pfSense fix-IP-s, mikrohullámú ISP-nél

FreeBSD-all

Belefutottam egy (feltételezem,) beállítási problémába, Hosszabb kísérletezés után sem tudom áthozni a szintén fix-IP-s DNS szolgáltatást az ISP-től a routeren. (Nem egy Sense fut nálam, a DHCP-s kapcsolatnál soha ilyen "falba" nem űtköztem, és egy mezei, "soho" router ezt a kérdést gond nélkül, alapból megoldja.)

Arra tippelek, hogy a NAT-nál lehet a megoldás kulcsa. Külön szabály kellene neki a DNS szerverek eléréséhez? - A tűzfalnál egyenlőre csak az alapbeállításokat használtam. (Nem elég a "DNS-forwarder", vagy "DNS-resolver" beállítása ami más egyéb, eddig tapasztalt DHCP-s esetben biztosítja a DNS-t...) Segítségeteket kérem, aki esetleg már beleütközött ebbe, mi lehet a megoldás?

  • 2045 megtekintés

( gemnon v | 2015. 12. 14., h – 09:49 )

Akkor internet van, csak névfeloldás nincs? Maga a pfsense doboz feloldja a neveket?

Shell alól csak ping ment, névfeloldás-próba nem, - sajnos, nincs most előttem, nem tudom kipróbálni. (vissza kellet raknom a TrendNET routert, az működik.)

Nem, a Windows 7-esben a szokásos sárga felkiáltójeles háromszög az eszköz ikonon. A hibaelhárítás DNS problémát jelez,- az IP fix és biztosan jó,- másik eszközön jön vele a net. - Szűrés a szolgáltó oldaláról állítólag nincs, (Igaz, "ping"-elni ("Sense"-konzolból) 8.8.8.8-at sem tudok, a beállított fix IP innen pingelhető.) Az eszközök sebességének beállítása többféleképpen kipróbálva, - ("auto-giga.") rendben lévőnek tűnik. A szokásos "gigás" REALTEK eszközök. Alaplapi a WAN-oldalon (re0-ás) és a LAN oldali is.

ha a 8.8.8.8 -at nem tudod a sense -ről pingelni, akkor szerintem más gebasz van.
azt írod, hogy a beállított fix ip innen pingelhető.
más is pingelhető, más külső IP? vagy azt nem próbáltad?

gyanúm szerint rosszul lesz beállítva a gateway ip/alhálózati mask, esetleg a fix ip/mask el van írva a gw beállításoknál.
egyszer mintha pfsense-nél én is jártam volna hasonlóan így, aztán jobban megnéztem, hogy miker is írtam be, és mintha a mask-ban lett volna elutés.
a pfsense-nek ez a része (upstream gateway-ek) pont nem annyira átlátható, s kicsit a soho routerektől eltérő logikát alkalmaz, ezért könnyű belefutni, s nem eszed észre. :)
(rádásul a gatewayek a System menü Gateways alatt vannak, pedig logikusan én az Interfaces alatt keresném, esetleg az Interfaces/WAN alatt valahol, s ez pont az a része a dolognak, mait nagoyn ritkán állítgat az ember, s könnyű átsiklani a hibák fölött. illetve az Interfaces/WAN alatt is nézd meg, hogy megfelelő netmask van-e beállítva, könnyű egye alá vagy fölé kattintani.)

( szollosiimre | 2015. 12. 14., h – 10:25 )

System -> general alatt tudod felvenni a DNS szervereket, ha ez a kérdés. Itt DNS-hez is tudod rögzíteni őket.

Ha nem fix szolgáltatásra aggatod, akkor automatikusan felveszi a DNS szervereket.
Az így kapott dns szervereket használja a DNS proxyban, amit interface szinten tudsz definiálni, valamint kell a tűzfal szabály, hogy a subnetből mehet a gateway ip-jére, udp53-on.

v2.2.5 Ja igen és a default GW-IP is be van írva, a WAN-nál. ("Macerás" egy kicsit, DHCP esetén szinte alapbeállításokkal már működni szokott.) Úgy emlékszem az "53"-as, az default portként és szabályként(?) - a "resolver"-nél alapból működik.

Köszönöm, ezt elsőként, (meg a névfeloldást "Sense"-konzolból) ellenőrizni fogom..

Egyébként, hogy a tudatlanságomat némiképp feledtessem, mi a különbség a "resolver" és a "DNS-forward" működése között? (Gondolom, a "resolver" a globálisabb, az egész alhálózatra kiható megoldás..)

a dns-foward csak egyszeruen tovabbitja a dns kereseket a default dns -ek fele, a resolver pedig feloldast is vegez, pl. tudsz hasznalni az alhalozatodban dns neveket.
mondjuk erdemes a csomagok kozul valami ertelmes dns servert feltelepiteni, de egy-ket host eseten, ileltve ha nem kell semmi extra (CNAME, MAIL record, service recordok, sb.stb.) ez is eleg lehet.

