8
M0n0wall kein WAN Zugriff
Wir wollen ein 2. Netzwerk einrichten, abgeschottet vom primären Netzwerk, von dem aus Clients nur ins Internet kommen dürfen. Ich habe ein ALIX.2D13 mit Atheros WLAN fertig montiert gekauft und will im 1. Schritt die FW ins bestehende Netzwerk integrieren. Wenn das funktioniert soll das 2. VLAN eingerichtet werden und letztlich WLAN als Captive Port aktiviert werden.
Folgender Netzwerk-Aufbau: Kabel vom Splitter in den T-DSL-Anschluß unseres Speedport 701V, vom WAN/LAN-Port dann zur FW (WAN Interface vr1). Vom FW LAN (vr0) zu einem Switch HP ProCurve V1810-48G per Trunk an 2. V1810-24G, an beiden Switches hängen der Server ( 2 NIC zu beiden Switches) und die Clients.
Unser bisheriges Netzwerk ist 192.168.3.xxx, Speedport 701v hat 192.168.3.254, der Switch 192.168.3.253, der Server 2008 R2 192.168.3.1 hat DNS- und DHCP-Rolle aktiviert, die M0n0wall hat 192.168.3.250 (damit ich den WebGUI aus dem primären LAN aufrufen kann).
Im Speedport ist PPPoE-PassThrough (also nur Modem-Funktionen) eingestellt, im WAN-Interface unter PPPoE sind die Zugangsdaten für T-Online hinterlegt. Nach Reboot des 701V wurde von T-Online wieder eine IP-Adresse zugeordnet und DNS-Server-Adressen. Das scheint also zu klappen.
Im LAN-Interface ist noch kein DHCP aktiviert, nur für das 2. VLAN Klinik. Wenn alles klappt, werde ich DHCP für unser primäres LAN vom Server auf die M0n0wall verlagern.
M0n0wall hat 4 Interfaces:
vr0 LAN
vr1 WAN
vr2 VLAN2 (noch nicht verbunden)
ath0 WLAN
Status, Interface:
WAN interface
Status up
PPPoE down
MAC address 00:0d:b9:2a:dc:19
Media 100baseTX <full-duplex>
In/out packets 3735/2111 (250 KB/80 KB)
In/out errors 0/0
Collisions 0
Also keine IP-Adresse, auch nicht nach Reboot, auf Connect klicken bringt auch nichts..
LAN interface
Status up
MAC address 00:0d:b9:2a:dc:18
IPv4 address 192.168.3.250/255.255.255.0
IPv6 address fe80::20d:b9ff:fe2a:dc18%vr0/64
Media 100baseTX <full-duplex>
In/out packets 44160/2073 (2.87 MB/718 KB)
In/out errors 0/0
Collisions 0
VLAN Klinik interface
Status no carrier
MAC address 00:0d:b9:2a:dc:1a
IPv4 address 192.168.112.0/255.255.255.0
IPv6 address fe80::20d:b9ff:fe2a:dc1a%vr2/64
Media none
In/out packets 0/0 (0 bytes/42 bytes)
In/out errors 0/0
Collisions 0
Im System-Log fand ich:
Jan 4 12:44:04 mpd: [pppoe] pausing 5 seconds before open
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerStart
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Stopped --> Starting
Jan 4 12:44:04 mpd: [pppoe] LCP: Down event
Jan 4 12:44:04 mpd: [pppoe] link: reconnection attempt 4865
Jan 4 12:44:04 mpd: [pppoe] link: DOWN event
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerFinish
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Stopping --> Stopped
Jan 4 12:44:04 mpd: [pppoe] LCP: rec'd Terminate Ack #64 (Stopping)
Jan 4 12:44:04 mpd: [pppoe] LCP: SendTerminateAck #65
Jan 4 12:44:04 mpd: [pppoe] LCP: rec'd Terminate Request #2 (Stopping)
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerDown
Jan 4 12:44:04 mpd: [pppoe] LCP: SendTerminateReq #64
Jan 4 12:44:04 mpd: [pppoe] AUTH: Cleanup
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Opened --> Stopping
Jan 4 12:44:04 mpd: [pppoe] LCP: parameter negotiation failed
Jan 4 12:44:04 mpd: [pppoe] LCP: authorization failed
Jan 4 12:44:04 mpd: MESG: 0030 PSHMB001 0689427914 session limit exceeded
Jan 4 12:44:04 mpd: [pppoe] PAP: rec'd NAK #1
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerUp
Jan 4 12:44:04 mpd: [pppoe] PAP: sending REQUEST len:50
Jan 4 12:44:04 mpd: [pppoe] PAP: using authname "xxxxxxxxxxxxxxxx@t-online.de"
Jan 4 12:44:04 mpd: [pppoe] LCP: auth: peer wants PAP, I want nothing
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Ack-Sent --> Opened
Rules: bei LAN und WAN ist erst einmal alles freigegeben, also * * * * *.... Trotzdem zeigt das Firewall Log viele blockierte Einträge (Protokolle IGMP, UDP). Wieso?
Last 50 firewall log entries
Act Time If Source Destination Proto
12:47:39.477053 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:47:20.341580 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:47:10.344059 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:47:00.323928 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:46:39.485315 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:46:27.563093 LAN 192.168.3.254 224.0.0.1 IGMP
12:46:00.332211 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:45:49.174070 vr1 192.168.3.103, port 3041 192.168.3.255, port 138 UDP
12:45:39.493383 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:45:00.340253 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:44:40.754414 vr1 192.168.3.104, port 2141 192.168.3.255, port 138 UDP
12:44:39.501553 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:44:33.270251 vr1 192.168.3.1, port 65196 224.0.0.252, port 5355 UDP
12:44:33.270234 vr1 192.168.3.2, port 65196 224.0.0.252, port 5355 UDP
12:44:22.571923 LAN 192.168.3.254 224.0.0.1 IGMP
Einträge, die das LAN betreffen sind mit "If" LAN protokolliert, WAN-Einträge nur als "vr1". Ich habe einiges probiert, da stand schon mal "WAN" statt "vr1", ich glaube, als die Einwahl ins Internet noch durch den Router vorgenommen wurde...
Bin Netzwerk-Anfänger und habe hier diverse Monowall betreffende Threads gelesen. Leider habe ich manches technische Detail nicht verstanden und auch keine Idee erhalten, warum PPPoE down ist. In den Logs sehe ich, dass es Probleme gibt, weiss aber nicht wo und wie ich die Ursache abstelle.
Ich hoffe, es kann mir jemand helfen.
Dank im Voraus,
AL
Unser bisheriges Netzwerk ist 192.168.3.xxx, Speedport 701v hat 192.168.3.254, der Switch 192.168.3.253, der Server 2008 R2 192.168.3.1 hat DNS- und DHCP-Rolle aktiviert, die M0n0wall hat 192.168.3.250 (damit ich den WebGUI aus dem primären LAN aufrufen kann).
Im Speedport ist PPPoE-PassThrough (also nur Modem-Funktionen) eingestellt, im WAN-Interface unter PPPoE sind die Zugangsdaten für T-Online hinterlegt. Nach Reboot des 701V wurde von T-Online wieder eine IP-Adresse zugeordnet und DNS-Server-Adressen. Das scheint also zu klappen.
Im LAN-Interface ist noch kein DHCP aktiviert, nur für das 2. VLAN Klinik. Wenn alles klappt, werde ich DHCP für unser primäres LAN vom Server auf die M0n0wall verlagern.
M0n0wall hat 4 Interfaces:
vr0 LAN
vr1 WAN
vr2 VLAN2 (noch nicht verbunden)
ath0 WLAN
Status, Interface:
WAN interface
Status up
PPPoE down
MAC address 00:0d:b9:2a:dc:19
Media 100baseTX <full-duplex>
In/out packets 3735/2111 (250 KB/80 KB)
In/out errors 0/0
Collisions 0
Also keine IP-Adresse, auch nicht nach Reboot, auf Connect klicken bringt auch nichts..
