Netzwerkconfig Fritzbox 6490 -> Watchguard PF Sense -> Fritzbox 7490



  • Moin,

    in ca. 4 Wochen steht mein Umzug an und ich möchte mich vorab schon mal etwas schlau machen wie ich mein neues Netzwerk am besten einrichten kann. Grundsätzlich bietet mir mein Provider 5 statische Adressen zur Vergabe an, welche ich Sinnvoll nutzen möchte. Dazu brauche ich euren Rat, wie man dem Heimnetz sinnvoll mehr Sicherheit geben kann.

    Zur Verwendung steht vollgendes:

    1x Fritzbox 6490 Cable

    1x Watchguard x750e mit Pfsense 2.3 (regelt den Internet Traffic, Portforwarding)

    1x Fritzbox 7490

    Dachte mir dazu folgendes:

    Die Fritzbox Cable 6490 als Router only mit öffentlicher IP im Brige Modus Ausgabe auf LAN 1 an die watchguard, dann wäre der LAN 1 praktisch die WAN Adresse. Auf der Watchguard dann LAN weiter an die Fritzbox 7490 welche dann als Gateway die LAN Adresse der Watchguard nimmt. Die 7490 soll dann als Anlaufstelle für mein Heimnetz dienen, sprich VPN für Mobile Endgeräte (iPhone, iPad, Notebooks) DHCP Server und WLAN etc.

    Frage: Macht das aus eurer sicht Sinn? Worauf bzw. was muss ich beachten?



  • Moin,

    um die 1. Fritte Cable wirst Du wohl nicht umzu kommen, danach pfSense macht Sinn, damit hast Du eine Grenze zwischen  WAN und LAN die unter Deiner Kontrolle ist. Warum dann noch weiter kaskadieren zur nächsten Fritte? In Sachen Netzwerk kann die Fritte nichts besser als pfSense, man könnte sie noch als AP fürs WLan einsetzen, aber mehr macht nicht wirklich Sinn.

    In Deinem Konstrukt kann pfSense nur den gesamten Internetverkehr regulieren, Du kannst keine Regeln für einzelne Clients durchsetzen weil die sich hinter der 2. Fritte "verstecken".

    -teddy



  • Also dann 1. Fritte Cable und dan pfsense okay schon klar wie du das meinst.

    2. Fritte, da dort mein Telefon, WLAN, VPN drüber läuft. Gut VPN kann man auch direkt über pfsense laufen lassen. Wenn jedoch noch ein paar features dazu sollen wie Fritz WLAN Repeater für WZ, Flur, SZ, und ggf. später Sat over IP. Die APs brauchen halt alle ne Fritte zum verwalten. Ohne AP GW kommst ja nirgends weiter und wenn ich dann schon die 2. Fritte einsetze, warum nicht auch die Features nutzen, da die 1. Fritte macht ja nix anderes wie GW und Bridge auf LAN 1.  Versteh nur nicht ganz warum die Clients die Regeln net nutzen können? Läuft das nich über IP? Da die meisten eh static haben bzw. Mac dann musst doch sagen können Client XY mit IP 192. und Mac  24:fa darf seite X nicht aufrufen oder nicht?! sofern an der pfsense kein dhcp server läuft und das lan im selben ip netz läuft bzw. der dhcp direkt von der fritte 2 verwaltet wird?!



  • Moin,

    wenn Du das hier so aufbaust:

    Internet –--- Fritte Cable ----- pfsense ----- Fritte2 ----- [Clients LAN &Wlan]

    kommen alle Anfragen aus dem LAN & Wlan aus Sicht der pfSense von der Fritte 2 sofern alle Geräte als Router arbeiten.
    Damit kannst Du nur Regeln definieren die alle Clients hinter der Fritte 2 betreffen.

