FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem
-
Betreff: Problem mit Portfreigaben und CARP bei Pfsense – Hilfe benötigt!
Hallo zusammen,
ich hoffe, jemand von euch kann mir weiterhelfen, denn ich habe ein ziemlich kniffliges Problem mit meinen Portfreigaben in Kombination mit Pfsense und CARP-Adressen.
Problem:
Der Exposed Host in meiner FritzBox wird nicht auf die CARP-Adresse (192.168.2.254) weitergeleitet. Alle bisherigen Anpassungen und Resets haben nichts gebracht, und das System lief vorher ohne Probleme.Systemdetails:
- FritzBox Version: 8.0
- Pfsense Version: 24.11
- Konfiguration: Dual-WAN mit High-Availability (HA)
- Netzwerkübersicht:
- Pfsense 1:
- WAN IP: 192.168.2.251/28
- CARP IP: 192.168.2.254/28
- Pfsense 2:
- WAN IP: 192.168.2.252/28
- Pfsense 1:
Ich habe die WAN-IP der ersten Pfsense als Exposed Host in der FritzBox konfiguriert, da diese die CARP-IP (192.168.2.254) nicht korrekt zuordnet.
Fragen:
- Hat jemand eine Idee, wie ich der FritzBox beibringen kann, immer die CARP-IP als Exposed Host zu nutzen?
- Könnte es an der aktuellen FritzBox-Firmware liegen?
- Gibt es vielleicht spezielle Konfigurationsschritte in der Pfsense, die ich übersehen habe?
Hier ist noch ein Ausschnitt aus der Pfsense-Konfiguration:
re0: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500 description: WAN1DSL2 options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE> ether XX:XX:XX:XX:XX:28 inet 192.168.2.251 netmask 0xfffffff0 broadcast 192.168.2.255 inet 192.168.2.254 netmask 0xfffffff0 broadcast 192.168.2.255 vhid 2 carp: MASTER vhid 2 advbase 1 advskew 0 peer 224.0.0.18 peer6 ff02::12 status: activeFür weitere Infos stehe ich gerne bereit. Danke schon mal für eure Unterstützung!
Viele Grüße
sub -
@sub2010 entweder habe ich ein Verständnis Problem, wir machen bei uns im RZ ein HA-Cluster von 2 Sensen. Was ich nicht verstehe, warum willst du eine Fritz box benutzen. Wir haben von Unserem Provider ein 29er Netz und dort haben wir jeweils eine 1 IP für WAN (VirtualIP CARP) die auf beiden Sense Konfiguriert ist. Was genau willst du mit der Fritz box machen?
Nach meinem Verständnis ist es ja so, ist deine Fritzbox Down hast du kein Internet mehr und dann bringt dir dein Sense Cluster nichts mehr?
Bitte mal einen Grafischen Netzerkplan, damit wir mal genau den Aufbau von deinem Netzwerk verstehen -
@micneu
Vielen Dank für deine Antwort.
Ich habe nicht die Möglichkeit von einer statischen IP Adresse.Hier eine Übersicht vom Netzwerk.
-
@sub2010
Ist die Frtitzbox überhaupt gewillt, mit der CARP VIP zu kommunizieren? Geht ein Ping auf diese?Eventuell musst du auf der Frtitzbox so etwas wie "MAC Spoofing" aktivieren. Denn pfSense schickt alle Pakete von der Hardware-MAC, die zur Interface-IP gehört, während die FB die weitergeleiteten Pakete aber an die CARP-VIP und damit an die CARP-MAC richtet. Also die Antwort kommt von einer anderen MAC als die Anfrage geschickt wurde. Das ist MAC Spoofing. Wenn das unterbunden wird, kommuniziert das Gerät mit der CARP VIP nicht.
AVM hat aber dafür möglicherweise ein anderes Kunstwort erschaffen, wie so oft.
