Netzwerk Setup mit Vodafone Kabel, Fritzbox und Firewalls
-
@micneu
Deine Interpretation des Netzwerk-Plans ist nicht korrekt; ich habe nur eine "Modem-Leitung".
Das Modem gehört zur FB6490, und ohne dieses Device ist kein Internetzugang möglich.Für die Nutzung der Static Public IPv4 ist ein weiterer Router nötig.
Für die Nutzung der Dynamic Public IPv4 wird die FB6490 als Router verwendet. -
@cmonty14 trotzdem sollte eine umsetzung wie mein bild möglich sein (ich persönlich würde ein modem einsetzen anstatt die fritzbox und pppoe auf der sense (es gibt auch kabel-modems die sind nur selten, mit ein wenig googlen sollte man aber eins finden)
-
@micneu
Ein anderes Kabel-Modem verursacht zusätzlichen Kosten.Bevor ich in andere Hardware investiere möchte ich erstmal klären, ob eine Lösung mit der aktuellen HW möglich ist.
-
@cmonty14 ich denke das dein vorhaben möglich währe, nur im bussiness sollte doch das geld vorhanden sein für ein modem und ordentliche ap's
PS: es hat keiner gesagt einen sense as firewall ist ein billiger spaß, will man es ordentlich nutzen/einsetzejn muss man schon etwas geld in die hand nehmen für ordentliche hardware
hier mal mein PRIVATES netzwerk:
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩═════════════════════════════════╗ Stand: ─ ─ ┐ ┌────────────────┐ ┌────────────────┐ ║ pfSense 2.5.2║ │ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ 24.12.2021 │ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ └────────────────┘ └───────┬──┬─────┘ ║DynDNS über Cloudflare mit eigener Domain║ ┌────────────────┐ │ │ ║ VPN's:║ │ Fritzbox 7490 │ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ (Nur VoIP) ├───────────┤ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ │ │ │ ║ 1 x WireGuard Road Warrior║ └────────────────┘ │ │ ║ (172.16.33.0/24)║ ┌────────────────┐ │ │ ╚═════════════════════════════════════════╝ │ UBNT │ │ │ ┌────────────────┐ ┌────────────────┐ │UniFi Cloud Key ├───────────┤ │ │ Switch │ │ 1 x UBNT │ │ │ │ └──────────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ └────────────────┘ │ │ │ │ │ ┌────────────────┐ │ └─────────┬──────┘ └────────────────┘ │ 2 x UBNT │ │ │ ┌────────────────┐ │UniFI AP AC Pro ├───────────┘ │ │ │ │ │ └──────────┤ Clients │ └────────────────┘ │ │ └────────────────┘ -
Du kannst das auch so mit der 6490 hoch ziehen, wird aber auf Dauer keinen Spaß machen.
Ein richtiger AP, am besten mit Managed Switch und pfSense gibt dir die Möglichkeit mit VLANs zu arbeiten und jede SSID auf eines dieser VLANs zu verweisen.
In der Fritz musst du eine Route für alle Netze hinter der pfSense zu dieser setzen.
Dann kannst du in der pfSense das NAT abschalten und muss aber alle Ports dann an die LAN IP der pfSense hinter der Fritzbox weiter leitet.
Das ist dann dein linker Aufbau.Beim rechten wird die pfSense direkt mit der öffentlichen IP versorgt, kann also ihr volles Potential ausnutzen.
Wenn man die Fritz in der Konstellation als Modem nutzen will ok, kann man machen.Komplexer wird es wenn diese weiterhin TK und AP sein soll, dann muss diese quasi hinter die pfSense ins LAN mit integriert werden, darf aber dann nicht länger als Router Clients ins Internet lassen.
Sonst umgehst du auf diese Weise dann die Schutzmöglichkeiten die du bei einer pfSense über z.B. pfBlockerNG einsetzen kannst.Zudem würde ich mir Gedanken machen welches Netz ich an deiner Stelle intern einsetzen will.
Ich bekomme hier über Cabel ein /59er IPv6 Bereich zugewiesen, also habe ich somit 32 Netze die ich intern verwenden kann.
So habe ich mir dazu ein passendes /19er aus dem RFC1918 Bereich raus gesucht, was nicht mit Netzen auf meiner Arbeit oder Default Netzen einer Fritz oder anderen Umgebungen kolidiert.