    Du solltest vielleicht mal hier darlegen was Du im Endausbau erreichen willst.
    Und für den Hinterkopf: WLan Repeater sind absolute Notnägel die Du, wenn irgendwie möglich, meiden solltest, siehe hier: https://de.wikipedia.org/wiki/Repeater#WLAN-Repeater
    Entweder wird die Geschwindigkeit halbiert oder Du nimmst einen Crossband Repeater der aber 2 Frequenzbänder dicht macht.
    Sat over IP per WLan mit Repeatern? Das haben schon die Beatles besungen: https://www.youtube.com/watch?v=rsxUDjfhj5Y
    Bau Dir was vernünftiges auf und kein Hüttenschnitz, Du ärgerst dich hinterher über das doppelt ausgegebene Geld, die verschwendete Zeit garnicht berücksichtigt.

    Nur meine Meinung: Die Fritte mag für 0815 internet & Telefonie brauchbar sein, aber sobald Ansprüche dazu kommen stellst Du fest: Es ist doch nur eine billige Plastikkiste, die alles ein wenig kann und nichts richtig gut.

    -teddy


  • Moderator

    Ich sehe das ganz ännlich wie Teddy. Die zweite Fritte für WLAN ist jetzt m.E. nicht so dramatisch, das dann aber mit Repeatern vollzustopfen und gleichzeitig darüber aber Performance Anwendungen wie Streaming zu fahren eher suboptimal. Wenn man WLAN betreiben möchte und eben noch VoIP Telefone etc hat, dann eignet die sich dafür ganz gut, dann aber bitte parallel als (transparenter) Client hinter der pfSense und nicht hinter der pfSense als nochmaliger Router. VPN hat da m.E. nichts zu suchen, das gehört auf die pfSense schon allein um es mit Regeln besser eingrenzen zu können.

    Allerdings hätte ich dann eher überlegt, die Telefonie auf die vorgeschaltete Fritte zu nehmen (was meist schmerzfreier beim Thema VoIP ist) und die pfSense dahinter als zweiten Router. Und dann hinter der Sense irgendwas mit WLAN bauen, was Sinn macht :)



  • Nee habt schon recht die Watchguard bietet halt nix mit WLAN. Klar kann man mal in Zukunft über einen umstieg und ne Neuanschaffung in dem Bereich nachdenken aber alles mit der Ruhe. Grundsätzlich is des so bei Unity Media 2 Möglichkeiten habe ich. Entweder ich lass die 1. Fritz als vollständiges GW laufen kann dann alle Funktionen voll nutzen und setzen dahiner meine Clients. Dann hab ich aber keine PFSense mehr und kein Traffic wird überwacht. 2. Möglichkeit ich nutze nur die Modem / Router Funktion mit Bridge auf Lan 1 dadurch fallen aber alle Funktionen wie WLAN, VPN, Telefonie weg. Die erste is ja ne Cable für den Business Anschluss. Das ist teilweise in anderen Bundesländern normal und man hat garnicht die Möglichkeit was anderes zunutzen. Zum Glück lebe ich in BW wo man noch wählen kann :) Wenn ich halt die 1 Fritz so voll nutze wird nur höchstens LAN überwacht und WLAN nicht. Bei der 2. Fritz habe ich halt gar keine andere Möglichkeit außer die ganzen Features zu nutzen, weil sich diese nicht einzeln in den Funktionen abschalten lässt. Das ist dann eine reine DSL Fritz. Also ich nutz sie dann als 2. Router mit allen Funktionen oder ich kann sie eben garnicht nutzen. Wie würde den deiner Meinung nach eine (transparenter) Client aussehen? Das müsste ja dann auf jeden Fall was sein was zunächst nur WLAN und VoiP stemmt.

    Hier nochmals beschrieben http://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/729_Bridge-Anschluesse-der-FRITZ-Box-einrichten/ als macht die Cable nix anderes dann als über LAN 1 den Traffic durchschleifen. Und so wie ich nachgelesen habe kann der Bridge Modus dann noch zusätzlich Telefonie über VoiP. Welches ich auch über Pfsense abwickeln könnte.

