Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    FritzBox (VDSL,WLAN) und pfSense (Router,FW)

    Deutsch
    3
    11
    4.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Hallo Thomas,

      ja, solch ein Szenario ist möglich - mit Einschränkungen (je nach Konfiguration). Da du mit der VDSL Geschichte und dahintergeschalteter pfSense wohl eine doppelte NAT hast, könnte es schwierig werden, wenn du schöne IPSEC Tunnel bauen möchtest. Bei OpenVPN geht das dank nur eines Ports relativ schmerzfrei. Auch sind deine WiFi Clients, wenn du sie in der FB anmeldest, technisch "vor" bzw. außerhalb deines eigentlichen LANs, welches hinter der pfSense anfängt. Wenn das kein Problem darstellt, du also kein Notebook o.ä. daran betreiben willst, das unbedingt ins LAN muss, sehe ich keine Probleme.

      Aus o.g. Grund habe ich das ein wenig anders gebaut. Bei mir steht vorne aus Gründen eine FB 6360cable, die ich als Gäste LAN nutze. Daran hängen auch WiFi Mitspieler, die nicht ins LAN müssen (Handys oder dumme Tablets bspw.). Da die 6360 eh nur 2GHz Band kann, ist das ganz gut so. Alle anderen wie Laptops o.ä. hängen an einem zweiten AP, der hinter der pfSense im LAN hängt (ist in meinem Fall eine FB7390, die vom DSL noch über war).

      Aber ja, prinzipiell ist dein Setup kein Problem: FB7390 bekommt DHCP Server, ein privates Netz (192.168.169.1 z.B.) und darf DHCP von 100-200 vergeben. Die pfSense bekommt 192.168.169.254 und wird in der FB als Exposed Host eingetragen, womit alle eingehenden Verbindungen auf die .254 weitergereicht werden sollten. Dann die pfSense ganz normal konfigurieren fürs eigentliche LAN und NAT abgehend. Default GW ist dann die FB. Fertig.

      Gruß Jens

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • T
        ThomasB
        last edited by

        Hallo Jens,

        danke für die Antwort. Hab ich soweit verstanden.

        Allerdings muss ich meinen Plan wohl etwas genauer beschreiben:

        • "Nach" der pfSense möchte ich keine Geräte mehr verwenden (kann man notfalls mit eingebauter PCIe WLAN Karte lösen, denke ich)

        • Meine Geräte würde ich alle gerne hinter der Firewall betreiben; Gast-WLAN kann man machen, ja, das ist mir dann auch egal, was da passiert

        • VPN muss auf jeden Fall problemlos funktionieren, weil ich dahinter eine Telefonanlage (wenn möglich Fritzbox SIP bzw. äquivalent zusammen mit Blackberry, das bisher mit der Fritzbox nicht funktioniert) verwenden möchte)

        Primitiv beschrieben: Kabel 1 von FritzBox Modem nach pfSense und Kabel 2 zwischen Fritzbox und pfSense (Kommunikation: WLAN,LAN,SIP) funktioniert nicht? Bzw. wäre wohl keine saubere Lösung.

        Thomas

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Hallo Thomas,

          sorry, jetzt versteh ich das Ganze nicht mehr. "Nach" der pfSense will ich keine Geräte verwenden? Das macht keinen Sinn. Wofür dann die pfSense? Die pfSense ist die Firewall. Also wenn die Geräte hinter der Firewall betrieben werden sollen, müssen Sie auch hinter der pfSense rauskommen. Es ist so einfach. Die Fritzbox kann ihre Interna nicht einfach auseinander schneiden und den Modem Part hinter der pfSense klemmen und den Rest nicht. Die Fritzbox ist eine Einheit und so von AVM auch gebaut worden. Du bastelst dir da theoretische Szenarien, die praktisch nicht funktionieren, denn es gibt kein "FritzBox Modem" dass man irgendwie mit der pfSense verbinden kann.