LAN interface
Status up
MAC address 00:0d:b9:2a:dc:18
IPv4 address 192.168.3.250/255.255.255.0
IPv6 address fe80::20d:b9ff:fe2a:dc18%vr0/64
Media 100baseTX <full-duplex>
In/out packets 44160/2073 (2.87 MB/718 KB)
In/out errors 0/0
Collisions 0
VLAN Klinik interface
Status no carrier
MAC address 00:0d:b9:2a:dc:1a
IPv4 address 192.168.112.0/255.255.255.0
IPv6 address fe80::20d:b9ff:fe2a:dc1a%vr2/64
Media none
In/out packets 0/0 (0 bytes/42 bytes)
In/out errors 0/0
Collisions 0
Im System-Log fand ich:
Jan 4 12:44:04 mpd: [pppoe] pausing 5 seconds before open
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerStart
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Stopped --> Starting
Jan 4 12:44:04 mpd: [pppoe] LCP: Down event
Jan 4 12:44:04 mpd: [pppoe] link: reconnection attempt 4865
Jan 4 12:44:04 mpd: [pppoe] link: DOWN event
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerFinish
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Stopping --> Stopped
Jan 4 12:44:04 mpd: [pppoe] LCP: rec'd Terminate Ack #64 (Stopping)
Jan 4 12:44:04 mpd: [pppoe] LCP: SendTerminateAck #65
Jan 4 12:44:04 mpd: [pppoe] LCP: rec'd Terminate Request #2 (Stopping)
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerDown
Jan 4 12:44:04 mpd: [pppoe] LCP: SendTerminateReq #64
Jan 4 12:44:04 mpd: [pppoe] AUTH: Cleanup
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Opened --> Stopping
Jan 4 12:44:04 mpd: [pppoe] LCP: parameter negotiation failed
Jan 4 12:44:04 mpd: [pppoe] LCP: authorization failed
Jan 4 12:44:04 mpd: MESG: 0030 PSHMB001 0689427914 session limit exceeded
Jan 4 12:44:04 mpd: [pppoe] PAP: rec'd NAK #1
Jan 4 12:44:04 mpd: [pppoe] LCP: LayerUp
Jan 4 12:44:04 mpd: [pppoe] PAP: sending REQUEST len:50
Jan 4 12:44:04 mpd: [pppoe] PAP: using authname "xxxxxxxxxxxxxxxx@t-online.de"
Jan 4 12:44:04 mpd: [pppoe] LCP: auth: peer wants PAP, I want nothing
Jan 4 12:44:04 mpd: [pppoe] LCP: state change Ack-Sent --> Opened
Rules: bei LAN und WAN ist erst einmal alles freigegeben, also * * * * *.... Trotzdem zeigt das Firewall Log viele blockierte Einträge (Protokolle IGMP, UDP). Wieso?
Last 50 firewall log entries
Act Time If Source Destination Proto
12:47:39.477053 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:47:20.341580 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:47:10.344059 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:47:00.323928 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:46:39.485315 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:46:27.563093 LAN 192.168.3.254 224.0.0.1 IGMP
12:46:00.332211 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:45:49.174070 vr1 192.168.3.103, port 3041 192.168.3.255, port 138 UDP
12:45:39.493383 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:45:00.340253 vr1 192.168.3.253, port 40409 255.255.255.255, port 4680 UDP
12:44:40.754414 vr1 192.168.3.104, port 2141 192.168.3.255, port 138 UDP
12:44:39.501553 vr1 192.168.3.253, port 43798 255.255.255.255, port 4679 UDP
12:44:33.270251 vr1 192.168.3.1, port 65196 224.0.0.252, port 5355 UDP
12:44:33.270234 vr1 192.168.3.2, port 65196 224.0.0.252, port 5355 UDP
12:44:22.571923 LAN 192.168.3.254 224.0.0.1 IGMP
Einträge, die das LAN betreffen sind mit "If" LAN protokolliert, WAN-Einträge nur als "vr1". Ich habe einiges probiert, da stand schon mal "WAN" statt "vr1", ich glaube, als die Einwahl ins Internet noch durch den Router vorgenommen wurde...
Bin Netzwerk-Anfänger und habe hier diverse Monowall betreffende Threads gelesen. Leider habe ich manches technische Detail nicht verstanden und auch keine Idee erhalten, warum PPPoE down ist. In den Logs sehe ich, dass es Probleme gibt, weiss aber nicht wo und wie ich die Ursache abstelle.
Ich hoffe, es kann mir jemand helfen.
Dank im Voraus,
AL
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196455
Url: https://administrator.de/contentid/196455
Printed on: April 18, 2024 at 20:04 o'clock
8 Comments
Latest comment
Der Fehler liegt ganz klar daran das das WAN Interface keine PPPoE Verbindung aufbauen kann (Down Status) !! Schlüssel ist vermutlich diese Fehlermeldung:
Jan 4 12:44:04 mpd: [pppoe] LCP: authorization failed
Die ganz klar sagt das vermutlich die T-Com Zugangsdaten schlicht falsch sind, also PPPoE Username und Passwort nicht stimmen oder von dir falsch eingegeben sind.
Denk dran das Format der T-DSL Zugangsdaten MUSS so aussehen:
Benutzername besteht aus vier Teilen:
a) Die zwölfstellige Anschlusskennung (z.B. 000123456789)
b) die zugehörigen T-Online Nummer (z. B. 3200123456; wenn es weniger als 12 Ziffern sind, muss ein Rautenzeichen # am Ende sein)
c) Ihre Mitbenutzernummer/Suffix (z.B. 0001 für den Hauptnutzer)
d) und aus dem Anhang "@t-online.de".
Muster: 0123456789013200123456#0001@t-online.de oder bei 12 Stellen: 012345678910132001234560001@t-online.de
Das also ganz wasserdicht nochmal prüfen ! Dies gilt auch NUR für T-DSL. Business DSL hat wieder ein anderes Format ! Beachte das !
Wenn die Speedport Gurke tatsächlich im PPPoE Passthrough Modus arbeitet darfst hier keinesfalls irgendwelche PPPoE Zugangsdaten eintragen !! Am besten resettest du die Gurke auf die Factory Defaults und aktivierst dann einzig und allein den PPPoE Passthrough Modus. Damit arbeitet der SP dann als simples NUR Modem.
Die PPPoE Zugangsdaten gehören aufs WAN Interface der Monowall/pfSense das du natürlich auch in den PPPoE Modus setzen musst (default ist DHCP).
Wenn der PPPoE Dialin beim Provider erfolgreich war, dann kannst du auch die öffentliche IP des Providers am WAN Port sehen wenn du dir den Interface Status ansiehst !
Völlig unverständlich ist auch woher die 192.168.3.x IP Adressen am vr1 Port also am WAN Port herkommen. Das sind private RFC 1918 IP Adressen die im Internet nicht geroutet werden !!
Es ist völlig unmöglich das solche IP Adressen an dem Port auftreten, es sei denn du hast da einen Hub/Switch oder sonstwas dran und noch ein anderes IP Netz sprich eurer Altnetz das diese IP nutzt dort aufgesteckt !
Das lässt zusätzlich die Vermutung aufkommen das deine Verkabelung vollkommen falsch ist bzw. du die Firewall mit den völlig falschen Ports verbunden hast !!?
Der WAN Port ist der mittlere beim ALIX Board (Default) nur hier kommt ohne jegliche andere Verbindung ein Kabel auf den Speedport LAN Port der ebenfalls NICHTS weiter angeschlossen haben darf, da er ja so oder so nur noch als einfaches Modem arbeitet und NICHT mehr als Router !!
Euer Altnetz mit der .3.0 hat darauf NICHTS mehr zu suchen !!
Das kommt einzig und allein an den LAN Port den du entsprechend umkonfigurierst auf einen .3.0er IP und den DHCP ausschaltest sofern noch ein anderer DHCP Server im 3er Netz aktiv ist !