    Oder ich versuche mal die 2. Fritze im IP-Client Modus laufen zu lassen: http://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/106_FRITZ-Box-fuer-Betrieb-mit-anderem-Router-einrichten/

    Voraussetzungen / Einschränkungen

    Die Sicherheitsfunktionen der FRITZ!Box (z.B. Firewall, Kindersicherung), der Online-Zähler, der Gastzugang sowie alle Funktionen, für die eine öffentliche IP-Adresse benötigt wird (z.B. MyFRITZ!, Portfreigaben und eingehende VPN-Verbindungen), stehen im IP-Client-Modus nicht zur Verfügung. Aber das könnte ich ja dann auch über pfSense regeln. Wegfall von Myfritz wäre schade aber da ich eh ne AlywaysOn Kiste laufen hab kann ich dann über VPN durch die Hintertür notfalls was administrieren.

    Bin mal gespannt, ob ich des alles so hinkriege wie gedacht.


  • Moderator

    Entweder ich lass die 1. Fritz als vollständiges GW laufen kann dann alle Funktionen voll nutzen und setzen dahiner meine Clients. Dann hab ich aber keine PFSense mehr und kein Traffic wird überwacht.

    Das stimmt nicht. Ich betreibe das genau so, dass die FB vollwertiges GW ist, denn UM bietet Bridging offiziell nur für Business Anschlüsse an. Eine Weiterleitung an die pfSense dahinter ist aber überhaupt kein Thema.

    2. Möglichkeit ich nutze nur die Modem / Router Funktion mit Bridge auf Lan 1 dadurch fallen aber alle Funktionen wie WLAN, VPN, Telefonie weg.

    Korrekt, deshalb nutze ich Variante 1 um die VoIP Geschichten komplett auf der UM Fritte zu lassen, dann kann ich denen auch wegen Nichterfüllung von Diensten ins Knie beißen, falls notwendig ;)

    Wenn ich halt die 1 Fritz so voll nutze wird nur höchstens LAN überwacht und WLAN nicht.

    Wenn du auf der UM Fritte WLAN benutzt stimmt das wohl, allerdings ist die Aussage an sich nicht wahr. Überwacht wird, was du überwachen lässt. Ich nutze die UM Fritte für Gäste WLAN, dann hab ich wenigstens "Ruhe" im normalen LAN mit irgendwelchen komischen Smartphones und Tablets die versuchen irgendwelchen Unsinn anzustellen ;) Die werden dann auf der UM Fritte auch niederpriorisiert.

    Bei der 2. Fritz habe ich halt gar keine andere Möglichkeit außer die ganzen Features zu nutzen, weil sich diese nicht einzeln in den Funktionen abschalten lässt.

    Auch das ist unwahr. Du kannst die 2. Fritz mit verschiedenen Möglichkeiten nutzen. IP Client, IP Router, etc. Wenn sie als IP Client eingebunden ist, funktioniert sie wie ein weiteres Gerät im LAN und bridged ihre WLAN Clients einfach rein. Fertig, aus und Ende :) Wenn sie als YARD (Yet another routing device - noch'n doofer Router) läuft, bringt das nur noch unnötig Probleme.

    Das ganze Bla, was dir im IP Client Modus nicht zur Verfügung steht ist doch eh irrelevant. Wofür brauchst du das, wenn davor ne pfSense steht, die den ganzen Rempel macht? Und das MyFritz Gedöns ist auch nix anderes als DynDNS. Kannst du auch einrichten auf der pfSense genauso wie VPN etc. etc.

    Was brauchst du also großartig?

    Gruß



  • Entweder ich lass die 1. Fritz als vollständiges GW laufen kann dann alle Funktionen voll nutzen und setzen dahiner meine Clients. Dann hab ich aber keine PFSense mehr und kein Traffic wird überwacht.

    Das stimmt nicht. Ich betreibe das genau so, dass die FB vollwertiges GW ist, denn UM bietet Bridging offiziell nur für Business Anschlüsse an. Eine Weiterleitung an die pfSense dahinter ist aber überhaupt kein Thema.

    -> Sorry hab vergessen zu erwähnen, dass des ein Business Anschluss ist. Mir steht es frei, bridge zu nutzen muss ich aber nicht. Nachträglich hab ich dann erfahren, dass wenn bridge halt nur Lan durchgeschleift wird und VoiP dann tatsächlich noch geht.

    Wenn ich halt die 1 Fritz so voll nutze wird nur höchstens LAN überwacht und WLAN nicht.

