blurrrr
Well-known member
Montage haben es manchmal schon etwas in sich... Heute ging beim VoIP-Anbieter die Registrierung zwischen 6-10 Uhr nicht, was ein Spass...
Wird das denn sonderlich warm? Sollte ja eigentlich eher nicht so sein...
Protectli FW4C - Netzwerkumbau Teil2
- Ersteller Fidibus
- Erstellt am
Warm? Heiß!
Ich habe es jetzt mal etwas anders positioniert. Ich werde später mal die Temperatur schätzen.
So, nun ist das Teil wieder on. Ich habe eine Adresse aus dem 192.168.18.0/24 bekommen, das Gateway an der FW hat fest die 1.
Das WAN-IF hat bestimmungsgemäß die 192.168.1.49 wieder erhalten.
Auf dem WAN-IF ist
überprüft. Der Haken ist von mir entfernt, war vorher auch.
Der DNS-Resolver:
Ein Aufruf der VF-Box geht zum jetzigen Zeitpunkt nicht. Google auch nicht.
Erstes Suchen von mir:
Hat der Rechner kein Gateway bekommen? In der DHCP-Beschreibung steht drin:
"The default is to use the IP address of this firewall interface as the gateway. Specify an alternate gateway here if this is not the correct gateway for the network. Enter "none" for no gateway assignment."
Bei mir ist es frei/leer.
Und so sieht das IF aus.
NAT outbound ist wie gehabt und automatisch erstellt.
Hat der Rechner kein Gateway bekommen? In der DHCP-Beschreibung steht drin:
"The default is to use the IP address of this firewall interface as the gateway. Specify an alternate gateway here if this is not the correct gateway for the network. Enter "none" for no gateway assignment."
Bei mir ist es frei/leer.
Und so sieht das IF aus.
NAT outbound ist wie gehabt und automatisch erstellt.
blurrrr
Well-known member
Das ist korrekt soweit, DHCP brauchst Du nur an zwei Stellen:
1) Firewall-WAN (muss ja wissen, wo es weiter geht, wäre die IP vom Router)
2) Clients (verteilt via DHCP), damit die Clients wissen, wohin sie Pakete schicken müssen, wenn sie das Zielnetz nicht kennen
Das sollte aber eigentlich standardmässig drin sein... Kannst mal "von" der Firewall einen "ping" in Richtung "8.8.8.8" anstossen (ebenso mal einen DNS-Test).
1) Firewall-WAN (muss ja wissen, wo es weiter geht, wäre die IP vom Router)
2) Clients (verteilt via DHCP), damit die Clients wissen, wohin sie Pakete schicken müssen, wenn sie das Zielnetz nicht kennen
Das sollte aber eigentlich standardmässig drin sein... Kannst mal "von" der Firewall einen "ping" in Richtung "8.8.8.8" anstossen (ebenso mal einen DNS-Test).
the other
Well-known member
Moinsen,
auch auf die Gefahr, dass ICH mich irre:
dein VFbox Netz hat die 192.168.1.0/24 (pfsense WAN .49)
dein pfsense LAN hat die 192.168.18.0/24 (pfsense LAN .1)
Das WAN IF kannst du zB auch mit static IPv4 wählen, hier muss das Gateway rein: die IP der VFbox
Das LAN IF bekommt KEIN gateway ("None"), denn dies wird automagisch mitgeteilt...hier nur ein gateway auswählen, wenn es ein gänzlich anderes ist (trifft bei dir nicht zu).
Also bisher alles in Ordnung...
Unter System > Routing muss das Gateway (IP der VF box) erscheinen.
edit: LAN IP angepasst
auch auf die Gefahr, dass ICH mich irre:
dein VFbox Netz hat die 192.168.1.0/24 (pfsense WAN .49)
dein pfsense LAN hat die 192.168.18.0/24 (pfsense LAN .1)
Das WAN IF kannst du zB auch mit static IPv4 wählen, hier muss das Gateway rein: die IP der VFbox
Das LAN IF bekommt KEIN gateway ("None"), denn dies wird automagisch mitgeteilt...hier nur ein gateway auswählen, wenn es ein gänzlich anderes ist (trifft bei dir nicht zu).
Also bisher alles in Ordnung...
Unter System > Routing muss das Gateway (IP der VF box) erscheinen.
edit: LAN IP angepasst
Zuletzt bearbeitet:
blurrrr
Well-known member
@the other Firewall-LAN hat laut Aussage die 192.168.18.0/24
Ich habe meinem Client nun händisch einen (anderen) DHCP-Eintrag verpasst, sozusagen statisches DHCP.
Nun hat mein Client auch ein Gateway bekommen
und der der Rest funktioniert erst einmal.
