Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Whatsapp hinter pfsense direkt geht, hinter weiterer NAT (Router) nicht

Frage Netzwerke Router & Routing

Mitglied: eagle2

eagle2 (Level 1) - Jetzt verbinden

25.01.2013 um 21:44 Uhr, 4703 Aufrufe, 9 Kommentare

Hallo zusammen, ich habe ein Problem mit pfSense und Android-Smartphones mit Whatsapp bei Double-NAT

Hallo zusammen,

ich habe folgendes Problem:

Ich habe einen PC mit pfSense, welcher an WAN über eine Fritzbox ins Internet geht. Wenn ich direkt an den LAN-Anschluss einen Access Point hänge, funktioniert Whatsapp an einem Android-Gerät wunderbar. Sobald ich allerdings einen weiteren Router dazwischenschalte (WAN-Anschluss an pfSense, IP wird über DHCP von pfSense gezogen, eigener DHCP-Server verteilt IP's in einem anderem Subnetz) funktioniert Whatsapp nicht mehr. Der sonstige Internetzugriff scheint zu funktionieren, wobei aber einige andere Apps, z.B. das PlayStore/Android Market-Update auch nicht funktioniert. In pfSense habe ich schon eine Regel am LAN-Interface erstellt, welche sämtlichen eingehenden Traffic vom internen Subnetz des Routers hinter dem pfSense-LAN erlaubt, trotzdem geht es nicht und im Firewall-Log tauchen weiterhin Pakete von IP's aus dem internen Subnetz auf, die geblockt werden.

In Kurzform:

Internet---Fritzbox--pfSense--LAN mit Access Point -> Geht
Internet---Fritzbox--pfSense--LAN--Router mit Wlan -> Geht nicht

Muss ich irgendwo in den NAT-Einstellungen etwas anpassen?

Vielleicht findet sich ja jemand, der sich damit auskennt...

Gruß und danke schonmal,
Eagle2
Mitglied: aqui
25.01.2013 um 21:57 Uhr
Die Regel auf der pfSense ist überflüssig und auch kontraproduktiv. Bringt also nix. Der Router macht ja NAT und damit tauchen alle Datenpakete aus dem lokalen LAN Netz des Routers mit seiner WAN IP am pfSense LAN auf, das ja eine gültige IP aus dem LAN Segment der pfSense hat. Die FW "sieht" also folglicherweise das IP Netz hinter dem Router gar nicht da die ursprüngliche Absender IP per NAT umgesetzt wird auf die WAN IP.
Folglich kann die Regel dann auch nix bringen...
Eigentlich ist das Verhalten ungewöhnlich, denn da am pfSense LAN Port alles erlaubt ist muss das gehen. Zeigt ja auch das Szenario wo der Client direkt am LAN Port angeschlossen ist per AP.
Ungewöhnlich..... ggf. solltest du es mal mit einer statischen IP versuchen. Anpassen muss man nix. Ggf. macht der AP im Router Zicken.
MTU Problem kann es auch nicht sein, denn du hast nur Ethernet dazwischen. MTU Probleme treten nur bei PPPoE auf.
Ansonsten Wireshark hernehmen oder die Trace Option in der pfSense und mal sehen was da abläuft bzw. Pakete mal genau vergleichen mit einem Whatsapp Zugriff ohne Router.
Ggf. auch mal die Firewall Logs querchecken..
Bitte warten ..
Mitglied: eagle2
25.01.2013 um 22:02 Uhr
Ich hab gerade mal mit einem lokalem Testsystem geprüft: Auch hier kommt Whatsapp direkt hinter pfSense problemlos durch (Was ja auch zwei Router sind, also Fritzbox und dann pfSense), wenn aber zwischen Gerät und pfSense noch ein Router hängt geht es nicht mehr. Das mit der Regel dachte ich mir schon, das komische ist ja, dass in pfSense im System Log->Firewall Einträge mit der IP des internen Subnetzes des Routers auftauchen.

Wireshark ist eine gute Idee, das mach ich jetzt mal ;)
Bitte warten ..
Mitglied: orcape
25.01.2013 um 22:57 Uhr
Hi,
Was ja auch zwei Router sind, also Fritzbox und dann pfSense
Also die Fritzbox dann als einfaches Modem betreiben.
(WAN-Anschluss an pfSense, IP wird über DHCP von pfSense gezogen, eigener DHCP-Server verteilt IP's in einem anderem
Subnetz)
...und wieso auf der pfSense DHCP und am weiteren Router auch noch DHCP...
Das funktioniert definitive so nicht. Vielleicht auf der pfSense mal mit statischen IP's versuchen.
Gruß orcape
Bitte warten ..
Mitglied: aqui
26.01.2013, aktualisiert um 13:27 Uhr
.@Eagle2
Denk dran wenn du die FB davor hast das du die default Filterregel mit den RFC 1918 IPs (Private Netze) entfernst (Haken davor entfernen !)
Das Transfernetz FB LAN zu pfSense WAN Port ist ja ein RFC 1918 Netz (FB Default 192.168.178.0 /24) und das darf natürlich nicht gefiltert werden.
Ist aber eigentlich nicht das Urproblem.
Checke auch nochmal ob der 3te Router einen korrekten DNS Eintrag hat und sofern er selber als DNS rennt ob die Proxyfunktion läuft (Client mit nslookup Kommando) Nur um DNS problematiken auszuschliessen.
Du solltest sonst wirklich einen Wireshark dazwischenschleifen und beide Kommunikatione mal mitsniffern und checken wo er hängenbleibt.

