz nicht kennen

Das sollte aber eigentlich standardmässig drin sein... Kannst mal "von" der Firewall einen "ping" in Richtung "8.8.8.8" anstossen (ebenso mal einen DNS-Test).
 
Moinsen,
auch auf die Gefahr, dass ICH mich irre:
dein VFbox Netz hat die 192.168.1.0/24 (pfsense WAN .49)
dein pfsense LAN hat die 192.168.18.0/24 (pfsense LAN .1)

Das WAN IF kannst du zB auch mit static IPv4 wählen, hier muss das Gateway rein: die IP der VFbox
Das LAN IF bekommt KEIN gateway ("None"), denn dies wird automagisch mitgeteilt...hier nur ein gateway auswählen, wenn es ein gänzlich anderes ist (trifft bei dir nicht zu).
Also bisher alles in Ordnung...
Unter System > Routing muss das Gateway (IP der VF box) erscheinen.

edit: LAN IP angepasst
 
Zuletzt bearbeitet:
Ich habe meinem Client nun händisch einen (anderen) DHCP-Eintrag verpasst, sozusagen statisches DHCP.
Nun hat mein Client auch ein Gateway bekommen
AA1.jpg
und der der Rest funktioniert erst einmal.
AA2.jpg
Warum in der ersten DHCP-Zuweisung der Client kein Gateway bekommt, keine Ahnung.
Jetzt, in diesem Stand, funktioniert der Internetzugriff.
Nach diesem Bild sollte es auch rein IPv4 sein - ist das korrekt?
1694430100235.png
 
Öhm... das ist aber schon recht strange, zumal "ohne Eintrag" sollte die entsprechende Interface-IP der pfSense verteilt werden... Trag da einfach mal die entsprechende Interface-IP der Firewall (192.168.18.1) beim DHCP-Dienst für das LAN ein... dann einmal testen, ob es funktioniert, danach das Gateway beim DHCP wieder raus und nochmal testen.
 
Moinsen,
die Terminalabfragen sehen gut aus.
Das letzte Bild zeigt einfach nur die Firewallregeln, da ist kein Rückschluss auf v6 oder nicht draus zu ersehen.
Wenn du allerdings unter Interfaces > LAN unter IPv6 "none" einträgst, dann...kein v6 im pfsense LAN.

Bei DHCP ist KEIN gateway einzutragen (weder unter WAN noch LAN noch opt1 usw)... :) Ist nicht nötig, geht hier auch schon immer ohne...daran sollte es nicht liegen. Was sagt denn dort das dropdown Menu unter "deny unknown clients"? (erstmal sollte das ruhig auf "all" stehen, später dann ggf. anpassen...
 
Trag da einfach mal die entsprechende Interface-IP der Firewall (192.168.18.1) beim DHCP-Dienst für das LAN ein... dann einmal testen, ob es funktioniert
Ja, der Client bekommt dann die 192.168.18.30 mit Gateway .1.
danach das Gateway beim DHCP wieder raus und nochmal testen.
Jetzt auch, zum Glück habe ich ja den Screenshoot oben :) .
da ist kein Rückschluss auf v6 oder nicht draus zu ersehen.
Der Bytecount steht aber auf 0 bei IPv6
LAN unter IPv6 "none"
Hatte ich schon - sorry, nicht auf dem Schirm gehabt.
"deny unknown clients"? (erstmal sollte das ruhig auf "all" stehen
Ist so.
 
Nun stehe ich etwas auf dem Schlauch, wie ich die FW sinnvoll beginne einzurichten.
So ein IP any bringt ja nicht wirklich viel.
Alternativ kann ich auch erst einmal die Struktur weiter aufbauen -> OPT1 in den Carport bringen und OPT2 an das NAS tüddeln.
 
Moinsen,
na, dann sollten jetzt eigentlich auch alle Cllients im pfsensen LAN eine
- IP erhalten aus dem DHCP Pool zur dynamischen Vergabe
- wissen, wer DHCP und DNS Server in deinem LAN ist
-wissen, welches Gateway standardmäßig zu nutzen ist
Kurz: sollte eigentlich laufen...

