Protectli FW4C - Netzwerkumbau Teil2
- Ersteller Fidibus
- Erstellt am
the other
Well-known member
Moinsen,
hast du
- für den DNS resolver auch das Netzwerk in den ACLs erlaubt?
- dafür gesorgt, dass der DNS resolver auch auf das Netzwerk (opt1) lauscht, damit er Anfragen auch bekommt?
Ich habe hier eben mal kurz den 2. PC an ein kurzfristig eingerichtetes opt1 gehängt...alles ok.
1. opt1 eingerichtet mit eigenem IP Bereich (Interfaces Assignments)
2. Scheunentorregel auf dem opt1 Interface angelegt
3. DHCP range eingerichtet
4. DNS resolver auf das neue opt1 lauschen lassen und
5. in den ACLs des resolvers den opt1 Adressbereich eingetragen.
Ergebnis:
Ping auf den Client in opt1...geht (sowohl von pfsense als auch vom 1. PC aus)
Ping aus opt1 hreaus auf 8.8.8.8....geht
Ping auf heise.de (DNS?)....geht
nslookup 8.8.8.8...geht
nslookup google.com....geht
hast du
- für den DNS resolver auch das Netzwerk in den ACLs erlaubt?
- dafür gesorgt, dass der DNS resolver auch auf das Netzwerk (opt1) lauscht, damit er Anfragen auch bekommt?
Ich habe hier eben mal kurz den 2. PC an ein kurzfristig eingerichtetes opt1 gehängt...alles ok.
1. opt1 eingerichtet mit eigenem IP Bereich (Interfaces Assignments)
2. Scheunentorregel auf dem opt1 Interface angelegt
3. DHCP range eingerichtet
4. DNS resolver auf das neue opt1 lauschen lassen und
5. in den ACLs des resolvers den opt1 Adressbereich eingetragen.
Ergebnis:
Ping auf den Client in opt1...geht (sowohl von pfsense als auch vom 1. PC aus)
Ping aus opt1 hreaus auf 8.8.8.8....geht
Ping auf heise.de (DNS?)....geht
nslookup 8.8.8.8...geht
nslookup google.com....geht
Moment! Eins nach dem anderen.
Noch kein Erfolg.
Da steht doch noch gar nichts drin, das LAN geht doch auch?
Genau deshalb, Rasen trocken und Strom vom Dach.
Ich weiß, aber ich dachte...mal angepasst.
Noch kein Erfolg.
Ist das nicht das, für alle IF?
Was ist den an alle IF nicht zu verstehen für die blöde Box?
Hier?
Da steht doch noch gar nichts drin, das LAN geht doch auch?
the other
Well-known member
Moinsen,
wähl bei den listening interfacces ruhig mal die benötigten einzeln aus (highlighten), dann speichern...
EDIT: hatte am Anfang auch "all" hier ausgesucht...nach einigen Berichten über Probleme dann die gewünschten IFs einzeln ausgewählt, gespeichert. Unbound zickt gerne mal rum...da kann ein freundliche Extraeinladung mit Schleife drumherum manchmal helfen.
Und ja, solange du nur mit dem einen Netzbereich arbeitest (LAN) ist für den resolver kein ACL Eintrag nötig. Du hast nun aber ein 2. Netzwerk unter opt1...also dessen IP Bereich hier erlauben. Dann nochmals versuchen, ob nslookup oder auch zB Ping google.com funktionieren aus opt1 heraus.
Bzgl. Rasen, ah, ok...alles klar. Na dann. Und? Sonnenstich jetzt? ;P
wähl bei den listening interfacces ruhig mal die benötigten einzeln aus (highlighten), dann speichern...
EDIT: hatte am Anfang auch "all" hier ausgesucht...nach einigen Berichten über Probleme dann die gewünschten IFs einzeln ausgewählt, gespeichert. Unbound zickt gerne mal rum...da kann ein freundliche Extraeinladung mit Schleife drumherum manchmal helfen.
Und ja, solange du nur mit dem einen Netzbereich arbeitest (LAN) ist für den resolver kein ACL Eintrag nötig. Du hast nun aber ein 2. Netzwerk unter opt1...also dessen IP Bereich hier erlauben. Dann nochmals versuchen, ob nslookup oder auch zB Ping google.com funktionieren aus opt1 heraus.
