Wiedermal… Fritzbox 7490 + pfSense
-
Verstehe. Lass mich das kurz zusammenfassen, ob ich richtig denke:
WAN -> dummes FB Modem -> pfSense -> FB7490(DECT, WiFi AP) -> Switch
Oder WAN -> dummes FB Modem -> pfSense -> Switch -> FB7490(DECT, WiFi AP)
Und noch zu meiner Frage bezüglich DHCP: Wie bekommen in dem Fall die WiFi Geräte DHCP wenn die FB als AP die nicht verteilt?
Danke für die Antworten und deine Geduld!
Ceo
-
Oder WAN -> dummes FB Modem -> pfSense -> Switch -> FB7490(DECT, WiFi AP)
Und noch zu meiner Frage bezüglich DHCP: Wie bekommen in dem Fall die WiFi Geräte DHCP wenn die FB als AP die nicht verteilt?
Kein Problem … die "oder" Variante würde ich bevorzugen, günstig ist ein Smart-Switch (für VLAN) aber kein muss.
Die FB handhabt das recht einfach in Bezug auf DHCP. Bei anderen Routern müsste man ggf. DHCP-Relay einstellen, das macht die FB aber soweit ich mich erinnere ohne weitere Einstellungen.
Wenn das alles läuft würde ich noch eine Einteilung in Vlan's bevorzugen LAN/WLAN aber das lässt sich alles später richten.
P.S. Wichtig > vorher die IP-Bereiche/Netze planen die 7490 für die ersten Gehversuche so einstellen, das diese auch über DHCP eine IP bezieht, später auf eine feste IP einstellen oder über DHCP reservieren.
-
Thx!
Ich werd das über die nächsten Tage mal probieren und dann zurück reporten.
Bin gespannt, irgendwas wird sicher nicht funktionieren :-)
Greets,
Ceo
-
Moin,
Kein Problem … die "oder" Variante würde ich bevorzugen, günstig ist ein Smart-Switch (für VLAN) aber kein muss.
Der oben erwähnte HP1810G-24 ist eine VLAN fähige Ethernet Mehrfachsteckdose.
Standart IP 192.168.2.10
MfG
HornetX11 -
Bin gespannt, irgendwas wird sicher nicht funktionieren :-)
Nicht so pessimistisch ;)
Oder WAN -> dummes FB Modem -> pfSense -> Switch -> FB7490(DECT, WiFi AP)
Genau so.
Mach es Etappenweise:
-
andere FB als Modem/Router konfigurieren um dein Internet wieder hinzubekommen. Da FBs sehr oft 192.168.178.x als Default Netz haben und dort die .1, würde ich hier WAN der pfSense statisch auf .254 konfigurieren (das ganze Netz als /24). Dann in der FB die pfSense IP (.254) als exposed Host konfigurieren - allen Traffic da reinpumpen (wenn die FB routet) - oder wenn Modem only, dann die pfSense WAN Seite als PPPoe (o.ä.) konfigurieren und einwählen lassen. Wenn das klappt und du Netz hast, weiter:
-
pfSense mit WAN testen. PPPoE oder Routing je nachdem wie in 1). Bei Routing, Default Route auf 192.168.178.1/24, WAN selbst auf .254. Bei PPPoE Daten eingeben, GW wird selbst gesetzt.
-
pfSense VLANs auf dem LAN konfigurieren: 10 für LAN, 20 für WLAN (Beispiel), 30 für Sonstiges (MediaServer, Konsolen o.ä.). VLANs auf dem LAN erscheinen dann als Reiter wie echte Interfaces und sind so zu konfigurieren. Für die bessere Übersicht am Besten IP Netze nutzen, die das VLAN wiederspiegeln (bspw. VLAN 10: 172.22.10.x/24 für LAN, VLAN20: 172.22.20.x für WLAN usw.). Hier dann auch nach Bedarf DHCP Server konfigurieren wie benötigt.
3a) Für jedes VLAN jetzt noch Outbound NAT Regeln einrichten, sonst klappt keine Kommunikation mit dem Netz
3b) Dito natürlich auch Firewall Regeln von VLAN XY nach Internet/Any-
HP1810 konfigurieren: VLANs anlegen, der Port zur pfSense bekommt alle nötigen VLANs tagged und keinen untagged, die übrigen Ports je nach Gerät was dranhängt untagged das VLAN. Bspw. der Port zur FB 7490 dann VLAN 20 für WLAN, Port zu einem LAN PC VLAN 10 usw.
-
Ne Kiste anschließen und schauen ob sie ne IP bekommt, aus dem richtigen Netz etc. und ins Internet kommt.
Das wars sp ungefähr. :)
-
-
Das is mal ne Anleitung ;D
Vielen Dank für die Mühe. Werd das ganze die Tage mal ausprobieren.
Is ne ganz schöne Aufgabe, hab bisher weder was mit VLANs noch mit NAT oder Routen gemacht.
Wenn ich die pfSense jetzt PPPoe Einwahl handeln lass und dem WAN interface sagen wir die 192.168.1.254 gebe, wäre dass dann mein Standard Gateway oder wäre das dann das LAN interface mit bspw 192.168.1.1?
Wahrscheinlich kriegt das WAN interface ja n eigenes Gateway vom ISP oder?
Merci nochmal! Werds versuchen! :D
PS: Frohe Weihnachten :)
-
Moin,
Wenn pfSense die PPPoE Verbindung herstellt gibst Du dem WAN Interface keine IP, das nimmt Dir freundlicherweise der ISP ab ;)
Wenn Dein LAN Interface der pfSense die 192.168.1.254 von Dir bekommt ist das dein Gateway für Dein Netz am LAN Port der pfSense und normalerŵeise auch dein DNS.Bau keine Geschichten mit dem gleichen Netz auf 2 Interfaces der pfSense! Das wäre bei WAN 192.168.1.254 und LAN 192.168.1.1 der Fall!
