(Gelöst) VPN Fritzbox –> pfsense / Android Phone -> PFsense
-
Hallo Gemeinde,
ich habe zwei Fragen an euch.
Ich würde jetzt gerne wieder mein VPN Nutzen können, so wie ich es vorher mit der Fritzbox gehabt habe.
Im Prinzip Fritzbox gegen PFSense getauscht.Ich möchte im Prinzip zwei Sachen. Die festen Verbindungen zwischen Standorten sollen in die dmz geroutet werden.
Die Mobilen clients sollen ins Lan geroutet werden..–---+-----.
| Fritzbox | (VPN Endpoint 192.168.0.0/24)
'-----+-----'
:
: PPPoE-Provider
:
WAN / Internet
:
: PPPoE-Provider
:|
|
|
.-----+-----. (PPPOE/ VPN Endpoint)
+-------------+ pfSense +-------------+
| '-----+-----' |
| |
LAN | 192.168.1.0/24 DMZ | 192.168.10.0/24
| |
.-----+------. .-----+------.
| LAN-Switch | | LAN-Switch |
'-----+------' '-----+------'
| |
...-----+------... ...-----+------... -
Hallo Eike,
Hab ich zwar so noch nicht ausprobiert, sollte aber recht einfach gehen, wenn Du einfach 2 OpenVPN Server mit unterschiedlichem Port auf der pfsense laufen lässt. Einen für die Standortverbindung und einen für mobilen Remote-Access.
Die kannst Du dann jeweils individuell konfigurieren.
Vielleicht denke ich da aber auch zu kompliziert und jemand weiß eine bessere Lösung.
Gruß, Dirk
-
Ich steige irgendwie nicht ganz durch, was genau Eike da bauen möchte. Das Diagramm ist zwar da, aber ich verstehe nicht ganz, was jetzt die Frage ist bzw. was genau gebaut werden soll - vielleicht liegts auch am Wording weil ich nicht ganz nachvollziehen kann, was mit "in die DMZ geroutet" gemeint ist :)
-
Moin JeGr,
ach das ist ganz einfach. Ich möchte halt das alle Handys in meiner Familie direkt in mein Heimnetz (192.168.1.0/24) kommen und alle festen Verbindungen (zu Freunden auf eine Fritzbox) in das "DMZ" Netz (192.168.10.0/24) kommen.Mehr nicht :)
Eike
-
Achso, also einmal Site2Site mit der Fritzbox und einmal Einwahl mit Smartphones? Ja das geht, allerdings muss die Fritzbox eben entweder OpenVPN können (gemoddet) oder man muss leidiges IPSec mit ner Fritzbox basteln, was eher nicht so dolle ist. Aber gehen tut das.
Gruß
-
Moin JeGr,
Das sind alles Original Fritzboxen also wird es dann ipsec sein. Ist das schwierig? gibt es irgendwo eine "config" die ich anpassen kann ?
Wie sieht das mit den Handys aus ? ist doch auch ipsec oder ? Gibt es hierzu eine doku für Newbies wie mich ? Am besten etwas wo ich nur meine Daten ein zu tragen brauche.Eike
-
Wie sieht das mit den Handys aus ? ist doch auch ipsec oder ?
Nein nicht zwangsläufig. Ich nutze OpenVPN auf den Mobiles und Notebooks von unterwegs und würde nichts anderes wollen. Läuft einfach und prägnant. Gerade bei Hotels oder sonstwo, wo mitunter mal grob oder doof gefiltert wird, komme ich meist mit OpenVPN immer noch durch, IPSec (da eigenes Protokoll etc.) knallt da meist dagegen. Und wenns richtig klemmt hat man mit einem zweiten OpenVPN Setup auf tcp/443 immer noch was, was 99% der Fälle dann doch funktioniert.
-
Ich hatte völlig übersehen dass die Site to Site Verbindung von der Fritte ausgehen soll. Da fällt OpenVPN zur pfsense wohl eher flach …
Gruß, Dirk
-
Aloha Gemeinde,
man habe ich viel gelernt in der letzten Woche wow…ich muss mir mal selber auf die Schulter kopfen.So also der Tunnel zu den Handy steht und klappt super. Ich habe eine Anleitung per ipsec gefunden und diese mit Zertifikaten angepasst. Alles Bombe.
