Grundeinstellung PFsense hinter FritzboxCable 6490 (UM)
-
Hallo,
wichtig ist folgendes bei der Variante in BW mit RIP:
- Die Firewall / Virtuelle Maschine muss an LAN2-4 der FritzBox hängen.
- damit die pfSense Portfreigaben etc. machen kann muss in der FritzBox ein exposed Host gesetzt werden
-
@seezy: Der exposed Host passt doch dann aber nicht, wenn ich das was @Spitzbube oben schreibt richtig lese, ist bei RIP ja ein eigenes Subnetz geroutet. Bei Routing sollte es kein NAT geben, ergo auch kein exposed Host oder sonstige Krücken. Das macht ja dann schon zweifach keinen Sinn ;)
-
Laufen tut die Sache ja. Das Nat macht er zwischen WAN und LAN per Autonat. Nach dem Speichern hat er die Einträge sauber reingeschrieben. Nur bleibt halt die Frage warum OpenVPN nicht geht und er den Server nicht erreicht. Daher die Frage nach den Grundeinstellungen.
-
@seezy: Der exposed Host passt doch dann aber nicht, wenn ich das was @Spitzbube oben schreibt richtig lese, ist bei RIP ja ein eigenes Subnetz geroutet. Bei Routing sollte es kein NAT geben, ergo auch kein exposed Host oder sonstige Krücken. Das macht ja dann schon zweifach keinen Sinn ;)
So wahnsinnig es klingt, es ist so.
Auf LAN1 liegt das interne Netz der FritzBox an mit der Gateway IP, genauso wie am WLAN.
Heißt beispielhaft:
Netzwerkadresse: 110.110.110.100/29
Gateway: 110.110.110.101 (alle Geräte an LAN1 und WLAN werden hängen hinter dem NAT der Gateway IP :o :o
Freie IPs 1-5: x.x.x.102-106Man kann dann in der WebGUI der FritzBox LAN2-4 als Direktrouting für die externen festen IPs einstellen.
Ich hab im Moment keine BW FritzBox hier, daher kann ich es nicht zeigen, aber kann gerne morgen Screenshots nachreichen.
Das ganze System ist aber echt mies.
Hatten mal den Fall dass jemand mit einem Interface, also einer MAC Adresse, 5 IPs verwalten wollte.
Geht mit der FritzBox nicht, da er nur eine IP pro MAC Adresse verwalten kann. -
Ja das kann ich fast so bestätigen.
Mit dem LAN1 macht man im Prinzip nix. Die Pfsense wird direkt an LAN2 angeschlossen und an der Fritzbox nur noch die Portfreigaben geschalten zwecks UDP für VPN.
Das WLAN und LAN funktioniert weiterhin. Unity Media hat nach dem Update der Box auf 6.75 aus dem Mail Kundencenter die IP Adressfunktion komplett gestrichen. Sprich: Du bekommst dein eigenes IP Subnetz am Telefon genannt und mehrere Tage später nochmals per Brief zugeschickt. In der Praxis kannst du im Mail Kundencenter gar keine Mac einer einzelnen IP mehr zuweisen.
Du trägst die IP einfach an ein Gerät deiner Wahl statisch ein. Wie hier in der Pfsense. Dem WAN Port habe ich eine statische IP gegeben und das Upstreamgateway die IP von der Fritzbox. Die Fritzbox wiederum hat die IP automatisch von UM zugewiesen bekommen. Dem LAN hab ich dann ein neues Netz zugewiesen. Durch das Speichern der Interface Einstellungen erstellt die PFsense automatisch die passensen NAT Rules. Somit hatte ich sofort Internet an den Clients. Sicherlich kann man das noch irgendwie besser machen, aber hey es funktioniert :D
Screenshots auf Anfrage 8)
-
So jetzt hab ich nochmals ein bisschen Rumgespielt. Nach dem die Firtzbox die IP der Pfsense als 192.168.178.2 aus gegeben hat machte mich das etwas stutzig, da die IP ja statisch ist und eine derer die mir Unity Media zur verfügung stellt. XX.XX.XXX.42 und die XX.XX.XXX.41 ist ja der Fritzbox zugewiesen. Nach ewigen hin und her hab ich mich für einen Werksreset entschieden und siehe da, die Fritzbox zeigte die statische IP der Pfsense an XX.XX.XXX.42.
Auch die automatischen NAT Regeln für VPN werden jetzt eingetragen.
-
Hier wirds auch nochmals beschrieben, wie das mit den Kabelmodems läuft in BW: https://www.unitymediaforum.de/viewtopic.php?f=53&t=35585&start=25
-
Hatten mal den Fall dass jemand mit einem Interface, also einer MAC Adresse, 5 IPs verwalten wollte.