.@Orcape
Doch, das funktioniert so mit DHCP. Der WAN Port des 3ten Routers ist als DHCP Client ausgeführt und steckt im LAN der pfSense. Hier bekommt er vom pfSense DHCP Server am FW LAN Port eine gültige IP, Gateway und DNS Server (hoffentlich).
Der 3te Router selber ist dann in seinem eigenen LAN Segment wieder DHCP Server und vergibt dort IPs an Endgeräte.
Das sollte also sauber klappen sofern alle IP Netz IPs einzigartig sind.
Bitte warten ..
Mitglied: eagle2
26.01.2013 um 13:38 Uhr
@orcape: Ich habe die Konstellation wie Aqui sie beschrieben hat, das funktioniert schon. Alle IP-Netze sind einzigartig.

@aqui: Möglicherweise hängt das tatsächlich mit DNS zusammen. Der Router ist WAN-seitig mit statischer IP konfiguriert und hat als DNS-Eintrag die pfSense-IP. Im Webinterface ist ein zusätzlicher Menüpunkt für DNS, der allerdings nur ein separater Menüpunkt für den DNS-Server, der für den WAN-Port eingestellt ist. Die Clients erhalten dementsprechend als DNS-Server direkt die IP von pfSense. Komischerweise läuft aber trotzdem ein DNS-Forwarder, denn wenn ich in nslookup den Router als Server angebe, funktioniert die Namensauflösung. Ich befürchte ja, dass mit dem Router einfach irgendwas nicht stimmt. Wenn es mit einem anderen Router geht, werde ich dann diesen einfach austauschen und dann hat sich die Sache.

An welcher Stelle/von wo aus würdest du denn mit Wireshark mitschneiden?
Bitte warten ..
Mitglied: aqui
26.01.2013 um 13:46 Uhr
Das ist vermutlich ein DNS Problem. Die Clients hinter dem 3ten Router können ja den 3ten Router als DNS haben genauso wie das pfSense LAN IP Interface. Beides sollte klappen, denn beide arbeiten als DNS Proxy.
Ggf. kannst du das am 3ten Router alles mal statisch nachtragen und testen ob das ein Unterschied macht.
Durch 3 DNS Proxies ist natürlch ne Herausforderung sollte aber klappen
Du solltest immer am Client sniffern. Also einmal zwischen Client und FW LAN Interface wo es klappt.
Dann mit dem 3ten Router dazwischen und wieder zw. Client und 3ten Router LAN Interface. Gleiche prozedur.
Idelaerweise nimmst du da einen Laptop mit Wireshark drauf, dann musst du nicht Frickeln mit Monitor Port usw.
Die FW hat unter Diagnostics auch einen Sniffer an Bord. Ggf. nutzt du den ist erstmal einfacher...
Bitte warten ..
Mitglied: eagle2
26.01.2013 um 18:58 Uhr
Das Problem hat sich geklärt: Grundsätzlich ist meine Konstellation möglich, nur zeigt mein Router ein etwas merkwürdiges Verhalten, was zu obigem Problem führt.
Bitte warten ..
Mitglied: orcape
26.01.2013 um 19:09 Uhr
Grundsätzlich ist meine Konstellation möglich,
....welches "riesige" Netz hast Du, das 3 Router als Kaskade notwendig werden ???
Testaufbau ?
Bitte warten ..
Mitglied: eagle2
26.01.2013 um 19:15 Uhr
Etwas kompliziert:

Fritzbox muss für T-DSL da sein, da hängen auch einige Rechner dran, weswegen direkt PPPoE nicht ginge, ohne an pfSense ein weiteres Interface hinzuzufügen, dann pfSense, das LAN-Netz von pfSense läuft über die gleiche physikalische Infrastruktur wie ein anderes Netz mit DHCP, weswegen im LAN-Netz die IP's nur statisch vergeben werden. Jetzt soll an einer Stelle ein Zugang über Wlan genutzt werden, wäre mit einem Access Point möglich, dann müssten die Nutzer aber alle statische IP-Adressen eintragen, was nicht sehr benutzerfreundlich ist. Daher der Router mit statischer IP im pfSense-LAN-Netz, der dahinter seinen eigenen DHCP macht, sodass die Nutzer nur das Wlanpasswort eingeben müssen und ins Netz kommen. Und ja, das ist glücklicherweise nur ein seeehr provisorischer und vorübergehender Aufbau...
Bitte warten ..
Ähnliche Inhalte
Netzwerke
PfSense Pure NAT zu DMZ
Frage von Fenris14Netzwerke3 Kommentare

Hallo, ich habe kürzlich eine zweite WAN-IP nur für die Geräte in der DMZ eingerichtet, Jetzt habe ich aber ...

Router & Routing
PFsense Port Forward und NAT
gelöst Frage von m.reegerRouter & Routing11 Kommentare

Hallo, folgendes Problem bei einer PFSense 2.3.4_1. Die PFsense ist eine VM auf einem Hyper-V Host. Der Hyper-V Host ...

LAN, WAN, Wireless
PfSense: NAT vor IPSEC?
gelöst Frage von Fenris14LAN, WAN, Wireless12 Kommentare

Guten Tag, mal ne kleine Frage. Ich versuche folgendes umzusetzen: Client hinter einer pfSense => Soll Anfrage an virtuelle ...

LAN, WAN, Wireless
Alternative zu NAT mit PfSense
gelöst Frage von TheOnlyOneLAN, WAN, Wireless4 Kommentare

Hallo zusammen, betreibe hinter einer pfsense 2 PLESK Server. Die PLESK Server auf Linux Basis bekommen interne IP Adresse ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 9 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 13 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 13 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 16 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...