Die darf nur so sein:
DSL Splitter ----DSL-Port(SP als PPPoE Passthrough Modem)LAN Port-----WAN-Port(Firewall)LANPort----Konfig PC
Wobei das Verbindungskabel zw. LAN Port Speedport und WAN Port Firewall nur ein einziges Kabel sein darf. Am Speedport darf NICHTS weiter angeschlossen sein !
Denkbar wäre noch ein Kabelproblem wenn der SP kein MIDI-X supportet solltest du testweise es mal mit einem Crossover Kabel versuchen zw. Firewall WAN Port und LAN Port des SP. Wenn hier aber beide Seiten ! einen aktiven Link Status anzeigen (Link LEDS leuchten auf beiden Seiten) sollte das nicht das Problem sein. Das ist aber so mit den Pferden und der Apotheke...
Auf dem WAN/DSL Interface die default Firewall zu deaktivieren ist nicht nur dumm sondern auch fahrlässig ! Das solltest du besser lassen, denn dann ist das ein offenes Scheunentor mit der Einladung zum Hacken !
Lass die Monowall/pfSense erstmal im Default (factory Reset), änder nur den WAN Port auf PPPoE und realisiere damit erstmal den sicheren WAN Zugang ! Du gehst so vor:
Die passenden Tutorials die dir weiterhelfen und die das Thema im Detail beschreiben hier im Forum, kennst du vermutlich schon:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Jan 4 12:44:04 mpd: [pppoe] LCP: authorization failed
Die ganz klar sagt das vermutlich die T-Com Zugangsdaten schlicht falsch sind, also PPPoE Username und Passwort nicht stimmen oder von dir falsch eingegeben sind.
Denk dran das Format der T-DSL Zugangsdaten MUSS so aussehen:
Benutzername besteht aus vier Teilen:
a) Die zwölfstellige Anschlusskennung (z.B. 000123456789)
b) die zugehörigen T-Online Nummer (z. B. 3200123456; wenn es weniger als 12 Ziffern sind, muss ein Rautenzeichen # am Ende sein)
c) Ihre Mitbenutzernummer/Suffix (z.B. 0001 für den Hauptnutzer)
d) und aus dem Anhang "@t-online.de".
Muster: 0123456789013200123456#0001@t-online.de oder bei 12 Stellen: 012345678910132001234560001@t-online.de
Das also ganz wasserdicht nochmal prüfen ! Dies gilt auch NUR für T-DSL. Business DSL hat wieder ein anderes Format ! Beachte das !
Wenn die Speedport Gurke tatsächlich im PPPoE Passthrough Modus arbeitet darfst hier keinesfalls irgendwelche PPPoE Zugangsdaten eintragen !! Am besten resettest du die Gurke auf die Factory Defaults und aktivierst dann einzig und allein den PPPoE Passthrough Modus. Damit arbeitet der SP dann als simples NUR Modem.
Die PPPoE Zugangsdaten gehören aufs WAN Interface der Monowall/pfSense das du natürlich auch in den PPPoE Modus setzen musst (default ist DHCP).
Wenn der PPPoE Dialin beim Provider erfolgreich war, dann kannst du auch die öffentliche IP des Providers am WAN Port sehen wenn du dir den Interface Status ansiehst !
Völlig unverständlich ist auch woher die 192.168.3.x IP Adressen am vr1 Port also am WAN Port herkommen. Das sind private RFC 1918 IP Adressen die im Internet nicht geroutet werden !!
Es ist völlig unmöglich das solche IP Adressen an dem Port auftreten, es sei denn du hast da einen Hub/Switch oder sonstwas dran und noch ein anderes IP Netz sprich eurer Altnetz das diese IP nutzt dort aufgesteckt !
Das lässt zusätzlich die Vermutung aufkommen das deine Verkabelung vollkommen falsch ist bzw. du die Firewall mit den völlig falschen Ports verbunden hast !!?
Der WAN Port ist der mittlere beim ALIX Board (Default) nur hier kommt ohne jegliche andere Verbindung ein Kabel auf den Speedport LAN Port der ebenfalls NICHTS weiter angeschlossen haben darf, da er ja so oder so nur noch als einfaches Modem arbeitet und NICHT mehr als Router !!
Euer Altnetz mit der .3.0 hat darauf NICHTS mehr zu suchen !!
Das kommt einzig und allein an den LAN Port den du entsprechend umkonfigurierst auf einen .3.0er IP und den DHCP ausschaltest sofern noch ein anderer DHCP Server im 3er Netz aktiv ist !
Die darf nur so sein:
DSL Splitter ----DSL-Port(SP als PPPoE Passthrough Modem)LAN Port-----WAN-Port(Firewall)LANPort----Konfig PC
Wobei das Verbindungskabel zw. LAN Port Speedport und WAN Port Firewall nur ein einziges Kabel sein darf. Am Speedport darf NICHTS weiter angeschlossen sein !
Denkbar wäre noch ein Kabelproblem wenn der SP kein MIDI-X supportet solltest du testweise es mal mit einem Crossover Kabel versuchen zw. Firewall WAN Port und LAN Port des SP. Wenn hier aber beide Seiten ! einen aktiven Link Status anzeigen (Link LEDS leuchten auf beiden Seiten) sollte das nicht das Problem sein. Das ist aber so mit den Pferden und der Apotheke...
Auf dem WAN/DSL Interface die default Firewall zu deaktivieren ist nicht nur dumm sondern auch fahrlässig ! Das solltest du besser lassen, denn dann ist das ein offenes Scheunentor mit der Einladung zum Hacken !
Lass die Monowall/pfSense erstmal im Default (factory Reset), änder nur den WAN Port auf PPPoE und realisiere damit erstmal den sicheren WAN Zugang ! Du gehst so vor:
- Monowall auf Factory defaults setzen
- Isoliert einen PC an den LAN Port bringen und dort den WAN Port mit PPPoE Daten und PPPoE Mode customizen
- Speedport auf Factory Defaults und einzig über einen isolierten Konfig PC dort den PPPoE Passthrough Modus aktivieren und sichern.
- Speedport mit DSL Port an den DSL Splitter anschliessen und einzig mit einem Kabel den SP LAN Port mit dem WAN Port der Firewall verbinden
- Mit dem isolierten PC am LAN Port der Monowall checken ob der DSL Anschluss mit PPPoE hochkommt und ggf. Webseite anpingen und aufrufen um das zu verifizieren.
- Erst wenn das alles funktioniert hier weitermachen !!
- Dann am LAN Port eine ungenutzte IP Adresse aus dem .3.0er Netz einstellen und den DHCP Server ausschalten.
- Nun kannst du die Firewall am LAN Port mit dem .3.0er Netz verbinden und das Finetuning aller anderen Ports mit seinen IPs usw. machen !
Die passenden Tutorials die dir weiterhelfen und die das Thema im Detail beschreiben hier im Forum, kennst du vermutlich schon:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aqui, erst einmal recht herzlichen Dank für Deine schnelle und ausführliche Antwort.
Zugangsdaten T-Online:
ich habe die noch einmal überprüft. Anschlusskennung und Zugangs-Nr. sind je 12 stellig, daher kein "#" vor der Mitbenutzer-Nr. und Suffix @t-online.de. Sicherheitshalber habe ich im T-Online Kundencenter das Kennwort geändert und das neue Kennwort auch in FW WAN PPPoE eingetragen. Leider ohne Erfolg.
In den System-Meldungen des Speedports tauchen Fehlermeldung "PPPoE-Fehler: Zeitüberschreitung" auf.
Frage: wenn ich die Einwahl wieder über das Speedport vornehme und FW WAN auf DHCP stelle, hat das negative Auswirkungen?