Geht mit der FritzBox nicht, da er nur eine IP pro MAC Adresse verwalten kann.Das ist ja ein (leider) bekanntes Problem und Einschränkung bei Kabel und festen IPs dass die das an MAC Adressen festmachen und daher das ein Mords Aufwand ist, wenn man mehrere IPs auf einer Box will. Wenn dem jetzt aber nicht mehr so ist, was bei Spitzbube ja rausschimmert wäre das ja eine Verbesserung.
Auch die automatischen NAT Regeln für VPN werden jetzt eingetragen.
Wenn doch jetzt in der Fritz nur noch die public IPs stehen wie du sagst, warum dann NAT und wofür!? Will mir einfach nicht in den Kopf und macht auch eigentlich gar keinen Sinn, wenn beide im gleichen Netz sind? Was will ich denn dann wohin NATten - also außer jetzt NAT von Geräten direkt an der Fritz an LAN1 bspw.?
Und wenn die Fritz jetzt der pfSense eine andere Public IP gibt - kann man dann auch mehrere eintragen? Also die restlichen 3 quasi alle zur pfSense schicken?
-
Nein nicht ganz. Hab das in nem anderen Forum auch nochmals geschrieben und gesagt bekommen. Man muss da echt verdammt aufpassen, was wer wo sagt, wer in welchem Bundesland sitzt und wie die Firmware der Fritte ist! Da gibts wohl noch ziemliche unterschiede zwischen NRW, Hessen und BW. Ich in BW muss gar keine Mac Adressen mehr angeben. Ich kann die in meinem Netzwerk an die Geräte verteilen, wie ich lustig bin. Vor der Umstellung von Bridge auf Rip war es tatsächlich so, dass man im Mailservicecenter (Nicht zu verwechseln mit Kundencenter, was was ganz anderes ist) die IPs angezeigt bekommen hat und die MAC Adressen den IPs zuordnen musste. Ich glaube, dass die das deshalb umgestellt haben, weil sich hier schon viele Leute verrechnet haben. Auch ich! Der IP Adressen Rechner auf der UM Seite rechnet permanent falsch, da er nur auf die MAC der alten Fritzbox 6390 zugeschitten ist.
Wer das nicht wusste, hat gleich mal ne falsche MAC Adresse eingetragen und auch die Zuweiseung funktionierte nicht!Noch so ne Besonderheit ist, dass nur die LAN Ports 2-4 diesen Bridge Mode haben. Der LAN1 funktioniert nach wie vor mit DHPC und dem Netz der Fritzbox 192.168.178.20 - 192.168.178.200 weiter. Auch das W-Lan bleibt aktiviert. Das nutze ich nur für Administrationszwecke und später mal für das Gastwlan. Auch die Voip Telefonie bleibt komplett auf der Fritte von UM. Das ist einfach ein Fakt und das mag in anderen Bundesländern anders sein, okay aber da braucht man nicht mehr zu diskutieren. Das ist stand heute einfach so!
Zum Glück ist das jetzt bei mir nicht mehr so! Meine Fritzbox hat jetzt automatisch ne feste IP bekommen.
Also die IST Situation:
Umstellung von Bridge auf Rip ist erfolgt. Wie auch immer die das nennen und weshalb ist mir wurscht!
Die IP Adressen habe ich erhalten:
Netzadresse: XX.XX.XXX.40
GW: XX.XX.XXX.41 /29 Fritzbox
IP1: XX.XX.XXX.42 /29 Pfsense
IP2: XX.XX.XXX.43
IP3: XX.XX.XXX.44
IP4: XX.XX.XXX.45
IP5: XX.XX.XXX.46
Primärer DNS: 80.69.100.174
Sekundärer DNS: 80.69.100.198
Sub Netzmaske 255.255.255.248
Fritzbox mit FW: 6.75
Im Werkszustand hat die Fritte bereits den Bridge Mode aktiviert. Da braucht man nichts mehr einstellen. Das weis ich aber auch erst seit heute. Die Unity Media Leute haben hier zur Einstellug von Exposed Host geraten und noch ne Anleitung vor die Einstellung von Bridge Mode und Exposed Host hinterher geballert. Das hat zumindest bei mir als auch bei einigen anderen Kunden sehr für Verwirrung gesorgt >:(
Freigaben für die Pfsense an der Fritzbox:
UDP 500 und 4500
TCP 10000
und ESP
Wenn doch jetzt in der Fritz nur noch die public IPs stehen wie du sagst, warum dann NAT und wofür!? Will mir einfach nicht in den Kopf und macht auch eigentlich gar keinen Sinn, wenn beide im gleichen Netz sind? Was will ich denn dann wohin NATten - also außer jetzt NAT von Geräten direkt an der Fritz an LAN1 bspw.?
