Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 5 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sub2010
      last edited by sub2010

      Betreff: Problem mit Portfreigaben und CARP bei Pfsense – Hilfe benötigt!

      Hallo zusammen,

      ich hoffe, jemand von euch kann mir weiterhelfen, denn ich habe ein ziemlich kniffliges Problem mit meinen Portfreigaben in Kombination mit Pfsense und CARP-Adressen.

      Problem:
      Der Exposed Host in meiner FritzBox wird nicht auf die CARP-Adresse (192.168.2.254) weitergeleitet. Alle bisherigen Anpassungen und Resets haben nichts gebracht, und das System lief vorher ohne Probleme.

      Systemdetails:

      • FritzBox Version: 8.0
      • Pfsense Version: 24.11
      • Konfiguration: Dual-WAN mit High-Availability (HA)
      • Netzwerkübersicht:
        • Pfsense 1:
          • WAN IP: 192.168.2.251/28
          • CARP IP: 192.168.2.254/28
        • Pfsense 2:
          • WAN IP: 192.168.2.252/28

      Ich habe die WAN-IP der ersten Pfsense als Exposed Host in der FritzBox konfiguriert, da diese die CARP-IP (192.168.2.254) nicht korrekt zuordnet.
      8a790070-241b-4ace-a97b-c7339c17b452-image.png

      Fragen:

      1. Hat jemand eine Idee, wie ich der FritzBox beibringen kann, immer die CARP-IP als Exposed Host zu nutzen?
      2. Könnte es an der aktuellen FritzBox-Firmware liegen?
      3. Gibt es vielleicht spezielle Konfigurationsschritte in der Pfsense, die ich übersehen habe?

      Hier ist noch ein Ausschnitt aus der Pfsense-Konfiguration:

      re0: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
          description: WAN1DSL2
          options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
          ether XX:XX:XX:XX:XX:28
          inet 192.168.2.251 netmask 0xfffffff0 broadcast 192.168.2.255
          inet 192.168.2.254 netmask 0xfffffff0 broadcast 192.168.2.255 vhid 2
          carp: MASTER vhid 2 advbase 1 advskew 0
                peer 224.0.0.18 peer6 ff02::12
          status: active
      

      Für weitere Infos stehe ich gerne bereit. Danke schon mal für eure Unterstützung! 🙏

      Viele Grüße
      sub

      micneuM V 2 Replies Last reply Reply Quote 0
      • micneuM
        micneu @sub2010
        last edited by

        @sub2010 entweder habe ich ein Verständnis Problem, wir machen bei uns im RZ ein HA-Cluster von 2 Sensen. Was ich nicht verstehe, warum willst du eine Fritz box benutzen. Wir haben von Unserem Provider ein 29er Netz und dort haben wir jeweils eine 1 IP für WAN (VirtualIP CARP) die auf beiden Sense Konfiguriert ist. Was genau willst du mit der Fritz box machen?
        Nach meinem Verständnis ist es ja so, ist deine Fritzbox Down hast du kein Internet mehr und dann bringt dir dein Sense Cluster nichts mehr?
        Bitte mal einen Grafischen Netzerkplan, damit wir mal genau den Aufbau von deinem Netzwerk verstehen

        Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
        Hardware: Netgate 6100
        ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

        S 1 Reply Last reply Reply Quote 0
        • S
          sub2010 @micneu
          last edited by

          @micneu
          Vielen Dank für deine Antwort.
          Ich habe nicht die Möglichkeit von einer statischen IP Adresse.

          Hier eine Übersicht vom Netzwerk.
          c0bac814-bd5b-4087-b0e0-73409786f413-image.png

          1 Reply Last reply Reply Quote 0
          • V
            viragomann @sub2010
            last edited by

            @sub2010
            Ist die Frtitzbox überhaupt gewillt, mit der CARP VIP zu kommunizieren? Geht ein Ping auf diese?

