Fritzbox im eigenem Netz durch PFSense erreichen
-
Hi,
und, Sorry das man einem DAU, der noch dazu eine pfSense betreiben will, so einfach nicht helfen kann. ;)
Du solltest Dir mal die Arbeit machen und zum Netzwerk eine kleine Zeichnung mit IP-Belegung des ganzen posten.
Denn die Schilderung Deines Aufbaus klingt mehr wie diffus und kann so zumindest von mir nicht wirklich nachvollzogen werden.Die FB hat einen IP bereich von 192.168.0.X und die PFSense ist konfiguriert mit 172.20.0.1 und die Clients innerhalb der PFSense arbeiten mit 172.20.1.ff.
Da gehören noch mehr Informationen dazu. 172.20.0.0/24 und 172.20.1.0/24 sind unterschiedliche Netze, 172.20.0.0/16 und 172.20.1.0/16 wäre dann gleiches Netz.
Also bitte etwas mehr "Input", sonst ist hier keine Hilfe machbar.
Gruß orcape -
Naja DAU war aber auch etwas überzogen. Ahnung habe ich schon etwas aber im Netzwerkbereich mit den ganzen Sub Netzen usw. bin ich noch nicht so fit.
Die PFSense hat die IP 172.20.0.1 / 23 Wenn sich ein Client am Netz verbindet dann bekommt dieser von der PFSense / DHCP eine IP 172.20.1.10-20 (wurde so vorkonfiguriert) . Anschließend bekommt der Client von mir, sofern er dazu berechtigt ist, über das Menü Status DHCP Leases eine feste IP Adress von 172.20.1.10 aufsteigend.
Die Fritzbox vor der PFSense hat die IP 192.168.0.254.
Mein Client an dem ich arbeite hat die IP 172.20.1.10
Jetzt müßte ich eine art Tunnel von meinem Client zu der FB herstellen sonst muß ich jedesmal wenn ich an der FB etwas verändern möchte meine Client direkt an die FB anstecken und das ist mir zu aufwendig.Hoffe ich konnte es jetzt etwas besser erläutern. wenn du jetzt noch mehr Info benötigst dann mußt du mir weiterhelfen was du genau benötigst
Danke
Marcus -
Deine Schilderung macht es nicht wirklich klarer >:(
Was ich verstanden habe:
Dein Hauptproblem kein anderer Client soll auf die Fritte zugreifen?
Mach die Fritte mit einen eigenen Usernamen und vernünftigen Passwort dicht & fertig.Mach ne Firewall Regel:
Block IPv4 TCP nicht [ClientIP] * [FritteIP] 80 (HTTP) * none
Alles was nicht Deine IP hat kommt nicht auf die Fritte.Du willst per IPSec einen internen Tunnel nach extern zur Fritte bauen?
Was soll das bringen?Klare Regeln aufstellen und wer versucht da was zu manipulieren bekommt eine Abmahnung.
Wenn die Reihenfolge so aussieht:
DSL –> Fritte --> pfSense WAN-Port [pfSense] pfSense LAN Port –> ClientsBrauchst Du doch nichts umzustöpseln, einfach die IP der Fritte eingeben und drauf, auch aus dem Netz der pfSense.
-teddy
-
Die Sprache des Technikers sind Diagramme, sagte schon einer meiner Ausbilder (vor Jahrzehnten, wie gruselig).
Oder als Originalzitat: "Die Sprache des Technikers ist die Maling" (Ewald Lewandowski, 1989)User Derelict hat dieses in seiner Tagline:
Use this diagram to describe your issue. -
Hi Huppsy,
Ahnung habe ich schon etwas aber im Netzwerkbereich mit den ganzen Sub Netzen usw. bin ich noch nicht so fit.
@magicteddy hat Dir hier schon den richtigen Tipp gegeben.
Das lässt sich alles per Firewall-Rules auf der pfSense klären.
Ein VPN-Tunnel dafür wäre da wohl etwas übertrieben.
Wenn Du die pf schon hast vorkonfigurieren lassen, dann lass den Rest von Ihm auch noch erledigen.
Es sei denn Du willst Dich mit Netzwerktechnik, Firewall und pfSense intensiver beschäftigen.
Dann fang mal schön an zu lesen und arbeite Dich in das Thema ein, dann verstehen wir auch Deine Fragestellung etwas besser. ;)
Gruß orcape -
Sorry wenn ich mich nicht fachlicher ausdrücken kann wobei es eigentlich meiner Meinung verständlich erklärt sein dürfte.
Wenn die Reihenfolge so aussieht:
DSL –> Fritte --> pfSense WAN-Port [pfSense] pfSense LAN Port –> Clients
Brauchst Du doch nichts umzustöpseln, einfach die IP der Fritte eingeben und drauf, auch aus dem Netz der pfSense.Müßte eigentlich so passen die Reihenfolge, so ist alles angeschlossen bloß komme ich nicht auf die FB
Die PFSense wurde vorkonfiguriert geliefert den Rest muß ich mir selbst beibringen. Da gibt es leider keinen mehr den ich Fragen kann außer hier jemanden im Forum.
Intensiver will ich mich eigentlich nicht beschäftigen da ich noch andere Sachen mache und kein gelernter Netzwerktechniker bin aber ich denke das meine Frage bezüglich des erreichens der Fritzbox im eigenem Netz bei einer vorkonfigurierten gelieferten PFSense( die ihre Aufgabe ja bereits erfüllt) in der jetzigen Installation doch für einen Speziallisten kein Problem sein sollte.