Also in der Fritzbox stehen keine Public IPs. Ich kann diese, wie oben genannt zuweisen wie ich will und muss dazu keine MAC irgendwo angeben. Das war mal so! Wie gesagt, erhielt ich automatisch die XX.XX.XXX.41 /29 der Fritzbox zugewiesen. Da ich laut UM mein eigenes Subnetz bekommen habe. Da ich der Fritzbox ja keine öffentliche statische IP zuweisen kann wirds in dem einen Fall von UM durchgefürt. Die erste meiner 5 festen IP Adressen XX.XX.XXX.42 habe ich dann der Pfsense im WAN Interface statisch zugewiesen. Und das IPv4 Upstream Gateway auf die XX.XX.XXX.41 gesetzt (Siehe Screenshot Interface WAN) Dem LAN Interface habe ich nen anderes Subnetz verpasst, ebenfalls statisch hat das LAN Interface nun 192.168.10.1/29 und das LAN Gateway habe ich None drinstehen (Siehe Screenshot Interface LAN) Soweit sollte das passen oder nicht? Das was ich mit NAT und Autorules meine, passiert bei der Einrichtung der Gateways. D.h. man macht seine Settings und Speichert diese. Dadurch werden automatisch diese Rules erzeugt. Diese sind dann unter Firewall / NAT / Outbound ersichtlich (Siehe Screenshots NAT Automatisch und Manuel) Nur bin ich mir nicht ganz sicher auf was die stehen müssen. Automatisch oder Manuel? Es wird genattet zwischen WAN to LAN, der Rest sind ja VPN Rules die beim Erstellen angelegt worden sind und hier muss er ja ein anderes Netzwerk bekommen. Hab mich an dieser Anleitung hier orientiert https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html Hier steht ja auch:
“Virtual Address Pool”: Haken setzen bei “Provide a virtual IP address to clients”. ACHTUNG: Hier muss ein IP Netzwerk gewählt werden was komplett unbenutzt ist und NIRGENDWO im gesamten Netzwerk auftaucht. (Beispiel hier 10.98.1.0 /24) Aber am Ende muss der Client ja bei erfolgreicher Einwahl vom Netz 10.98.1.0 /24 ins Netz 192.168.10.0 /24 kommen.
Ich hoffe, dass ich das jetzt richtig konfiguriert habe und die Unklarheiten aus dem Weg geräumt habe! Wenn Ihr irgendwas braucht, Netzpläne, Logs, Screenshots einfach fragen :D
 -
Das LANGW muss raus, das ist quatsch. LANs haben kein Gateway in der pfSense, die sollen ihren Traffic ja zum WAN schicken - steht auch im Interface ;)
NAT auf der pfSense war auch nicht die Frage, das bezog sich auf die Fritte, aber dann ist es klar, weil die auf ihrem LAN1 ja weiterhin selbst Router spielt.
-
Okay das LAN GW wurde entfernt. Was ist noch zutun außer das VPN Thema. Stimmen die Settings so?
-
Die Mappings kannst du alle löschen und auf automatic stellen, danach auf hybrid, für den Fall dass du was hinzu fügen willst/musst, aber normalerweise ist der Standard erstmal genug zum Start.
-
Vielen Dank für deine Hilfe. Das bedeutet mir sehr viel! Denke, jetzt wo die Grundeinstellungen passen sollte ich mal ein neues Thema zu VPN Einwhal aufmachen.
-
hi,
ich gehe immer folgendermaßen vor:-
pfsense WAN (lass den DHCP Client am Besten an) –> Fritzbox
-
Fritzbox weist der pfSene eine IP…
-
nun würde ich in der Fritzbox ein static mapping auf die MAC der pfSense machen
e.g. 192.168.178.2 -
somit, kriegt sie immer die gleiche IP
-
jetzt eigentlich nur noch portforwarding in der Fritzbox an die pfSense
-
Variante a) exposed host=alle pakete werden immer an pfSense weitergeleitet
Vorteil: du musst dir keine Gedanken mehr um weiteres portforwarding machen, den Rest erledigst du in PfSense
Nachteil: die Firewall der pfSense wird unnötig belastet, da alle PortScans vom Internet zur pfSense weitergeleitet werden… -
Variante b) selektives weiterleiten, z.B. 443 für VPN
Vorteil: "sicherer"
Nachteil: eigentlich keine, da man nur das VPN port öffnen sollte
Als Zuckerguss könntest du das Natting in der pfSense ausschalten (Stichwort: doppel-Nat).
