Protectli FW4C - Netzwerkumbau Teil2

LAN: IPv4 *
vs
OPT1: IPv4 TCP/UDP

...macht schon einen kleinen aber feinen Unterschied. NAT sieht ganz gut aus. Wenn der Resolver nun auch auf dem OPT1-Interface lauscht, sollte es eigentlich passen.
 
Moinsen,
hast du
- für den DNS resolver auch das Netzwerk in den ACLs erlaubt?
- dafür gesorgt, dass der DNS resolver auch auf das Netzwerk (opt1) lauscht, damit er Anfragen auch bekommt?

Ich habe hier eben mal kurz den 2. PC an ein kurzfristig eingerichtetes opt1 gehängt...alles ok.
1. opt1 eingerichtet mit eigenem IP Bereich (Interfaces Assignments)
2. Scheunentorregel auf dem opt1 Interface angelegt
3. DHCP range eingerichtet
4. DNS resolver auf das neue opt1 lauschen lassen und
5. in den ACLs des resolvers den opt1 Adressbereich eingetragen.

Ergebnis:
Ping auf den Client in opt1...geht (sowohl von pfsense als auch vom 1. PC aus)
Ping aus opt1 hreaus auf 8.8.8.8....geht
Ping auf heise.de (DNS?)....geht
nslookup 8.8.8.8...geht
nslookup google.com....geht
;)
 
Moment! Eins nach dem anderen.
Scheint bei dir die Sonne heute nicht?
Genau deshalb, Rasen trocken und Strom vom Dach.
LAN: IPv4 *
vs
OPT1: IPv4 TCP/UDP
Ich weiß, aber ich dachte...mal angepasst.
Noch kein Erfolg.
4. DNS resolver auf das neue opt1 lauschen lassen
Ist das nicht das, für alle IF?
Was ist den an alle IF nicht zu verstehen für die blöde Box?
1694437438003.png
5. in den ACLs des resolvers den opt1 Adressbereich eingetragen.
Hier?
1694444281831.png
Da steht doch noch gar nichts drin, das LAN geht doch auch?
 
Moinsen,
wähl bei den listening interfacces ruhig mal die benötigten einzeln aus (highlighten), dann speichern...
EDIT: hatte am Anfang auch "all" hier ausgesucht...nach einigen Berichten über Probleme dann die gewünschten IFs einzeln ausgewählt, gespeichert. Unbound zickt gerne mal rum...da kann ein freundliche Extraeinladung mit Schleife drumherum manchmal helfen. :)
Und ja, solange du nur mit dem einen Netzbereich arbeitest (LAN) ist für den resolver kein ACL Eintrag nötig. Du hast nun aber ein 2. Netzwerk unter opt1...also dessen IP Bereich hier erlauben. Dann nochmals versuchen, ob nslookup oder auch zB Ping google.com funktionieren aus opt1 heraus. :)
Bzgl. Rasen, ah, ok...alles klar. Na dann. Und? Sonnenstich jetzt? ;P
 
ping bis auf 8.8.8.8 läuft aus diesem Netz.
Nslookup nicht.
Kümmer Dich erstmal um's Routing, danach um DNS. Ping auf 8.8.8.8 "muss" funktionieren, sonst bringt Dir DNS auch nicht wirklich was, also immer schön der "Reihe" nach:

1) Ping Gateway (FW-Interface-IP von OPT1)
2) Ping Router (192.168.1.1)
3) Ping <irgendwas im Internet> (z.B. 8.8.8.8)

Kannst auch mal ruhig mit "tracert" (z.B. "tracert 8.8.8.8") die Route ins Internet verfolgen.
 
Wobei es langsam losgeht, wie beim letzten Versuch.
Ich habe eben keine IP-Adresse mehr auf OPT1 erhalten.
 
Das habe ich so ausgelegt, als würde es "nicht" laufen, dann ist ja okay, dann ist es nur noch ein DNS-Ding :)

Keine IP mehr? DHCP läuft aber? Eventuell mal das Kabel auf korrekten Sitz prüfen, ggf. mal ein anderes ausprobieren.
 
Moinsen,
das wiederkehrende dhcp-Problem ist seltsam...
Wie sind denn die Konfigurationen für dhcp auf opt1? > screenshot
Hier wie gesagt null Probleme beim Laboraufbau vorhin, alles wie zu erwarten...daher auch meinerseits die Vermutung, dass ggf. einige hick-ups nicht unbedingt pfsense geschuldet sein könnten...
 