    Wenn du auf der UM Fritte WLAN benutzt stimmt das wohl, allerdings ist die Aussage an sich nicht wahr. Überwacht wird, was du überwachen lässt. Ich nutze die UM Fritte für Gäste WLAN, dann hab ich wenigstens "Ruhe" im normalen LAN mit irgendwelchen komischen Smartphones und Tablets die versuchen irgendwelchen Unsinn anzustellen ;) Die werden dann auf der UM Fritte auch niederpriorisiert.

    ->  Das mit dem Gäste-WLAN ist ne gute Idee. Wahrscheinlich hab ich da ne falsche Info. War immer der Meinung dass nur der Traffic überwacht wird, welcher auch aktiv durch die FW geschleift wird. Da ja die UM Fritz dann WLAN direkt anbietet und das GW stellt, nimmt das ja keinen Umweg über pfsense sondern wird direkt über die UM Fritz verarbeitet und dort ausgegeben.

    Bei der 2. Fritz habe ich halt gar keine andere Möglichkeit außer die ganzen Features zu nutzen, weil sich diese nicht einzeln in den Funktionen abschalten lässt.

    Das ganze Bla, was dir im IP Client Modus nicht zur Verfügung steht ist doch eh irrelevant. Wofür brauchst du das, wenn davor ne pfSense steht, die den ganzen Rempel macht? Und das MyFritz Gedöns ist auch nix anderes als DynDNS. Kannst du auch einrichten auf der pfSense genauso wie VPN etc. etc.

    Okay da muss ich mal schauen. Was diesbezüglich möglich ist. Werde mal versuchen, zunächst alles erst mal lauffähig zu bekommen und dann ausloten, welche Möglichkeiten für mich die besten sind. Vielen Dank für eure Zeit und euer fundiertes Wissen. Wenn ich fragen oder probleme hab mit der Config, würde ich mich gerne nochmals melden 8)


  • Moderator

    Sorry hab vergessen zu erwähnen, dass des ein Business Anschluss ist. Mir steht es frei, bridge zu nutzen muss ich aber nicht. Nachträglich hab ich dann erfahren, dass wenn bridge halt nur Lan durchgeschleift wird und VoiP dann tatsächlich noch geht.

    Wenn das geht und du VoIP dann auf der Cable Box machen kannst würde ich das sogar bevorzugen :) Da meins ein Privatanschluß ist (was ich dank dickem günstigem Upstream bevorzuge ;)) hab ich den Luxus leider nicht :D

    Das mit dem Gäste-WLAN ist ne gute Idee.

    Kann ich so nur weiterempfehlen. Wenn du es richtig "schick" machen willst (auch monitoring-wise) ist natürlich ein Access Point, der das ordentlich mit VLANs kann zu bevorzugen, dann kannst du die WiFi Clients einzeln via SSID an andere VLANs geben und so direkt auf der pfSense isolieren/trennen. Aber für einen kleinen Aufbau ist das meist etwas Overkill ;)

    Okay da muss ich mal schauen. Was diesbezüglich möglich ist.

    Na das kommt darauf an, was du von der FB hintendran alles machen wolltest. Ich hatte das vor dem TP-Link Access Point auch mal so, dass da noch eine 7390 hintendran hing und WiFi AP gemacht hat. Mehr aber auch nicht, denn was soll sie noch tun. VPN will ich da nicht, das soll die pfSense machen, nur dann hab ich ordentliche Regeln und Filter. UPNP? Gott bewahre. Family Filter - kann die pfSense oder die vorgeschaltete Cable Box übernehmen. NAS? Meh, das ist eh nur solala. Einzig für WLAN Repeater (wenn notwendig) oder fürs Management von DLAN Steckern war das noch schick. Alles andere unnötig (plus die DLAN Teile werden auch von der Cable Box indirekt gesehen). Also wenn Telefonie eh auf der Frontbox läuft macht das Ding nur noch (teuer) WLAN ;) Und dafür gibts einfachere Möglichkeiten :D

    Wenn ich fragen oder probleme hab mit der Config, würde ich mich gerne nochmals melden 8)

    Feel free - immer raus damit :)



  • Hallo,

    da dieser Hardware Aufbau meinem sehr ähnlich ist hänge ich mich mal hier dran.
    Internet–> Fritzbox 6490 Cable (feste IP) --> Pfsense

    Die Feste IP ist auf der  Firewall eingetragen und die Fritzbox wird nur als Modem (Gateway) benutzt.
    Da aber die komplette telefonie über die Fritzbox läuft würde ich sie dafür auch gerne nutzten.

