pfSense: Wie kann der Verkehr aus dem WAN-Port herausgeleitet werden?

32231
Ian Boyd

Expertenversion

Ich möchte in pfSense eine Route erstellen, die den Datenverkehr über den physischen WAN- Port sendet, nicht über den PPPoE-WAN- Port. Ich möchte mit dem Webserver meines DSL-Modems sprechen. Lassen Sie mich die aktuelle Sync-Rate und die SnR-Margen sehen. Das Modem sieht keine dafür bestimmten Pakete, weil sie durch den PPPoE-Tunnel gesendet werden .

Lange Version

Mein pfSense-Router ist dafür verantwortlich, die PPPoE-Verbindung über DSL zu meinem ISP herzustellen. Wenn ein Computer im LAN Pakete an das Internet senden möchte, sendet die Standardroute Pakete über die PPPoE- Verbindung. Diese Pakete, die in einem PPPoE-Header verpackt sind, werden über das Ethernet-Kabel an mein DSL-Modem gesendet. Von dort wird ihnen der ISP und das Internet im Allgemeinen gesendet.

+----------------------+ +----------------------+  |IPv4 header (20 bytes)| +--------+ |PPPoE header (8 bytes)| +-----+ {‾‾‾‾‾‾‾‾} | |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===> | | +--------+ | | +-----+  | | | | +----------------------+ +----------------------+

Ich möchte eine Möglichkeit, ein Paket über den WAN-Port selbst zu senden - nicht über den PPPoE-WAN-Port.

Mein Modem sitzt da draußen, mit einer http-Schnittstelle, die ich überwachen kann

  • Verbindungsgeschwindigkeit
  • Signal-Rausch-Verhältnis
  • Bandbreite
  • Verbindungszeit

Immer wenn ich versuche, eine Route für das Ziel festzulegen 192.168.2.1(die IP, auf die das Modem HTTP-Anforderungen abhört), um den WAN- Port zu verlassen, wird der PPPoE- Port beendet.

Der Unterschied besteht darin, dass sie in ein PPPoE-Protokollpaket eingeschlossen sind und das Modem das Paket nicht gesendet hat, sondern an den ISP übermittelt wird.

Da pfSense nicht in der Lage ist, den Datenverkehr aus dem physischen WAN-Port herauszuleiten: Wie kann ich den Datenverkehr aus dem physischen WAN-Port auf pfSense leiten?

Hier ist genau die gleiche Frage, die ich vor 3 Jahren im pfSense-Forum gestellt habe :

Mein Modem hat eine Webschnittstelle. Es ist praktisch, weil ich sehen kann, ob es tatsächlich angeschlossen ist oder nicht, Leitungsrauschen, Fehlerraten usw.

Wenn ich das Modem an meinen Destop-PC anschließe (und nicht an den pfSense-PC), kann ich die Webschnittstelle des Modems gut pingen und durchsuchen. Die IP-Adresse des Modems ist 192.168.0.254 und kann an Port 8080 überwacht werden. Ich kann die Aktivitäten auch von meinem PC aus verfolgen:

Ping-Modem 

ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254 ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98 IP/ICMP Phalanx => Ovislink_LAN 192.168.0.98 => 192.168.0.254 ECHO IP/ICMP Phalanx <= Ovislink_LAN 192.168.0.98 <= 192.168.0.254 ECHOREPLY

Sie können sehen, wie mein Gerät eine ARP-Übertragung durchführt, und nach der MAC-Adresse des Modems (dem Ovislink) fragt. Das Modem antwortet mit seiner IP, das Echo geht aus und ich bekomme eine Antwort. Ähnliches kann man sehen, wenn ich mich mit dem Webport des Modems verbinde:

Anschließen an den Webport 8080 

ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254 ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98 IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 SYN IP/TCP Plalanx <= Ovislink_LAN 192.168.0.98:50001 <= 192.168.0.254:8080 SYNACK IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 ACK

Nach der ARP-Anforderung wird eine TCP-Verbindung mit dem normalen SYN-, SYN ACK-, ACK-Prozess hergestellt. Und alles ist gut.

Anstatt das Modem an meinen Desktop-PC anzuschließen, verbinde ich es mit dem PC, auf dem pfSense ausgeführt wird.