Ich habe die ACL auf dem Resolver gelöscht, dann habe ich IP bekommen und aus dem Netz 172.16.20.0 komme ich überall hin.
1694450545490.png
Ok, schon mal nicht schlecht.
Nun zum eigentlichen Problem, wo ich vorher hängen geblieben bin.
Aus dem 192.168.18.0 ins 172.16.20.0 auf den AP.
Also konkret: 192.168.18.106 (PC) -> 172.16.20.2 AP
1694450767733.png
Ich wiederhole die Regeln:
AA1.jpg
Muss ich irgendwo das Routing zwischen lokalen IF einschalten? Das sollte doch bestimmt so gehen.
BTW:
finde ich nicht ohne....
20230911_143449.jpg
 
Moinsen,
geht denn ein Ping auf den AP?
Sowohl mit IP als auch hostname?

Hat der AP ggf. eine eigene ACL, die da den (noch unbekannten?) Client blockt?
Ich frage deshalb, weil ich immer wieder lese, dass Menschen verzweifeln...kein Kontakt möglich zum Windows Client. Da ist es dann meist die Windows-interne Firewall, die das Problem verursacht, nicht die pfsense.

Routing zwischen den Interfaces muss nicht manuell angelegt werden, nein. Das passiert im Hintergrund.
 
Moinsen,
bei dem letzten Bild hab ich Dummbeutel die Message eben erst verstanden...dein protectli ist mit 45 Grad Celsius noch nicht gar. ;)

Schau mal in das Produktdatenblatt, da sollten Angaben zur Temperatur enthalten sein (Leerlauf, Last, Höchstgrenze).
Vergiss nicht: es ist ein passiv gekühltes device, dazu noch mit (später) 2,5 Gbit/s LAN NICs (die auch zusätzlich heizen). Da sind die jetzt gezeigten 45 Grad voll ok, sagt mein Bauchgefühl.
Mein Apu steht im Keller kühl, hat das aber sicherlich auch und ist bis 90 Grad ausgelegt.
Wenn du später alles schick hast, den protectli untergebracht hast am Verweilort, dann kannst du ggf. immer noch einen Lüfter so positionieren, dass er über die Kühlrippen pustet und etwas Abhilfe bringt.
 
Aus dem 172.er ins 168er:
1694453341348.png
IPv6 ist disabled....daher finde ich den output merkwürdig.
Aus dem 192er:
1694454375359.png
Dazu muss ich sagen, dass ich dem AP eben erst den Namen verpasst habe, der hat so gar keinen.
(Automatisch IP ziehen lassen, dann hat er einen Namen mitgebracht, dann IP-Reservierung auf .2 gesetzt)
Aus dem 172er
1694454228763.png
So, nun muss ich für heute beenden...
Danke bis hierher.
 
Moinsen,
ist der AP denn "nur" auf dem AP selber benannt?
Du hast das doch dann auch sicherlich der pfsense bekannt gegeben, dass das Gerät unter 172.16.20.2 ab jetzt einen anderen hostnamen hat? Nicht dass der Eintrag noch fehlt, dann weiß die pfsense natürlich nicht, wen du meinst, schickt es weiter zu den obersten DNS Servern, die dich und deinen AP natürlich auch nicht kennen...
Und schönen Feierabend... ;)
 
Moinsen,
und ein kurze Rückfrage zum ersten screenshot in Post #94:
was ist MIFCOM? Zufällig ein pfsense Interface?
Denn eine LLA über Netzwerke hinweg zu pingen, zumal in dem Netzwerk ja kein Client mit IPv6 vorhanden...hm?
 