Zu den 192.168.3.x IP Adressen am vr1 Port: Entschuldigung, mein Fehler, ich habe den Switch temporär mit dem LAN-Port am Speedport verbunden, damit ich wieder ins Internet komme und auch remote auf den Server zugreifen kann. Ohne diese "Überbrückung" konnte ich zwar auf andere Geräte im LAN (192.168.3.xxx) zugreifen, nicht aber auf das Speedport (192.168.3.254) sowie Internet.
Zu den LEDs: beide linke LEDs an WAN und LAN leuchten an FW
Alarmglocken klingeln bei Deinem Satz "Auf dem WAN/DSL Interface die default Firewall zu deaktivieren", woran siehst Du das? Ist von mir nicht gewollt, nur auf unser Symantec End Point Protection will ich mich nicht verlassen...
Ich habe im Moment nur remote Zugriff auf die FW, werde am Montag Deine Ratschläge befolgen und hoffe, dann Erfolgsmeldung geben zu können.
Erst einmal schönes Wochenende
Herzliche Grüße aud Hamburg,
AL
Zugangsdaten T-Online:
ich habe die noch einmal überprüft. Anschlusskennung und Zugangs-Nr. sind je 12 stellig, daher kein "#" vor der Mitbenutzer-Nr. und Suffix @t-online.de. Sicherheitshalber habe ich im T-Online Kundencenter das Kennwort geändert und das neue Kennwort auch in FW WAN PPPoE eingetragen. Leider ohne Erfolg.
In den System-Meldungen des Speedports tauchen Fehlermeldung "PPPoE-Fehler: Zeitüberschreitung" auf.
Frage: wenn ich die Einwahl wieder über das Speedport vornehme und FW WAN auf DHCP stelle, hat das negative Auswirkungen?
Zu den 192.168.3.x IP Adressen am vr1 Port: Entschuldigung, mein Fehler, ich habe den Switch temporär mit dem LAN-Port am Speedport verbunden, damit ich wieder ins Internet komme und auch remote auf den Server zugreifen kann. Ohne diese "Überbrückung" konnte ich zwar auf andere Geräte im LAN (192.168.3.xxx) zugreifen, nicht aber auf das Speedport (192.168.3.254) sowie Internet.
Zu den LEDs: beide linke LEDs an WAN und LAN leuchten an FW
Alarmglocken klingeln bei Deinem Satz "Auf dem WAN/DSL Interface die default Firewall zu deaktivieren", woran siehst Du das? Ist von mir nicht gewollt, nur auf unser Symantec End Point Protection will ich mich nicht verlassen...
Ich habe im Moment nur remote Zugriff auf die FW, werde am Montag Deine Ratschläge befolgen und hoffe, dann Erfolgsmeldung geben zu können.
Erst einmal schönes Wochenende
Herzliche Grüße aud Hamburg,
AL
Mmhhhh...die Aussage "In den System-Meldungen des Speedports tauchen Fehlermeldung "PPPoE-Fehler: Zeitüberschreitung" auf..." zeigt das da grundsätzlich was schiefgeht mit dem PPPoE Passthrough.
Diese Meldung kann niemals mehr auftauchen wenn PPPoE Passthrough auf dem SP aktiv ist ! Wie auch, denn der SP ist ja nun dummes Modem und versteht gar kein PPPoE mehr, da er das gar nicht mehr kann im Modem Modus. Folglich können auch keine Fehlermeldungen mehr auftreten.
Irgendwas läuft da auf dem SP also schief.
Tip: Ggf. auf die aktuellste Firmware updaten von der T-Com Support Seite und Passthrough erneut aktivieren.
Alternative: Bei eBay für kleines Geld ein reines DSL Allerweltsmodem wie den Speedport 201 erstehen.
Zu deiner Frage mit dem SP als Router davor:
Tja, generell ist das kein Problem und sollte dir erstmal ein Erfolgserlebnis verschaffen wenn du es so machst. Du solltest aber die FW dann besser nicht im DHCP Modus laufen lassen sondern IMMER wenn möglich eine statische IP vergeben und am SP den DHCP Server deaktivieren.
Dann an der Monowall eine Default Route auf die Speedport IP und zusätzlich nicht vergessen den DNS Server AUCH auf die Speedport IP zu setzen. (Steht im Thread da immer wieder vergessen !)
Nachteile:
Firewall deaktiviert: Sehen kann man das über ein Forum natürlich nicht da du keinen Screenshot gepostet hast, aber DU hast selber geschrieben das du auf dem WAN alles deaktiviert hast !! (Zitat
"und WAN ist erst einmal alles freigegeben, also * * * * *..." (Zitat Ende)
Also bist du der böse Buhmann hier der hier die Firewall deaktiviert hat !
Diese Meldung kann niemals mehr auftauchen wenn PPPoE Passthrough auf dem SP aktiv ist ! Wie auch, denn der SP ist ja nun dummes Modem und versteht gar kein PPPoE mehr, da er das gar nicht mehr kann im Modem Modus. Folglich können auch keine Fehlermeldungen mehr auftreten.
Irgendwas läuft da auf dem SP also schief.
Tip: Ggf. auf die aktuellste Firmware updaten von der T-Com Support Seite und Passthrough erneut aktivieren.
Alternative: Bei eBay für kleines Geld ein reines DSL Allerweltsmodem wie den Speedport 201 erstehen.
Zu deiner Frage mit dem SP als Router davor:
Tja, generell ist das kein Problem und sollte dir erstmal ein Erfolgserlebnis verschaffen wenn du es so machst. Du solltest aber die FW dann besser nicht im DHCP Modus laufen lassen sondern IMMER wenn möglich eine statische IP vergeben und am SP den DHCP Server deaktivieren.
Dann an der Monowall eine Default Route auf die Speedport IP und zusätzlich nicht vergessen den DNS Server AUCH auf die Speedport IP zu setzen. (Steht im Thread da immer wieder vergessen !)
Nachteile:
- Speedport macht im Routermodus NAT und die Firewall auch. Damit hast du doppeltest NAT (IP Adress Translation) ist aus Performance Sicht suboptimal und schafft dir Probleme oder Mehraufwand in der Konfiguration bei remoten Zugang per VPN oder Port Forwarding.
- Die gesamte Packing Forwarding Rate hängt dann immer vom schwächsten Glied ab in der Kette. PPPoE Encapsulation und NAT Prozess sind sehr CPU intensiv. Die Firewall hat eine für ihre Verhältnisse leistungsstarke CPU die erheblich besser ist als die des SP so das die Monowall auf dem ALIX 100 Mbit in Wirespeed schafft. Davon ist der SP weit entfernt mit seine SoC CPU. Dir musst dann bewusst sein das der SP davor dann die maximale Paket Forwarding Speed und damit den maximal möglichen Durchsatz bestimmt.
Firewall deaktiviert: Sehen kann man das über ein Forum natürlich nicht da du keinen Screenshot gepostet hast, aber DU hast selber geschrieben das du auf dem WAN alles deaktiviert hast !! (Zitat
"und WAN ist erst einmal alles freigegeben, also * * * * *..." (Zitat Ende)
Also bist du der böse Buhmann hier der hier die Firewall deaktiviert hat !
Ich werde Montag ein anderes SP neu aufsetzen mit PPoE-PassThrough, ohne irgendwelche PPPoE-Anmelde-Info, also nur mit Modem-Funktion und dann testen, ob die FW die Verbindung aufbaut. Wenn ja, ziehe ich diese Lösung nach Deinen Infos vor
Firewall deaktiviert: Ach so, das soll so natürlich auf keinen Fall bleiben, ich wollte im 1. Schritt nur ausschließen, dass die FW etwas blockiert.
Nachdem ich diverse Posts gelesen habe, noch eine Zusatz-Frage: gibt es für Rules am WAN und LAN Interface "empfohlene Standards"?
Es muss ja nicht jeder das Rad neu erfinden und Du hast ja in dem Hotspot-Tutorial einen Anfang gemacht für das Gast-WLAN. Ich denke da insbesondere an Funktionalitäten wie Zeitsynchronisation sowohl aus dem Internet als auch Clients im LAN vom Server via NTP, WSUS, Download von Virendefinitionen aber auch Live Mail, FTP etc. Wir haben keine Testumgebung und "Trial and Error" im laufenden Betrieb ist nicht glücklich.