-teddy
-
Ah jetz versteh ichs. Merci!!!
-
Wenn Dein LAN Interface der pfSense die 192.168.1.254 von Dir bekommt ist das dein Gateway für Dein Netz am LAN Port der pfSense und normalerŵeise auch dein DNS.
Bitte kurz mal innehalten :)
Wenn die pfSense PPPoE macht, wählt sie sich mit Zugangsdaten via Modem beim Provider ein und bekommt dann via DHCP artigem Mechanismus alles gepusht was sie braucht: DNS, Gateway etc.
Auf dem LAN oder anderen LANs wird KEIN Gateway konfiguriert. Niemals nicht. Das einzige Mal, dass du ein Gateway auf einem Interface brauchen wirst, WEISST du, dass du es brauchst ;) Steht auch so oder so ähnlich bei der Einstellung dabei: im Normalfall wird kein Gateway bei einem Interface gesetzt, es sei denn du weißt ganz genau was du tust und warum du es brauchst. Dein Standard Gateway wird nur auf dem WAN definiert, sonst nirgends. Und bei PPPoE geht das automatisch.
Andernfalls hat Teddy absolut recht: NIE zwei gleiche IP Netze auf verschiedenen Interfaces des Routers verwenden. BÖSE böse böse! :D
-
Alles klar :D :D
-
Eine weitere Frage…
Durch den Umzug meiner Hardware brauch ich jetzt noch nen DECT Repeater... Würde es da irgendwelche Probleme geben bezüglich dem was ich vor habe?
Gruss,
Ceo
-
Der DECT Repeater hat doch mit dem Rest der Netzwerkinfrastruktur nichts zu tun? DECT ist doch eine ganz andere (Funk)Baustelle?
-
Moin,
hier sollte man nur beachten das bei vielen DECT Repeatern die DECT-Verschlüsselung auf der Strecke bleibt oder sollte ich besser schreiben Verschleierung https://www.heinlein-support.de/blog/security/dect-grauslige-sicherheit-eigentlich-unverantwortbar/
-teddy
-
Hallo,
habe gleiches Szenario, wie der Threatersteller.
Also FB -> Apu -> Switch -> Client s
1. Wenn ich die Sou als Exposed Host einbinde, bekomme ich kein NAT Problem?
2. Ich habe zu der 7490 noch eine 7270, die sich noch als reines Modem konfigurieren lässt. Funktioniert in diesem Fall trotzdem noch DECT?
3. Wenn man keine FB nutzt, wie löst man dann die Telefonanbindung (mit DECT)? -
1. Wenn ich die Sou als Exposed Host einbinde, bekomme ich kein NAT Problem?
Normal mach Doppelt NAT kein Problem
2. Ich habe zu der 7490 noch eine 7270, die sich noch als reines Modem konfigurieren lässt. Funktioniert in diesem Fall trotzdem noch DECT?
Wenn die 7270 nur Modem macht kann Sie keine VOIP Einwahl mehr machen
3. Wenn man keine FB nutzt, wie löst man dann die Telefonanbindung (mit DECT)?
Mit einem andere VOIP DECT Gateway z.B. ein Gigaset mit SIP oder ähnliches.Du könntest auch die 7270 also Modem nehmen und die 7490 Hinter die PfSense an Client mache und die übernimmt dann die VOIP Telefonie.
Ist dann zwar ein Gerät mehr aber anders geht es leider nicht. Daher hat man sehr oft ein Gerät was nur Modem kann z.B. draytek vigor 130 dann die PfSense und dahinter die Clients und VOIP Gateways (was eine FritzBox sein kann) -
Wenn doppelt nat kein Problem ist, kann ich die FB vor der apu ohne Änderungen belassen??? Ich dachte immer das funktioniert so nicht.
-
Moin,
klar, funktioniert, Du hast halt nur ein Gerät mehr dazwischen.
Du kannst überlegen, ob Du in der Fritte die pfSense als exposed Host konfigurierst, etwaige Portforwards müsstest Du dann nur noch auf er pfSense einrichten. Aber ein Fehler an der falschen Stelle kann Dein Netz komplett auf reißen ;)-teddy
-
Wenn doppelt nat kein Problem ist, kann ich die FB vor der apu ohne Änderungen belassen??? Ich dachte immer das funktioniert so nicht.
Natürlich klappt das, etliche Kabelkunden sind gezwunden das genau so zu machen, wenn du von deinem Kabelanbieter bspw eine FB aufgedrängt bekommst ohne Alternative. Meist der Fall wenn man ISDN/Telefonie Paket mit dabei hat, dann geht ohne FB gar nix. Und wenn die pfS als exposed Host eingetragen ist, ist das im normalen Betrieb gar kein Problem. Es gibt nur ganz wenig Seitenfälle, wo das vielleicht schmerzen macht, aber ich hab selbst bspw. mehrere corporate VPN Clients, die ich aus dem LAN nutze um mich bei Firmen einzuwählen und das läuft ohne Problem.
-
Prima, danke. Das wird es einfacher machen.
-
Nur n kurzes Update,
bin noch nich zum testen gekommen weil mir ein Modem fehlt. Hatte natürlich damals alle verkauft :-\
Werde versuchen mir nächste Woche eins zu organisieren!
Dann Update :-)
Ceo.
