pfSense Configuratie

zit er niet standaard ergens een vinkje aan in pfsense dat hij requests aan de wan kant die in een private net liggen blokkeert?

hmm lijkt dan inderdaad goed.

kun je je regelset eens posten?

ik heb dat probleem geloof ik ook wel eens gehad wanneer de wan kant in een private range lag.

Probeer eens alles tijdelijk open te gooien.

Zowel op de Wan als de Lan kant.

ik heb ongeveer dezelfde config enkel is het bij mij:
192.168.2.* ->pfsense -> switch met eigen clients in 192.168.1.* subnet -> adslmodem -> internet

(die pfsense staat op mijn pc in vmware en gebruikt 1 van de netwerkaansluiting voor dat eigen netwerk - waar openbare access points aanhangen en heeft als 2de aansluiting de vmware 'bridged'-connectie om de 2de lan-connectie van mijn pc die in het private gedeelte hangt ook te kunnen gebruiken: pc heeft *.5, pfsense *.12 op dat gedeelte)

in pfsense blokkeer ik elk verkeer van 192.168.2.* naar 192.168.1.* zodat een bezoeker niet even mijn modem kan herconfigureren of mijn eigen systemen proberen te hacken en ook omgekeerd is alles dicht gezet mocht er eentje toch op mijn private netwerk geraken dat er niets terug geraakt.

de eerste regel aan lan zijde bij mij:
block * LAN net * 192.168.1.1/24 * * block LAN -> WAN

ergens op het einde staat:
allow ICMP LAN net * * * * allow ICMP LAN -> any

(waardoor internet-systemen wel bereikbaar blijven maar het lan-netwerk nog steeds afgeschermd is)


en toch werkt een tracert netjes zoals het hoort.
(eentje naar tweakers.net loopt bv pas mis vlak voor tweakers zelf - tussen belbone.be en tweakers.net en dat is wellicht omdat die laatste geen eigen icmp doorlaat)

heb je nergens die icmp geblokkeerd? op je pfsense of op je modem?
werkt die tracert wel correct van je private netwerk?

misschien de captive portal opstaan en nog niet ingelogd geweest?
(maar dan zou je speedtouch ook al niet bereikbaar zijn geweest natuurlijk)


onderbuur: met of zonder NAT zou het moeten gaan.
ik heb bv ook NAT op pfsense en NAT op adsl-modem en bij werkt dat wel correct.
ik heb echter bij pfsense -> firewall -> nat de regel " Automatic outbound NAT rule generation (IPsec passthrough)" aanstaan.

Als NAT niet correct werkte zou ook de tracert naat eigen modem niet goed gaan bij TS.
het kan natuurlijk de NAT van de modem van TS zijn die lastig doet - want op die hop gaat het mis...
daarmee de vraag of het wel werkt vanaf private net (dat 172.* netwerk)


TS: kan je eventueel ook even testen met een client in dat 192.168.1.* netwerk?
zodat je weet of het probleem aan je pfsense ligt of aan je speedtouch.
(zou de eerste test moeten zijn zodra je problemen merkt achter de 2de router in je netwerk)

[ Voor 39% gewijzigd door soulrider op 29-10-2009 20:40 ]

Zet je NAT eens uit, en maak er een echte router van...