            Eventuell musst du auf der Frtitzbox so etwas wie "MAC Spoofing" aktivieren. Denn pfSense schickt alle Pakete von der Hardware-MAC, die zur Interface-IP gehört, während die FB die weitergeleiteten Pakete aber an die CARP-VIP und damit an die CARP-MAC richtet. Also die Antwort kommt von einer anderen MAC als die Anfrage geschickt wurde. Das ist MAC Spoofing. Wenn das unterbunden wird, kommuniziert das Gerät mit der CARP VIP nicht.

            AVM hat aber dafür möglicherweise ein anderes Kunstwort erschaffen, wie so oft.

            S 1 Reply Last reply Reply Quote 0
            • S
              sub2010 @viragomann
              last edited by

              @viragomann said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:

              @sub2010
              Ist die Frtitzbox überhaupt gewillt, mit der CARP VIP zu kommunizieren? Geht ein Ping auf diese?

              Eventuell musst du auf der Frtitzbox so etwas wie "MAC Spoofing" aktivieren. Denn pfSense schickt alle Pakete von der Hardware-MAC, die zur Interface-IP gehört, während die FB die weitergeleiteten Pakete aber an die CARP-VIP und damit an die CARP-MAC richtet. Also die Antwort kommt von einer anderen MAC als die Anfrage geschickt wurde. Das ist MAC Spoofing. Wenn das unterbunden wird, kommuniziert das Gerät mit der CARP VIP nicht.

              AVM hat aber dafür möglicherweise ein anderes Kunstwort erschaffen, wie so oft.

              Das gilt bei der FritzBox meiner Meinung nach nur für das WLAN. Zumal es mehrere Jahre Problemlos lief. In den Release Note konnte ich nichts finden, was zu dem Fehler führen könnte.

              E 1 Reply Last reply Reply Quote 0
              • E
                eagle61 @sub2010
                last edited by

                @sub2010

                Hier wurde schon mal so ein problem gelöst.
                Vielleicht hlft es dir weiter:
                https://forum.netgate.com/topic/123970/solved-zwei-fritzboxen-zwei-pfsense-multiwan-und-carp/9

                S 1 Reply Last reply Reply Quote 0
                • S
                  sub2010 @eagle61
                  last edited by sub2010

                  @eagle61 said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:

                  https://forum.netgate.com/topic/123970/solved-zwei-fritzboxen-zwei-pfsense-multiwan-und-carp/9

                  Hi,

                  vielen Dank für den Hinweis. Genau das hier beschriebene, habe ich bereits mehrmals ausprobiert. Das hat auch bis vor ein paar Wochen sehr gut funktioniert.
                  Ich bin allerdings ratlos warum nach einem Reconnect der Fritzbox die Exposed Host nicht mehr funktioniert.

                  E 1 Reply Last reply Reply Quote 0
                  • E
                    eagle61 @sub2010
                    last edited by

                    @sub2010 said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:

                    Das hat auch bis vor ein paar Wochen sehr gut funktioniert.
                    Ich bin allerdings ratlos warum nach einem Reconnect der Fritzbox die Exposed Host nicht mehr funktioniert

                    Funktioniert es tatsächlich seit einem Reconnect der Fritzbox nicht mehr oder nicht doch seit deren Update auf OS8?

                    S 1 Reply Last reply Reply Quote 0
                    • S
                      sub2010 @eagle61
                      last edited by

                      @eagle61
                      Ich habe das Update der FritzBox und der Pfsense dicht hintereinander gemacht, sodass ich das eine oder andere nicht ausschließen kann.
                      Ich kann nur dazu sagen, dass der Workaround über das manuellen Festlegen vom Exposed Host über die Carp IP Adresse nicht mehr funktioniert.