So kann ich mich auch über so ein WLAN dann per VPN ins Heimnetz einwählen. -
@nocling Bist du ehemaliger Unitymedia Kunde?
Wenn ja, könntest du bitte darlegen, wie man ein /59 IPv6 bekommt?Ich bekomme eine statische IPv4 /30 zusätzlich zu dem normalen Internetzugang über die FritzBox 6490.
-
Ja Cabel Opfer in NRW.
Habe einen Tarif für Privatkunden und dank 1000/50 dann die Möglichkeit Dual Stack zu beantragen.So kann ich mir dann auf dem WAN eine Public IPv4 und IPv6 ein Prefix /59 für IPv6 anfordern.
-
@nocling
Das funktioniert dann nur für ehemalige Kunden von Unitymedia mit Privatkunden-Tarif und DualStack.Ich habe Business-Tarif mit 1 statischen public IPv4.
-
Ich bin ehemaliger Unitymedia Kunde, zuvor mit 400/40 Dual Stack, dann nach Übernahme auf 1000/50 weiterhin mit Dual Stack.
Dann musst du mal mit deren Hotline sprechen, was du für Möglichkeiten hast IPv6 zu erhalten.
-
@cmonty14 said in Netzwerk Setup mit Vodafone Kabel, Fritzbox und Firewalls:
@nocling
Das funktioniert dann nur für ehemalige Kunden von Unitymedia mit Privatkunden-Tarif und DualStack.Ich habe Business-Tarif mit 1 statischen public IPv4.
Im Normalfall bekommen auch Business Kunden IPv6 wenn sies wollen. Wir haben in BW/KA auch Kunden bei Vodafone Business. Man muss aber sagen, dass das ein (kann man nicht anders sagen leider) absoluter Saustall ist, nachdem Vodafone da einmarschiert ist.
Man hat früher sauber auf der Fritte nach Umstellung bspw. ein /30 oder ein /29er Netz für Business Kunden auf der Fritte bekommen. Das hat super funktioniert ohne wenn und aber. Nach Vodafone Dummheit wurde das aufgelöst und nun gibt es diese bescheuerte Vermaschung mit der Fritzbox, die das nicht korrekt kann was sie nach Vodafone Meinung soll. Sobald man mehr als eine IPv4 fest haben möchte (Altkunde mit /29er Netz hätte Anrecht auf 5 IPs! was mit dem Port Mapping überhaupt nicht möglich ist) explodiert das ganze Konstrukt. Wir saßen da mit dem Kunden schon vor dem Wochenende in dem Salat, weil der GF den Vertrag auf Gigabit umgestellt hat und damit der neue Vodaquatsch galt. Danach flogen alle IPs > als die 1. weg vom Interface. Business Hotline sagt dann lapidar man solle doch die Geräte dann an die FB anschließen. Witzig... Man bekommt es dann tatsächlich unsupported von der Box hin, mehrere (obwohl eigentlich gar nicht möglich) exposed Hosts zu konfigurieren die alle auf den gleichen Port zeigen, mehr wie 3 gab aber Fehler in der UI der Box. Kunde dümpelt seither ohne seine beiden letzten IPs rum, VF sagt nicht ihr Problem obwohl sie die funktionierende Konfig mit Routing ab- und den jetzigen Quatsch angeschaltet haben. Also wenn ihr Altkunde seid, ändert NICHT den Vertrag!
Das vornweg sollte es möglich sein auch ein statische v6 Prefix von den Vodakaspern zu bekommen, könnte aber mehrere Supporter brauchen bis da mal jemand Vernünftiges an der Strippe ist. Leider.
Ansonsten hat @NOCling natürlich recht, was den Netzaufbau angeht. Ich habe zwar die Aussage
Ist es sinnvoll, diese Firewall als transparente Firewall einzurichten? Und wenn ja, welche Vor- und Nachteile hätte dies?
von @cmonty14 noch nicht ganz verstanden - was ist mit transparent gemeint? - aber die Fritte ist so oder so in der Konstellation Modem. Die Frage ist einfach, ob sie noch Router ist und man mit exposed Host rumkaspert, was bei einer IP noch ganz machbar ist, oder ob man ggf. später noch weitere IPs will und dann in die Welt der Schmerzen die oben beschrieben wurde reinläuft.