Bzgl. Rasen, ah, ok...alles klar. Na dann. Und? Sonnenstich jetzt? ;P
blurrrr
Well-known member
Kümmer Dich erstmal um's Routing, danach um DNS. Ping auf 8.8.8.8 "muss" funktionieren, sonst bringt Dir DNS auch nicht wirklich was, also immer schön der "Reihe" nach:
1) Ping Gateway (FW-Interface-IP von OPT1)
2) Ping Router (192.168.1.1)
3) Ping <irgendwas im Internet> (z.B. 8.8.8.8)
Kannst auch mal ruhig mit "tracert" (z.B. "tracert 8.8.8.8") die Route ins Internet verfolgen.
the other
Well-known member
Moinsen,
das wiederkehrende dhcp-Problem ist seltsam...
Wie sind denn die Konfigurationen für dhcp auf opt1? > screenshot
Hier wie gesagt null Probleme beim Laboraufbau vorhin, alles wie zu erwarten...daher auch meinerseits die Vermutung, dass ggf. einige hick-ups nicht unbedingt pfsense geschuldet sein könnten...
das wiederkehrende dhcp-Problem ist seltsam...
Wie sind denn die Konfigurationen für dhcp auf opt1? > screenshot
Hier wie gesagt null Probleme beim Laboraufbau vorhin, alles wie zu erwarten...daher auch meinerseits die Vermutung, dass ggf. einige hick-ups nicht unbedingt pfsense geschuldet sein könnten...
Ich habe die ACL auf dem Resolver gelöscht, dann habe ich IP bekommen und aus dem Netz 172.16.20.0 komme ich überall hin.
Ok, schon mal nicht schlecht.
Nun zum eigentlichen Problem, wo ich vorher hängen geblieben bin.
Aus dem 192.168.18.0 ins 172.16.20.0 auf den AP.
Also konkret: 192.168.18.106 (PC) -> 172.16.20.2 AP
Ich wiederhole die Regeln:
Muss ich irgendwo das Routing zwischen lokalen IF einschalten? Das sollte doch bestimmt so gehen.
BTW:
finde ich nicht ohne....
Ok, schon mal nicht schlecht.
Nun zum eigentlichen Problem, wo ich vorher hängen geblieben bin.
Aus dem 192.168.18.0 ins 172.16.20.0 auf den AP.
Also konkret: 192.168.18.106 (PC) -> 172.16.20.2 AP
Ich wiederhole die Regeln:
Muss ich irgendwo das Routing zwischen lokalen IF einschalten? Das sollte doch bestimmt so gehen.
BTW:
finde ich nicht ohne....
the other
Well-known member
Moinsen,
geht denn ein Ping auf den AP?
Sowohl mit IP als auch hostname?
Hat der AP ggf. eine eigene ACL, die da den (noch unbekannten?) Client blockt?
Ich frage deshalb, weil ich immer wieder lese, dass Menschen verzweifeln...kein Kontakt möglich zum Windows Client. Da ist es dann meist die Windows-interne Firewall, die das Problem verursacht, nicht die pfsense.
Routing zwischen den Interfaces muss nicht manuell angelegt werden, nein. Das passiert im Hintergrund.
geht denn ein Ping auf den AP?
Sowohl mit IP als auch hostname?
Hat der AP ggf. eine eigene ACL, die da den (noch unbekannten?) Client blockt?
Ich frage deshalb, weil ich immer wieder lese, dass Menschen verzweifeln...kein Kontakt möglich zum Windows Client. Da ist es dann meist die Windows-interne Firewall, die das Problem verursacht, nicht die pfsense.
Routing zwischen den Interfaces muss nicht manuell angelegt werden, nein. Das passiert im Hintergrund.
the other
Well-known member
Moinsen,
bei dem letzten Bild hab ich Dummbeutel die Message eben erst verstanden...dein protectli ist mit 45 Grad Celsius noch nicht gar.
Schau mal in das Produktdatenblatt, da sollten Angaben zur Temperatur enthalten sein (Leerlauf, Last, Höchstgrenze).
Vergiss nicht: es ist ein passiv gekühltes device, dazu noch mit (später) 2,5 Gbit/s LAN NICs (die auch zusätzlich heizen). Da sind die jetzt gezeigten 45 Grad voll ok, sagt mein Bauchgefühl.
