PFSense SG3100 hinter Unitymedia Fritzbox (bridge) nicht erreichbar



  • Hallo,

    Ich hoffe jemand kann mir helfen...
    Im Netz habe ich viel gefunden aber nichts hat funktioniert.
    Ich brauche ssh Zugriff auf eine SG31000 und muss IPsec Tunnels aufbauen.

    Die SG3100 hängt hinter der Fritzbox, die Verbindung der Fritzbox ist im WAN Port der SG3100 eingesteckt.
    Meine Fritzbox 6490 wurde durch Unitymedia in den Bridgemode gesetzt, das hat "nur" 5 anrufe bei denen gebraucht
    Man hat mir ein /30 subnetz gegeben in dem .249 die Fritzbox/Gateway ist und 250 ist auf der SG3100 als eigene Routeradresse eingegeben.

    Fritzboxseite:

    • alle LAN ports sind unter Zugangsart/Portkonfig angehackt.
    • Ich habe die SG (die interne private IP) auf der FB als
      exposed host freigeben
    • Selbstständige Portfreigaben für dieses Gerät sind erlaubt
    • Ich habe auch die IPv6 Einstellungen aktiviert ohne erfolg

    SG3100 Seite

    • FW regel sind korrekt
    • ich sehe aber das die Regeln keinen Traffic erhalten
    • LAN und Internetzugriff funktionieren

    Von außen:

    • Internet funktioniert
    • WhatismyIP sagt ich habe die .250 IP
    • ich kann das Gateway .249 (die Fritzbox) pingen
    • ssh funktioniert nicht
    • testweise HTTPS Zugriff auf das WEB Gui aktiviert funktioniert nicht

    Muss ich auf der Fritzbox noch routen oder Portfreigaben einrichten?
    Da die im Bridgemode ist sollte sie einfach alles durchlassen
    oder nicht?
    Ich habe im Netz Sachen über doppeltes NAT gelesen, damit habe ich keine Erfahrung.
    Hat das schon mal jemand eingerichtet?
    Eine Anleitung oder eine beispiel Konfig wäre super.

    Grüsse

    Guido


  • LAYER 8 Moderator

    @guido_neumann said in PFSense SG3100 hinter Unitymedia Fritzbox (bridge) nicht erreichbar:

    Ich habe die SG (die interne private IP) auf der FB als
    exposed host freigeben

    Wofür wenn du wie oben beschrieben doch eigentlich im Bridge Modus bist und ein /30er haben solltest?

    FW regel sind korrekt

    Sagst du. Zeigst dus auch?

    ich kann das Gateway .249 (die Fritzbox) pingen

    Sicher dass die .249 die FB ist? Wenn die bridged, dann hat die gar keine IP Adresse. Sollte sie zumindest nicht.

    Wäre also ggf. interessant mal nachzuhaken bei UM wie die FB genau einzustellen ist, damit sie wirklich transparent bridged, denn wenn deine Regeln stimmen UND nichts von extern ankommt, dann ist das Gerät nicht transparent was es aber sein sollte.

    Ist der Port an dem die pfSense hängt denn im Bridgemodus und bekommt die pfSense auf dem WAN aktiv (per DHCP oder wie auch immer) die .250?



  • Mit den Fritzboxen gibt es immer enorm Probleme, da sie auch im Bridge Mode eRouter machen. Da Du mich explizit gefragt hast, muss ich hier passen da ich noch nie eine eigene Fritzbox hatte. Ich nutze an meinem Unitymediaanschluss ein reines Modem in Form vom Technicolor TC4400-EU. Damit gibt es keine Probleme.

    Sobald am WAN Interface DHCP und DHCP6 eingestellt sind, sollte alles passen. Bei IPv6 musst Du in BW ein /56 Prefix anfordern, in den anderen Bundesländern ein /59.



  • @JeGr Hallo JeGr, sorry das ich erst jetzt antworte, war die ganze Woche in Frankfurt unterwegs.

    Bezüglich Exposed host und IP der Fritzbox Du hast recht ich habe in einem anderen Beitrag den hinweis gefunden das das nicht nötig ist und das (ungefähr) 3 -5 mal "zurücksetzen auf Werkseinstellung" das Problem löst.
    Ausserdem scheint es bei der FB so zu sein das, wenn man einmal "Exposed Host" gesetzt hat, das so bleibt und sich nur durch "zurücksetzten auf Werkseinstellung" beheben lässt.

    Hier stand vorher die .249 IP die ist nun weg, ich denke das ist richtig so
    a9a10ac2-c967-4839-8cfa-fff37daf9d38-image.png

    Firewall Rules,
    Ok hier habe ich schon einiges probiert und auch testweise eine ANY-ANY rule gemacht(ist noch da aber deaktiviert) hatte ich keinen Erfolg. Daher habe ich die Rules erstmal auf ein minimum reduziert.

    10374fca-89b8-48b8-bcc0-8faa7ec8c76a-image.png

    Gateway IP,
    laut KabelBW ist die .249 IP das Gateway und die .250 die IP meines Routers hinter der FB. Das funktioniert auch.
    Wenn ich das WAN Gateway auf DHCP setzte bekomme ich nichts wenn ich die .249 als IP meiner SG3100 setzte und die .250 Als Gateway bekomme ich kein Internet (0.0% RTT und RTTsd)

    Wie gesagt ich bin mir nicht sicher wo das Problem liegt...
    Ich schätze ich werde am Montag nochmal mit KabelBW telefonieren und hoffen das ich jemanden ans Telefon bekomme der weiss was er tut.

    Danke für eure Antworten
    Grüsse

    Guido



  • @mrsunfire Hallo mrsunfire, danke für die Antwort

    Der Hinweis zu IPv6 ist interessant ich habe nur IPv4 infos von KabelBW bekommen (am Telefon und per Post).
    Wenn ich im für WAN IPv6 auf DHCP stelle bekomme ich nur den Status Pending.

    Das werde ich gleich morgen anfragen.
    Mal schauen was sie dazu sagen...

    Ich werde auch mal fragen ob sie mir eine alternative zur Fritzbox anbieten wenn ich dann meine eigene Telefonlösung aufbauen dann wäre das ok für mich.



  • Sie bieten Dir kein Modem an, das musst Du selbst kaufen. IPv6 hast Du natürlich nur, wenn Du Dualstack hast schalten lassen.


Log in to reply