So nun will ich die Fritzbox so wie im Diagramm auf mein DMZ Network bringen und ich werd verrückt. Die Anleitungen die es hier gibt sind alle unterschiedlich oder nicht mehr aktuell.
Kann mir einer von Euch eventuell helfen und mir eine (oder seine) config einmal per Screenshot zeigen ? in Netz gibt es so viel Müll der überhaupt nicht klappt unglaublich :(Eike
-
Beschreib mal bitte genau wie du die IPSEC -> Handy Einrichtung durchgeführt hast. Lese zwar was von Zertifikaten aber nicht ob mit Xauth oder ohne.
Wenn du nämlich einmal die Benutzerauthentifizierung eingeschalten hast um dich via Smartphone über IPSEC zur pfSense zu verbinden, werden IPSEC Site2Site Tunnel nicht mehr funktionieren. Vielleicht wurde das Problem mittlerweile gefixt aber ich glaube nicht dran. IPSEC + Xauth ist aber eigentlich die bevorzugte Variante bei mobile VPN. Man will ja nicht immer erst umständlich Zertifikate auf die mobilen Endgeräte bringen müssen.Ich habe Site2Site Tunnels ausschließlich über IPSEC angebunden. 3 x Fritzboxen, 1 x Fortigate, 1 x Azure. Läuft!
Mobile Clients können sich via OpenVPN zur pfSense connecten über Port 443 TCP (gut für strikte Umgebungen) und alternativ via 1194 UDP (etwas performanter als TCP).Das ist zwar schade weil man so nicht die nativen VPN Clients von Android und iOS nutzen kann aber das ist trotzdem die Variante, wie es läuft.
-
Moin,
ich habe es nach dieser Anleitung gemacht und es hat sofort geklappt.https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html
-
Ja genau hier wirst du ein Problem bekommen.
Fritzboxen unterstützen nur IKEv1 über IPSEC. Sobald du aber den mobilen IPSEC Client Support aktivierst, werden die IKEv1 Tunnel nicht mehr funktionieren.Siehe auch hier: https://forum.pfsense.org/index.php?topic=126310.msg710288#msg710288
-
Das ist zwar schade weil man so nicht die nativen VPN Clients von Android und iOS nutzen kann aber das ist trotzdem die Variante, wie es läuft.
Das stimmt, wobei ich wie schon andernorts beschrieben das "Problem" nur wenig nachvollziehen kann, dass eine zusätzliche App auf mobilen Geräten benötigt wird. Ja, natürlich wäre ein nativer Client bzw. Integration ins OS "schöner". Allerdings ist wie schon angemerkt OpenVPN für Client Einwahl wirklich vielfach einfach ein "fire & forget" Prinzip. Und auf Android ist - je nach App (es gibt hier zwei) - sogar Integration in die QuickToggles möglich. Benachrichtigungsleiste runtergezogen, einmal draufgetoucht und innerhalb 2s verbunden mit dem VPN. Zwar nicht "integriert" aber durch Anbindung an die QuickToggles mindestens genauso komfortabel. Seit so eingerichtet habe ich keinen mehr murren hören. Plus: Bei Firmen oder "Prosumern" mit mehreren Leitungen (DSL/Kabel/LTE bspw.) kann OpenVPN eben auch problemlos angepasst werden, um bei Ausfall einer Leitung einfach sich mit dem Fallback zu verbinden. Gleiches Verbindungsprofil, gleiche Usability, trotzdem ausfallsicher. Spätestens da war noch jeder Chef/Abteilungsleiter dann plötzlich gar nicht mehr abgeneigt, dass da was installiert werden muss :D
-
@JeGr: Ich wollte damit auch OpenVPN nicht madig machen. Es sprechen schon Gründe für die Wahl zu OpenVPN. Ich habe nur gerade bei iOS bis zum letzten Update der OpenVPN App leider gar kein Connect mehr zur pfSense hinbekommen. Die Client App war noch nicht angepasst für OpenVPN 2.4. Da stand ich 3-4 Monate da und kam nicht in meine Infrastruktur :(
Aber egal, dass Problem ist gelöst.Für Site2Site Tunnel ist und bleibt aber IPSEC für mich die erste Wahl, weil es die allermeisten Router (Consumer, SemiPro) standardmäßig unterstützen ohne Gebastel.