Warum in der ersten DHCP-Zuweisung der Client kein Gateway bekommt, keine Ahnung.
Jetzt, in diesem Stand, funktioniert der Internetzugriff.
Nach diesem Bild sollte es auch rein IPv4 sein - ist das korrekt?
Nun hat mein Client auch ein Gateway bekommen
und der der Rest funktioniert erst einmal.
Warum in der ersten DHCP-Zuweisung der Client kein Gateway bekommt, keine Ahnung.
Jetzt, in diesem Stand, funktioniert der Internetzugriff.
Nach diesem Bild sollte es auch rein IPv4 sein - ist das korrekt?
blurrrr
Well-known member
Öhm... das ist aber schon recht strange, zumal "ohne Eintrag" sollte die entsprechende Interface-IP der pfSense verteilt werden... Trag da einfach mal die entsprechende Interface-IP der Firewall (192.168.18.1) beim DHCP-Dienst für das LAN ein... dann einmal testen, ob es funktioniert, danach das Gateway beim DHCP wieder raus und nochmal testen.
the other
Well-known member
Moinsen,
die Terminalabfragen sehen gut aus.
Das letzte Bild zeigt einfach nur die Firewallregeln, da ist kein Rückschluss auf v6 oder nicht draus zu ersehen.
Wenn du allerdings unter Interfaces > LAN unter IPv6 "none" einträgst, dann...kein v6 im pfsense LAN.
Bei DHCP ist KEIN gateway einzutragen (weder unter WAN noch LAN noch opt1 usw)... Ist nicht nötig, geht hier auch schon immer ohne...daran sollte es nicht liegen. Was sagt denn dort das dropdown Menu unter "deny unknown clients"? (erstmal sollte das ruhig auf "all" stehen, später dann ggf. anpassen...
die Terminalabfragen sehen gut aus.
Das letzte Bild zeigt einfach nur die Firewallregeln, da ist kein Rückschluss auf v6 oder nicht draus zu ersehen.
Wenn du allerdings unter Interfaces > LAN unter IPv6 "none" einträgst, dann...kein v6 im pfsense LAN.
Bei DHCP ist KEIN gateway einzutragen (weder unter WAN noch LAN noch opt1 usw)...
Ist nicht nötig, geht hier auch schon immer ohne...daran sollte es nicht liegen. Was sagt denn dort das dropdown Menu unter "deny unknown clients"? (erstmal sollte das ruhig auf "all" stehen, später dann ggf. anpassen...Ja, der Client bekommt dann die 192.168.18.30 mit Gateway .1.
Jetzt auch, zum Glück habe ich ja den Screenshoot oben
.Der Bytecount steht aber auf 0 bei IPv6
Hatte ich schon - sorry, nicht auf dem Schirm gehabt.
Ist so.
the other
Well-known member
Moinsen,
na, dann sollten jetzt eigentlich auch alle Cllients im pfsensen LAN eine
- IP erhalten aus dem DHCP Pool zur dynamischen Vergabe
- wissen, wer DHCP und DNS Server in deinem LAN ist
-wissen, welches Gateway standardmäßig zu nutzen ist
Kurz: sollte eigentlich laufen...
Test:
Ping client auf LAN IF der pfsense?
Ping client im pfsense LAN > VFbox?
Ping client im pfsense LAN auf zB 8.8.8.8?
Ping client auf google.com?
Ping via pfsense selber auf VFbox?
Korrekte Auflösung von zb 8.8.8.8?
Richtigen DNS Server gefragt?
na, dann sollten jetzt eigentlich auch alle Cllients im pfsensen LAN eine
- IP erhalten aus dem DHCP Pool zur dynamischen Vergabe
- wissen, wer DHCP und DNS Server in deinem LAN ist
-wissen, welches Gateway standardmäßig zu nutzen ist
Kurz: sollte eigentlich laufen...
Test:
Ping client auf LAN IF der pfsense?
Ping client im pfsense LAN > VFbox?
Ping client im pfsense LAN auf zB 8.8.8.8?
Ping client auf google.com?
Ping via pfsense selber auf VFbox?
Korrekte Auflösung von zb 8.8.8.8?
Richtigen DNS Server gefragt?
the other
Well-known member
Moinsen,
Schraub also erstmal die übrigen Dinge fest (siehe vor-Post).
- ssh benötigt? Eingerichtet? Abgesichert?
- ggf. die Clienten ins LAN bringen und IPs reservieren?
- DHCP Pool passt? Keine Überlappung mit dem Bereich, der die reservierten IPs vorhält?
- ggf das Zertifikat für die webGUI anpassen (eigenes Zertifikat erstellen)? > CertManager ist dein Freund! Unter System > Certificates...