                      E 1 Reply Last reply Reply Quote 0
                      • E
                        eagle61 @sub2010
                        last edited by eagle61

                        @sub2010

                        Der Hintergrund meiner Frage hat sich eh erledigt. In 2022 war es noch möglich FritzBoxen Downzugraden, also eine ältere Firmware einzuspielen. Es gibt sogar noch einen aktuell auffindbaren Artikel aus 2022 in der ComputerBlöd dazu. Aber leider scheint das nicht mehr möglich zu sein. Der Ordner mit den älteren Versionen der Firmware ist vom AVM-Download-Server verschwunden.

                        1 Reply Last reply Reply Quote 0
                        • S
                          sub2010
                          last edited by

                          Hallo Zusammen,

                          heute nach dem externen IP Adresswechsel, hatte ich wieder das Problem, dass die Exposed Host Freigabe nicht funktioniert hat. Es führt nicht bei jedem IP Adresswechsel zum Fehler, eher jeder zweite.

                          Ich hatte ihn auf die erste Firewall konfiguriert, sodass ich auf den HA Modus verzichte. Aber auch das führte nicht zum Erfolg. Es tritt definitiv nach dem IP Wechsel der FritzBox auf.
                          Sogar das Fixing stellt sich als schwierig raus. Weder Neustarts der Firewall noch des Routers helfen. Die Netzwerkübersicht führt nicht mal die richtige Carp Adresse mit der Endung .254 auf.
                          27236e43-bb5a-480f-84fd-b5050aba3a4f-image.png

                          Ich habe nun auch alle Filter regeln deaktiviert, in der Hoffnung das dies dmait zu tun hat
                          99f34024-406a-4af6-b007-a622215595ad-image.png

                          micneuM 1 Reply Last reply Reply Quote 0
                          • micneuM
                            micneu @sub2010
                            last edited by micneu

                            @sub2010 Was mich an deiner Grafik irritiert

                            • BalckMesa-1 & BlackMesa-CARP haben die gleiche IP

                            Bei uns in der Firma haben wir es so

                            pfsense1 WAN = xx.xx.xx.85/29
                            pfsense2 WAN = xx.xx.xx.86/29
                                CARP WAN = xx.xx.xx.82/29
                            

                            ich habe gerade in der Offiziellen Dokumentation geschaut, da ist alles beschrieben, hast du die Anleitung gelesen?

                            Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                            Hardware: Netgate 6100
                            ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                            S 1 Reply Last reply Reply Quote 0
                            • S
                              sub2010 @micneu
                              last edited by sub2010

                              @micneu
                              Ja, dass ist laut dem Post ein Darstellungsfehler von der FritzBox.

                              Heute Nacht ist mein gesamtes System schon wieder fehlgeschlagen. Nach dem IP Adresswechsel vom Provider funktioniert die Freigabe nicht mehr und damit gehen alle meine Service down.

                              So langsam gehen mir die Ideen aus.

                              Ich habe deshalb noch mal die Heimnetz Konfiguration in der FritzBox gelöscht, und die Freigabe neu erstellt.

                              Hier die config:

                              FritzBox Exposed Host HA (Carp) Konfiguration
                              7559d7aa-eae8-4fb2-a48b-d06c1f8139d2-Screenshot 2025-01-07 073458.png

                              Firewall 1
                              603adcf7-882c-42da-b8c8-14a5d4ef37f2-image.png
                              808185bd-dc1b-49da-a6a5-1239a490d407-image.png

                              Firewall 2
                              0f41caba-7f1d-40ae-92ad-0d64db9e17ad-image.png
                              1f697071-dac5-48eb-b79b-12fe66730b8e-image.png

                              Nach dem Neustart sieht es wie folgt in der FritzBox aus (Nur eine Firewall ist eingeschaltet)
                              fbeea38b-7d48-455a-b07d-bd03a541af9f-image.png

                              Und so sieht es in der FritzBox aus, obwohl alles funktioniert.
                              ffd3ced7-da80-4174-9915-06345978e02a-image.png

                              micneuM 1 Reply Last reply Reply Quote 0
                              • micneuM
                                micneu @sub2010
                                last edited by

                                @sub2010 ich habe keine Lösung für dein Problem, wenn es dir nur um die portfreigaben geht. Ich nutze privat sehr erfolgreich frp Proxy ein, da musst du keine Ports öffnen.