Du müsstest dann eine statische Route in der Fritzbox für das Netz hinter der pfSense eintragen.
Musst du aber nicht, so lange du keine SIP-Geräte hinter der pfSense hast. -
-
Sorry, da muss ich meine 2 Cent dazuwerfen ;)
pfsense WAN (lass den DHCP Client am Besten an) –> Fritzbox
Fritzbox weist der pfSene eine IP...Gruselig. Wenn man Router kaskadiert dann spielt man hier nicht mit DHCP. Das ist unnötig fehleranfällig und in dem Fall völlig egal ob es selten/kaum passieren kann oder nicht, es kann passieren und sollte daher schlichtweg vermieden werden. Es gibt kein Problem der pfSense schlicht auf dem WAN statisch die 192.168.178.2 zu verpassen und der FB zu sagen, dass ihr DHCP Bereich erst ab 10 oder 100 anfängt. Damit hat man alle Probleme vermieden und kann auch ohne Drama gleich den exposed Host auf die .2 setzen. Und ja ich hatte deshalb schon Drama weil eben nach einem Update der pfSense und Reboot die sense nicht mehr die .2 sondern die .3 von der FB bekommen hat. Und jetzt debugge man das Problem mal, wenn das ein Remote Standort ist. Ja sicher, mit MAC Reservierung wärs nicht passiert etc. etc. - doch, weil der Kunde auch gern mal schnell die ganze Box vor Ort austauscht (pfSense) - da wird dann zuerst Update auf neuer Box + Konfig eingespielt und dann die Box einfach schnell rundgetauscht. Dann müsste er jedes Mal wieder auf der Fritzbox das Mapping ändern...
Auf der FB das static mapping zu konfigurieren geht genauso schnell wie DHCP Bereich ändern, exposed Host muss eh eingerichtet werden. Die pfSense kann aber wesentlich schneller booten und ist im Fehler/Down-Fall der Fritzbox trotzdem sofort da und hängt nicht in einem unnötigen Interface DHCP Timeout herum bis sie weiterbootet weil sie keine Adresse bekommt. Ich verstehe hier wirklich komplett den Sinn nicht, warum man unbedingt auf der pfSense WAN Seite DHCP haben will, wenn das "WAN" im eigenen Haus steht und eine private Adresse hat. Das ist einfach unnötig fehleranfällig. ;)
Variante b) selektives weiterleiten, z.B. 443 für VPN
Vorteil: "sicherer"Sehe ich nicht so. Sicherer ist es nicht, da - wenn eh alles über die pfSense läuft (was meist der Fall ist außer SIP/VoIP) - man auch dort alles managen möchte. Auf der FB ohne wirklichen Paketfilter und outbound Filter irgendwas debuggen ist übel. Zudem will man ggf. sehen, was da alles von außen kommt etc. Nur Port Fowardings für einzelne Ports ist meist fehleranfällig weil zu oft an zwei Stellen ständig nachgesucht werden muss warum irgendwas nicht geht. :)
Deshalb: 2 Handgriffe an der Fritzbox im Gegensatz zu ihrer Werkseinstellung: DHCP Bereich, exposed Host. Fertig. Sonst nichts angefasst. Und dann kann das Ding im Schrank vor sich hin oxidieren. Alles andere managed man auf der pfSense und hat seine Ruhe und muss weder mit dem Kabelbetreiber noch der Box noch großartig herumkaspern. Und zudem kann UM oder sonstwer problemlos einfach die FB mal austauschen. Kommt eine neue, einfach anschließen und anklemmen - selbst ohne die beiden Handgriffe hat man trotzdem SOFORT wieder Internet (da die .2 ja so oder so stimmt und andere Clients noch nicht herumschwirren) nach außen. Dann die 2 Handgriffe und auch von außen kommend klappt alles wieder. Schneller gehts nicht.
Als Zuckerguss könntest du das Natting in der pfSense ausschalten (Stichwort: doppel-Nat).
Den Satz verkneif ich mir. Ich kann das Double-NAT bashing nicht mehr lesen... Double NAT bringt euch an der Stelle überhaupt kein Problem außer bei VoIP und das kann/darf man durchaus vornedran packen an die FB, die vom Kabelanbieter meist eh schon den Telefon Teil vorkonfiguriert bekommt. Vorteil: funktioniert, ist vom ISP so gewollt und man hat kein Support-Chaos weil man "nicht unterstützte Lösungen" o.ä. einsetzt. Bei allem anderen ist NAT kein Hindernis von irgendwas. Zudem bekommt somit auch kein Provider Einsicht in die dahintergeschalteten Netze. Und das hat nichts mit Paranoia zu tun, sondern schlicht mit: hat den ISP nicht zu kümmern.
Gruß
