Moin,ja klar, nimm ruhig eine andere Firewall Ob das jedoch Deine Probleme löst glaube ich eher nicht!Probleme mit Windows Domänen sind zumeist auf Probleme mit dem DNS zurückzuführen. Ist denn das DNS richtig konfiguriert? Sind die DNS-Zonen auf dem DC richtig eingerichtet? Kannst Du jeweils vom Servernetz in das Clientnetz pingen (FQDN)?Welchen DNS-Server bekommen die Clients denn zugwiesen? Manuelle Zuweisung oder per DHCP?Ansonsten verstehe ich das Konstrukt mit 2 Firewall's hintereinander ohnehin nicht! Warum nicht Alles über eine Firewall? Die IoT-Devices in ein eigenes Netzwerk kapseln (ggf. per VLAN) und gut ist.
Auch wenn ich nichts dagegen habe, dich im pfsense Forum zu lesen, wird die Antwort zur Frage dort (zumindest von mir) nicht anders ausfallen als Dirk schon geschrieben hat Dein Problem liegt eher in dem einerseits m.E. überkomplizierten Aufbau mit zwei Firewalls (1) und deinem Windows Fileserver (2)(1) ist kein Problem per se, macht aber auch keinen Sinn, zumindest nicht laut deiner Zeichnung. Dort zweigt an FW1 ein IOT Netz ab und nach unten geht eine DMZ. Diese DMZ ist aber nutzlos, weil nichts in ihr steht. Bei einem zweistufigen Aufbau mit 2 Firewalls wären genau dort bspw. die IOT Geräte und dahinter geschaltet mit zweiter Firewall dann das LAN. Dort (an der 2. Firewall) ist aber die nächste Obskurität: Nochmals zwei getrennte Netze für Server und Clients was prinzipiell natürlich gut und nicht verwerflich ist - macht bei der Architektur aber genausowenig Sinn, das Server Netz hier auf FW2 zu ziehen, da es technisch gesehen auch eher ein DMZ ist.Einfacher - und bei richtigem Setup auch nicht weniger sicher - wäre alle Netze an einer Firewall abzuspalten. IoT, Server, Clients (LAN). Und damit sind dann auch alle Netze UND REGELN an einem Punkt in der Verwaltung und müssen nicht an 2 Punkten gepflegt werden.(2) ist wahrscheinlich dein eigentliches Problem. Die Standard MS Windows Firewall ist so eingerichtet, dass das eigene Netz, in welchem DER SERVER steht, immer gern gesehen und freigegeben ist - andere Netze NICHT! Somit werden alle Netze != dem eigenen als "extern" angesehen und per default geblockt. Ich würde daher raten (nur zum TEST!) die Windows Firewall komplett abzuschalten und dann nochmals zu testen (mit der IP des Servers um DNS Probleme wie von Dirk genannt auszuschließen). Geht es und dann mit Namen nicht, haben wir (ggf zusätzlich) ein DNS Problem.Grüße
Komplette Deaktivierung des Filters schaltet auch NAT ab. Ich denke eher DA wird dein Problem herkommen, nicht aus den Filtern wenn da tatsächlich any any Regeln drauf sind und nicht nur tcp any any (IP besteht ja nicht nur aus tcp oder udp).Mach mal komplett NAT aus, denn an der zweiten Firewall brauchst du m.E. nicht NATten, da du noch keine public IPs da überhaupt hast. Also reines Routing + Filtering.Gruß