BTW: Auch bei IPSEC kann ich ohne Probleme eine Failover Konfiguration fahren ohne auch nur 1 Handgriff zu unternehmen. ;)
Multiwan Interface erstellen mit Failover -> DynDns Adresse registrieren und auf das Failover Interface legen -> Firewall und NAT Regeln werden vom IPSEC Dienst ja selbständig erstellt. Problem ist eher, dass die Hauptleitung meist schneller wieder zur Verfügung steht, als das der Tunnel über die zweite Leitung aufgebaut wurde. -
@JeGr: Ich wollte damit auch OpenVPN nicht madig machen.
Auch nicht so verstanden :)BTW: Auch bei IPSEC kann ich ohne Probleme eine Failover Konfiguration fahren ohne auch nur 1 Handgriff zu unternehmen. ;)
IPSEC Tunnel Konfiguration mit Multi-WAN? Mit DynDNS? Meh… ja funktioniert theoretisch, praktisch hat man die Umschaltzeit, die Detection vom Failover Interface, den Aufbau, DNS Caches die dann zwischen reingrätschen etc. etc.
Es gibt einfach keinen nativen Weg, um sinnvolles MultiWAN Loadbalancing/Failover Verhalten mit IPSEC zu bekommen, außer statisch zwei Tunnel mit unterschiedlichen Daten aufzubauen und Routen zu verbiegen, damit das irgendwie funktioniert. Solange IPSEC kein wirkliches Interface zur Verfügung stellt, wird das alles ziemlich gebastelt bleiben. Dahingegen haben wir mit OpenVPN u.a. schon Szenarien wie round-robin-loadbalancing bei Connects, WAN-Acceleration Setups und andere Spielereien gebaut ohne in extrem fiese Probleme zu laufen :)Die Antwort war da weniger an dich gerichtet, sondern mehr in Richtung: "Hey so überzeugt man auch technisch nicht so bewandertes Personal/Chefs davon" ;)
-
Soooooo ….hab eh nur die Hälft verstanden....ausser das es so nicht geht. Also die Fritzboxen bleiben logischerweise wie sie sind. Also müssen die ipsec machen.
wie geht das mit dem open vpn ? gibt es da ein howto ?
-
OpenVPN Server Konfiguration hat u.a. einen Wizard, der einen durch das Setup führt, alternativ:
https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server
Ja nachdem wie sicher es sein soll/darf, kann man die Clients mit User/Pass, nur Zertifikat oder User/Pass + Zertifikat kombiniert einwählen lassen. User können dann entweder in der normalen GUI (User Manager) verwaltet werden oder - besser - extern via LDAP oder Radius z.B. via FreeRadius Package. Möglichkeiten gibt es viele.
https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS (auch wenn da FreeRadius2 steht, geht das inzwischen mit dem 3er Paket genauso).
-
muss ich alles von ipsec löschen oder kann ich meine Ca auch behalten ?
-
Moin Männer,
ich habe echt schlechte Laune. Ich bekomme einfach keine Verbindung zu einer Fritzbox hin. Das kann doch nicht so schwer sein oder ? Gibt es nicht eine Anleitung im Netz die nicht 100 Jahre alt ist sondern funktioniert?Ich wäre euch für eine Hilfestellung dankbar. Es soll mit einer aktuellen 7490 klappen.
-
Was willst du denn nun jetzt machen?
Du schreibst erst, dass die Firtzboxen und IPSEC bleiben und dann fragst du nach einer Anleitung für OpenVPN.