Test:
Ping client auf LAN IF der pfsense?
Ping client im pfsense LAN > VFbox?
Ping client im pfsense LAN auf zB 8.8.8.8?
Ping client auf google.com?
Ping via pfsense selber auf VFbox?

Korrekte Auflösung von zb 8.8.8.8?
Richtigen DNS Server gefragt?
:)
 
Moinsen,
wie ich die FW sinnvoll beginne einzurichten
ich denke, dass du für LAN zunächst keine großen Regeln benötigst...warum auch, von hier soll ja vermutlich alles ins WAN dürfen.
Schraub also erstmal die übrigen Dinge fest (siehe vor-Post).

- ssh benötigt? Eingerichtet? Abgesichert?
- ggf. die Clienten ins LAN bringen und IPs reservieren?
- DHCP Pool passt? Keine Überlappung mit dem Bereich, der die reservierten IPs vorhält?
- ggf das Zertifikat für die webGUI anpassen (eigenes Zertifikat erstellen)? > CertManager ist dein Freund! Unter System > Certificates...
- BACKUP! ;)
 
So ein IP any bringt ja nicht wirklich viel.
Na doch... alles aus dem LAN kann überall hin 😁 Es muss ja "irgendwie, irgendwo, irgendwann" einen "Grund" dafür gegeben haben, weswegen Du Dich zu diesem Projekt entschlossen hast. Dann wäre "jetzt" der Zeitpunkt gekommen, dass man sich mal mit "Zettel und Stift" überlegt, a) was es an Netzen geben soll und b) welche Regeln bzgl. der Netze gelten sollen.
 
Moinsen,
genau aus den von @blurrrr genannten Gründen...
Aktuell hast du ja alles in einem (pfsense) LAN...da läuft dann nix über / durch die Firewall, es sei denn Richtung WAN, und das ist ja komplett erlaubt (für Internet und ggf. Geräte, die im VFbox Netz sind).
Wenn du dann aber mit Subnetzen / VLANs arbeitest, dann werden die Firewallregelen natürlich mit Sinn gefüllt, um hier die diversen Netze und Clienten sauber zu trennen (oder auch den Verkehr zu erlauben).
Und auch da bin ich ganz bei Blurrrr: lieber analog mit Zettel und Stift als gleich ran ans Gerät und alles wild einrichten....was du jetzt ausgiebig planst lässt sich später umso schneller umsetzen.
Für WAN benötigst du aktuell vermutlich (noch) nix, da aktuell kein zB VPN Server auf der pfsense läuft...
 
Jo, danke für die Hinweise, bin aber trotzdem etwas frustriert.
Klein und überschaubar wollte ich jetzt dann OPT1 nach dem gleichen Schema in Betrieb nehmen. Pustekuchen.
Adressen werden verteilt, ping bis auf 8.8.8.8 läuft aus diesem Netz.
Nslookup nicht. Was ist den an alle IF nicht zu verstehen für die blöde Box?
1694437438003.png
Und ein Zugriff aus dem 192.168.18.0 Netz in das 172.16.20.0 auf einen AP dort - nado!
Ping geht. Im Systemlog/FW/dynamic View -> keine Blocks. Alle Regeln loggen.
Und wieso zum Teufel ist bei Zeitzone Europa/Berlin dann eine Verschiebung -2h drin?
Ich muss nun erst einmal Rasen mähen...das funktioniert wenigstens.
Hoffentlich.
 
1) NAT-Regel
2) Firewall-Regel

EDIT: Soll heissen: Prüfen, ob entsprechende Regeln vorhanden sind in Bezug auf das Netz auf Interface OPT1 und falls nicht -> anlegen.
 
Moinsen,
OT: Rasen mähen? Scheint bei dir die Sonne heute nicht? Ich hab mal gelernt, dass Rasenmähen in direkter Sonne nicht so gut kommt... ;)
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.919
Beiträge
57.785
Mitglieder
5.882
Neuestes Mitglied
jospo
Zurück
Oben