          Wenn du versuchst, Geräte zu sparen, dann besorge dir am Besten irgendwo ein Standalone VDSL Modem (sofern das überhaupt noch jemand anbietet) oder einen sehr günstigen Router (der vielleicht seine Routingfunktionen abschalten kann) und hänge den zum Verbindungsaufbau vor die pfSense. Dann kannst du deine Fritzbox ganz normal hinter die pfSense klemmen und alles ist gut (außer dass ich dann die pfSense das DHCP übernehmen lassen würde, nicht die Fritzbox). Alles andere kannst du leider vergessen, egal wie viele Strippen du von der Fritzbox ziehst, da die FB intern ihre 4 Ports als kleinen Switch behandelt und von VLANs und Netztrennung keine Ahnung hat.

          Gruß Jens

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • E
            EmL
            last edited by

            @JeGr:

            Wenn du versuchst, Geräte zu sparen, dann besorge dir am Besten irgendwo ein Standalone VDSL Modem (sofern das überhaupt noch jemand anbietet)

            http://forum.pfsense.org/index.php/topic,54608.0.html

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Ah danke EmL, ich dachte mir noch, dass ich zum VDSL Thema doch erst was gelesen hatte in Bezug auf Modems. :)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • T
                ThomasB
                last edited by

                Danke euch!
                Mit "keinen Geräten hinter pfSense" habe ich Infrastruktur-HW gemeint, also Switch, WLAN-AP, etc. An Endgeräten soll natürlich alles dahinter sein.

                Ich werde mir über den Aufbau nochmals Gedanken machen (müssen), aber Modem und pfSense sind vorerst klar.
                Könnt ihr mir WLAN-Adapter nennen, die sich bewährt haben und technisch gut ausgestattet sind (für Spielereien und Versuche)? Intern bzw. extern kann ich aktuell noch nicht sagen, aber ich plane langfristig alles in ein Rack-Gehäuse zu bauen.

                D.h. aktuell VDSL + pfSense mit WLAN testen; zukünftig stabiler Betrieb in Rack-Gehäuse mit WLAN und LAN.

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Nochmals Nachfrage bevor ich was falsches vorschlage oder verstehe. Was soll dann bitte die pfSense als Firewall "bewachen"? Kein Switch oder Infrastruktur hinter die pfSense? Was tut sie dann? Sie steckt hinter dem Modem, OK. Stellt also Verbindung her. Und dann? Wer nutzt die Verbindung? Wie reden die Endgeräte mit der Verbindung die die pfSense "beschützt"? Willst du nur WiFi Geräte dahinter?`Also direkt einen Wlan AP absichern?

                  Ansonsten verstehe ich den ganzen Aufbau nicht.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • T
                    ThomasB
                    last edited by

                    Konkret die Endgeräte, die in der aktuellen Umgebung mit WLAN verbunden werden (deswegen auch ein WLAN-Adapter): Zwei PCs, ein NB, Tablet und zwei Smartphones.

                    VDSL-Modem->pfSense (inkl. WLAN) -> Clients (s.o.)

                    Sry für die schlechte Erklärung. ::)

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      OK dann gibt das langsam mal überhaupt irgendein Bild ;)

                      Wenn das Ganze (semi)professionell gedacht ist, würde ich einen AP nehmen, der VLAN und multiple SSIDs unterstützt. Beispiel dafür wäre so etwas wie der HP MSM-430, 460 oder 466. Ja die kosten etwas mehr und können (noch) kein .ac Standard, allerdings sind es Multi-Beam APs die für den Enterprise Betrieb gedacht sind (gehen auch outdoor oder können andere Antennen anschließen etc.). Der Hauptpunkt ist aber, dass die Kisten mehrere SSIDs und VLANs handeln können, womit eine saubere Trennung der WLAN Netze auf Netzwerklevel möglich ist.

                      Wenn das zu groß ist, gehts natürlich auch kleiner ;)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • T
                        ThomasB
                        last edited by

                        Gerne etwas kleiner :P WLAN-Clients werden auch in Zukunft maximal 10-15 Stück sein. Reichweite aktuell vernachlässigbar.
                        Outdoor ist gut, wird aber nicht benötigt. Wenn alles so läuft wie geplant und auch die Räumlichkeiten vorbereitet sind, wird der Fokus auf dem LAN-Betrieb liegen (dann auch mit ordentlichem Switch ;) ); WLAN bleibt weiterhin für mobile Geräte bestehen.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.