nominis
Goto Top

PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert

Hallo,

vermutlich habe ich gerade selbst Scheunentore vor den Augen.
Wobei ich zugeben muss, dass ich mich mit dem Thema Firewall-Regeln sehr schwer tue.
Nachdem ich mein gesamtes Regelwerk berechtigterweise (wegen absoluten Blödsinn) über den Haufen schmeißen musste (Danke an aqui ) bin ich zurück auf Anfang.

Ich habe in beiden LAN-Schnittstellen an oberster Stelle die default-mäßige Regel eingestellt:

1

2

Im WAN ist bisher auch alles Standard:

3

Trotzdem wird in beiden Netzen der Zugang zu https://www.web.de (82.165.230.17) blockiert, die unbedingt (Schwiegermutter) benötigt wird.
Der Rest geht mit diesen default-Regeln gefühlt.

Im Protokoll (gefiltert) sieht die Adresse so aus (allerdings ist das noch aus einer Testphase ohne die default-Regel.:

4

Wenn ich die Route verfolge sieht es so aus;

5

Die Adresse bap.web.de öffnet eine korrekte Startseite von web.de.
Warum geht das aber nicht mit mit https://www.web.de ??

Kann mir jemand den entscheidenden Hinweis geben?
Gruß Jörg

Content-Key: 599679

Url: https://administrator.de/contentid/599679

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: lcer00
Lösung lcer00 27.08.2020 um 11:18:22 Uhr
Goto Top
Hallo,

hängt die pfsense direkt am DSL oder ist da was dazwischen?

Wenn nein: wie ist das NAT konfiguriert?

Wenn ja: Poste die Routingtabelle

Grüße

lcer
Mitglied: 117471
117471 27.08.2020 um 11:30:44 Uhr
Goto Top
Hallo,

wie hast Du es denn auf die pfSense eingegrenzt?

Das kann auch der Rechner, der Browser oder der Internetanbieter sein.

Gruß,
Jörg
Mitglied: Nominis
Nominis 27.08.2020 aktualisiert um 11:36:44 Uhr
Goto Top
Am VDSL hängt noch eine Fritzbox (aktuell noch wegen Telefonie), daran ist die pfSense (WAN) angeschlossen.
(router kaskade)

6

Das gesamte Netz sieht so aus:

1_netzaufbau

Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.

Gruß Jörg
Mitglied: aqui
aqui 27.08.2020, aktualisiert am 26.09.2022 um 09:27:50 Uhr
Goto Top
Im Grunde sollte alles mit den Default Einstellungen fehlerfrei laufen. Wenn alles andere rennt außer web.de dann kann man eher ein DNS Problem vermuten.

Gehe zum Troubleshooting immer in das Diagnostics --> Ping Menü der pfSense und pinge von dort www.web.de und lege als Absender IP die WAN IP fest ! Wenn der Ping klappt dann klappt auch generell der Zugriff auf web.de.
Du solltest dann im Hinblick auf eine evtl. DNS Problematik immer ein besonderes Augenmerkt auf die richtigen DNS Settings der pfSense legen. Das ist wichtig, damit sie als Forwarding DNS die IP Adresse der kaskadierten FritzBox verwendet und NICHT die Root DNS Server was sonst im Default der Fall ist !

Hier sind dazu nochmals die wichtigsten ToDo Schritte:
  • RFC1918 IP Netz Blocking am WAN Port deaktivieren Sollte man in einer Router Kaskade (und nur in einer Kaskade, nie bei direktem Provider Link!!) immer machen.
fwnatkopp
  • DNS Forwarder deaktivieren !
dnsfordeakt
  • DNS Resolver aktivieren !
dnsres
  • DNSSEC deaktivieren im Resolver und Query Forwarder aktivieren !!
dnsres2

Auf der OPNsense muss das ebenfalls gemacht werden unter Services -> Unbound DNS -> Query Forwarding
opnsensedns

Damit sollte es fehlerfrei funktionieren.
Die pfSense WAN IP Adresse wie legst du die fest ??
  • Statisch ?
  • Oder mit DHCP Reservierung in der FritzBox über die Mac Adresse der pfSense (WAN Port Mac Adresse) ?
Mitglied: lcer00
lcer00 27.08.2020 um 12:09:32 Uhr
Goto Top
Hallo,
Zitat von @Nominis:

Im PC (am Home-Netz) habe ich die Windows-Firewall sowie die Avira-Firewall deaktiviert.
Das Notebook kommt per LTE lässig auf web.de rauf - nur am Gast-Netz nicht.
nun, da ist ja noch eine Fritzbox, die wohl als Access-Point arbeiten soll: 192.168.178.10

Wenn die selber routet - poste mal deren Routingtabelle und bitte auch die der pfsense und die der 192.168.1.1-Fritzbox

Grüße

lcer
Mitglied: Nominis
Nominis 27.08.2020 aktualisiert um 12:58:28 Uhr
Goto Top
Die Einstellungen der Grafik 1 - 3 waren schon so vorhanden.
Grafik 4 (DNSSEC deaktivieren und DNS Query Forwarding aktivieren) habe ich übernommen.

