Sicher tel.t-online.de und nicht tel.telekom.de ?

-Rico

Hat sich für uns erledigt, die pfSense wird nicht mehr eingesetzt.

Hi Andrè,

das ist ja ein Ding. Ich hätte da nur folgende Erklärung. So wie ich das verstanden habe, hast du die Fritte jetzt in deinem privaten LAN und die Doorbird in der DMZ. Ich gehe davon aus, dass du die IP der Fritte nicht verändert hast.
Somit hat die Doorbird (bei Anschluss an der Fritte) den richtigen Weg zur Fritte. Wenn du die Doorbird danach in die DMZ gehängt hast und die Fritte nicht verändert hast, dann kann ich mir das gut erklären, dass die Doorbird den Weg zur Fritte weiterhin findet, da du (wahrscheinlich) dein Routing von der DMZ in dein privates LAN (Fritte) geöffnet hast. So kann ich mir das vorstellen.

Aber: Einen Weg von der DMZ in dein LAN hinein - keine gute Idee. Von intern nach DMZ ist das OK aber von DMZ nach intern? Die Doorbird hängt ja im WAN, also ist diese evtl. auch angreifbar. Und wenn jemand deine Doorbird kapert, findet er den Weg in dein privatzes LAN.

Oder habe ich das falsch verstanden?

Ich habe pfsense auf einer Realsoft Firewall APU.4C4W laufen. Zum WAN ein DSL-Modem und die Fritte als IP-Client eingerichtet, da ich als Telefone die AVM FritzFon benutze. Leider wie schon berichtet habe, sind einige Apps (AVM FritzFon, Haussteuerung etc.) nicht in der Lage, über Subnetze zu kommunizieren. Das ist echt noch verbesserungswürdig seitens der App-Hersteller. Denn eine Trennung von Haussteuerung zum privaten LAN und eine DMZ (mit Fritzbox und Doorbird) getrennt vom privaten LAN fände ich super. Das ist überhaupt der Grund, warum ich mir eine andere Firewall-Lösung angeschafft habe (das Subnetting). Ich arbeite weiter daran und hoffe bals eine Lösung dafür zu finden.

Gruß
Thomas

Hier findest du eine Lösung wie es geht:
OVPN Client routet
oder auch:
OVPN Client

Relevant ist hier das der Client zwingend IPv4 Forwarding aktiviert hat (Routing)
Bei Winblows ist das ein Eingriff in der Registry:
http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.htm
Und das im Client und Server das lokale IP Netz des Clients eingetragen ist fürs Routing.
Damit klappt das dann fehlerlos.

Hier findest du ebenfalls eine Lösung zu der Thematik mit gemischten Site 2 Site VPNs (OVPN und IPsec) und mobilen (IPsec) Nutzern:
OVPN/IPsec Mix 1
bzw.
OVPN/IPsec Mix 2
Und last but not least die VPN Dialin Lösung für mobile User und bordeigenen VPN Clients:
VPN Dialin

Hallo,

ich habe VDSL und eine Fritzbox die NAT macht, noch dazu ein Kabelmodem was kein NAT macht. Beide haben jeweils eine IP. Lässt sich das lösen mit CARP? Wobei die Fritzbox bald einem Modem weicht.

Gruß und dank ré

@zaphood
Super! Danke für die Rückmeldung.

Danke @viragomann, Du hast mir sehr geholfen. 👍

Danke hab es jetzt hinbekommen :)

Aus irgendwelchen unerfindlichen Gründen läuft das TAP nun. Alles schick :)

@JeGr Bei mir wird da nix kommuniziert aber bin auch nicht bei der Telekom, konnte das durch ein capture jetzt auflösen, nur ein /64 prefix bei Telecolumbus.

Bin gerade stolz wie Bolle, das erste mal Packet Capture gemacht. Mit pfSense auf dem WAN-Interface und anschließend in Wireshark geladen. In Grün ist der Filter zu sehen und dann auf "Advertise XID" geklickt brachte die nötige Info zu Tage.

Capture.JPG

na so wie ich das verstehe, muss das, was auch immer dann da hängt, irgendwie mit der Telekom reden können ... also es ist ja nicht nur eine reine DECT Station sondern eben auch mit Einwahl und so verbunden ... und da hab ich halt gar keine Ahnung, was man da alternativ zu einer Fritzbox nehmen kann. ¯_(ツ)_/¯

du musst da ggf. die VoIP und RTP Pakete noch entweder aus der NAT ausnehmen (sofern du abgehend in Richtung Lancom NATtest) oder zumindest sicherstellen, dass die Ports nicht randomisiert werden. Das kannst du in den Outbound NAT Einstellungen machen.

Grüße

Selbst dann will man den Login um eindeutige Zuordnung zum Gerät zu haben. Sonst kann einfach jeder x-beliebige Client mit Internet seine Adresse spoofen.

Vielen Dank für deine Einschätzung.

Hy JeGr,
dann dank ich dir mal für deine Info, und warte ich mal brav ab, wie sich das weiterentwickelt.

Best Grüße aus der Versenkung ;)

@goblinx said in Portweiterlweitung Fritzbox ->pfsense ->Debianserver:

Werden dann die eingeklappten Quellen benutzt um intern zwischen den den einzelnen Netzen / evtl. Routern zu routen?

Routen hat nicht mit Port Forwarding/NAT zu tun. Geroutet wird immer wenn es von einem Netzbereich in einen anderen geht. Der Quell-Part ist zugeklappt, damit man bei solchen Weiterleitungen eben nicht auf die unnötige Idee kommt irgendwas mit Source Filtering machen zu wollen. Wenn du jemand mit ner statischen IP hast, dann macht das schon Sinn, denn dann kann man diesem Client/Netz/IP die Weiterleitung einrichten und NUR diesem. Für alle anderen Quellen gibts dann nichts. Aber Weiterleitungen braucht man zu 95% von WAN->intern und nicht andersrum. Quelle nur wenn genau bekannt und nein, DynDNS gehört da nicht mit zu. :)

@three said in Unifi Switch 8 USG erforderlich - pfsense:

@goblinx Die USG brauchst Du eigentlich nicht. Wozu auch? USG und pfsense sind entweder ... oder ... beide braucht es nicht.

Was @three sagt. pfSense kann wesentlich mehr als das USG, es macht keinen Sinn noch eine USG zu kaufen und die auch noch hinter der Sense ins Netz zu hängen. Wofür auch? Nur dass im Controller bei "Internet" Zahlen auftauchen wieviel UP/Down Speed da ist? Oder Regeln aus dem Unifi Controller machen? Dann entscheide dich gleich ob du alles mit Unifi machen willst und lass pfSense weg. Oder nimm pfSense und pfeif auf die paar Funktionen die das im Controller betrifft.

Gruß

@JeGr Moin, moin, ich habe in Deiner Signatur gelesen, dass man Dich evtl. zum Thema Pfsense engagieren kann. Ich bräuchte mal ein bisschen Starthilfe und fachkundige Unterweisung. Wenn das möglich wäre, kannst Du hier ne Nachricht hinterlassen oder ne´ Email an h.mueller@fitmart.de