blurrrr
Well-known member
Montage haben es manchmal schon etwas in sich... Heute ging beim VoIP-Anbieter die Registrierung zwischen 6-10 Uhr nicht, was ein Spass...
Wird das denn sonderlich warm? Sollte ja eigentlich eher nicht so sein...
Protectli FW4C - Netzwerkumbau Teil2
- Ersteller Fidibus
- Erstellt am
Warm? HeiĂ!
Ich habe es jetzt mal etwas anders positioniert. Ich werde spÀter mal die Temperatur schÀtzen.
So, nun ist das Teil wieder on. Ich habe eine Adresse aus dem 192.168.18.0/24 bekommen, das Gateway an der FW hat fest die 1.
Das WAN-IF hat bestimmungsgemÀà die 192.168.1.49 wieder erhalten.
Auf dem WAN-IF ist
ĂŒberprĂŒft. Der Haken ist von mir entfernt, war vorher auch.
Der DNS-Resolver:
Ein Aufruf der VF-Box geht zum jetzigen Zeitpunkt nicht. Google auch nicht.
Erstes Suchen von mir:
Hat der Rechner kein Gateway bekommen? In der DHCP-Beschreibung steht drin:
"The default is to use the IP address of this firewall interface as the gateway. Specify an alternate gateway here if this is not the correct gateway for the network. Enter "none" for no gateway assignment."
Bei mir ist es frei/leer.
Und so sieht das IF aus.
NAT outbound ist wie gehabt und automatisch erstellt.
Hat der Rechner kein Gateway bekommen? In der DHCP-Beschreibung steht drin:
"The default is to use the IP address of this firewall interface as the gateway. Specify an alternate gateway here if this is not the correct gateway for the network. Enter "none" for no gateway assignment."
Bei mir ist es frei/leer.
Und so sieht das IF aus.
NAT outbound ist wie gehabt und automatisch erstellt.
blurrrr
Well-known member
Das ist korrekt soweit, DHCP brauchst Du nur an zwei Stellen:
1) Firewall-WAN (muss ja wissen, wo es weiter geht, wÀre die IP vom Router)
2) Clients (verteilt via DHCP), damit die Clients wissen, wohin sie Pakete schicken mĂŒssen, wenn sie das Zielnetz nicht kennen
Das sollte aber eigentlich standardmÀssig drin sein... Kannst mal "von" der Firewall einen "ping" in Richtung "8.8.8.8" anstossen (ebenso mal einen DNS-Test).
1) Firewall-WAN (muss ja wissen, wo es weiter geht, wÀre die IP vom Router)
2) Clients (verteilt via DHCP), damit die Clients wissen, wohin sie Pakete schicken mĂŒssen, wenn sie das Zielnetz nicht kennen
Das sollte aber eigentlich standardmÀssig drin sein... Kannst mal "von" der Firewall einen "ping" in Richtung "8.8.8.8" anstossen (ebenso mal einen DNS-Test).
the other
Well-known member
Moinsen,
auch auf die Gefahr, dass ICH mich irre:
dein VFbox Netz hat die 192.168.1.0/24 (pfsense WAN .49)
dein pfsense LAN hat die 192.168.18.0/24 (pfsense LAN .1)
Das WAN IF kannst du zB auch mit static IPv4 wÀhlen, hier muss das Gateway rein: die IP der VFbox
Das LAN IF bekommt KEIN gateway ("None"), denn dies wird automagisch mitgeteilt...hier nur ein gateway auswÀhlen, wenn es ein gÀnzlich anderes ist (trifft bei dir nicht zu).
Also bisher alles in Ordnung...
Unter System > Routing muss das Gateway (IP der VF box) erscheinen.
edit: LAN IP angepasst
auch auf die Gefahr, dass ICH mich irre:
dein VFbox Netz hat die 192.168.1.0/24 (pfsense WAN .49)
dein pfsense LAN hat die 192.168.18.0/24 (pfsense LAN .1)
Das WAN IF kannst du zB auch mit static IPv4 wÀhlen, hier muss das Gateway rein: die IP der VFbox
Das LAN IF bekommt KEIN gateway ("None"), denn dies wird automagisch mitgeteilt...hier nur ein gateway auswÀhlen, wenn es ein gÀnzlich anderes ist (trifft bei dir nicht zu).
Also bisher alles in Ordnung...
Unter System > Routing muss das Gateway (IP der VF box) erscheinen.
edit: LAN IP angepasst
Zuletzt bearbeitet:
blurrrr
Well-known member
@the other Firewall-LAN hat laut Aussage die 192.168.18.0/24 
Ich habe meinem Client nun hÀndisch einen (anderen) DHCP-Eintrag verpasst, sozusagen statisches DHCP.
Nun hat mein Client auch ein Gateway bekommen
und der der Rest funktioniert erst einmal.
Warum in der ersten DHCP-Zuweisung der Client kein Gateway bekommt, keine Ahnung.
