VPN von FritzBox in pfSense / Regel



  • Guten Abend zusammen,
    was für ein Einstellung bzw Regel müsste ich einstellen, wenn ich von Handy(iPhone) ein VPN Verbindung auf die FritzBox aufbaue
    und dann die Geräte hinter pfSense ansprechen will???

    • VPN Verbindung von iPhone zur FritzBox steht.
    • pfSense WAN hängt hinter FritzBox am LAN 1
    • pfSense LAN dann auf Switch => PC's

    Die Statische Route habe ich auf die FritzBox eingerichtet:

    • IPv4-Netzwerk: 192.168.1.1
    • Subnetzmaske: 255.255.255.0
    • Gateway: 192.168.178.126

    Falls das so wie oben beschireben nicht lös bar wäre, sollte man das ganze lieber mit einer "Exposed Host" lösen??

    Hoffe das ich das ganze verständlich geschrieben habe und mir helfen kann.
    Vielen Dank

    Mein aufbau sieht so aus:

    WAN / Internet
    :
    : DialUp-/PPPoE-/Cable-/whatever-Provider
    :
    .-----+-----.
    | Gateway | (Router Fritzbox 7490) 192.168.178.1
    '-----+-----'
    |
    WAN | IP or Protocol 192.168.178.126 WAN fix
    |
    .-----+-----.
    | pfSense |
    '-----+-----'
    |
    LAN | 192.168.1.1/24 LAN fix
    |
    .-----+------.
    | LAN-Switch |
    '-----+------'
    |
    ...-----+------... (Clients DHCP /PC-1 192.168.1.101)


  • LAYER 8 Rebel Alliance

    Wieso sollte man das Fritzbox VPN benutzen wenn man schon eine pfSense hat?
    Konfiguriere dir auf pfSense den VPN Server, dann sind alle Probleme schon gelöst.

    -Rico



  • Hi @drx1984 ,

    das wäre auch meine Frage? Zu welchem Zweck hast du die pfSense in deinem Network-Setup? Was soll die bei dir leisten, was die Fritzbox nicht kann? Telefonie auf der Fritzbox? Wenn nein, dann eher die Fritzbox nur als Modem Nutzen und sonst Alles die pfSense machen lassen.

    Gruß
    wkn



  • Moin @wkn ,
    die pfSense würde ich gerne als Firewall einsetzten.
    VPN auf der Fritzbox weil, dann könnte man doch unterwegs anrufe von der Private Telefonnummer tätigen und es läuft dann alles über MyFritz Adresse (DNS) oder habe ich falsch im Kopf?
    Ja Telefonie läuft auf der Fritzbox das würde ich auch so lassen oder ist das nicht vorteil haft??

    danke



  • @drx1984

    Deine Fritzbox hat doch eine Firewall. Da willst du komplette Portweiterleitungen auf eine pfSense machen um dann dort eine Firewall aufzusetzen? Klingt ziemlich unsinnig, wenn die pfsense nicht weitere Funktionalität bereitstellen soll, welche die Fritzbox nicht auch beherrscht.

    Telefonie würde ich in der Konstellation immer von der Fritzbox machen lassen. Und probieren ob deine Telefonieanforderung über VPN von der Fritzbox machbar ist.



  • @wkn
    ok VPN von Fritzbox funktioniert und ich kann jetzt das App FritzFon auch unterwegs einsetzen.
    Aber was noch gut wäre wenn ich zb. mein Server der hinter pfSense steht mit der gleiche VPN von Fritzbox erreichen könnte, ist das möglich?? Müsste doch mit ein Regel lösbar sein??

    danke



  • Portforwarding von WAN Fritzbox auf WAN-IP pfSense im LAN der Fritzbox und dann nochmal WAN pfSense auf die IP des Gerätes im LAN der pfSense. Ist halt Double-Natting nötig in dem Setup.



  • @wkn
    Aha das alles stelle ich im pfSense ein?



  • Du musst jede Portfreigabe für ein Gerät im LAN der pfSense zweimal machen, einmal in der pfSense auf die IP des Gerätes (192.168.1.x) und nochmal analog in der Fritzbox auf die IP (192.168.178.126) der pfSense.



  • Man kann auch alles schwiergier machen 📀 Ich würde mir ein DSL Modem kaufen und die Fritzbox hinter dem PFsense laufen lassen. Dann bist du mit dem VPN im LAN und gut ist.
    Kein Doppeltes NAT und keine 100 Regeln.