-
@viragomann said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:
@sub2010
Ist die Frtitzbox überhaupt gewillt, mit der CARP VIP zu kommunizieren? Geht ein Ping auf diese?Eventuell musst du auf der Frtitzbox so etwas wie "MAC Spoofing" aktivieren. Denn pfSense schickt alle Pakete von der Hardware-MAC, die zur Interface-IP gehört, während die FB die weitergeleiteten Pakete aber an die CARP-VIP und damit an die CARP-MAC richtet. Also die Antwort kommt von einer anderen MAC als die Anfrage geschickt wurde. Das ist MAC Spoofing. Wenn das unterbunden wird, kommuniziert das Gerät mit der CARP VIP nicht.
AVM hat aber dafür möglicherweise ein anderes Kunstwort erschaffen, wie so oft.
Das gilt bei der FritzBox meiner Meinung nach nur für das WLAN. Zumal es mehrere Jahre Problemlos lief. In den Release Note konnte ich nichts finden, was zu dem Fehler führen könnte.
-
Hier wurde schon mal so ein problem gelöst.
Vielleicht hlft es dir weiter:
https://forum.netgate.com/topic/123970/solved-zwei-fritzboxen-zwei-pfsense-multiwan-und-carp/9 -
@eagle61 said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:
https://forum.netgate.com/topic/123970/solved-zwei-fritzboxen-zwei-pfsense-multiwan-und-carp/9
Hi,
vielen Dank für den Hinweis. Genau das hier beschriebene, habe ich bereits mehrmals ausprobiert. Das hat auch bis vor ein paar Wochen sehr gut funktioniert.
Ich bin allerdings ratlos warum nach einem Reconnect der Fritzbox die Exposed Host nicht mehr funktioniert. -
@sub2010 said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:
Das hat auch bis vor ein paar Wochen sehr gut funktioniert.
Ich bin allerdings ratlos warum nach einem Reconnect der Fritzbox die Exposed Host nicht mehr funktioniertFunktioniert es tatsächlich seit einem Reconnect der Fritzbox nicht mehr oder nicht doch seit deren Update auf OS8?
-
@eagle61
Ich habe das Update der FritzBox und der Pfsense dicht hintereinander gemacht, sodass ich das eine oder andere nicht ausschließen kann.
Ich kann nur dazu sagen, dass der Workaround über das manuellen Festlegen vom Exposed Host über die Carp IP Adresse nicht mehr funktioniert. -
Der Hintergrund meiner Frage hat sich eh erledigt. In 2022 war es noch möglich FritzBoxen Downzugraden, also eine ältere Firmware einzuspielen. Es gibt sogar noch einen aktuell auffindbaren Artikel aus 2022 in der ComputerBlöd dazu. Aber leider scheint das nicht mehr möglich zu sein. Der Ordner mit den älteren Versionen der Firmware ist vom AVM-Download-Server verschwunden.
-
Hallo Zusammen,
heute nach dem externen IP Adresswechsel, hatte ich wieder das Problem, dass die Exposed Host Freigabe nicht funktioniert hat. Es führt nicht bei jedem IP Adresswechsel zum Fehler, eher jeder zweite.
Ich hatte ihn auf die erste Firewall konfiguriert, sodass ich auf den HA Modus verzichte. Aber auch das führte nicht zum Erfolg. Es tritt definitiv nach dem IP Wechsel der FritzBox auf.
Sogar das Fixing stellt sich als schwierig raus. Weder Neustarts der Firewall noch des Routers helfen. Die Netzwerkübersicht führt nicht mal die richtige Carp Adresse mit der Endung .254 auf.
Ich habe nun auch alle Filter regeln deaktiviert, in der Hoffnung das dies dmait zu tun hat
-
@sub2010 Was mich an deiner Grafik irritiert
- BalckMesa-1 & BlackMesa-CARP haben die gleiche IP
Bei uns in der Firma haben wir es so
pfsense1 WAN = xx.xx.xx.85/29 pfsense2 WAN = xx.xx.xx.86/29 CARP WAN = xx.xx.xx.82/29ich habe gerade in der Offiziellen Dokumentation geschaut, da ist alles beschrieben, hast du die Anleitung gelesen?