Jetzt, in diesem Stand, funktioniert der Internetzugriff.
Nach diesem Bild sollte es auch rein IPv4 sein - ist das korrekt?
Nun hat mein Client auch ein Gateway bekommen
und der der Rest funktioniert erst einmal.
Warum in der ersten DHCP-Zuweisung der Client kein Gateway bekommt, keine Ahnung.
Jetzt, in diesem Stand, funktioniert der Internetzugriff.
Nach diesem Bild sollte es auch rein IPv4 sein - ist das korrekt?
blurrrr
Well-known member
Ăhm... das ist aber schon recht strange, zumal "ohne Eintrag" sollte die entsprechende Interface-IP der pfSense verteilt werden... Trag da einfach mal die entsprechende Interface-IP der Firewall (192.168.18.1) beim DHCP-Dienst fĂŒr das LAN ein... dann einmal testen, ob es funktioniert, danach das Gateway beim DHCP wieder raus und nochmal testen.
the other
Well-known member
Moinsen,
die Terminalabfragen sehen gut aus.
Das letzte Bild zeigt einfach nur die Firewallregeln, da ist kein RĂŒckschluss auf v6 oder nicht draus zu ersehen.
Wenn du allerdings unter Interfaces > LAN unter IPv6 "none" eintrÀgst, dann...kein v6 im pfsense LAN.
Bei DHCP ist KEIN gateway einzutragen (weder unter WAN noch LAN noch opt1 usw)... Ist nicht nötig, geht hier auch schon immer ohne...daran sollte es nicht liegen. Was sagt denn dort das dropdown Menu unter "deny unknown clients"? (erstmal sollte das ruhig auf "all" stehen, spÀter dann ggf. anpassen...
die Terminalabfragen sehen gut aus.
Das letzte Bild zeigt einfach nur die Firewallregeln, da ist kein RĂŒckschluss auf v6 oder nicht draus zu ersehen.
Wenn du allerdings unter Interfaces > LAN unter IPv6 "none" eintrÀgst, dann...kein v6 im pfsense LAN.
Bei DHCP ist KEIN gateway einzutragen (weder unter WAN noch LAN noch opt1 usw)...
Ist nicht nötig, geht hier auch schon immer ohne...daran sollte es nicht liegen. Was sagt denn dort das dropdown Menu unter "deny unknown clients"? (erstmal sollte das ruhig auf "all" stehen, spÀter dann ggf. anpassen...Ja, der Client bekommt dann die 192.168.18.30 mit Gateway .1.
Jetzt auch, zum GlĂŒck habe ich ja den Screenshoot oben
.Der Bytecount steht aber auf 0 bei IPv6
Hatte ich schon - sorry, nicht auf dem Schirm gehabt.
Ist so.
the other
Well-known member
Moinsen,
na, dann sollten jetzt eigentlich auch alle Cllients im pfsensen LAN eine
- IP erhalten aus dem DHCP Pool zur dynamischen Vergabe
- wissen, wer DHCP und DNS Server in deinem LAN ist
-wissen, welches Gateway standardmĂ€Ăig zu nutzen ist
Kurz: sollte eigentlich laufen...
Test:
Ping client auf LAN IF der pfsense?
Ping client im pfsense LAN > VFbox?
Ping client im pfsense LAN auf zB 8.8.8.8?
Ping client auf google.com?
Ping via pfsense selber auf VFbox?
Korrekte Auflösung von zb 8.8.8.8?
Richtigen DNS Server gefragt?
na, dann sollten jetzt eigentlich auch alle Cllients im pfsensen LAN eine
- IP erhalten aus dem DHCP Pool zur dynamischen Vergabe
- wissen, wer DHCP und DNS Server in deinem LAN ist
-wissen, welches Gateway standardmĂ€Ăig zu nutzen ist
Kurz: sollte eigentlich laufen...
Test:
Ping client auf LAN IF der pfsense?
Ping client im pfsense LAN > VFbox?
Ping client im pfsense LAN auf zB 8.8.8.8?
Ping client auf google.com?
Ping via pfsense selber auf VFbox?
Korrekte Auflösung von zb 8.8.8.8?
Richtigen DNS Server gefragt?
the other
Well-known member
Moinsen,
Schraub also erstmal die ĂŒbrigen Dinge fest (siehe vor-Post).
- ssh benötigt? Eingerichtet? Abgesichert?
- ggf. die Clienten ins LAN bringen und IPs reservieren?
- DHCP Pool passt? Keine Ăberlappung mit dem Bereich, der die reservierten IPs vorhĂ€lt?
- ggf das Zertifikat fĂŒr die webGUI anpassen (eigenes Zertifikat erstellen)? > CertManager ist dein Freund! Unter System > Certificates...
- BACKUP!
ich denke, dass du fĂŒr LAN zunĂ€chst keine groĂen Regeln benötigst...warum auch, von hier soll ja vermutlich alles ins WAN dĂŒrfen.