Egyébként már hálókártya hibára is gyanakodtam, - a "resolver-nél a bootfolyamat megáll és sokáig nem megy tovább... (Az a gond, hogy ezt egy másik gépen is előadta már, egy másik telepítés is. Azt sem tudtam erre az ISP-re "beidomítani". korábban hónapokon keresztül szépen vitt egy másik és DHCP-s szolgáltatót.

Ami igaz-igaz, a korábbi verziók (9.3-as BSD alapok előttiek..) még nem voltak annyira "hisztisek" a beállításokra és a rendszerkörnyezetre. De ha egyszer beáll, akkor utána "atomstabil". Ezért szeretem. (A BSD-k is jobban szivatnak telepítésekkor a 10-es óta, mi lesz itt még, ha a "Sense" is megkapja a 10.2-es kernelt.)

Ha ez be van pipálva a general setup-ba akkor talán ez:

Allow DNS server list to be overridden by DHCP/PPP on WAN
If this option is set, pfSense will use DNS servers assigned by a DHCP/PPP server on WAN for its own purposes (including the DNS forwarder). However, they will not be assigned to DHCP and PPTP VPN clients.

Bár ha a 8.8.8.8 se pingelhető akkor ott más gond lesz szerintem (nem lehet, hogy a szolgáltató macre szűr?), a GW pingelhető?

Igen, emlékszem, ezt én is figyelmesen végigolvastam. (A LAN oldalon a kliensek "static" beállítást kapnak, a DHCP-szervernél van osztva, a szokásos LAN-oldali IP tartomány. De a szubháló természetesen működik is. Még fix IP-kiosztással is.)

De azért megnézem a "DNS server list" kérdést ismét, hogyan is áll. (Persze mivel fix az ISP-IP, ezt nem lehetett rontani. Bár, (kipróbáltam..) ha bekapcsolt DHCP-szerver által, "mapolva" osztok ki ISP-IP-t a WAN-ra, akkor is, magától kikapcsolódik a DHCP-szerver beállítás, de persze így sincs net...)

Megpróbáltam, nem ment úgy sem. De a rendszeradmin, (telefon) letette az "esküt", hogy semmit nem szűrnek. (Bár ez számomra egy szolgáltató-rendszer esetén elképzelhetetlen.)
Nálam áramtalanítások, meg újraindítások voltak kismillióan. Ami esetleg még esélyes, az IPS-IP-t kiosztó szervernél lehet, hogy kellene egy reset... és anélkül meg kivárhatatlan a DNS szolgáltatás... :(

Amikor a WAN-IP-re, azaz a "blokkolásokra" rákerestem, azért ott van néhány domain. Csak nem tudtam eléggé értelmezni.

Azért majd megírom a végét, mire jutottam. (Menni kell, mert a "lakodalom" "sokk"-ba van, -- nem is annyira..., - csak az időmet ne vinné feleslegesen. :) )

( end | 2015. 12. 14., h – 17:03 )

Valaki meg tudja nekem magyarázni, annak mi értelme van, hogy WAN és LAN oldali, fizikai hálózati eszköz egyazon MAC szám alatt települ. - Enyhén szólva, számomra ez egyáltalán nem tűnik szimpatikusnak. (Annál is inkább mert az általam használt Sense két eszköze, normálisan különálló MAC-kel rendelkezik. - Most néztem meg.)

Kicseréltem a hálókártyát, (LAN-oldali) a MAC most megváltozott, de az alaplapi is felvette ugyanezt az értéket. (Közben PCI "slot"-ot is cseréltem.) (Ez egy ESPRIMO 3510)

Meg is van a "bűnös", bár még ki kell próbálnom. Szereztem egy másik FUJI géptípust (újabb) és erre gond nélkül felment a REALTEK-es kombináció. Topic "tárgya-Esprimo" meg egy D-LINK GB-ssel is két ugyanolyan MAC-et eredményezett. Tehát jóvátehetetlenül hibás a gép. (A típus, mert kettőt is kipróbáltam belőle, és mindkettő ugyanúgy "közösítette" a MAC-keket a PCI-s felöl.) Ja, ez biztosan featura, nem hiba. (esetleg ezen a típusból a szerverépítést elkerülendő... Drága, jó Fuji-Siemens!!! - persze ez csak feltételezés.) Minden esetre ilyennel 15 év alatt sem találkoztam. "Gyakoroltam" is kb. 30 telepítéssel a 2.2.5-ösből.)

A többi szerintem már ebből következik. (Hogyan működhetnének, akár beépített szabályok is ebben a "fals" esetben. De ha véletlenül a hiba továbbra is fenntmaradt, akkor itt, sűrü kéztördelések közepette visszajelzek.

Köszönöm minden hozzászólónak a segítőkészségét!