Fritzboxen unterstützten nativ kein OpenVPN. Entweder baust du also einen kleinen OpenVPN Server hinter der Fritzbox auf und leitest nur die Anfragen über die Fritzbox weiter zum OpenVPN Server oder aber du bleibst bei IPSEC um die Fritzboxen anzubinden. Wenn du also eine gängige und funktionierende IPSEC Konfiguration suchst pfSense -> Fritzbox kann ich hier was veröffentlichen. Dann fällt aber das Client VPN über IPSEC weg! Dafür sollte man dann OpenVPN auf der pfSense als Server nutzen. -
Was willst du denn nun jetzt machen?
Du schreibst erst, dass die Firtzboxen und IPSEC bleiben und dann fragst du nach einer Anleitung für OpenVPN.
Moin,
genau das hatte ich ja auch gebaut….dann aber wurde mir schmerzlich gewusst, dass es eben so nicht geht. Ich habe nun die Handys (VPN Mobile) gelöscht und wollte nun erstmal die Fritzboxen per ipsec anbinden und dann später die handys per openvpn....soweit nun der plan....sorry wenn ich mich nicht klar ausgedrückt hatte. -
Moin,
wenn Du viel mit der Konfiguration gespielt hast, dann spiele bitte noch einmal: Setz den verbosity Level von OpenVPN mal ein wenig höher, abspeichern und Kiste rebooten. Daten auf Handy exportieren und dann versuchst Du einen Verbindungsaufbau und schaust anschließend unter Status / System Logs / OpenVPN nach was passiert. Kommt da überhaupt was an? Hast Du auf dem Wan-Interface Regeln definiert damit die OpenVPN Pakete rein kommen? Hast Du auf der primären Fritte passende Port Weiterleitungen auf pfSense definiert bzw. pfSense als exposed Host definiert? Auch der OpenVPN Client auf dem Handy bietet einiges an Status Infos beim Verbindungsaufbau.
Poste doch einfach mal Logs vom Verbindungsaufbau in Code Tags und ggf. anonymisiert hier rein. Geht nicht lässt nur stochern im Nebel zu.
-
Guter Tipp @magicteddy aber vielleicht erstmal die IPSEC Konfiguration sauber aufbauen und anschließend sich um die Client VPNs kümmern. Diese Konfigs hat er ja bereits gelöscht.
Hier als Beispiel eine meiner VPN Konfigs für einen IPSEC Site2Site Tunnel zwischen pfSense und Fritzbox.
Fritzbox:vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "THOMAS PFSENSE VPN_MWAN"; always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "pfsense-xxx.dyndns.org"; localid { fqdn = "fritzbox-xxx.dyndns.org"; } remoteid { fqdn = "pfsense-xxx.dyndns.org"; } mode = phase1_mode_aggressive; phase1ss = "LT8h/all/all/all"; keytype = connkeytype_pre_shared; key = "ein_ziemlich_langer_key11!11!"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.224.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 172.17.21.0; mask = 255.255.255.0; } } phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; accesslist = "permit ip any 172.17.21.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; }
pfSense:
siehe attachments
Bild 1 = Phase 1
Bild 2 = Phase 2Wichtig ist aber, dass du den Mobile Client Support deaktivierst in den IPSEC Einstellungen der pfSense.
-
Danke, teste ich heute Abend gleich aus.
-
Guter Tipp @magicteddy aber vielleicht erstmal die IPSEC Konfiguration sauber aufbauen und anschließend sich um die Client VPNs kümmern…
Klar, gerne doch, nur aus dem Thema IPsec halt ich mich raus, da von keinerlei Sachkenntniss belastet :P
-teddy
-
m0nji ey du bist soooooooo der hammer hat auf anhieb geklappt :) endlich mal eine beschreibung die klappt :) 1000 dank.
jetzt muss ich nur noch open vpn bauen zu den handys ;)
-
Moin Männer ein kleines habe ich noch :)
Jetzt habe ich zwei vpns in meinem DMZ Netzwerk. Wie komme ich jetzt von meinem LAN auf Webseiten von Servern die in der DMZ stehen ?
Also der Kollege mit der Fritzbox ist ja nun per VPN Verbunden aber mit welcher Rule komme ich nun um Himmels willen da rüber…...
bin ich einfach zu blöd zu.