    Was bisher Funktioniert:
    vom Voip Telefon über die Fritzbox raus telefonieren und beide Seiten sind hörbar
    allerdings ist ein anrufen von aussen noch nicht möglich.
    Auf der Fritzbox ist eine statische Route in das Lan-Net eingetragen und auf der Firewall eine Regel (WAN) für die Fritzbox any-any ins "Lan" eingerichtet.

    Falls jemand eine Idee zur Lösung des Problems hat wäre das super


  • Moderator

    Die Feste IP ist auf der  Firewall eingetragen und die Fritzbox wird nur als Modem (Gateway) benutzt.

    Ich mutmaße mal dass  - wenn du sie für Telefonie einsetzen willst - du sie als vollwertigen Router nutzen muss und nicht nur als tumbes Modem. Spricht auch eigentlich nichts gegen. Einfach dann die pfSense als exposed Host eintragen und mit Transfernetz dahinterhängen. So läuft das bei mir im HomeOffice auch. CableFritte macht DECT und Gäste-WLAN und reicht ansonsten alles brav an die Sense hintendran durch. Somit kann sich der Kabelanbieter dann auch nicht rausreden dass Telefonie nicht gehen würde weil was falsch angeschlossen ist etc. blafasel ;)



  • Hallo,

    nun ist alles soweit umgezogen und ich habe nun etwas Zeit in meinem Urlaub mich an das Einrichten der PF Sense mit meiner Watchguard dran zumachen, aber irgendwie ist dort der Wurm drin.

    Als zugangspunkt dient ja immer noch die Fritzbox 6490 Cable über Untiymedia mit Fester 5.XXX IP. Die Fritze habe ich jetzt in den Bridge Modus geschalten und das LAN2 mit den MSK0 verbunden. Den MSK0 habe ich als WAN Interface bereits zugeordnet. MSK1 wurde zu nächst mal mit dem Switch fürs Netzwerk verbunden und MSK1 als LAN Interface konfiguriert.

    Nur welche IP muss den nun wo rein? WAN müsste doch dann die 5.XXX von Unity Media sein oder? Nur was ist dann mit der: For a WAN, enter the new WAN IPv4 upstream gateway address. Könnt Ihr mir da sagen, wo was für WAN und LAN rein muss?


  • Moderator

    Nur welche IP muss den nun wo rein?

    Kabel vergibt seine IPs im Normalfall per DHCP, somit muss WAN schlicht für DHCP konfiguriert sein um die Einstellungen zu bekommen. Funktioniert das nicht, musst du dich an den Kabelprovider wenden, einige wollen da zusätzlich vorher noch die MAC Adresse des Interfaces/Gerätes haben, das DHCP macht.



  • Richtig, wie in meinem Fall auch. Über den Business Anschluss von Untiy Media (BW) wird die Macadresse verlangt und dann eine der 5 festen IPs auf meinem Tarif nach wunsch der Mac zugewiesen. Mehr wie die IPs habe ich auch nicht bekommen und mehr ist im Kundencenter und durch die Hotline nicht zu erfahren. Deshalb denke ich macht es bei festen IP Adressen keinen Sinn, DHCP einzustellen. Somit hab ich dann für den WAN -> Static IP 5.XXX nur wie weiter konfigurieren?


  • Moderator

    Deshalb denke ich macht es bei festen IP Adressen keinen Sinn, DHCP einzustellen.

    Doch genau deshalb ;) Hast dus schon versucht auf DHCP zu stellen? Wir hatte das bei einem anderen Kunden ebenfalls mit Business Anschluß auch, dort hat DHCP problemlos funktioniert!

    Grüße