Fritz Box UI nicht erreichbar aus LAN

viragomann

@nightdevil said in Fritz Box UI nicht erreichbar aus LAN:

Bei tracert 192.168.178.1 ist der zweite hop eine anfrage an den DNS meines Providers

Verstehe ich nicht.

Ping kann nicht gehen. Das macht die NAT Regel nicht. Dazu müsstes du bei Protokoll "any" wählen.
Aber der Zugriff auf die Weboberfläche sollte schon möglich sein.

Ich würde erstmal die pfSense neu starten. War bei mir bei Umstellungen meist nötig. Anschließend versuche es nochmal.

Sollte es immer noch nicht funktionieren, versuche mal die Fritzbox von der pfSense zu pingen in Diagnostic > Ping.
Die FB antwortet ja meines Wissens auf Pings von intern.
Das sollte mit den Standardoptionen klappen.
Dann kannst du bei Quelle LAN auswählen. Dazu muss aber eben in der Outbound NAT Regel das Protokoll auf "any" gesetzt sein. Wenn das funkt, müsste es vom LAN aus auch gehen.

nightdevil

@viragomann
habe die regel auf any geändert und die pfsense neu gebootet, klappt leider immer noch nicht

ping von der pfsense hab ich auch probiert. Bei source LAN/WAN/Virtual IP versucht

viragomann

@nightdevil
Okay, wenn das nicht klappt, blockiert die FB den Zugriff (von deiner IP).
Wähle aber sicherheitshalber bei Source noch die virtuelle WAN IP aus.

nightdevil

@viragomann

ich habe mich per putty mal auf die pfsense eingeloggt und dort den ping ausgeführt da kam dann ping: sendto: Host is down

Kann es sein dass es nicht geht weil die Fritzbox im bridge mode angeschlossen ist ?

viragomann

@nightdevil
Ich kenne die Fritzbox nicht. Ich habe nur einige Eigenheiten hier im Forum mitbekommen.

Aber jedenfalls im PPPoE Modus hat sie auch eine IP im üblichen 192.168.178.0/24 Netz und ist da auch ansprechbar. Ich würde davon ausgehen, dass das auch im DHCP Mode so ist.
Und ich denke, irgendwie muss man ja auch an die Weboberfläche kommen, damit man den Modus wieder umstellen kann.

Ein Forumsmitglied hatte vor ein paar Wochen geschrieben, dass er seine pfSense in der FB erst freischalten musste.
Ich könnte mir auch vorstellen, dass die FB auch fest eingestellte IPs blockiert, die in ihrem DHCP Bereich liegen. Wenn also der DHCP-Bereich bei 192.168.178.2 beginnt, könnte diese IP ein schlechte Wahl sein.

Vielleicht könntest du mal versuchen, das WAN von der FB abzuhängen und auf einem PC die Netzwerkschnittstelle auf DHCP zu stellen und direkt an den Port 4 anzuschließen.
Bekommst du so eine IP in 192.168.178.0/24? Und kannst auf die FB?
Oder die NIC fest auf 192.168.178.2 stellen.

Eventuell sollte es auch ein anderer Anschluss auf der FB für den internen Zugriff sein.

nightdevil

@viragomann

so habe nun die tests die du vorgeschlagen hat durchgeführt und etwas rumprobiert.
Also wenn ich mein tablet mit LAN4 anschliesse erhalte ich auf dem Tablet auch die statische öffentliche IP Adresse.

Wenn ich es auf LAN2 anschliesse erhalte ich eine 192.168.178.x addresse. Der DHCP Bereich auf der FB ist von 192.168.178.20 - 192.168.178.200 eingerichtet. Web UI ist dann vom Tablet aus erreichbar.

Ich habe ausserdem den pfsense server auf LAN 3 angeschlossen und die IP auf 192.168.178.2 eingestellt. Dann erreiche ich auch die FB von meinen lokalen Netzwerk. Allerdings habe ich dann kein Internet mehr.

Das Internet geht nur wenn ich die pfsense auf den bridged port anschliesse.

So also wenn ich auf bridged port anschliesse geht mein internet aber die FB Gui nicht. Und wenn ich auf nicht bridged port anschliesse geht die FB Gui aber das Internet nicht :)

Eigener interner Anschluss dazu bräuchte ich noch einen LAN Port auf dem pfsense server oder ? Habe da nur 2 NICs

viragomann

@nightdevil said in Fritz Box UI nicht erreichbar aus LAN:

Also wenn ich mein tablet mit LAN4 anschliesse erhalte ich auf dem Tablet auch die statische öffentliche IP Adresse.

