pfSense hinter FritzBox 6591 mit mehreren Public-IPs und 1:1 NAT

ThePocky

Hallo,

seit ein par Tagen haben wir nun von Vodafone (ehemals Unitymedia) die neue FritzBox 6591 Cable erhalten.

Unsere bisher Konfiguration sah wie folgt aus:

Die alte Fritz!Box 6490 Cable war so konfiguriert, dass diese an LAN Port 1 den Bridge-Mode zur verfügung gestellt hat. Somit konnte ich dort die pfSense anschließen, der pfSense die erste von 5 IPs zuweisen und den erst via 1:1 NAT an die jeweiligen Server durchreiche.

Laut AVM und Vodafone ist dies in der 6591 nicht mehr möglich. Da bleibt nun die Option einen Exposed Host einzurichten. Dies funktioniert aber nur mit der 1. IP Adresse. Somit könnte ich, wenn die pfSense entsprechend Konfiguriert ist, auf das Webinterface beispielsweise zugreifen. Dies ist von mir aber nicht erwünscht. Sondern die IP 2-5 sind jeweils bestimmten Diensten wie Web und Mail Server zugeordnet.

Wenn ich eine der 2-5 ebenfalls als Exposed Host hinzufüge, wird mit gesagt, dass die IP bereits in Verwendung ist.

Hat jemand von euch damit schon Erfahrungen gemacht. Ich möchte gerne das 1:1 NAT beibehalten, da es super funktioniert hat.

Würde mich über eure Hilfe freuen. Sollten noch weitere Informationen nötig sein, welche ich hier nicht aufgelistet habe, einfach bescheid geben.

Viele Grüße
Björn

JeGr

@thepocky said in pfSense hinter FritzBox 6591 mit mehreren Public-IPs und 1:1 NAT:

Laut AVM und Vodafone ist dies in der 6591 nicht mehr möglich. Da bleibt nun die Option einen Exposed Host einzurichten. Dies funktioniert aber nur mit der 1. IP Adresse. Somit könnte ich, wenn die pfSense entsprechend Konfiguriert ist, auf das Webinterface beispielsweise zugreifen. Dies ist von mir aber nicht erwünscht. Sondern die IP 2-5 sind jeweils bestimmten Diensten wie Web und Mail Server zugeordnet.

Da ich die Konstellation noch nie hatte: wie bekommt du 6591 in der Konstellation die anderen 5 Adressen? Per DHCP ja nicht, also wie sind die dort konfiguriert?

Finde es ja "lustig", bei einem statischen IP Setup - was du ja scheinbar hast - dass die dir ne Box ohne Bridge Modus schicken, womit kein normaler Mensch in der Umgebung was anfangen kann? Seltsame Entscheidung. Auch von AVM den Bridge Mode zu deaktivieren.

ThePocky

@jegr

Laut Vodafone und AVM ist es nun so, dass in der FritzBox auf LAN Port 1 und via WLAN ein ganz normales FritzBox NAT erstellt wird. (192.168.178.0/24) und in den Zugangseinstellungen wo früher der Bride Mode war, nun die Möglichkeit angezeigt wird, zu wählen an welchem Port die Public IPs „weiter gegeben“ werden. Dies soll wohl auch via DHCP funktionieren, nutze ich aber nicht, da ich die 1. IP in der pfSense statisch festgelegt habe und über Virtual IPS und 1:1 NAT die Zusätzlichen IPs eingerichtet habe.

Ich habe mit einem kleinen Trick da ganze erstmal zum laufen gebracht in dem ich ALLE Zusatz IPs aus der pfSense gelöscht habe, Neustart beider Geräte und dann in der FritzBox alle IPs als Exposed Host eingetragen habe und dann die IPs wieder wie vorher in der pfSense eingepflegt habe.

Siehe da: Es scheint zu funktionieren.

Aber ist das eine finale Lösung? Ich bin da skeptisch. Bin froh dass es wieder funktioniert, aber noch nicht ganz zu Frieden.

Vielleicht hat jemand da ebenfalls Erfahrungen gesammelt?

Zum Thema warum Vodafone bzw. Eine Box ohne Bridge Mode rausgibt, weis ich leider nicht. Mir wurde am Telefon nur bestätigt dass dies wohl der richtige Weg ist, wie ich es gelöst habe.

Ich könnte auch das einfache Vodafone Cable Modem nehmen, da habe ich aber bei bekannten schon schlechte Erfahrung gesammelt. Ebenfalls ein Business Anschluss und nur Ausfälle. Seit diese die FritzBox haben, läuft alles. Allerdings wird dort nur 1 IP genutzt fürs Home Office.

Übrigends, die FritzBox Oberfläche ist aus dem
pfSense Netz nicht erreichbar (Müsste vermutlich irgendwie geroutet werden). Erreichbar ist diese nur via LAN Port 1 und WLAN. War ein sehr langer Weg, bis wir das raus hatten, weil man diese Infos erst nach langem Suchen findet.

Wenn noch jemand Erfahrungen zur 6591 hat, gerne her damit.

Gruß
Björn

JeGr

@thepocky said in pfSense hinter FritzBox 6591 mit mehreren Public-IPs und 1:1 NAT:

Aber ist das eine finale Lösung? Ich bin da skeptisch. Bin froh dass es wieder funktioniert, aber noch nicht ganz zu Frieden.

Kann ich verstehen. Hört sich eher nach verdammt krudem Hack seitens Kabelbetreiber und AVM an, damit sie ums Verrecken den Bridge Modus nicht wieder enablen müssen, den sie bereits mit der alten Box schon aktiv hatten und jetzt absichtlich wieder gesperrt haben, obwohl er problemlos funktioniert hatte. Der Grund wird der sein, dass die Leute das ausnutzen konnten um mehrere IPs zu bekommen und wenn man plötzlich 3 IPs pro Anschluß zusätzlich aktiv hatte, fällt einem die IP Knappheit nur umso mehr auf. Wie "unangenehm"...

Ich habe selbst eine 6591 aber noch bevor Vodafone das Szepter übernommen hat von Unitymedia. Dort wurde plötzlich mit dem v6.xx OS der Bridge Modus aktiv und seither (7.13) ist er an geblieben. Toi toi toi.
Würde mich jetzt nicht sonderlich treffen, da kein Business Anschluß und nur eine IP, aber wäre trotzdem ärgerlich.

Dass es also das Feature nicht mehr gibt, ist schlicht gelogen, sie wollen es nur nicht mehr rausrücken, denn wie du schon festgestellt hast, hat die Fritze selbst im Bridge Modus selbst noch eine IP und ein Prefix. Für jedes LAN das ich bridge wählt sich das Gerät dann zusätzlich bei VF ein und holt sich eine IPv4/IPv6 Prefix. Damit kann man sich dann lustig (zwar dynamisch aber trotzdem) 4 verschiedene IPs ziehen. Und das wollen sie natürlich um jeden Preis vermeiden.

Grüße