WWW nicht über Server in Subnetzwerk erreichbar

Moin zusammen, ich habe mich die letzten Tage am Thema Site-To-Site VPN in der Hetzner Cloud versucht. Das funktioniert auch alles bisher einwandfrei, bis zu dem Punkt, an dem mein Server im Subnetzwerk über die Default Route ins WWW kommunizieren möchte. Ich habe also wie in den Videos dazu beschrieben die Default Route mit dem Command ip route add default via 10.100.0.1 entsprechend gesetzt. Die NAT Settings in der Pfsense angepasst. Dann einen Ping von meiner Ubuntu Maschine auf 1.1.1.1. Dieser Ping wird weiterhin nicht durchgelassen.

Vielleicht hat irgendwer von euch vielleicht einen Tipp, was ich probieren könnte, um das ganze zum laufen zu bekommen :slight_smile:

Hier noch ein Screenshot aus der Pfsense UI:

Einblick auf die Commands, die auf der Ubuntu-Kiste ausgeführt wurden, die ins WWW kommunizieren soll:

kommen Packte auf dem LAN-Interface an?
wie sehen die Packte aufm Wan Interface aus?
Wie sehen deine Firewall Regeln aus?

Firewall Rules WAN:

Firewall Rules LAN:

Ping LAN-Interface, packages kommen nicht an:

Ping WAN-Interface, packages kommen auch nicht an:

Somit gehe ich davon aus, dass etwas im Bereich der Firewall Settings fehlt? :thinking:

deine Firewall Regel erlaubt nur Verbindungen auf Port 80 und 443 auf die LAN-Adresse der Firewall

Wird das nicht hiermit erledigt?

Da meine Ubuntu Kiste in dem Subnetzwerk 10.100.0.0/24 liegt, sollte doch eigentlich der Traffic durchlaufen?

Oder benötige ich eine extra Rule, die ich unter LAN anlege und entsprechend als Source LAN und als Destination das WAN Interface angebe? Das ganze entsprechend aus Pass gesetzt. :thinking:

Mit dieser Regel klappt es, 1.1.1.1 lässt sich jetzt anpingen

nein, das ist nur wie der Traffic genattet wird, er muss aber auch von der FW durchgelassen werden

@JonathanN1203 das hier sollte das Ganze abdecken

ja, es empfiehlt sich nur, dass du nur immer das freischaltest, was du brauchst

Sollte ich etwas ändern bei der Regel, die ich geadded habe? Denn ich brauche Internetzugriff auf den Kisten im Subnetzwerk. Wenn ich als Source LAN setze und als Destination WAN, dann haben die Kisten im Subnetz keinen WWW Zugriff mehr.

das ziel muss schon das sein was du erreichen willst, am besten sowenig wie möglich und soviel wie nötig

1 Like

Ich empfehle bei der Fehlersuche auch immer wieder tcpdump. Damit kannst du auf den Linux-Kisten schauen, ob Packete überhaupt in die richtige Richtung gehen und Rückmeldungen ankommen.

https://www.tcpdump.org/manpages/tcpdump.1.html