In der FritzBox (für den Internetzugang) habe ich testweise auch nochmals die DNS-Einstellungen auf vom Internetanbieter zugewiesene DNSv4-Server umgestellt.

Zuvor war dort 1.1.1x sowie DNS over TLS (DoT) aktiv.

Die pfSense hat eine statische WAN-IP-Adresse.
7

Der Ping sieht eigentlich ok. aus:

8

HSTS ??

Im Edge-Browser kommt diese Meldung:

9

Gruß Jörg
Mitglied: aqui
aqui 27.08.2020 aktualisiert um 13:01:50 Uhr
Goto Top
Bingo !
Dann rennt doch alles wie es soll !
Der Rest kann dann rein nur noch am Client liegen wenn es wider Erwarten immer nich nicht gehen sollte.
Dann dort folgendes machen:
  • Check das der Client nicht mit LAN und WLAN (sofern beides vorhanden) nicht parallel online ist. Es darf nur ein einziges Netzinterface aktiv sein !
  • Check mit ipconfig -all (Winblows) ob der Client zum Netz korrekte IP Adressen, Gateway, DNS bekommen hat.
  • Zuerst DNS check mit nslookup www.web.de korrekt über die pfSense aufgelöst wird.
  • Ping Check mit ping www.web.de
Wenn das alles OK ist dann liegt es nicht mehr an deiner Infrastruktur.
Im Edge-Browser kommt diese Meldung:
Igitt, Microsoft Schrott. Versuche es doch bitte mal mit einem "richtigen" Browser wie Firefox usw.
So oder so stimmt dann aber an den Zertifikaten der Web.de Webseite etwas nicht ! Mit dir und deiner Infrastruktur hat die Fehlermeldung nichts zu tun.
Mitglied: Nominis
Nominis 27.08.2020 um 13:09:06 Uhr
Goto Top
Hier nochmals die Routing-Tabelle der pfSense:

10

Die 2. FritzBox (7362SL - als Client / 192.168.178.10) spielt dabei erst mal keine Rolle.
Darüber geht nix.
Momentan hängt sie auch wieder am Gast-Netzwerk der 1. Fritzbox.

Damit funktioniert auch der Aufruf von www.web.de problemlos, wie auch direkt an bzw. hinter der 1. Fritzbox.
Damit ist erkennbar, dass das Problem erst hinter der Fritzbox (also durch die pfSense) erzeugt wird.

Gruß Jörg
Mitglied: Nominis
Nominis 27.08.2020 um 13:20:16 Uhr
Goto Top
Oh mann !!!!! face-smile

Ich habe eben pfBlockerNG deaktiviert .... und web.de funktioniert.

da muss wohl in einer der Listen die www.web.de-Adresse stehen.

Also alles geklärt.

Vielen Dank für die Mühe.

Gruß Jörg
Mitglied: lcer00
lcer00 27.08.2020 um 13:20:27 Uhr
Goto Top
Zitat von @Nominis:

Hier nochmals die Routing-Tabelle der pfSense:
nein, das ist die Gateway-Tabelle, eine Routing-Tabelle sieht anders aus.

https://docs.netgate.com/pfsense/en/latest/routing/viewing-routes.html

Verstehe ich das richtig, das Gerät, wo es nicht geht, hängt am LAN2 direkt per Kabel angebunden?

Grüße

lcer
Mitglied: Nominis
Nominis 27.08.2020 aktualisiert um 18:25:19 Uhr
Goto Top
Danke für Deine Unterstützung.
Es ging weder auf der LAN1-Schnittstelle - noch auf LAN2-Schnittstelle.
Es ging aber vor der pfSense, daher lag das Problem bei der Firewall.
In meinem Fall wurde die web.de-Seite durch eine der Listen von pfBloggerNG geblockt.
Durch Deaktivieren des Filters konnte ich das Problem erst einmal lösen.

Jetzt muss ich schauen ob ein Eintrag in eine Whitelist oder das deaktivieren der betreffenden Listenquelle das Problem endgültig löst.

Gruß Jörg
Mitglied: aqui
Lösung aqui 27.08.2020 um 19:01:08 Uhr
Goto Top
Die Listen sind stinknormale Text Dateien. Gehe also auf den URL der Liste und lasse die Suchfunktion des Browsers darauf los.
Mit diesen Listen wird web.de nicht gefiltert:
nglist
Mitglied: Nominis
Nominis 27.08.2020 um 19:30:40 Uhr
Goto Top
Danke für den Tipp.
Habe web erst mal zu Whitelist hinzugefügt.
Für heute reicht das erst mal.

Gruß Jörg