Mein Apu steht im Keller kühl, hat das aber sicherlich auch und ist bis 90 Grad ausgelegt.
Wenn du später alles schick hast, den protectli untergebracht hast am Verweilort, dann kannst du ggf. immer noch einen Lüfter so positionieren, dass er über die Kühlrippen pustet und etwas Abhilfe bringt.
bei dem letzten Bild hab ich Dummbeutel die Message eben erst verstanden...dein protectli ist mit 45 Grad Celsius noch nicht gar.
Schau mal in das Produktdatenblatt, da sollten Angaben zur Temperatur enthalten sein (Leerlauf, Last, Höchstgrenze).
Vergiss nicht: es ist ein passiv gekühltes device, dazu noch mit (später) 2,5 Gbit/s LAN NICs (die auch zusätzlich heizen). Da sind die jetzt gezeigten 45 Grad voll ok, sagt mein Bauchgefühl.
Mein Apu steht im Keller kühl, hat das aber sicherlich auch und ist bis 90 Grad ausgelegt.
Wenn du später alles schick hast, den protectli untergebracht hast am Verweilort, dann kannst du ggf. immer noch einen Lüfter so positionieren, dass er über die Kühlrippen pustet und etwas Abhilfe bringt.
Aus dem 172.er ins 168er:
IPv6 ist disabled....daher finde ich den output merkwürdig.
Aus dem 192er:
Dazu muss ich sagen, dass ich dem AP eben erst den Namen verpasst habe, der hat so gar keinen.
(Automatisch IP ziehen lassen, dann hat er einen Namen mitgebracht, dann IP-Reservierung auf .2 gesetzt)
Aus dem 172er
So, nun muss ich für heute beenden...
Danke bis hierher.
IPv6 ist disabled....daher finde ich den output merkwürdig.
Aus dem 192er:
Dazu muss ich sagen, dass ich dem AP eben erst den Namen verpasst habe, der hat so gar keinen.
(Automatisch IP ziehen lassen, dann hat er einen Namen mitgebracht, dann IP-Reservierung auf .2 gesetzt)
Aus dem 172er
So, nun muss ich für heute beenden...
Danke bis hierher.
the other
Well-known member
Moinsen,
ist der AP denn "nur" auf dem AP selber benannt?
Du hast das doch dann auch sicherlich der pfsense bekannt gegeben, dass das Gerät unter 172.16.20.2 ab jetzt einen anderen hostnamen hat? Nicht dass der Eintrag noch fehlt, dann weiß die pfsense natürlich nicht, wen du meinst, schickt es weiter zu den obersten DNS Servern, die dich und deinen AP natürlich auch nicht kennen...
Und schönen Feierabend...
ist der AP denn "nur" auf dem AP selber benannt?
Du hast das doch dann auch sicherlich der pfsense bekannt gegeben, dass das Gerät unter 172.16.20.2 ab jetzt einen anderen hostnamen hat? Nicht dass der Eintrag noch fehlt, dann weiß die pfsense natürlich nicht, wen du meinst, schickt es weiter zu den obersten DNS Servern, die dich und deinen AP natürlich auch nicht kennen...
Und schönen Feierabend...
Nach 10 Stunden mitlesen tun mir auch langsam die Augen weh.
Moin,
und da ist er wieder - aber keine Angst, ich bin heute fernab der pfsense, kann also nix passieren.
Erst mal eine Zusammenfassung des bisherigen Geschehens:
Das sollte aber doch eigentlich egal sein, ich will den blöden AP wie gehabt über IP-Adresse ansprechen.
Also kurz gestern Sachstand beim Beenden:
Zugriff aus dem 172.16.20.er und dem 192.168.18.er ins Internet gehen.
Ping untereinander geht.
Ein Webaufruf von 192.168.18.106 auf 172.16.20.2 geht nicht.
Ich sehe im Log den http Aufruf mit TCP:S (mehr wird aber auch in Richtung I-Net nicht angezeigt, wo es funzt).
Ich sehe keine Deny's im Log.
Ich komme nun erst wieder morgen ans Gerät und habe keine Idee, wo ich gedanklich ansetzen kann.
und da ist er wieder - aber keine Angst, ich bin heute fernab der pfsense, kann also nix passieren.