                                Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                                Hardware: Netgate 6100
                                ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                                S 1 Reply Last reply Reply Quote 0
                                • S
                                  sub2010 @micneu
                                  last edited by sub2010

                                  @micneu Ich danke dir dennoch das du dir die Zeit genommen hast.

                                  Es gibt ein neues FritzBox Update, die Release Notes besagen zu meinem Problem nichts konkretes. Ich hoffe auf eine Besserung :).

                                  Link Release Notes

                                  S 1 Reply Last reply Reply Quote 0
                                  • S
                                    sub2010 @sub2010
                                    last edited by

                                    @sub2010 said in FritzBox Exposed Host und CARP-IP bei Pfsense – Konfigurationsproblem:

                                    @micneu Ich danke dir dennoch das du dir die Zeit genommen hast.

                                    Es gibt ein neues FritzBox Update, die Release Notes besagen zu meinem Problem nichts konkretes. Ich hoffe auf eine Besserung :).

                                    Link Release Notes

                                    Das Update auf die FRITZ!OS 8.02 Version, hat das Problem gelöst. Seit der Installation hatte ich keine Probleme mehr!

                                    JeGrJ 1 Reply Last reply Reply Quote 0
                                    • JeGrJ
                                      JeGr LAYER 8 Moderator @sub2010
                                      last edited by

                                      @sub2010

                                      Moin,

                                      da wir das sehr oft und bis zum Erbrechen durchgespielt haben mit AVM:

                                      Sollte das Exposed Host Ding wieder Probleme machen, hilft meistens wie folgt:

                                      • Exposed Host und alle Freigaben löschen
                                      • alle pfSense Nodes und/oder Switches abziehen, so dass die Fritte nichts *sense-iges mehr sieht
                                      • alle Einträge aus der "home" Ansicht (dem Heimnetz oder wie AVM es zum Zeitpunkt dann auch immer nennt) rauslöschen. Kein Gerät sollte da mehr drin sein (außer ggf. dem einen, von dem du aus konfigurierst). Vor allem die Sensen und der Exposed Host Eintrag!
                                      • Sicherheitshalber die Kiste neu starten
                                      • Nochmal checken, dass alle Freigaben und Homenet Einträge raus sind (außer dem konfigurierenden Rechner)
                                      • Dann über die "Internet / Freigaben" ein "Gerät für Freigaben" hinzufügen.
                                      • WICHTIG: KEIN Gerät auswählen, sondern IP-Adresse der CARP-VIP manuell eingeben!!
                                      • Die IP für Exposed Host freigeben, IPv6 komplett ignorieren!
                                      • speichern

                                      Danach erst Switch/Sensen wieder anstecken und dann prüfen, ob das die CARP auf WAN zwischen den Boxen wieder sauber läuft und ob die CARP VIP wieder sauber Traffic von draußen bekommt.

                                      Die Fritze bekommt hin und wieder durch Einstellungen mal kompletten Kopfsalat und matcht in ihrer Heimnetz Übersicht dann mal wild irgendwelche Geräte auf andere Geräte und behauptet dann das wäre das Richtige. Wenn man in dem Zustand irgendwas an der Konfig ändert, kann es sein, dass dann statt der Freigabe auf die IP, eine Freigabe auf die Geräte Hardware/MAC gemacht wird und das ist bei CARP dann eher suboptimal. Oder er behauptet beim Failover, dass es plötzlich ein neues Gerät gäbe (weil andere Base MAC auf anderer IP etc. etc.) usw. wir haben da schon die kuriosesten Anzeigefehler gehabt. Solang man die Box aber in Ruhe lässt und die Freigabe auf die IP geht, ist/war alles fein.

                                      Cheers :)

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.