Tschuess AL
Firewall deaktiviert: Ach so, das soll so natürlich auf keinen Fall bleiben, ich wollte im 1. Schritt nur ausschließen, dass die FW etwas blockiert.
Nachdem ich diverse Posts gelesen habe, noch eine Zusatz-Frage: gibt es für Rules am WAN und LAN Interface "empfohlene Standards"?
Es muss ja nicht jeder das Rad neu erfinden und Du hast ja in dem Hotspot-Tutorial einen Anfang gemacht für das Gast-WLAN. Ich denke da insbesondere an Funktionalitäten wie Zeitsynchronisation sowohl aus dem Internet als auch Clients im LAN vom Server via NTP, WSUS, Download von Virendefinitionen aber auch Live Mail, FTP etc. Wir haben keine Testumgebung und "Trial and Error" im laufenden Betrieb ist nicht glücklich.
Tschuess AL
Hallo AL
Was die Rules anbetrifft ist da schlecht was allgemein gültiges zu sagen, denn da hat jeder so seine eigenen Vorstellungen.
Bedenke das alle Firewall Regeln nur eingehend gelten, also für alle Pakete die IN die Firewall "hineinfliessen" (inbound). Das ist wichtig für die Logik Source-, Destination IP Adresse und Port !
Als Default Einstellung ist am WAN Port alles geblockt, damit dort keine bösen Buben reinkommen. Das solltest du auch erstmal für die ersten Schritte so belassen. Außer.... wenn du einen Router davor hast, denn dann (und nur dann) musst du das RFC 1918, private IP Blocking am WAN Port deaktivieren (Haken im WAN Port Setting).
Am WAN Port muss man sonst nichts ändern, denn du gehst ja immer von innen nach außen, generierst also ausgehende Paketeam WAN Port (Verbindungen) so das für dich am WAN Port eh alles frei ist...wie gesagt ist ja alles ausgehend.
Der LAN Port ist per Default auf any * zu any * , d.h. jeder darf dort mit jedem Protokoll rein in den LAN Port. Klar, soll auch so sein, denn in der Regel ist das ein privates, eigenes Netzwerk wo man sich keine Schranken schaffen will. Da ist alles erlaubt. Es sei denn dort ist kein privates Netz dran.
Anders sieht das an einem 2ten LAN Port aus oder deinem WLAN Interface. Gibst du da keine Regeln an ist FW üblich alles geblockt. Die Firewall arbeitet immer nach der goldenen Standard Regel: "Alles was nicht ausdrücklich erlaubt ist, ist verboten !"
Hier musst du also FW Regeln definieren damit was geht !
Tip:
Bring als allererstes die Internet Verbindung zum Fliegen und lass die FW erstmal so mit den Standard Regeln laufen !
An deinem 2ten LAN Port (oder auch am WLAN) aktivierst du DHCP und da spielst du mal rum mit den Regeln und einem an diesem Port angeschlossenen Test PC.
So kannst du vom LAN PC frei die Regeln im Setup definieren an diesen Ports und am Test PC prima checken !
Als erstes gibst du immer UDP/TCP 53 frei, denn das ist DNS sonst klappt keine Namensauflösung. Dann z.B. nur mal TCP 80 (HTTP). Damit ist dann an diesem Port nur Browser Betrieb möglich. Nichtmal auf gesicherte Seiten kommst du dann mit dem TestPC (HTTPS, TCP 443) !
Wenn du z.B. Emailen willst klappt das logischerweise auch nicht und wenn du dann in die Firewall Logs siehst, dann siehst du das dort SMTP, POP3, IMAP usw. geblockt sind !
Erlauben und schon gehts !
Das Firewall log ist da immer dein Freund beim checken und troubleshooten.
So kannst du dich einfach an die Regel Logik gewöhnen ! Ein Bild sagt mehr als 1000 Worte !
Und immer dran denken: "Regeln gelten NUR eingehend" und "First Match wins", d.h. der erste positive Hit in den FW Regeln bewirkt das die folgenden NICHT mehr abgearbeitet werden.
Deshalb ist auch die Reihenfolge der Regeln essentiell wichtig. Also vorher immer etwas nachdenken
Ansonsten wie immer....Frage hier posten !
Was die Rules anbetrifft ist da schlecht was allgemein gültiges zu sagen, denn da hat jeder so seine eigenen Vorstellungen.
Bedenke das alle Firewall Regeln nur eingehend gelten, also für alle Pakete die IN die Firewall "hineinfliessen" (inbound). Das ist wichtig für die Logik Source-, Destination IP Adresse und Port !
Als Default Einstellung ist am WAN Port alles geblockt, damit dort keine bösen Buben reinkommen. Das solltest du auch erstmal für die ersten Schritte so belassen. Außer.... wenn du einen Router davor hast, denn dann (und nur dann) musst du das RFC 1918, private IP Blocking am WAN Port deaktivieren (Haken im WAN Port Setting).
Am WAN Port muss man sonst nichts ändern, denn du gehst ja immer von innen nach außen, generierst also ausgehende Paketeam WAN Port (Verbindungen) so das für dich am WAN Port eh alles frei ist...wie gesagt ist ja alles ausgehend.
Der LAN Port ist per Default auf any * zu any * , d.h. jeder darf dort mit jedem Protokoll rein in den LAN Port. Klar, soll auch so sein, denn in der Regel ist das ein privates, eigenes Netzwerk wo man sich keine Schranken schaffen will. Da ist alles erlaubt. Es sei denn dort ist kein privates Netz dran.
Anders sieht das an einem 2ten LAN Port aus oder deinem WLAN Interface. Gibst du da keine Regeln an ist FW üblich alles geblockt. Die Firewall arbeitet immer nach der goldenen Standard Regel: "Alles was nicht ausdrücklich erlaubt ist, ist verboten !"
Hier musst du also FW Regeln definieren damit was geht !
Tip:
Bring als allererstes die Internet Verbindung zum Fliegen und lass die FW erstmal so mit den Standard Regeln laufen !
An deinem 2ten LAN Port (oder auch am WLAN) aktivierst du DHCP und da spielst du mal rum mit den Regeln und einem an diesem Port angeschlossenen Test PC.
So kannst du vom LAN PC frei die Regeln im Setup definieren an diesen Ports und am Test PC prima checken !
Als erstes gibst du immer UDP/TCP 53 frei, denn das ist DNS sonst klappt keine Namensauflösung. Dann z.B. nur mal TCP 80 (HTTP). Damit ist dann an diesem Port nur Browser Betrieb möglich. Nichtmal auf gesicherte Seiten kommst du dann mit dem TestPC (HTTPS, TCP 443) !
Wenn du z.B. Emailen willst klappt das logischerweise auch nicht und wenn du dann in die Firewall Logs siehst, dann siehst du das dort SMTP, POP3, IMAP usw. geblockt sind !
Erlauben und schon gehts !
Das Firewall log ist da immer dein Freund beim checken und troubleshooten.
So kannst du dich einfach an die Regel Logik gewöhnen ! Ein Bild sagt mehr als 1000 Worte !
Und immer dran denken: "Regeln gelten NUR eingehend" und "First Match wins", d.h. der erste positive Hit in den FW Regeln bewirkt das die folgenden NICHT mehr abgearbeitet werden.
Deshalb ist auch die Reihenfolge der Regeln essentiell wichtig. Also vorher immer etwas nachdenken
Ansonsten wie immer....Frage hier posten !
Moin, moin aqui,
wer lesen kann, ist durchaus im Vorteil... Habe Deinen Rat noch mal sorgfältig gelesen und dann meinen Verkabelungsfehler entdeckt. Das Speedport hat nur MODEM-Funktion, die FW erledigt PPPoE, ist in unserem LAN und ich kam vom Server und von Clients ins Internet und alle Geräte im LAN erreichen. Nur das Speedport nicht, weiss nicht warum, nicht mal per Ping (host is down). Auch in nur MODEM Funktion sollte das Konfigurationsprogramm doch erreichbar sein?