Scheinbar ist das aber doch komplizierter als ich glaubte.gerne kann ich eine Skizze anfertige die lieber eine Skizze sehen möchten, jedoch glaube ich das die nicht aussagekräftiger ist als meine Beschreibung aber ich mache mal eine
 -
Moin,
nach deiner Beschreibung / Zeichnung ist die Fritte das Gateway zum WEB.
Wenn dann auch die pf eine IP via DHCP von der Fritte bekommt, solltes Du auf diese normal über das default GW (172.20.0.1) zugreifen können.Wenn nicht kontrollier einmal die LAN Regeln. Firewall -> Rules -> LAN
Hier achte bitte auf Einträge/Regeln welche als Destination IP die 192.168.0.254 oder das WAN Netz (192.168.0.0/24) enthalten.
Block private networks sollte auch abgeschaltet sein. Interfaces -> WAN.Auch ein tracert 192.168.0.254 kann nix schaden.
Da sollte man erkennen wo die Pakete verworfen werden.Wenn Du (und die Kollegen auch) dann auf die FB ohne jeglichen Schnickschnack zugreifen kannst, ist es möglich diesen Zugriff via LAN Regel einzuschränken.
Frei nach magicteddy:
Mach ne Firewall Regel:
Block IPv4 TCP nicht [ClientIP] * [FritteIP] 80 (HTTP) * none(Block IPv4 TCP nicht (!) 172.20.1.10 * 192.168.0.254 80 * none)
Alles was nicht Deine IP hat kommt nicht auf die Fritte.
Hornetx11
-
Super jetzt funktioniert es genau so wie ich es wollte
Danke
-
Habe noch eine Frage
Habe jetzt eine Regel erstellt die den zugriff auf die Fritzbox jedem Client im netz verbietet
block IPv4 TCP * * 192.168.0.254(FB IP) 80 (HTTP) * none
Dann habe ich eine Regel erstellt die den Zugriff für mich erlaubt
pass IPv4 * 172.20.1.10 * 172.20.0.1 * * none
Diese Funktioniert wunderbar.
Jetzt wollte ich eine ähnliche Regel erstellen die den Zugriff auf die PFSense für alle Clients verbietet.
Die PFSense hat die IP 172.20.0.1block IPv4 TCP * * 172.20.0.1 443 (HTTPS) * none
Leider funktioniert das nicht. Trotzdem kommen alle Clients auf die PFSense
Es ist jetzt nicht dringend notwendig und ich weiß das man den Zugriff mit einem Passwort natürlich verhindern kann aber mich interessiert trotzdem woran das liegt
-
Moin,
wie sind die Regeln vor Deiner Blockregel?
Ist das die erste Regel auf dem Interface?-teddy
-
So wäre aktuell meine Reihenfolge bis zur ersten Blockregel
1 * * * LAN Address 443 80 7632 * * Anti-Lockout Rule
2 IPv4 TCP 172.20.1.10 * 172.20.0.1 443 (HTTPS) * none (wäre eine Pass Regel für meinen Client zur PF)
3 IPv4 TCP 172.20.1.10/31 * 192.168.0.254 80 (HTTP) * none (Pass regel für Zugriff auf Fritzbox für mich)
4 IPv4 TCP * * 172.20.0.1 443 (HTTPS) * none (Block Regel für alle Clients auf PFSense)
5 IPv4 TCP * * 192.168.0.254 80 (HTTP) * none (Block regel für alle Clients auf Fritzbox)
Danke schonmal
-
Die "Anti-Lockout Rule" vermasselt Dir die Show.
-
OK und welche Lösung gibts dann?
-
Abschalten
System > Advanced > Admin Access > Anti-lockout
"Tu dir selber einen Gefallen" und mach VORHER ein Backup!
Du wärest nicht der erste der sich versehentlich aussperrt.Hornetx11
-
Danke Ihr seit die Besten. Es funktioniert
Jetzt habe ich vorerst noch eine Frage dann gebe ich Ruhe
Kann man wenn man eine Regel erstellt im Feld wo man z.B. die IP Adresse des Clients einträgt mit einem Sonderzeichen mehrer IP`s eintragen wenn mann z.B. eine Pass Regel erstellt für 3 Clients oder muß man immer eine eigene Regel erstellen
Danke
-
Ja kann man…
schau dir mal den Menüpunk ALIASES an... hier kannst du gruppen erstellen, welche du dann später in den Regeln verwenden kannst.
In den Regeln dann Host oder Alias wählen und den Namen des zuvor erstellten Aliases eintragen.
Fertig
-
Moin,
Alias unter Firewall > Alias > IP | Port … definieren.
In den Regeln nutzen.Da das hier alles einfachste Grundlagen waren, würde ich auf Dauer zu einem externen Support raten. Oder zumindest zur pfSense Gold Member Mitgliedschaft. Hier gibt es das aktuelle Buch zur pfSense (in englisch) zum Download. Dies beschreibt nicht nur die vielfältigen Funktionen sondern bügelt auch die ein oder andere Wissenslücke aus.
Hornetx11
-
Danke hat alles funktioniert
jetzt lasse ich euch wieder in Frieden