Hinweis: Zuvor hatte ich pfSense LAN - IP - Adresse geändert werden 192.168.1.1/16, statt 192.168.1.1/24. Dies liegt daran, dass mein Netzwerk bereits war 192.168.0.0/16.

Das erste, was ich tue, ist das Deaktivieren „Block private Netze“ Feature unter Interfaces->WAN, da ist mein Modem LAN - Schnittstelle als ausgeführt 192.168.0.254. Dadurch wird der erste Firewall-Eintrag entfernt, unter Firewall->Rulesdem der gesamte RFC1918-Verkehr blockiert wurde. Als nächstes habe ich eine Firewall-Regel hinzugefügt:

Aktion: Pass -
Schnittstelle: WAN -
Protokoll: TCP
Quelle: Host oder Alias, 192.168.0.254
Destination: LAN - Subnetz
Zielportbereich: jedes
Log - Pakete: Ja
Beschreibung: ADSL - Modem

Nach dem Speichern und Anwenden meiner Änderungen habe ich versucht, die Diagnostics->PingFunktion zum Ping 192.168.0.254auf der WAN-Seite zu verwenden. Es hat natürlich nicht funktioniert.

Ich dachte darüber nach, und es scheint mir, dass ich TCP-Pakete im WAN nicht einfach zulassen 192.168.0.254kann. Ich muss auch ARP-Antwortpakete zulassen (wie sonst könnte pfSense die MAC-Adresse der Hardware finden, die es zu senden versucht IP-Paket zu?). Mir fiel auch ein, dass ich LAN nicht als Ziel angeben kann, weil eigentlich die WAN-Schnittstelle pingt. Also habe ich die Firewall-Regel folgendermaßen aktualisiert:

Aktion: Führen Sie
Schnittstelle: WAN -
Protokoll: jede
Quelle: Host oder Alias, 192.168.0.254
Ziel: jeden
Zielportbereich: alle
Lügen - Pakete: Ja
Beschreibung: ADSL - Modem

Wenn ich jetzt ping ... funktioniert es nicht. Keine wirkliche Überraschung. Also entschied ich mich für eine Paketverfolgung:

Schnittstelle: WAN-
Hostadresse: 192.168.0.254 Anzahl
: 1
Detailstufe: Voll

Ich startete die Spur, machte einen Ping aus Diagnostics->Pingund bekam ... nichts. Keine Ping-Antwort und keine Pakete in der Ablaufverfolgung.

So kommt es mir gerade so vor:

  • pfSense ist im 192.168.1.1/16Subet
  • Mein Desktop befindet sich im 192.168.0.98/16Subnetz
  • Mein Server befindet sich im 192.168.0.10/16Subnetz

Möglicherweise befindet sich das Modem nicht im /16Subnetz. Ich stecke das Modem wieder in meinen Desktop ein, verbinde mich mit der Weboberfläche und sehe, dass es eingestellt ist 192.168.0.254/24. Also muss ich das Modem neu konfigurieren 192.168.1.254/24. Ich rekonfiguriere dann

  • mein Desktop zu sein 192.168.1.98,
  • der Server zu sein 192.168.1.10,
  • und jetzt ist das Modem 192.168.1.254
  • zusätzlich zu pfSense 192.168.1.1.

Ich verbinde das Modem wieder mit der PfSense-Box, versuche es zu pingen und bekomme ... keine Antwort. Ich mache eine Paketverfolgung für Pakete von 192.168.1.254und ich sehe ... keine.

Jetzt bin ich überrascht und bittet um Hilfe.

5

5 Antworten auf die Frage

2
nicorellius

Nicht sicher, ob es mit DSL möglich ist ... Können Sie eine Firewall-Regel nur mit WAN-Parametern erstellen? Gehen Sie also zu Firewall> Regeln> WAN und erstellen Sie dort die Regel. Stellen Sie sicher, dass der Datenverkehr nicht auf PPPoE (LAN> WAN) beschränkt ist.