Erst mal eine Zusammenfassung des bisherigen Geschehens:
Das ist Bullshit. Ich pinge vom Gerät mit den Namen "MIFCOM" auf sich selbst -> dieser Beitrag ist zu ignorieren.Aus dem 172.er ins 168er:
IPv6 ist disabled....daher finde ich den output merkwürdig.
So heißt mein Laptop -> frei nach der Schmiede, was es entstanden ist.
Da bin ich gestern auch gedanklich drüber gestolpert, daher hier die Kurzfassung:
Lasse ich den DHCP Dienst das Gerät selbst versorgen, ohne vorher eine Reservierung zu machen, dann bringt er den Namen sozusagen in das Erstellen einer Reservierung mit. Vorher hatte er nur eine Beschreibung von mir willkürlich bekommen.
Damit sollte das Thema behandelt sein. Oder meinst du....ich hatte da noch was gelesen, irgendwas mit Aufnahme des Namens in....ich hatte das ehr mit reverse Auflösung in Verbindung gebracht.
Das sollte aber doch eigentlich egal sein, ich will den blöden AP wie gehabt über IP-Adresse ansprechen.
Was ist das?
Also kurz gestern Sachstand beim Beenden:
Zugriff aus dem 172.16.20.er und dem 192.168.18.er ins Internet gehen.
Ping untereinander geht.
Ein Webaufruf von 192.168.18.106 auf 172.16.20.2 geht nicht.
Ich sehe im Log den http Aufruf mit TCP:S (mehr wird aber auch in Richtung I-Net nicht angezeigt, wo es funzt).
Ich sehe keine Deny's im Log.
Ich komme nun erst wieder morgen ans Gerät und habe keine Idee, wo ich gedanklich ansetzen kann.
Hmm....hab ich so viel Bullshit zusammengeschrieben?
blurrrr
Well-known member
Sicher nicht, es ging nur viel hin und herHmm....hab ich so viel Bullshit zusammengeschrieben?
Dann mach das auch einfach so.
LLA -> https://en.wikipedia.org/wiki/Link-local_address
Das kommt darauf an, wie die Regel konfiguriert ist. Legst Du eine Regel händisch an, hast Du recht weit unten in der Regel diese Option:
Desweiteren gibt es noch unter Status/System Logs/Settings folgende Option:
Hmm....hab ich so viel Bullshit zusammengeschrieben?
Genau so ist es. Und da dir hier eh schon zwei sehr kompetente Leute unter die Arme greifen, habe ich es vorgezogen, nicht noch mehr für Verwirrung zu sorgen. Trotzdem muss ich für mich feststellen, das ich damals zwar selbst ziemliche Probleme mit all dem hatte, jedoch scheinen deine Probleme ungleich größer zu sein und ich frag mich die ganze Zeit, woran das liegen könnte. Mir haben damals u.a. einige YouTube Videos sehr dabei geholfen, mein Horizont zu erweitern. Ebenso habe ich viel gelesen und mich informiert. Bei dir habe ich eher das Gefühl… und das ist jetzt absolut nicht bös gemeint… das du einfach Versuchst, nach dem Try and Error Prinzip ans Ziel zu kommen. Wie gesagt, das ist meine persönlich Meinung, wenn ich all deine bisherigen Aktionen Revue passieren lasse. Das soll jedoch nicht bedeuten, das ich dich für unfähig oder sonst was halte. Für mein Empfinden läuft das alles ziemlich chaotisch ab und Leute, die diesen Thread einmal lesen, werden sicherlich genauso denken. Aber gut…Sicher nicht, es ging nur viel hin und her
Ich tu mich ja selber schwer, euch zu folgen und daher kann ich auch nichts aus dem Ärmel schütteln, was dir weiterhelfen könnte. Ich müsste dafür wohl neben dir sitzen und das selber sehen um das für mich zu verstehen. Aber genug der Worte. Ich lehne mich wieder zurück und lausche euren Beiträgen. Sollte ich irgendwas konstruktives dazu beitragen können, melde ich mich natürlich zu Wort. Ansonsten hoffe ich, das du deine Ziele zeitnah erreichst
Tommes
Zurzeit aktive Besucher
Keine Mitglieder online.