Auch wenn das WAN der FB gar nicht verbunden ist?
Ich würde mich fragen, woher dann die öffentliche IP kommt.

Die Idee dahinter war, dass die FB dem angeschlossenen Geräte per DHCP eine IP zuweist. Wenn sie allerdings keine WAN-Verbindung hat, sollte das nicht die öffentliche sein.
Darüber hinaus habe ich die Vermutung, dass die FB nur IPs erlaubt, die er bekannt sind. Also IPs von ihrem DHCP, andere müssten manuell erlaubt werden.

Daher würde ich versuchen, ein Gerät zu verbinden und damit in der FB 192.168.178.2 als feste IP für die pfSense einzurichten.
Das würde aber nur funktionieren, wenn die Fritzbox 2 IPs auf einer MAC erlaubt, denn die öffentliche WAN IP müsste am selben Interface liegen. Dafür könnte es eine zusätzliche Einstellung geben.
Wenn das von der FB nicht unterstützt wird, würde es wohl nicht mal helfen, einen Switch davor zu setzen und die pfSense mit 2 Anschlüssen der FB zu verbinden.

nightdevil

@viragomann
ich werde nun folgendes versuchen: Ich kaufe mir eine Netzwerkkarte mit 4 ports und schliesse die LAN3 port der FB an einen der ports der neuen Karte an. Dann sollte ich doch in der lage sein eine Route in der firewall zu konfigurieren mit der ich die FB aus dem LAN erreichen kann. Oder sehe ich da was falsch ?

viragomann

@nightdevil
Ja, natürlich sollte das gehen.
Ein Route ist dafür nicht nötig. Einfach nur die Outbound NAT Regel dann am jeweiligen Interface.

Mir wäre der Aufwand allerdings zu hoch. Hast du so großes Interesse, ständig an die FB zu kommen?
Ich würde eben einfache, wenn nötig, einen Laptop dranstöpseln.

viragomann

@nightdevil
Ich muss mich da nochmal zurückmelden, weil ein User in einem anderen Thread, dem ich dasselbe empfohlen hatte, geschrieben hat, er hätte erfolgreich das Modem Interface erreichen können, nachdem er die NAT-Regel wieder entfernt hatte.

https://forum.netgate.com/topic/163977/connect-to-modem-through-firewall-not-using-pppoe/3?_=1643485399099

Die NAT-Regel entfernen, hieße, dass die Pakete mit der öffentlichen WAN-IP als Quelle am FB-Interface ankommen.
Die virtuelle IP am Interface wäre aber dennoch nötig, um die private IP anzusprechen.

Das könntest du ja noch versuchen.

PFsense User2019

Guten Abend zusammen

Was hast du den genau für eine Fritz Box?

ich kenne das nur so von der 6590 damals:

Wenn die Fritz Box in den Bride Modus geschalten ist, dann bekommst du 2 öffentliche IP-Adressen zugewiesen. Eine bekommt die Fritz Box selber und auf dem in den Bridge Modus versetzten Port bekommst du eine weitere öffentliche IP zugewiesen. Über diesen Port kann man die Fritz Box selber dann nicht mehr erreichen!

So kenne ich das von den Kabel Boxen und habe das auch schon selber so betrieben.

Mein letzter Stand war sogar, das die Fritz Box selber dann nur noch über Port 1 erreichbar ist. Wenn der Port im Bridge Modus ist, kann darüber nicht mehr auf die Fritz Box zugegriffen werden.

Da müsste man dann ein 2tes Kabel zum Port 1 legen um auf die GUI zu kommen.

Falls ich falsch liege, korrigiert mich bitte

schönen Abend euch

nightdevil

@viragomann vielen dank nochmal für deine rückmeldung habe das alles ausprobiert aber leider ohne erfolg

nightdevil

@pfsense-user2019 ich habe ein 6490 Kabelmodem. Deine Beschreibung würde alles erklären. Also bleibt mir nichts anderes übrig als ein 4 port NIC zu kaufen für den Server und dann ein zusätzliches Kabel von Port 1 des Modems mit einem der 4 Ports der Netzwerkkarte zu verbinden ? Das sollte dann auf jedenfall gehen oder ?

PFsense User2019

Guten Morgen :-)

Ich würde hier nicht direkt eine neue Netzwerkkarte kaufen, sondern das Problem über ein VLAN lösen.

Ein neues VLAN Interface (tagged) anlegen und dann über einen Switch (untagged) an die Fritzbox gehen.

Das ist der einfachste und kostengünstigste weg.

nightdevil

@pfsense-user2019 die netzwerkkarte kostet 27 Euro :) Ist ein alter Server :)