Nein, die einzigen Optionen für Schnittstellen sind "LAN" oder "WAN". Ian Boyd vor 13 Jahren 0
Ich werde die Antwort "nicht möglich" akzeptieren. Es scheint die richtige Antwort zu sein. Ian Boyd vor 13 Jahren 0
2
Walter Aldum

Ich glaube, ich habe es geschafft, was Sie verlangt haben. Sie müssen eine Schnittstelle, ein Gateway und eine Regel hinzufügen, um den Datenverkehr für dieses Gateway für den IP-Bereich Ihres Modems zu leiten.

Also mein Setup: Billion Router an Telefonkabel angeschlossen - im Bridge-Modus. pfsense router über lan kabel mit milliarden router verbunden. pfsense version 2.1.5

pfsense eingerichtet mit 3 Schnittstellen:

  • WAN - PPPOE über re0 (Setup als Teil des Setup-Assistenten)
  • LAN - dhcp-Host über em0 mit DHCP-Zuweisung von IP-Adressen zwischen 192.168.1.128 und 192.168.1.192 (Setup als Teil des Setup-Assistenten)
  • MODEMACCESS - dhcp-Client über re0 (musste nach dem Setup manuell hinzugefügt werden)

Gateways:

  • GW_WAN - Schnittstelle = WAN; Gateway-IP-Adresse = dynamisch; Standard-Gateway
  • MODEMACCESS_DHCP - Schnittstelle = MODEMACCESS; Gateway-IP-Adresse = dhcp; NICHT Standardgateway

Regeln:

  • Unter WAN habe ich die üblichen 2 Blöcke und einen Pass all, gatway = default
  • Unter LAN habe ich 192.168.1.1/24 Quell- und 192.168.1.1/24 Zielsperrungsregel und einige Warteschlangenzuweisungsregeln von 192.168.1.x bis! 192.168.1.x, Gateway = Standard
  • Unter MODEMACCESS-Quelle 192.168.1.1/24 an Ziel 10.0.0.2/24 mit Gateway MODEMACCESS_DHCP

IPs für Geräte:

  • Milliarden Router IP 10.0.0.2
  • pfsense LAN ip: 192.168.1.1
  • pfsense WAN öffentliche IP-Adresse, die von PPPOE bestimmt wird
  • pfsense MODEMACCESS IP durch Milliarden DHCP-Server bestimmt

Ich kann auf das Milliarden-Router-Web-GUI zugreifen, indem ich 10.0.0.2 (oder den Hostnamen) in einen Browser auf einem beliebigen PC im LAN-Netzwerk eingebe. Ich kann mit jedem an das LAN angeschlossenen Gerät auf das Internet zugreifen (über die PPPOE-Verbindung über pfsense).

Ja das funktioniert. PfSense wurde um die Möglichkeit erweitert, weitere beliebige Schnittstellen hinzuzufügen, nachdem ich die Frage gestellt hatte. @ getacks Antwort verlinkt auf das neue pfSense-How-To mit dem Titel [Zugriff auf Modem innerhalb der Firewall] (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) Ian Boyd vor 9 Jahren 0
1
seagullarity

Hört sich für mich an, als ob Ihr Modemrouter im Bridge-Modus ist und dass der pfSense-Router mit der PPPoE-Client-ID eingerichtet ist, um Ihre öffentliche IP-Adresse direkt vom ISP zu erhalten. Stellen Sie sicher, dass sich der Router nicht im Bridge-Modus befindet und als DHCP-Server eingerichtet ist. Dann weisen Sie pfSense an, seine WAN-IP über DHCP zu beziehen.

Das ist wirklich nur eine Vermutung ...

1
getack

Meine Antwort könnte ähnlich sein wie das, was andere gepostet haben. Aber ich denke, das ( https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall ) wird Ihre Frage beantworten

0
user311628

Um dies einzurichten, benötigen Sie einen Schalter zum Anschließen des Modems. Die PFSense-Firewall wird mit zwei Ports an diesen Switch angeschlossen. Ein Port wird anfangs als OPT-Port angezeigt, Sie können ihn jedoch umbenennen. Die Firewall verwendet die PPPoE-Verbindung als WAN-Schnittstelle. Sie können jedoch über die opt-Schnittstelle zum Modem routen.

Verwandte Probleme