Dann habe ich DHCP für das LAN von unserem Server auf die FW verlegt und bekam Probleme. Nach Boot von Clients wurde nicht unser Domain-Netzwerk (Domainname.local) erkannt, sondern ein "Netzwerk 2 bzw. 3". Bei Zugriff auf Netzlaufwerke wurde Benutzer und Kennwort abgefragt. Das fand ich nach Anmeldung als Domain-Admi heraus. Als normaler Domain-Benutzer konnte ich mich gar nicht anmelden (... momentan kein Anmeldeserver vorhanden..). Deshalb musste ich DHCP wieder von der FW auf den Server legen.
Wie bringe ich die FW dazu, dass Clients unser Domain-Netzwerk (Domainname.local) erkennen, wenn DHCP auf der FW für das LAN aktiv ist? Im General SetUp habe ich unter Domain "Domainname.local" angegeben, unter DHCP Relay nichts (das ist nicht im Handbuch beschrieben).
Ich habe, um FW Blockaden auszuschließen, erst einmal WAN und LAN komplett offen (* * * * *), trotzdem finde ich im LOG u.a. Einträge über geblockte TCP und UDP Verbindungen, wieso?
WAN 37.58.72.238, port 80 79.246.35.5, port 3072 TCP
WAN 173.193.205.198, port 80 79.246.35.5, port 34880 TCP
WAN 37.58.72.238, port 80 79.246.35.5, port TCP
LAN 192.168.3.31, port 50089 213.248.112.139, port 80 TCP
LAN 192.168.3.31, port 50099 213.248.112.147, port 80 TCP
LAN 192.168.3.31, port 50088 213.248.112.217, port 80 TCP
Bei den LAN Verbindungen, will ein Client Programm ins Web. Die WAN Verbindungen (Web zu Web) sind mir unerklärlich.
Nächste Woche will ich die LAN und WAN Regeln restriktiver einrichten und - falls Du mir helfen kannst - DHCP wieder auf die FW verlagern. Und danach geht es an das 2. VLAN...
Tschuess AL
wer lesen kann, ist durchaus im Vorteil... Habe Deinen Rat noch mal sorgfältig gelesen und dann meinen Verkabelungsfehler entdeckt. Das Speedport hat nur MODEM-Funktion, die FW erledigt PPPoE, ist in unserem LAN und ich kam vom Server und von Clients ins Internet und alle Geräte im LAN erreichen. Nur das Speedport nicht, weiss nicht warum, nicht mal per Ping (host is down). Auch in nur MODEM Funktion sollte das Konfigurationsprogramm doch erreichbar sein?
Dann habe ich DHCP für das LAN von unserem Server auf die FW verlegt und bekam Probleme. Nach Boot von Clients wurde nicht unser Domain-Netzwerk (Domainname.local) erkannt, sondern ein "Netzwerk 2 bzw. 3". Bei Zugriff auf Netzlaufwerke wurde Benutzer und Kennwort abgefragt. Das fand ich nach Anmeldung als Domain-Admi heraus. Als normaler Domain-Benutzer konnte ich mich gar nicht anmelden (... momentan kein Anmeldeserver vorhanden..). Deshalb musste ich DHCP wieder von der FW auf den Server legen.
Wie bringe ich die FW dazu, dass Clients unser Domain-Netzwerk (Domainname.local) erkennen, wenn DHCP auf der FW für das LAN aktiv ist? Im General SetUp habe ich unter Domain "Domainname.local" angegeben, unter DHCP Relay nichts (das ist nicht im Handbuch beschrieben).
Ich habe, um FW Blockaden auszuschließen, erst einmal WAN und LAN komplett offen (* * * * *), trotzdem finde ich im LOG u.a. Einträge über geblockte TCP und UDP Verbindungen, wieso?
WAN 37.58.72.238, port 80 79.246.35.5, port 3072 TCP
WAN 173.193.205.198, port 80 79.246.35.5, port 34880 TCP
WAN 37.58.72.238, port 80 79.246.35.5, port TCP
LAN 192.168.3.31, port 50089 213.248.112.139, port 80 TCP
LAN 192.168.3.31, port 50099 213.248.112.147, port 80 TCP
LAN 192.168.3.31, port 50088 213.248.112.217, port 80 TCP
Bei den LAN Verbindungen, will ein Client Programm ins Web. Die WAN Verbindungen (Web zu Web) sind mir unerklärlich.
Nächste Woche will ich die LAN und WAN Regeln restriktiver einrichten und - falls Du mir helfen kannst - DHCP wieder auf die FW verlagern. Und danach geht es an das 2. VLAN...
Tschuess AL
Hallo AL
"..Nur das Speedport nicht, weiss nicht warum..?" OK, dann denke mal logisch nach !
Wenn der WAN Port der FW wie du selber schreibst auf PPPoE eingestellt ist, dann bekommt er ja dynamisch per PPP eine IP Adresse vom Internet Provider zugeteilt...soweit so gut.
Der Speedport ist jetzt als NUR Modem zwar auf PPPoE "Durchlass" geschaltet, was auch so sein soll, aber er behält seine statische Default IP Adresse am LAN Port (der ja mit dem WAN Port der FW Punkt zu Punkt verbunden ist !!) immer fest bei.
Diese feste IP am LAN Port wird logischerweise aktiv nie mehr genutzt da, wie gesagt, der Speedport als reines Modem ja nur noch "durchreicht".
Seine LAN IP Adresse, die default m.E. 192.168.2.1 /24 ist, ist also rein nur noch zum Managen da, mehr nicht !
Für die Kommunikation mit Internet usw. spielt sie keinerlei Rolle mehr, dann das macht ausschliesslich das WAN Interface der Firewall, deshalb auch die öffentliche IP Adresse und der Provider Router.
Soweit so gut... Angenommen das WAN Interface der FW bekommt nun dynamisch die 99.1.1.1 als öffentliche IP Adresse, WAS passiert nun wenn du aus dem LAN auf die 192.168.2.1 des Speedports zu greifen willst ??
Die siehst schon auf den allerersten Blick das schon ein Problem besteht:
WAN Port FW und LAN Port SP sind ja physisch zusammen in einem Netz, sollten also damit alles korrekt ist, im gleichen IP Netz liegen mit ihren IPs. Das ist schonmal garnicht gegeben 99.x.... und 192.x... passen ja nicht. Erstes Problem also !
Nun kommt dein LAN PC der mit seiner LAN Absender IP auf die 192.168.2.1 will, kommt an der FW an, die FW sieht in ihrer Routing Tabelle: "Wo ist mein 192.168.2.0 /24 Netzwerk ?" Findet das nicht da du ja andere IPs an der FW hast aber halt.... am Ende der Routing Tabelle sieht sie die Default Route die immer auf die IP Adresse des Providers am WAN Port zeigt. Tataa..also ab mit dem Paket da hin der weiss ja wo es hin muss ?!
Dorthin schickt sie jetzt das Paket und was passiert nun am Provder Router wenn der dein Paket bekommt ??
Logisch, der Provider Router "sieht" das dort was ankommt was eine nicht routebare IP Adresse hat als Ziel, denn 192.168.2.0 ist ein privates RFC 1918 IP Netz was NICHT im Internet geroutet wird !
Der Router schmeisst das Paket also kommentarlos in den Datenmülleimer. Ende !!
Auch wenn du direkt an der FW die 192.168.2.1 anpingst passiert wieder genau das !! Logisch, denn wie soll die Firewall auch wissen das eine 192.168.2er IP an ihrem 99.1.1.er Netz ist !!
Alles logisch, oder ? ...und kommt man eigentlich auch ganz schnell von selber drauf wenn man nur mal ein klein wenig nachdenkt und sich mal in ein IP Paket reinversetzt.... !
