Sorry, da muss ich meine 2 Cent dazuwerfen ;)
pfsense WAN (lass den DHCP Client am Besten an) –> Fritzbox
Fritzbox weist der pfSene eine IP...
Gruselig. Wenn man Router kaskadiert dann spielt man hier nicht mit DHCP. Das ist unnötig fehleranfällig und in dem Fall völlig egal ob es selten/kaum passieren kann oder nicht, es kann passieren und sollte daher schlichtweg vermieden werden. Es gibt kein Problem der pfSense schlicht auf dem WAN statisch die 192.168.178.2 zu verpassen und der FB zu sagen, dass ihr DHCP Bereich erst ab 10 oder 100 anfängt. Damit hat man alle Probleme vermieden und kann auch ohne Drama gleich den exposed Host auf die .2 setzen. Und ja ich hatte deshalb schon Drama weil eben nach einem Update der pfSense und Reboot die sense nicht mehr die .2 sondern die .3 von der FB bekommen hat. Und jetzt debugge man das Problem mal, wenn das ein Remote Standort ist. Ja sicher, mit MAC Reservierung wärs nicht passiert etc. etc. - doch, weil der Kunde auch gern mal schnell die ganze Box vor Ort austauscht (pfSense) - da wird dann zuerst Update auf neuer Box + Konfig eingespielt und dann die Box einfach schnell rundgetauscht. Dann müsste er jedes Mal wieder auf der Fritzbox das Mapping ändern...
Auf der FB das static mapping zu konfigurieren geht genauso schnell wie DHCP Bereich ändern, exposed Host muss eh eingerichtet werden. Die pfSense kann aber wesentlich schneller booten und ist im Fehler/Down-Fall der Fritzbox trotzdem sofort da und hängt nicht in einem unnötigen Interface DHCP Timeout herum bis sie weiterbootet weil sie keine Adresse bekommt. Ich verstehe hier wirklich komplett den Sinn nicht, warum man unbedingt auf der pfSense WAN Seite DHCP haben will, wenn das "WAN" im eigenen Haus steht und eine private Adresse hat. Das ist einfach unnötig fehleranfällig. ;)
Variante b) selektives weiterleiten, z.B. 443 für VPN
Vorteil: "sicherer"
Sehe ich nicht so. Sicherer ist es nicht, da - wenn eh alles über die pfSense läuft (was meist der Fall ist außer SIP/VoIP) - man auch dort alles managen möchte. Auf der FB ohne wirklichen Paketfilter und outbound Filter irgendwas debuggen ist übel. Zudem will man ggf. sehen, was da alles von außen kommt etc. Nur Port Fowardings für einzelne Ports ist meist fehleranfällig weil zu oft an zwei Stellen ständig nachgesucht werden muss warum irgendwas nicht geht. :)
Deshalb: 2 Handgriffe an der Fritzbox im Gegensatz zu ihrer Werkseinstellung: DHCP Bereich, exposed Host. Fertig. Sonst nichts angefasst. Und dann kann das Ding im Schrank vor sich hin oxidieren. Alles andere managed man auf der pfSense und hat seine Ruhe und muss weder mit dem Kabelbetreiber noch der Box noch großartig herumkaspern. Und zudem kann UM oder sonstwer problemlos einfach die FB mal austauschen. Kommt eine neue, einfach anschließen und anklemmen - selbst ohne die beiden Handgriffe hat man trotzdem SOFORT wieder Internet (da die .2 ja so oder so stimmt und andere Clients noch nicht herumschwirren) nach außen. Dann die 2 Handgriffe und auch von außen kommend klappt alles wieder. Schneller gehts nicht.
Als Zuckerguss könntest du das Natting in der pfSense ausschalten (Stichwort: doppel-Nat).
Den Satz verkneif ich mir. Ich kann das Double-NAT bashing nicht mehr lesen... Double NAT bringt euch an der Stelle überhaupt kein Problem außer bei VoIP und das kann/darf man durchaus vornedran packen an die FB, die vom Kabelanbieter meist eh schon den Telefon Teil vorkonfiguriert bekommt. Vorteil: funktioniert, ist vom ISP so gewollt und man hat kein Support-Chaos weil man "nicht unterstützte Lösungen" o.ä. einsetzt. Bei allem anderen ist NAT kein Hindernis von irgendwas. Zudem bekommt somit auch kein Provider Einsicht in die dahintergeschalteten Netze. Und das hat nichts mit Paranoia zu tun, sondern schlicht mit: hat den ISP nicht zu kümmern.
Gruß