Fritz!Box NAS hinter pfsense



  • Hey Leute!

    Nachdem ich mich durch das halbe Internet gewühlt habe und auch hier mehrere Themen durchforstet habe, bin ich immer noch nicht wirklich weitergekommen.

    Und zwar habe ich folgende Situation:

    Ich habe eine pfSense Einheit, welche Firewall und Router zugleich ist. Hinter dieser habe ich seit neustem eine Fritz! Box 3490, welche quasi im weiteren Sinne als "Repeater" fungiert.

    Die FritzBox ist so geschalten, dass sie die Internetanbindung über LAN1 bekommt. Sie hat eine interne IP (10.6.30.251) für die Konfiguration sowie laut Übersicht eine "interne WAN-IP", 10.6.30.201.

    Funktioniert alles wunderbar, sie hat im DHCP einen Pool von 10 IP-Adressen bekommen, die sie in ihrem WLAN Netz verteilen kann sowie ein eigenes Gastnetz im 192.168.189er Bereich.

    Nun möchte ich allerdings gern die NAS-Funktion der FritzBox nutzen, womit wir zum eigentlichen Problem kommen.
    Die FritzBox hat ja logischerweise keine öffentliche IP. Also über NAT in der pfsense freischalten. Und da hängt es.

    Ich habe in der pfsense eine NAT Regel angelegt:
    Interface WAN
    Protocol TCP
    Destination WAN
    Destination Port Range ist der Port angegeben, welcher in der Fritzbox unter Fritzboxdienste angegeben ist (TCP Port für https)
    Target IP die besagte 201er interne WAN-IP der Fritzbox
    Target Port erneut der eben erwähnte TCP Port

    Danach gespeichert - fertig, die entsprechende Firewall Regel legt er ja selbst dazu an.

    Dachte ich. Wenn ich nun (nach Erstellung einer myfritz.net-Dyndns Adresse) im Nas einen Freigabe Link erstelle, ist dieser nicht erreichbar.

    Weder wenn ich die 201 private IP, noch wenn ich die 251 private IP angebe.

    Auch das Rumexperimentieren mit FTP-Port Freigabe statt des angegebenen FritzBox Ports ging nicht.

    Daher die Frage: Was muss ich in der pfsense via NAT einstellen, damit das NAS extern erreichbar ist? Muss ich mehr als nur ein was freischalten? Ich weiß leider nicht, was ich gerade übersehe…

    Hoffe, ihr könnt mir helfen, danke im Voraus.

    LG, Flat.



  • Hi,

    deine Begriffe sind schlecht gewählt, da schon vergeben. Ein Repeater ist sie sicher nicht, ein Switch oder ein Router schon eher. Was, hast du aber nicht gesagt. Nutz doch bitte zunächst aus dem angepinnten Thread die Möglichkeit der visuellen Darstellung deines Netzes.

    Deine IP Adressen scheinen WAN und LAN-seitig im selben Subnetz zu liegen. Es fehlt hierzu die Eindeutigkeit durch die Angabe der Subnetzmaske. Was meinst du mit "intern", evtl private IP Adreesen?

    Das Erstellen des Portforwarding ist die FW-Rule…

    Screenshots von dem was du tatsächlich gemacht hast...

    Überlege dir grundsätzlich bitte noch mal, ob du das Ganze auch tatsächlich willst! Eine Lösung über OpenVPN ist sehr simpel einzurichten und für Mobiles und Laptops deutlich sicherer! Deine Lösung über Portfreigaben ist hochgradig kritisch, da du deine Daten direkt im Internet frei gibst.

    Gruß
    pfadmin



  • Hi pfadmin.

    Meinst du die Begriffe im Topic?

    Ist sie ja auch nicht, sie ist normal als Router eingerichtet, der allerdings einfach im privaten Netzwerk angeschlossen ist und sein eigenes WLAN-Netz hat. Dient primär nur als Router für ein Gast-WLAN.

    Das vorhandene Private Netzwerk läuft über die Subnetzmaske 255.255.0.0.
    Ja, intern = privat.

    Das sagte ich ja bereits. Wenn in der PFSense unter NAT ein Portforwarding erstellt wird, wird die FW-Rule mit angelegt.

    Ja, OpenVPN mag einfacher sein, aber das Fritz!NAS soll als FileExchange dienen. Und somit ist der Sinn der Sache ja, Daten direkt im Internet freizugeben.

    Aktuell hat die Fritzbox aber wie gesagt keine öffentliche IP, die dafür ja nötig ist.

    Werde morgen eine Skizze des Netzes nachreichen, komme jetzt nicht gleich dazu.

    LG, Flat



  • Wenn deine Fritz als Router arbeiten soll, müssen die IP Netze auf WAN und LAN Seite verschieden sein, deine sind gleich! Das wird so nie funktionieren.

    Die Regeln werden nicht MIT angelegt, es sind DIE Regeln.

    OpenVPN ist nicht einfacher, sondern viel sicherer. Als Fileserver ist das so sicher machbar, aus Sicherheitssicht eine Katastrophe. Aber das mußt du selbst einschätzen.
    Ftp ist schwierig zu handhaben, da hier mehrere Ports und auch noch aktiv/passiv mitspielen. Lass das lieber von außen!

    ![pfsense nat.JPG](/public/imported_attachments/1/pfsense nat.JPG)
    ![pfsense nat.JPG_thumb](/public/imported_attachments/1/pfsense nat.JPG_thumb)