Moin,
und da ist er wieder - aber keine Angst, ich bin heute fernab der pfsense, kann also nix passieren.
Erst mal eine Zusammenfassung des bisherigen Geschehens:
Aus dem 172.er ins 168er:
1694453341348.png
IPv6 ist disabled....daher finde ich den output merkwürdig.
Das ist Bullshit. Ich pinge vom Gerät mit den Namen "MIFCOM" auf sich selbst -> dieser Beitrag ist zu ignorieren.
So heißt mein Laptop -> frei nach der Schmiede, was es entstanden ist.
ist der AP denn "nur" auf dem AP selber benannt?
Da bin ich gestern auch gedanklich drüber gestolpert, daher hier die Kurzfassung:
(Automatisch IP ziehen lassen, dann hat er einen Namen mitgebracht, dann IP-Reservierung auf .2 gesetzt)
Lasse ich den DHCP Dienst das Gerät selbst versorgen, ohne vorher eine Reservierung zu machen, dann bringt er den Namen sozusagen in das Erstellen einer Reservierung mit. Vorher hatte er nur eine Beschreibung von mir willkürlich bekommen.
Du hast das doch dann auch sicherlich der pfsense bekannt gegeben, dass das Gerät unter 172.16.20.2 ab jetzt einen anderen hostnamen hat?
Damit sollte das Thema behandelt sein. Oder meinst du....ich hatte da noch was gelesen, irgendwas mit Aufnahme des Namens in....ich hatte das ehr mit reverse Auflösung in Verbindung gebracht.
Das sollte aber doch eigentlich egal sein, ich will den blöden AP wie gehabt über IP-Adresse ansprechen.
Was ist das?
Also kurz gestern Sachstand beim Beenden:
Zugriff aus dem 172.16.20.er und dem 192.168.18.er ins Internet gehen.
Ping untereinander geht.
Ein Webaufruf von 192.168.18.106 auf 172.16.20.2 geht nicht.
Ich sehe im Log den http Aufruf mit TCP:S (mehr wird aber auch in Richtung I-Net nicht angezeigt, wo es funzt).
Ich sehe keine Deny's im Log.
Ich komme nun erst wieder morgen ans Gerät und habe keine Idee, wo ich gedanklich ansetzen kann.
Nach 10 Stunden mitlesen tun mir auch langsam die Augen weh.
Hmm....hab ich so viel Bullshit zusammengeschrieben?:oops:
 
Hmm....hab ich so viel Bullshit zusammengeschrieben?:oops:
Sicher nicht, es ging nur viel hin und her ☺️

Das sollte aber doch eigentlich egal sein, ich will den blöden AP wie gehabt über IP-Adresse ansprechen.
Dann mach das auch einfach so.

LLA -> https://en.wikipedia.org/wiki/Link-local_address

Ich sehe keine Deny's im Log.
Das kommt darauf an, wie die Regel konfiguriert ist. Legst Du eine Regel händisch an, hast Du recht weit unten in der Regel diese Option:

1694500196461.png

Desweiteren gibt es noch unter Status/System Logs/Settings folgende Option:

1694500258218.png
 
Hmm....hab ich so viel Bullshit zusammengeschrieben?:oops:
Sicher nicht, es ging nur viel hin und her ☺️
Genau so ist es. Und da dir hier eh schon zwei sehr kompetente Leute unter die Arme greifen, habe ich es vorgezogen, nicht noch mehr für Verwirrung zu sorgen. Trotzdem muss ich für mich feststellen, das ich damals zwar selbst ziemliche Probleme mit all dem hatte, jedoch scheinen deine Probleme ungleich größer zu sein und ich frag mich die ganze Zeit, woran das liegen könnte. Mir haben damals u.a. einige YouTube Videos sehr dabei geholfen, mein Horizont zu erweitern. Ebenso habe ich viel gelesen und mich informiert. Bei dir habe ich eher das Gefühl… und das ist jetzt absolut nicht bös gemeint… das du einfach Versuchst, nach dem Try and Error Prinzip ans Ziel zu kommen. Wie gesagt, das ist meine persönlich Meinung, wenn ich all deine bisherigen Aktionen Revue passieren lasse. Das soll jedoch nicht bedeuten, das ich dich für unfähig oder sonst was halte. Für mein Empfinden läuft das alles ziemlich chaotisch ab und Leute, die diesen Thread einmal lesen, werden sicherlich genauso denken. Aber gut…

Ich tu mich ja selber schwer, euch zu folgen und daher kann ich auch nichts aus dem Ärmel schütteln, was dir weiterhelfen könnte. Ich müsste dafür wohl neben dir sitzen und das selber sehen um das für mich zu verstehen. Aber genug der Worte. Ich lehne mich wieder zurück und lausche euren Beiträgen. Sollte ich irgendwas konstruktives dazu beitragen können, melde ich mich natürlich zu Wort. Ansonsten hoffe ich, das du deine Ziele zeitnah erreichst

Tommes
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.592
Beiträge
55.030
Mitglieder
5.436
Neuestes Mitglied
thnhawaii
Zurück
Oben