- BACKUP!
ich denke, dass du für LAN zunächst keine großen Regeln benötigst...warum auch, von hier soll ja vermutlich alles ins WAN dürfen.
Schraub also erstmal die übrigen Dinge fest (siehe vor-Post).
- ssh benötigt? Eingerichtet? Abgesichert?
- ggf. die Clienten ins LAN bringen und IPs reservieren?
- DHCP Pool passt? Keine Überlappung mit dem Bereich, der die reservierten IPs vorhält?
- ggf das Zertifikat für die webGUI anpassen (eigenes Zertifikat erstellen)? > CertManager ist dein Freund! Unter System > Certificates...
- BACKUP!
blurrrr
Well-known member
Na doch... alles aus dem LAN kann überall hin
Es muss ja "irgendwie, irgendwo, irgendwann" einen "Grund" dafür gegeben haben, weswegen Du Dich zu diesem Projekt entschlossen hast. Dann wäre "jetzt" der Zeitpunkt gekommen, dass man sich mal mit "Zettel und Stift" überlegt, a) was es an Netzen geben soll und b) welche Regeln bzgl. der Netze gelten sollen.
the other
Well-known member
Moinsen,
genau aus den von @blurrrr genannten Gründen...
Aktuell hast du ja alles in einem (pfsense) LAN...da läuft dann nix über / durch die Firewall, es sei denn Richtung WAN, und das ist ja komplett erlaubt (für Internet und ggf. Geräte, die im VFbox Netz sind).
Wenn du dann aber mit Subnetzen / VLANs arbeitest, dann werden die Firewallregelen natürlich mit Sinn gefüllt, um hier die diversen Netze und Clienten sauber zu trennen (oder auch den Verkehr zu erlauben).
Und auch da bin ich ganz bei Blurrrr: lieber analog mit Zettel und Stift als gleich ran ans Gerät und alles wild einrichten....was du jetzt ausgiebig planst lässt sich später umso schneller umsetzen.
Für WAN benötigst du aktuell vermutlich (noch) nix, da aktuell kein zB VPN Server auf der pfsense läuft...
genau aus den von @blurrrr genannten Gründen...
Aktuell hast du ja alles in einem (pfsense) LAN...da läuft dann nix über / durch die Firewall, es sei denn Richtung WAN, und das ist ja komplett erlaubt (für Internet und ggf. Geräte, die im VFbox Netz sind).
Wenn du dann aber mit Subnetzen / VLANs arbeitest, dann werden die Firewallregelen natürlich mit Sinn gefüllt, um hier die diversen Netze und Clienten sauber zu trennen (oder auch den Verkehr zu erlauben).
Und auch da bin ich ganz bei Blurrrr: lieber analog mit Zettel und Stift als gleich ran ans Gerät und alles wild einrichten....was du jetzt ausgiebig planst lässt sich später umso schneller umsetzen.
Für WAN benötigst du aktuell vermutlich (noch) nix, da aktuell kein zB VPN Server auf der pfsense läuft...
Jo, danke für die Hinweise, bin aber trotzdem etwas frustriert.
Klein und überschaubar wollte ich jetzt dann OPT1 nach dem gleichen Schema in Betrieb nehmen. Pustekuchen.
Adressen werden verteilt, ping bis auf 8.8.8.8 läuft aus diesem Netz.
Nslookup nicht. Was ist den an alle IF nicht zu verstehen für die blöde Box?
Und ein Zugriff aus dem 192.168.18.0 Netz in das 172.16.20.0 auf einen AP dort - nado!
Ping geht. Im Systemlog/FW/dynamic View -> keine Blocks. Alle Regeln loggen.
Und wieso zum Teufel ist bei Zeitzone Europa/Berlin dann eine Verschiebung -2h drin?
Ich muss nun erst einmal Rasen mähen...das funktioniert wenigstens.
Hoffentlich.
Klein und überschaubar wollte ich jetzt dann OPT1 nach dem gleichen Schema in Betrieb nehmen. Pustekuchen.
Adressen werden verteilt, ping bis auf 8.8.8.8 läuft aus diesem Netz.
Nslookup nicht. Was ist den an alle IF nicht zu verstehen für die blöde Box?
Und ein Zugriff aus dem 192.168.18.0 Netz in das 172.16.20.0 auf einen AP dort - nado!
Ping geht. Im Systemlog/FW/dynamic View -> keine Blocks. Alle Regeln loggen.
Und wieso zum Teufel ist bei Zeitzone Europa/Berlin dann eine Verschiebung -2h drin?
Ich muss nun erst einmal Rasen mähen...das funktioniert wenigstens.
Hoffentlich.