@cmonty14 said in Netzwerk Setup mit Vodafone Kabel, Fritzbox und Firewalls:
Da ich keinen Wifi AP (z.B. mit Ubiquiti) zur Verfügung habe, bin ich auf die Nutzung des WLAN Interfaces der FB6490 angewiesen.
Weil ich div. Broadcast Geräte habe (z.B. Wifi-Lautsprecher), bin ich auch auf das LAN Interface der FB6490 angewiesen.
Und hier stellt sich dann die Frage:Das wird so oder so mit Schmerzen einhergehen. Du kannst das sicherlich "irgendwie" bauen, aber es wird nicht schön. Auch wenn ich nicht weiß, was jetzt genau die WiFi Lautsprecher mit LAN (Kabel?) zu tun hätten. Aber wenn du da nicht den Access Point nach hinten in die sichere Zone verlagerst wird es sehr schwierig das vernünftig zu handhaben, dass es kontrollierbar ist. Dann muss man sich die Frage stellen, was man haben möchte. Entweder eine ordentliche Firewall die auch alles absichern kann oder ein Flickenteppich von geht-so-halbwegs-sicher und hängt-halt-hinter-FB-ohne-wirkliche-Sicherheit.
@cmonty14 said in Netzwerk Setup mit Vodafone Kabel, Fritzbox und Firewalls:
Wie wird eine zusätzliche Firewall intergriert, ohne dass doppeltes NAT gemacht werden muss?
Doppeltes NAT ist noch nie ein großes Problem gewesen, es wird nur immer als eines hingestellt. Das größere Problem ist eher schlechte Netzplanung oder -architektur. Da geht mehr verloren/kaputt als von ein bisschen Doppel-NAT.
Ich würde zumindest darüber nachdenken, das WLAN ordentlich hinter die pfSense zu packen und mir dafür irgendeinen AP oder ne alte FB oder sonstwas hinstellen. VoIP auf der Fritzbox ist nichts Schlimmes, auch wenn ich persönlich heut kaum noch nen Festnetz aktiv brauche.
Cheers
\jens -
@jegr
Vielen Dank für diese Erklärung und Erfahrungsbericht.Meine aktuelle Planung habe ich angepasst und sehe mich auch durch den Erfahrungsbericht darin bestärkt.
Das heißt konkret, dass ich- die statische public IPv4 mit /30 behalten werde, keine Umstellung auf IPv6
- diese IP Adresse werde ich einer Firewall zuweisen, die im Routerbetrieb läuft und das lokale Netzwerk als DMZ anbietet
- diese Firewall wird an den spezifischen Ethernet Port angeschlossen, der in der FB6490 als "exposed host" definiert ist
- in der DMZ wird ein Forward Proxy eingerichtet für die verschiedenen Webservices
- im LAN der FB6490 ein weitere Firewall einrichte mit LAN und Wifi AP hinter der FB
- eine static route in der FB6490 zur Firewall konfiguriere
- die FB6490 ausschließlich als Telefonzentrale, Modem und Router verwende
Dadurch erreiche ich eine saubere Trennung von DMZ und anderen lokalen Netzwerken. Des Weiteren wird kein doppeltes NAT gemacht.
-
Als Zusatz dazu: Im ehemaligem Unitymedia Gebiet werden feste IPv4 Adressen über Routing InformationProtocol (RIP) bereitgestellt. Das funktioniert bei Vodafone aber nur mit den VF Leihgeräten. Nicht mit eigener Hardware. Und das dazu, dass man als Vodafone als Business Kunde heute auch mehrere feste IP's buchen kann. Obwohl man aufgrund der Fritzbox nur eine besteimmte Anzahl an exposed Hosts einrichten kann. Deckt sich mit der von Jens beschriebenen Geschichte.
Der von Vodafone über Cable als Businiss verkaufte Anschluss ist schon ein schlechter Witz. Die Hotline von Vodafone ist mit Abstand einer der allerschlechtesten in Deutschland.
Vodafone FAQ
Ich habe aktuell einen "Office Internet & Phone"-Vertrag bzw. einen „Red Business Internet & Phone“-Vertrag mit fester IP-Adresse. Kann ich auch ein eigenes Endgerät verwenden?
Aktuell ist das nicht möglich, da in diesen Tarifen der sog. „RIP-Modus“ genutzt wird, bei dem die feste IP-Adresse quasi per VPN bereitgestellt wird, was nur auf dem Providergerät möglich ist.