  • Ganz einfach wird das leider so oder so nicht:

    • Ist die Fritzbox "vorne", kann man das WLAN nicht sinnvoll nutzen. Ausserdem hat AVM die Nutzung als Modem deaktiviert, sodass die Fritzbox grundsätzlich immer ein NAT-Router ist und somit jeder Zugriff von aussen mühsam per Port-Forward durchgereicht werden muss. Viele Szenarien funktionieren dann dahinter nicht mehr sinnvoll, da die Pakete bereits von der Fritzbox umgeschrieben worden sind. IPSec wird beispielsweise sehr kompliziert und wackelig.
    • Wir haben nach vielen Schmerzen die Variante, wie von @Marv21 vorgeschlagen, umgesetzt: Vorn am DSL hängt ein Virgor DSL-Modem und die pfsense baut die Verbindung auf. Die Fritzbox ist als IP-Client im LAN eingebunden und dient als Wifi-Hotspot und IP-Telefonie-Server. Es hat mir einiges an Kompfschmerzen und viel packet-Trace und Fritzbox-Hacking abverlangt, bis die IP-Telefonie funktionert hat, da SIP nicht oder nur sehr eingeschränkt für NAT geeignet ist (Dein LAN ist ja durch die pfsense geNATet) und die Provider wenn überhaupt nur die Zugangsdaten heraus rücken.
      Im Endeffekt musste ich herausfinden, in welchem Port-Range die Fritzbox die SIP-Gespräche für den Rückkanal entgegennimmt. Nachdem ich ein Outbound-NAT für die interne IP der Fritzbox eingerichtet hatte, funktioniert auch SIP über die interne Fritzbox.

    Als Belohnung können wir nun aber von überall telefonieren, wenn wir uns per OpenVPN oder IPSec verbinden. SIP benötigt aber relativ kurze Latenzzeiten. Aus dem Ausland oder über Mobile würde ich das nicht empfehlen. Aus Kostengründen lohnt das alles jedoch nicht. Da würde ich mir lieber eine Flatrate für unter 10€ holen, wenn Die nicht ohnehin schon im eigenen Tarif drin ist ...



  • Genau, das Thema WLAN war mit ein Grund wieso ich die Fritzbox auch nach "innen" gesetzt habe. 1und1 und Unitymedia gingen ohne großere Probleme sobald man das Outbound Nat verstanden hat ^^.



  • genau: das Outbound NAT korrekt einzustellen war das grösste Problem, da unsere O2-Fritzbox einen abweichenden RTP-Port-Range nutzte als überall zu lesen war.

    Da ich seinerzeit ohnehin keine SIP-Zugangsdaten von O2 bekommen hatte, musste ich mir diese sehr mühsam aus der Firmware extrahieren und bin dabei auf den RTP Portrange gestossen (rtpport_start und forwardrules), den ich für die Outbound-NAT-Regel gebraucht habe.



  • @heiko-ecm4u
    Ach die sind doch bescheutert. Meinchmal hat man das Gefühl, die setzen alles dran um uns zu kontrollieren und verändern bis zum geht nicht mehr den Standard. SIP ist eh schon zum brechen, aber das jeder Anbieter auch noch seine eigene Suppe da kocht...


  • Rebel Alliance Moderator

    @Marv21 said in VPN von FritzBox in pfSense / Regel:

    und verändern bis zum geht nicht mehr den Standard. SIP ist eh schon zum brechen, aber das jeder Anbieter auch noch seine eigene Suppe da kocht...

    Das ist das Problem. Der Standard ist - nennen wir es mal - sehr offen. Ähnlich wie IPSEC gibts Rahmenvorgaben, was aber die Hersteller davon umsetzen ist meist Ihnen überlassen.

    Sieht man auch fabulös (um beim Vergleich mit IPSEC zu bleiben) an ordentlich teuren "Profi-Lösungen". Gerade erst wieder einen VPN Tunnel zu einem Kunden bauen sollen, nagelneue, nicht gerade kleine Sophos Kiste gekauft und betreut -> Die können 2019 immer noch kein AES-GCM im IPSEC - weder Phase 1 noch 2. Ist einfach nicht auswählbar. Trotz Lizenz etc. Von sicheren elliptischen Kurven à la curve25519 oder brainpool-Kurven (oder wenigstens secp256/384/512r1 - nicht k1) genauso wenig gehört. Es ist verflucht frustrierend.

    Grüße


  • LAYER 8 Rebel Alliance

    Wegwerfen und pfSense hinstellen. ☺

    -Rico


  • Rebel Alliance Moderator

    @Rico said in VPN von FritzBox in pfSense / Regel:

    Wegwerfen und pfSense hinstellen.

    Wenn das so einfach wäre, hätte ich wahrscheinlich in Süddeutschland schon ne Abdeckung im zweistelligen Prozentbereich was pfSense als Firewall angeht. 😉 Leider wird das aber meist von nicht-Technikern entschieden, die mit großem Bullshit-Bingo, Marketing-Sprech und supertollen Zusatzfeatures eingefangen werden. Gerade bei Sophos ist das u.a. die "tolle" Anbindung von deren FW/AV Client Lösung an die Firewall. Sprich: rastet ein PC aus und der Virenscanner/Firewall Part bekommt das mit gibts ne Meldung an die große HW Firewall und er wird da geblockt/isoliert. Auch wenn es bspw. ein Marketing'ler ist, der mit NB unterwegs ist und sich dort was eintritt. Für größere Firmenkonstrukte praktisch, da ist es dann egal, wenn der Rest der FW einfach nur "MEH" ist.


Log in to reply