Nun das warum verstanden... ??
Es ist auch fraglich warum du auf dem SP rumfummeln willst wenn der klaglos als Modem rennt ist dor rein gar nichts mehr einzustellen ?!
Wenn der einmal als Modem rennt ist doch gut, da musst du nie wieder ran.
Für den Testbetrieb (wenn du denn unbedingt drauf zugreifen willst) lös es doch erstmal so das du statt direktem Kabel zw. WAN Port FW und LAN Port SP einen kleinen 5 Port Tischswitch einschleifst. Hier schliesst du einen PC an der auf seiner NIC statisch z.B. die 192.168.2.100 /24 konfiguriert hat. Über den PC kannst du dann testweise immer das Modem erreichen. Wie gesagt...eigentlich überflüssig !
Normal erreichst du es nur wenn der SP als Router betrieben wird, denn dann hast du ja ein bekanntes IP Netz zwischen WAN Port FW und LAN Port SP und es wird aktiv geroutet dazwischen. Dann ist der SP auch erreichbar aber eben nur als Router. Damit hast du dann wieder doppeltes NAT, und die oben genannten möglichen Probleme und genau die wollen wir ja vermeiden !
Nun zum DHCP Problem:
Das ist auch wieder logisch das du Probleme bekommen hast ! Wenn du DHCP verlegst und den DHCP Server auf der FW nicht customized, dann vergibt der an die Clients die FW IP als DNS Server.
Wollen die Clients also jetzt einen lokalen Namen auflösen wie z.B. den der Servers scheitern sie, da der Proxy DNS der FW den nicht kennt, und dann wieder den Provider DNS fragt. Bei lokalen Doamins versteht der natürlich nur "Bahnhof" logischerweise und nix geht.... also auch erklärbar wenn man nachdenkt
Du musst also den DHCP customizen auf der FW, das der die Server IP als DNS vergibt und der Server wiederum hat eine default Weiterleitung auf die DNS der FW ! Dann klappt auch DNS lokal und extern wie es soll !!
Das beantwortet nun auch schon deine 3te Frage wie du den DNS customized damit es klappt !!
Noch ein kosmetischer Tip: Man sollte niemals .local Root Domains intern verwenden, denn da kollidiert mit dem mDNS Protokoll und Bonjour Diensten, da die dies default verwenden. Also immer besser .intern oder .lokal benutzen.
Warum du es nicht lassen kannst und immer das WAN als Scheunentor konfigurierst ,zeigt leider das du das Thema sicheres Netzwerk nicht wirklich verinnerlicht hast, sorry !
Hier können doch niemals Blockaden auftreten !! Denn vom WAN, sprich DSL / Internet will doch ja niemand aktiv auf die FW zugreifen !!
Viel schlimmer noch mit * * eröffnest du allen Hackern und Angreifern freien Eintritt.
Das ist so als wenn du abends die Eingangstür deinen Hauses aushängst, und dort Schnittchen und Champagner mit einem Schild "Willkommen liebe Räuber !" postierst. Willst du das wirklich !?
Auf deinen beiden LAN Ports macht es hingegen Sinn für die Testphase und nur dann, wobei es beim Default LAN Port ja so oder so Default ist !
Siehst du auch wenn du dir die Regeln nach einem Factory reset ansiehst !!
Die Log Einträge im FW Log sagen das du vermutlich doch nicht alles freigegeben hast...zum Glück !
Die 80 79.246.35.5 ist deine PPPoE IP Am FW WAN Port (HURRAAA !! der Speedport funktioniert als Modem !!! IP sieht man auch unter Status -> Interfaces))
D.h. jemand mit der 37.58.72.238 als Absender IP Adresse versucht auf Port 80 (HTTP, Browser) deine Firewall zu erreichen !
Port 80 ist aber über die default Antilockout Rule der FW (die ist Default ! und lässt Port 80 Zugriffe zur Konfiguration NUR aus dem LAN zu !! Siehe Tutorial ! Lesen !!) Deshalb werden Port 80 HTTP Angriffe aus dem WAN auch weiter im Log angezeigt !!
Mach also den Unsinn mit dem Filter löschen auf dem WAN Port schnellstens rückgängig und lasse das im Default ! ...oder du hast ganz schnell ganz andere Probleme !
Fazit: Soweit rennt doch erstmal alles wie es soll, oder ?? Abgesehen von deinen Fehlversuchen oben wo du ja nun weisst (hoffentlich) woran es liegt ?!
Wir sind dann mal gesapnnt auf die FW Regel Session nächste Woche...es bleibt also spannend
"..Nur das Speedport nicht, weiss nicht warum..?" OK, dann denke mal logisch nach !
Wenn der WAN Port der FW wie du selber schreibst auf PPPoE eingestellt ist, dann bekommt er ja dynamisch per PPP eine IP Adresse vom Internet Provider zugeteilt...soweit so gut.
Der Speedport ist jetzt als NUR Modem zwar auf PPPoE "Durchlass" geschaltet, was auch so sein soll, aber er behält seine statische Default IP Adresse am LAN Port (der ja mit dem WAN Port der FW Punkt zu Punkt verbunden ist !!) immer fest bei.
Diese feste IP am LAN Port wird logischerweise aktiv nie mehr genutzt da, wie gesagt, der Speedport als reines Modem ja nur noch "durchreicht".
Seine LAN IP Adresse, die default m.E. 192.168.2.1 /24 ist, ist also rein nur noch zum Managen da, mehr nicht !
Für die Kommunikation mit Internet usw. spielt sie keinerlei Rolle mehr, dann das macht ausschliesslich das WAN Interface der Firewall, deshalb auch die öffentliche IP Adresse und der Provider Router.
Soweit so gut... Angenommen das WAN Interface der FW bekommt nun dynamisch die 99.1.1.1 als öffentliche IP Adresse, WAS passiert nun wenn du aus dem LAN auf die 192.168.2.1 des Speedports zu greifen willst ??
Die siehst schon auf den allerersten Blick das schon ein Problem besteht:
WAN Port FW und LAN Port SP sind ja physisch zusammen in einem Netz, sollten also damit alles korrekt ist, im gleichen IP Netz liegen mit ihren IPs. Das ist schonmal garnicht gegeben 99.x.... und 192.x... passen ja nicht. Erstes Problem also !
Nun kommt dein LAN PC der mit seiner LAN Absender IP auf die 192.168.2.1 will, kommt an der FW an, die FW sieht in ihrer Routing Tabelle: "Wo ist mein 192.168.2.0 /24 Netzwerk ?" Findet das nicht da du ja andere IPs an der FW hast aber halt.... am Ende der Routing Tabelle sieht sie die Default Route die immer auf die IP Adresse des Providers am WAN Port zeigt. Tataa..also ab mit dem Paket da hin der weiss ja wo es hin muss ?!
Dorthin schickt sie jetzt das Paket und was passiert nun am Provder Router wenn der dein Paket bekommt ??
Logisch, der Provider Router "sieht" das dort was ankommt was eine nicht routebare IP Adresse hat als Ziel, denn 192.168.2.0 ist ein privates RFC 1918 IP Netz was NICHT im Internet geroutet wird !
Der Router schmeisst das Paket also kommentarlos in den Datenmülleimer. Ende !!
Auch wenn du direkt an der FW die 192.168.2.1 anpingst passiert wieder genau das !! Logisch, denn wie soll die Firewall auch wissen das eine 192.168.2er IP an ihrem 99.1.1.er Netz ist !!
Alles logisch, oder ? ...und kommt man eigentlich auch ganz schnell von selber drauf wenn man nur mal ein klein wenig nachdenkt und sich mal in ein IP Paket reinversetzt.... !
Nun das warum verstanden... ??
Es ist auch fraglich warum du auf dem SP rumfummeln willst wenn der klaglos als Modem rennt ist dor rein gar nichts mehr einzustellen ?!
