Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Hilfe mit VLAN Regeln und Fritzbox Zugriff

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 5 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      benjsing
      last edited by

      Hallo miteinander,

      ich habe als Modem vor meiner pfSense eine Fritzbox 7490 am WAN Port hängen.

      Auf diese kann ich aus meinem VIP VLAN problemlos zugreifen; wenn ich aber aus dem IOT VLAN darauf zugreifen möchte, funktioniert dies nicht. Zudem wird die IP irgendwie umgeleitet:

      homeassistant ~ » ping 192.168.178.1                                                                                                                    7 ↵
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
From 192.168.176.1 icmp_seq=1 Destination Host Unreachable
From 192.168.176.1 icmp_seq=2 Destination Host Unreachable
From 192.168.176.1 icmp_seq=3 Destination Host Unreachable

      Die IP der FB ist 192.168.178.1. So kann ich sie auch per z.B. ping von meinem Hauptrechner (aus dem VIP VLAN) ansprechen. Pinge ich sie aber aus dem IOT Netz, kommt der Output von oben. Die IP wird automatisch in 192.168.176.1 umgewandelt, ohne dass ich dies irgendwo eingestellt habe.

      Sollte diese Regel (jeweils für WAN, IOT, und LAN angelegt) nicht dafür sorgen, dass ich auf die Fritzbox zugreifen kann?

      alt text

      Die Regel habe ich jeweils per Drag-and-Drop nach ganz oben unter den einzelnen Interface Rules geschoben. Bis vor Kurzem (das letzte Mal vor ein paar Monaten ausprobiert, seitdem nicht (bewusst) irgend etwas verändert) funktionierte alles noch. Der Home Server hatte Zugriff auf die Fritze (und konnte somit einen bestimmten per DECT verbundenen Heizkörper steuern). Plötzlich war die Verbindung dann weg (Error im Home Assistant).

      Da es Sommer war, hatte ich meine knappe Zeit anders eingeteilt und die Prioritäten anders gelegt. Jetzt muss/möchte ich die Heizung wieder steuern können und versuche es gerade noch einmal. Könnt Ihr mir weiterhelfen, wie ich die Verbindung wieder erlauben kann?

      • Zu erreichender Host: Fritzbox 7490 (192.168.178.1 anWAN)
      • Host, der die FB erreichen soll: Home Assistant (192.168.100.100 an IOT)
      • Beispielhost, der die FB bereits erreichen kann: ich (10.0.20.100 an VIP)

      Der Beispielhost kommt ebenfalls aus einem völlig anderen Subnetz als die FB, hat aber Zugriff; daraus schließe ich als Laie, dass die FB nicht ausschließlich Zugriff aus ihrem eigenen Subnetz erlaubt).

      Die IP von pfSense am WAN Port ist 192.168.178.33 und wird immer von der FB so vergeben. Die pfSense selbst ist unter 10.0.20.10 erreichbar.

      Vielen Dank im Voraus für Eure Hilfe :)

      Bob.DigB micneuM 2 Replies Last reply Reply Quote 0
      • Bob.DigB
        Bob.Dig LAYER 8 @benjsing
        last edited by Bob.Dig

        @benjsing Die pfSense ist doch auf unterschiedlichen IPs zu erreichen und die Fritzbox ist kein Modem sondern ein Router vor der pfSense, die ja ebenfalls ein Router ist.

        Du musst auch unterscheiden, ob etwas z.B. aus IOT auf die Fritzbox oder ob die Fritzbox auf etwas in IOT zugreifen können soll.

        Die abgebildete Regel sollte, sofern sie auf dem richtigen Interface ist, funktionieren.

        Eine Firewall ist auch nur so gut, wie sie auch bedient werden kann.

        1 Reply Last reply Reply Quote 0
        • T
          Tobi
          last edited by

          Wahrscheinlich habe ich alles nicht oder nur falsch verstanden.
          Als ich meine erste pfSense Installation gemacht habe gab es hier im Forum irgendwo Art Empfehlungen/ Vorschläge wie überhaupt mit der Fritze umzugehen ist (da gab und gibt es unterschiedliche Ansätze).
          Ich habe mich dafür entschieden, dass die Fritze nur eine einzige IP zu sehen bekommt und das ist die WAN IP der Sense. Also kein Routing o.ä auf der Fritze.
          Auf der Sense habe ich dann im NAT - "Automatic outbound NAT rule generation.
          (IPsec passthrough included)" aktiviert.
          Das wars dann auch schon was die Fritze angeht. Zugreifen kann ich drauf aus jedem VLAN was ich hier habe.
          Aber wie oben - vermutlich habe ich Dein Problem nicht oder falsch verstanden.

          1 Reply Last reply Reply Quote 0
          • N
            NOCling
            last edited by NOCling

            Trage mal alle Infos zusammen, denn das sieht irgendwie komisch aus.

            Zudem sollte das mit einem WAN Mitschnitt fix geklärt sein ob das Paket aus der Sense wie gewünscht raus geht und dann sollte von der Fritz was zurück kommen.

            Aber irgendwie erkenne ich bei dir gerade keine saubere Netzwerkstruktur. 10er, 192er fehlt nur noch das 172er Netz und du hast alle Privaten Bereiche irgendwie im Mixer.

            Also am besten mal eine Zeichnung, ggf. findest du dabei den Fehler sogar schon.

            Netgate 6100 & Netgate 2100

            1 Reply Last reply Reply Quote 1
            • micneuM
              micneu @benjsing
              last edited by

              @benjsing wie so oft, mir hilft es zum verständnis, bitte mal einen grafischen netzwerkplan.

              • läuft die fritzbox "wirklich als modem"?
              • bitte mal deine WAN Konfiguration (wenn du PPPoE konfiguriert hast)

              Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
              Hardware: Netgate 6100
              ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

              B 1 Reply Last reply Reply Quote 0
              • B
                benjsing @micneu
                last edited by

                Vielen Dank für Eure Antworten

                Ich habe nun übergangsweise die Fritzbox per LAN2 zusätzlich mit meinem Netzwerk verbunden. So ist nun auch der Zugriff aus allen anderen VLAN auf sie möglich. Ist nicht die Lösung, aber zumindest schon mal eine.

                Die Informationen werde ich übers Wochenende in Ruhe zusammenstellen und dann posten.

                So viel kann ich jetzt schon sagen: Mit Modem meinte ich, dass die Fritzbox für den Zugang ins WAN zuständig ist. Diese baut die Verbindung auf. Sorry, falls das der falsche Fachbegriff war. Also ungefähr so:

                Anschluss vom Anbieter ===> Fritzbox (stellt Verbindung ins Internet her) ===> pfSense (macht alles andere; DHCP, DNS, Firewall, etc.) ===> verschiedene VLANs ===> Endgeräte

                Aber irgendwie erkenne ich bei dir gerade keine saubere Netzwerkstruktur. 10er, 192er fehlt nur noch das 172er Netz und du hast alle Privaten Bereiche irgendwie im Mixer.

                Ich habe die 192er damals falsch erstellt, es hätte auch ein 10.* Netzwerk sein müssen (mit größerer Maske). Ich dachte, dadurch, dass die VIP Geräte mit 10.* starten, und die IOT Geräte mit 192., kann ich sie direkt einfacher unterscheiden. Natürlich (was ich damals aber irgendwie nicht auf dem Schirm hatte) hätte ich auch einfach 10.0.20. für VIP und 10.0.30.* für IOT vergeben können o.Ä..

                Das werde ich bei einer vollständigen Neueinrichtung im Rahmen eines Hardwareupgrades auch in Angriff nehmen.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.