Schraub also erstmal die ĂŒbrigen Dinge fest (siehe vor-Post).
- ssh benötigt? Eingerichtet? Abgesichert?
- ggf. die Clienten ins LAN bringen und IPs reservieren?
- DHCP Pool passt? Keine Ăberlappung mit dem Bereich, der die reservierten IPs vorhĂ€lt?
- ggf das Zertifikat fĂŒr die webGUI anpassen (eigenes Zertifikat erstellen)? > CertManager ist dein Freund! Unter System > Certificates...
- BACKUP!
blurrrr
Well-known member
Na doch... alles aus dem LAN kann ĂŒberall hin
Es muss ja "irgendwie, irgendwo, irgendwann" einen "Grund" dafĂŒr gegeben haben, weswegen Du Dich zu diesem Projekt entschlossen hast. Dann wĂ€re "jetzt" der Zeitpunkt gekommen, dass man sich mal mit "Zettel und Stift" ĂŒberlegt, a) was es an Netzen geben soll und b) welche Regeln bzgl. der Netze gelten sollen.
the other
Well-known member
Moinsen,
genau aus den von @blurrrr genannten GrĂŒnden...
Aktuell hast du ja alles in einem (pfsense) LAN...da lĂ€uft dann nix ĂŒber / durch die Firewall, es sei denn Richtung WAN, und das ist ja komplett erlaubt (fĂŒr Internet und ggf. GerĂ€te, die im VFbox Netz sind).
Wenn du dann aber mit Subnetzen / VLANs arbeitest, dann werden die Firewallregelen natĂŒrlich mit Sinn gefĂŒllt, um hier die diversen Netze und Clienten sauber zu trennen (oder auch den Verkehr zu erlauben).
Und auch da bin ich ganz bei Blurrrr: lieber analog mit Zettel und Stift als gleich ran ans GerÀt und alles wild einrichten....was du jetzt ausgiebig planst lÀsst sich spÀter umso schneller umsetzen.
FĂŒr WAN benötigst du aktuell vermutlich (noch) nix, da aktuell kein zB VPN Server auf der pfsense lĂ€uft...
genau aus den von @blurrrr genannten GrĂŒnden...
Aktuell hast du ja alles in einem (pfsense) LAN...da lĂ€uft dann nix ĂŒber / durch die Firewall, es sei denn Richtung WAN, und das ist ja komplett erlaubt (fĂŒr Internet und ggf. GerĂ€te, die im VFbox Netz sind).
Wenn du dann aber mit Subnetzen / VLANs arbeitest, dann werden die Firewallregelen natĂŒrlich mit Sinn gefĂŒllt, um hier die diversen Netze und Clienten sauber zu trennen (oder auch den Verkehr zu erlauben).
Und auch da bin ich ganz bei Blurrrr: lieber analog mit Zettel und Stift als gleich ran ans GerÀt und alles wild einrichten....was du jetzt ausgiebig planst lÀsst sich spÀter umso schneller umsetzen.
FĂŒr WAN benötigst du aktuell vermutlich (noch) nix, da aktuell kein zB VPN Server auf der pfsense lĂ€uft...
Jo, danke fĂŒr die Hinweise, bin aber trotzdem etwas frustriert.
Klein und ĂŒberschaubar wollte ich jetzt dann OPT1 nach dem gleichen Schema in Betrieb nehmen. Pustekuchen.
Adressen werden verteilt, ping bis auf 8.8.8.8 lÀuft aus diesem Netz.
Nslookup nicht. Was ist den an alle IF nicht zu verstehen fĂŒr die blöde Box?
Und ein Zugriff aus dem 192.168.18.0 Netz in das 172.16.20.0 auf einen AP dort - nado!
Ping geht. Im Systemlog/FW/dynamic View -> keine Blocks. Alle Regeln loggen.
Und wieso zum Teufel ist bei Zeitzone Europa/Berlin dann eine Verschiebung -2h drin?
Ich muss nun erst einmal Rasen mÀhen...das funktioniert wenigstens.
Hoffentlich.
Klein und ĂŒberschaubar wollte ich jetzt dann OPT1 nach dem gleichen Schema in Betrieb nehmen. Pustekuchen.
Adressen werden verteilt, ping bis auf 8.8.8.8 lÀuft aus diesem Netz.
Nslookup nicht. Was ist den an alle IF nicht zu verstehen fĂŒr die blöde Box?
Und ein Zugriff aus dem 192.168.18.0 Netz in das 172.16.20.0 auf einen AP dort - nado!
Ping geht. Im Systemlog/FW/dynamic View -> keine Blocks. Alle Regeln loggen.
Und wieso zum Teufel ist bei Zeitzone Europa/Berlin dann eine Verschiebung -2h drin?
Ich muss nun erst einmal Rasen mÀhen...das funktioniert wenigstens.
Hoffentlich.