Aufgabe ich bin 192.168.1.x und will zu 192.168.2.x als Beispiel diese ist im VPN.-----+-----.
| Fritzbox | (VPN Endpoint 192.168.0.0/24)
'-----+-----'
:
: PPPoE-Provider
:
WAN / Internet
:
: PPPoE-Provider
:|
|
|
.-----+-----. (PPPOE/ VPN Endpoint)
+-------------+ pfSense +-------------+
| '-----+-----' |
| |
LAN | 192.168.1.0/24 VPN / DMZ | 192.168.10.0/24
| |
.-----+------. .-----+------.
| LAN-Switch | | LAN-Switch |
'-----+------' '-----+------'
| |
...-----+------... ...-----+------... -
du hast jetzt quasi eine ipsec verbindung zwischen den netzen 192.168.10.0/24 (deine pfsense) und 192.168.2.0/24 (dein kumpel seine fritzbox)?
ausgehend von diesem szenario erstmal die frage: kannst du aus dem 192.168.10.0/24 eine IP im 192.168.2.0/24 anpingen?des weiteren wirst du eine zusätzliche phase2 im ipsec tunnel benötigen. die fritzbox kennt dein 192.168.1.0/24 ja gar nicht und wird daher anfragen nicht erlauben.
damit du nicht auf beiden seiten(pfsense und fritzbox) anpassungen machen musst, löst man so ein problem z.b. über die zusätzliche phase2 über NAT/BINAT (siehe Screenshot)du NATest damit alle anfragen aus dem 192.168.1.0/24 netz und kommst dann im vpn tunnel mit der 192.168.10.253 an, wofür die regeln auf der frtizbox ja greifen. die 192.168.10.253 ist eine fiktive IP. du kannst jegliche IP nehmen welche nicht genutzt wird in deinem netz.
-
Moin,
ja pingen geht aus dem 10er netz heraus ohne Probleme auf die 192.168.1.1 (Fritzbox vom Kumpel).Ach das verstehe ich…aber ist alles schon ganz anderes Niveau als von der Fritzbox das muss ich schon sagen .......da muss man echt 24 mal nachdenken "before click" zum Glück hat die Firewall eine restore Funktion 30 safes zurück....hatte ich gestern nämlich schlauerweise selber ausgesperrt und ohne diese wäre ich aufgeschmissen.
die 192.168.1.253 ist bei mir aktuell belegt im 1er Netz ...aber ich weiß ja worauf du hinaus willst.
Können die Tunnel jetzt auch untereinander sprechen ?
Sorry das ich mich so blöde anstelle, aber für mich (Achtung geklaut) ist das "Neuland" :)Danke das du so toll hilfst.
Eike
-
ja pingen geht aus dem 10er netz heraus ohne Probleme auf die 192.168.1.1 (Fritzbox vom Kumpel).
ähm hast du dich verschrieben? das netz deines kumpels sollte doch die 192.168.2.1 haben?! wenn es wirklich die 192.168.1.1 hat, dann hast du ein problem, da du ja selber das netz 192.168.1.0/24 hast.
klar können die netze untereinander reden. bei der fritzbox ist die zeileaccesslist = "permit ip any 172.17.21.0 255.255.255.0";
verantwortlich. (achtung: ich habe meine beispielconfig angeführt)
bei der pfsense gehst du auf firewall -> rules -> ipsec interface und erstellst dort die rule
protocoll: ipv4*, source: 192.168.2.0/24, port: *, destination: 192.168.10.0/24, port: *und ja, die pfsense mag auf den ersten blick etwas schwierig zu managen sein aber dafür hast du auch deutlich mehr möglichkeiten als mit einer fritzbox. für die möglichkeiten, die die pfsense bietet, ist sie noch sehr newbie freundlich ;)
-
Moin,
ja sorry verschrieben ich meine natürlich 192.168.2.1. Klappt alles wie gewünscht nun auch die oberfläche der fritzbox auf zu rufen :)danke danke danke.
morgen mache ich openvpn
-
Alles klar, na dann viel Erfolg!
-
hmmmm habs mit der Seite gemacht für die Handys:
https://www.ceos3c.com/pfsense/configure-openvpn-for-pfsense-2-3-step-by-step/klappt aber irgendwie nicht….habt ihr ne idee?
