WWW nicht über Server in Subnetzwerk erreichbar

blackwhitemint · 18. Mai 2024 um 19:19

Moin zusammen, ich habe mich die letzten Tage am Thema Site-To-Site VPN in der Hetzner Cloud versucht. Das funktioniert auch alles bisher einwandfrei, bis zu dem Punkt, an dem mein Server im Subnetzwerk über die Default Route ins WWW kommunizieren möchte. Ich habe also wie in den Videos dazu beschrieben die Default Route mit dem Command ip route add default via 10.100.0.1 entsprechend gesetzt. Die NAT Settings in der Pfsense angepasst. Dann einen Ping von meiner Ubuntu Maschine auf 1.1.1.1. Dieser Ping wird weiterhin nicht durchgelassen.

Vielleicht hat irgendwer von euch vielleicht einen Tipp, was ich probieren könnte, um das ganze zum laufen zu bekommen

Hier noch ein Screenshot aus der Pfsense UI:

Einblick auf die Commands, die auf der Ubuntu-Kiste ausgeführt wurden, die ins WWW kommunizieren soll:

JonathanN1203 · 18. Mai 2024 um 21:15

kommen Packte auf dem LAN-Interface an?
wie sehen die Packte aufm Wan Interface aus?
Wie sehen deine Firewall Regeln aus?

blackwhitemint · 18. Mai 2024 um 22:52

Firewall Rules WAN:

Firewall Rules LAN:

blackwhitemint · 18. Mai 2024 um 22:52

Ping LAN-Interface, packages kommen nicht an:

Ping WAN-Interface, packages kommen auch nicht an:

Somit gehe ich davon aus, dass etwas im Bereich der Firewall Settings fehlt?

JonathanN1203 · 19. Mai 2024 um 10:30

deine Firewall Regel erlaubt nur Verbindungen auf Port 80 und 443 auf die LAN-Adresse der Firewall

blackwhitemint · 19. Mai 2024 um 21:04

Wird das nicht hiermit erledigt?

Da meine Ubuntu Kiste in dem Subnetzwerk 10.100.0.0/24 liegt, sollte doch eigentlich der Traffic durchlaufen?

Oder benötige ich eine extra Rule, die ich unter LAN anlege und entsprechend als Source LAN und als Destination das WAN Interface angebe? Das ganze entsprechend aus Pass gesetzt.

blackwhitemint · 19. Mai 2024 um 21:30

Mit dieser Regel klappt es, 1.1.1.1 lässt sich jetzt anpingen

JonathanN1203 · 19. Mai 2024 um 21:41

nein, das ist nur wie der Traffic genattet wird, er muss aber auch von der FW durchgelassen werden

blackwhitemint · 19. Mai 2024 um 22:05

@JonathanN1203 das hier sollte das Ganze abdecken

JonathanN1203 · 20. Mai 2024 um 07:35

ja, es empfiehlt sich nur, dass du nur immer das freischaltest, was du brauchst

blackwhitemint · 20. Mai 2024 um 14:10

Sollte ich etwas ändern bei der Regel, die ich geadded habe? Denn ich brauche Internetzugriff auf den Kisten im Subnetzwerk. Wenn ich als Source LAN setze und als Destination WAN, dann haben die Kisten im Subnetz keinen WWW Zugriff mehr.

JonathanN1203 · 20. Mai 2024 um 14:12

das ziel muss schon das sein was du erreichen willst, am besten sowenig wie möglich und soviel wie nötig

c00p3r · 23. Mai 2024 um 09:03

Ich empfehle bei der Fehlersuche auch immer wieder tcpdump. Damit kannst du auf den Linux-Kisten schauen, ob Packete überhaupt in die richtige Richtung gehen und Rückmeldungen ankommen.

https://www.tcpdump.org/manpages/tcpdump.1.html