Wenn der einmal als Modem rennt ist doch gut, da musst du nie wieder ran.
Für den Testbetrieb (wenn du denn unbedingt drauf zugreifen willst) lös es doch erstmal so das du statt direktem Kabel zw. WAN Port FW und LAN Port SP einen kleinen 5 Port Tischswitch einschleifst. Hier schliesst du einen PC an der auf seiner NIC statisch z.B. die 192.168.2.100 /24 konfiguriert hat. Über den PC kannst du dann testweise immer das Modem erreichen. Wie gesagt...eigentlich überflüssig !
Normal erreichst du es nur wenn der SP als Router betrieben wird, denn dann hast du ja ein bekanntes IP Netz zwischen WAN Port FW und LAN Port SP und es wird aktiv geroutet dazwischen. Dann ist der SP auch erreichbar aber eben nur als Router. Damit hast du dann wieder doppeltes NAT, und die oben genannten möglichen Probleme und genau die wollen wir ja vermeiden !
Nun zum DHCP Problem:
Das ist auch wieder logisch das du Probleme bekommen hast ! Wenn du DHCP verlegst und den DHCP Server auf der FW nicht customized, dann vergibt der an die Clients die FW IP als DNS Server.
Wollen die Clients also jetzt einen lokalen Namen auflösen wie z.B. den der Servers scheitern sie, da der Proxy DNS der FW den nicht kennt, und dann wieder den Provider DNS fragt. Bei lokalen Doamins versteht der natürlich nur "Bahnhof" logischerweise und nix geht.... also auch erklärbar wenn man nachdenkt
Du musst also den DHCP customizen auf der FW, das der die Server IP als DNS vergibt und der Server wiederum hat eine default Weiterleitung auf die DNS der FW ! Dann klappt auch DNS lokal und extern wie es soll !!
Das beantwortet nun auch schon deine 3te Frage wie du den DNS customized damit es klappt !!
Noch ein kosmetischer Tip: Man sollte niemals .local Root Domains intern verwenden, denn da kollidiert mit dem mDNS Protokoll und Bonjour Diensten, da die dies default verwenden. Also immer besser .intern oder .lokal benutzen.
Warum du es nicht lassen kannst und immer das WAN als Scheunentor konfigurierst ,zeigt leider das du das Thema sicheres Netzwerk nicht wirklich verinnerlicht hast, sorry !
Hier können doch niemals Blockaden auftreten !! Denn vom WAN, sprich DSL / Internet will doch ja niemand aktiv auf die FW zugreifen !!
Viel schlimmer noch mit * * eröffnest du allen Hackern und Angreifern freien Eintritt.
Das ist so als wenn du abends die Eingangstür deinen Hauses aushängst, und dort Schnittchen und Champagner mit einem Schild "Willkommen liebe Räuber !" postierst. Willst du das wirklich !?
Auf deinen beiden LAN Ports macht es hingegen Sinn für die Testphase und nur dann, wobei es beim Default LAN Port ja so oder so Default ist !
Siehst du auch wenn du dir die Regeln nach einem Factory reset ansiehst !!
Die Log Einträge im FW Log sagen das du vermutlich doch nicht alles freigegeben hast...zum Glück !
Die 80 79.246.35.5 ist deine PPPoE IP Am FW WAN Port (HURRAAA !! der Speedport funktioniert als Modem !!! IP sieht man auch unter Status -> Interfaces))
D.h. jemand mit der 37.58.72.238 als Absender IP Adresse versucht auf Port 80 (HTTP, Browser) deine Firewall zu erreichen !
Port 80 ist aber über die default Antilockout Rule der FW (die ist Default ! und lässt Port 80 Zugriffe zur Konfiguration NUR aus dem LAN zu !! Siehe Tutorial ! Lesen !!) Deshalb werden Port 80 HTTP Angriffe aus dem WAN auch weiter im Log angezeigt !!
Mach also den Unsinn mit dem Filter löschen auf dem WAN Port schnellstens rückgängig und lasse das im Default ! ...oder du hast ganz schnell ganz andere Probleme !
Fazit: Soweit rennt doch erstmal alles wie es soll, oder ?? Abgesehen von deinen Fehlversuchen oben wo du ja nun weisst (hoffentlich) woran es liegt ?!
Wir sind dann mal gesapnnt auf die FW Regel Session nächste Woche...es bleibt also spannend
Hallo aqui,
erst einmal herzlichen Dank für Deine Unterstützung, die mir sehr geholfen hat.
Nachdem ich die FW nun in unser LAN integriert habe, sind auch die generellen Freigaben wieder gelöscht. Wir waren ja die kurze Zeit nicht ungeschützt, denn jeder Server und alle Clients sind ja durch Symantec Endpoint Protection mit Firewall, Intrusion Protection und Viren/Spyware Protection geschützt.
Am Speedport will ich jetzt nicht mehr "rumfummeln", ich hatte dem SP nur eine IP aus dem LAN vergeben und war verwundert, dass ich trotzdem nicht mehr auf das SP zugreifen kann.
Das Gast-Netz ist aktiviert und wie gewünscht, können PCs von dort nur ins Internet, nicht jedoch auf LAN-Freigaben zugreifen, prima.
Ich habe nur noch 2 Verständnis-Fragen:
1) Im Tutorial "WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)" sind die restriktiven Regel für das Gastnetz beschrieben, blockiere alles von Source Gast-VLAN an Destination LAN. Die FW prüft ja nur eingehenden Verkehr, müsste die Regel nicht für das LAN erstellt werden (blockiere von Gast-VLAN an LAN)? Oder erkennt die FW, dass sie die beim Gast-VLAN eingerichtete Regel auf dem LAN anwenden muss?
2) DHCP für LAN auf FW.
Du schiebst "Du musst also den DHCP customizen auf der FW, das der die Server IP als DNS vergibt und der Server wiederum hat eine default Weiterleitung auf die DNS der FW !"
Wir haben M0n0wall Vers. 1.34 wo customise ich das im DHCP Server der FW und auf dem Server 2008 R2? Ich habe in den Bereichen wenig Erfahrung und bin für detaillierte Hilfe dankbar.
Tschuess AL
erst einmal herzlichen Dank für Deine Unterstützung, die mir sehr geholfen hat.
Nachdem ich die FW nun in unser LAN integriert habe, sind auch die generellen Freigaben wieder gelöscht. Wir waren ja die kurze Zeit nicht ungeschützt, denn jeder Server und alle Clients sind ja durch Symantec Endpoint Protection mit Firewall, Intrusion Protection und Viren/Spyware Protection geschützt.
Am Speedport will ich jetzt nicht mehr "rumfummeln", ich hatte dem SP nur eine IP aus dem LAN vergeben und war verwundert, dass ich trotzdem nicht mehr auf das SP zugreifen kann.
Das Gast-Netz ist aktiviert und wie gewünscht, können PCs von dort nur ins Internet, nicht jedoch auf LAN-Freigaben zugreifen, prima.
Ich habe nur noch 2 Verständnis-Fragen:
1) Im Tutorial "WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)" sind die restriktiven Regel für das Gastnetz beschrieben, blockiere alles von Source Gast-VLAN an Destination LAN. Die FW prüft ja nur eingehenden Verkehr, müsste die Regel nicht für das LAN erstellt werden (blockiere von Gast-VLAN an LAN)? Oder erkennt die FW, dass sie die beim Gast-VLAN eingerichtete Regel auf dem LAN anwenden muss?
2) DHCP für LAN auf FW.
Du schiebst "Du musst also den DHCP customizen auf der FW, das der die Server IP als DNS vergibt und der Server wiederum hat eine default Weiterleitung auf die DNS der FW !"
Wir haben M0n0wall Vers. 1.34 wo customise ich das im DHCP Server der FW und auf dem Server 2008 R2? Ich habe in den Bereichen wenig Erfahrung und bin für detaillierte Hilfe dankbar.
Tschuess AL