-
@micneu
Ja, dass ist laut dem Post ein Darstellungsfehler von der FritzBox.Heute Nacht ist mein gesamtes System schon wieder fehlgeschlagen. Nach dem IP Adresswechsel vom Provider funktioniert die Freigabe nicht mehr und damit gehen alle meine Service down.
So langsam gehen mir die Ideen aus.
Ich habe deshalb noch mal die Heimnetz Konfiguration in der FritzBox gelöscht, und die Freigabe neu erstellt.
Hier die config:
FritzBox Exposed Host HA (Carp) Konfiguration
Firewall 1
Firewall 2
Nach dem Neustart sieht es wie folgt in der FritzBox aus (Nur eine Firewall ist eingeschaltet)
Und so sieht es in der FritzBox aus, obwohl alles funktioniert.
-
@sub2010 ich habe keine Lösung für dein Problem, wenn es dir nur um die portfreigaben geht. Ich nutze privat sehr erfolgreich frp Proxy ein, da musst du keine Ports öffnen.
-
@micneu Ich danke dir dennoch das du dir die Zeit genommen hast.
Es gibt ein neues FritzBox Update, die Release Notes besagen zu meinem Problem nichts konkretes. Ich hoffe auf eine Besserung :).
-
@sub2010 said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:
@micneu Ich danke dir dennoch das du dir die Zeit genommen hast.
Es gibt ein neues FritzBox Update, die Release Notes besagen zu meinem Problem nichts konkretes. Ich hoffe auf eine Besserung :).
Das Update auf die FRITZ!OS 8.02 Version, hat das Problem gelöst. Seit der Installation hatte ich keine Probleme mehr!
-
Moin,
da wir das sehr oft und bis zum Erbrechen durchgespielt haben mit AVM:
Sollte das Exposed Host Ding wieder Probleme machen, hilft meistens wie folgt:
- Exposed Host und alle Freigaben löschen
- alle pfSense Nodes und/oder Switches abziehen, so dass die Fritte nichts *sense-iges mehr sieht
- alle Einträge aus der "home" Ansicht (dem Heimnetz oder wie AVM es zum Zeitpunkt dann auch immer nennt) rauslöschen. Kein Gerät sollte da mehr drin sein (außer ggf. dem einen, von dem du aus konfigurierst). Vor allem die Sensen und der Exposed Host Eintrag!
- Sicherheitshalber die Kiste neu starten
- Nochmal checken, dass alle Freigaben und Homenet Einträge raus sind (außer dem konfigurierenden Rechner)
- Dann über die "Internet / Freigaben" ein "Gerät für Freigaben" hinzufügen.
- WICHTIG: KEIN Gerät auswählen, sondern IP-Adresse der CARP-VIP manuell eingeben!!
- Die IP für Exposed Host freigeben, IPv6 komplett ignorieren!
- speichern
Danach erst Switch/Sensen wieder anstecken und dann prüfen, ob das die CARP auf WAN zwischen den Boxen wieder sauber läuft und ob die CARP VIP wieder sauber Traffic von draußen bekommt.
Die Fritze bekommt hin und wieder durch Einstellungen mal kompletten Kopfsalat und matcht in ihrer Heimnetz Übersicht dann mal wild irgendwelche Geräte auf andere Geräte und behauptet dann das wäre das Richtige. Wenn man in dem Zustand irgendwas an der Konfig ändert, kann es sein, dass dann statt der Freigabe auf die IP, eine Freigabe auf die Geräte Hardware/MAC gemacht wird und das ist bei CARP dann eher suboptimal. Oder er behauptet beim Failover, dass es plötzlich ein neues Gerät gäbe (weil andere Base MAC auf anderer IP etc. etc.) usw. wir haben da schon die kuriosesten Anzeigefehler gehabt. Solang man die Box aber in Ruhe lässt und die Freigabe auf die IP geht, ist/war alles fein.
Cheers :)