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS Error: TLS handshake failed
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS Error: TLS object -> incoming plaintext read error
Mar 29 14:43:26 openvpn 41823 117.92.130.91 TLS_ERROR: BIO read tls_read_plaintext error
Mar 29 14:43:26 openvpn 41823 117.92.130.91 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Mar 29 14:43:26 openvpn 41823 117.92.130.91 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=Deutschland, L=daborn, O=-, emailAddress=eike.de, CN=bla.no-ip.org, OU=IT -
sagt mal lese ich das richtig das es jetzt mit der neuen version 2.4.3 und ipsec gehen wird ? also Handy und site to site ?
IPsec
Changed IPsec Phase 1 to allow selecting both IPv4 and IPv6 so the local side can allow inbound connections to either address family #6886
Changed IPsec Phase 1 to allow configuration of multiple IKE encryption algorithms, key lengths, hashes, and DH groups #8186
Fixed a problem when IPsec bypasslan was enabled while the LAN interface is disabled or doesn't have an IP address #8239
Added IPv6 LAN Network to the IPsec LAN bypass list #8321https://doc.pfsense.org/index.php/2.4.3_New_Features_and_Changes
-
Mar 29 14:43:26 openvpn 41823 117.92.130.91 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=DE, ST=Deutschland, L=daborn, O=-, emailAddress=eike.de, CN=bla.no-ip.org, OU=IT
Für mich sieht das so aus als wenn du dem Nutzer kein UserCertificate zugewiesen hast sondern ein anderes Zertifikat. Ist aber auch schwer zu sagen bei den wenigen Infos zur Konfiguration
-
hmmmm neee kann eigentlich nicht sein ich habe alle neu gemacht extra dafür…...was für infos brauchst du noch ?
-
sooo hab openvpn nicht zum laufen bekommen war ich zu blöde zu. aber ich habe jetzt sowohl fritzbox über ipsec und auch die handy über ipsec am laufen
hurraaaaaa
-
Hi Eike,
"sooo hab openvpn nicht zum laufen bekommen war ich zu blöde zu. aber ich habe jetzt sowohl fritzbox über ipsec und auch die handy über ipsec am laufen" Schön für Dich, aber genau das, kann es eigentlich nicht wirklich geben. Ich bastele seit Jahren mit OpenVPN, IPSec, pfSense, DD-WRT, OpenWRT und Fritten rum. Ich hab bis Dato jeden Tunnel zum laufen bekommen und mir ist auch klar, das Fritte und OpenVPN sich ausschliessen, wenn das Teil nicht gefreetzt ist. Aber selbst da, ist es eigentlich der Obergau eine IPSec-Tunnel mit wirklich funktionierenden Routing hin zu bekommen, was bei OpenVPN eigentlich nicht wirklich ein Problem dargestellt hat. Aber ich behaupte nun einfach mal, das Fritten-IPSec ist von der "Stange". ;D -
Aber selbst da, ist es eigentlich der Obergau eine IPSec-Tunnel mit wirklich funktionierenden Routing hin zu bekommen, was bei OpenVPN eigentlich nicht wirklich ein Problem dargestellt hat. Aber ich behaupte nun einfach mal, das Fritten-IPSec ist von der "Stange". ;D
was meinst du damit?
-
was meinst du damit?
Ich meinte damit nicht den normalen IPSec, der von AVM unterstützt wird, sondern eher das modifizieren (Freezen) der Fritte. Jeder Flash des Gerätes, muss bei einem Konfigurationsfehler, (z.B. in der Firewall) wiederholt werden, da man keine direkten Änderungen machen kann, sondern das Image immer neu bauen muss.
Man kann das nicht mit einer pfSense oder einem DD-WRT Router vergleichen, wo die Änderungen einfach mal so in den Speicher hochgeladen werden.
Die original Firewall einer Fritte ist eben nur "von der Stange", auch wenn man das "Teil" in den Himmel lobt, so ist und bleibt das ein Consumergerät, wie jeder andere Plastikrouter auch.