Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense hinter Fritz!Box betreiben - kein Internet

    Scheduled Pinned Locked Moved
    Deutsch
    3
    7
    802
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      A Former User
      last edited by

      Hallo zusammen,

      vorweg zum Problem: Ich bekomme keinen Internetzugang über die LAN-Netzwerke in pfSense.

      zu meinem Setup: Ich habe eine Fritz!Box, an dieser ist ein Mini-PC angeschlossen, auf diesem läuft Proxmox mit pfSense. Hier gibt es folgende Konfiguration:

      WAN: 192.168.10.3 - kein DHCP; dies ist das Netzwerk der Fritz!Box
      LAN1: 10.0.1.1/24 - betreibt DHCP-Server
      LAN2: 10.0.2.1/24 - betreibt DHCP-Server
      LAN3: 10.0.3.1/24 - betreibt DHCP-Server

      Warum ich die Fritz!Box trotz pfSense als Router betreibe? Nun, ich möchte evtl. zukünftig tatsächlich pfSense als klassischen Router verwenden, allerdings bin ich momentan im Setup und im Learning. Ich möchte gerne mein momentan funktionierendes Netzwerk der Fritz!Box losgelöst betreiben und nach und nach alles "umziehen". Auch finde ich Themen wie Reverse Proxy oder DNS Override verwenden. Wie ihr wahrscheinlich heraushört, bin ich Neuling auf diesem Gebiet und lerne gern dazu, seid also bitte gnädig mit mir :)

      Was ich bisher versucht habe:

      • Statische Routen für die weiteren Netzwerke auf der Fritz!Box eingetragen
        Bildschirmfoto 2024-01-22 um 21.37.16.png
      • die IP der pfSense als Exposed Host in der Fritz!Box konfiguriert
        Bildschirmfoto 2024-01-22 um 21.38.25.png
      • Outbound NAT auf der pfSense disabled

      Habe ich was vergessen? Was habe ich falsch gemacht?
      Ping von LAN1 auf LAN2 Netzwerk funktioniert, Ping auf Google funktioniert nicht. Ping von WAN auf google.de sowie 8.8.8.8 funktioniert. Somit sollte eigentlich auch der DNS Resolver funktionieren, oder?

      Bin für eure Hilfe sehr dankbar.

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @A Former User
        last edited by

        @DooDafiit
        Hallo,

        Wie ihr wahrscheinlich heraushört, bin ich Neuling auf diesem Gebiet und lerne gern dazu

        und ein Senkrechtstarter...

        Was ich bisher versucht habe:

        Statische Routen für die weiteren Netzwerke auf der Fritz!Box eingetragen
        Outbound NAT auf der pfSense disabled

        Du möchtest also gleich vom Start weg Doppel-NAT vermeiden?

        Das setzt voraus, dass die Fritzbox den ausgehenden Traffic der Netze hinter der pfSense nattet.
        Tut sie das?

        Ping von WAN auf google.de sowie 8.8.8.8 funktioniert. Somit sollte eigentlich auch der DNS Resolver funktionieren, oder?

        Funktioniert die DNS Auflösung auf den LANs hinter der pfSense?

        Auf den zusätzlichen Interfaces musst du jeglichen Traffic nach außen erst erlauben. Nur am ursprünglichen LAN gibt setzt pfSense gleich bei der Einrichtung eine Pass-any Regel, vorausgesetzt, das Interface war bei der Installation bereits vorhanden (bei einer virtualisierten Firewall ist das ja nicht selbsverständlich).
        Auch DNS-Zugriff auf die Interface-IP selbst muss erlaubt werden, falls du nicht Ziel "any" erlaubt hast.

        ? 1 Reply Last reply Reply Quote 1
        • ?
          A Former User @viragomann
          last edited by

          Du möchtest also gleich vom Start weg Doppel-NAT vermeiden?

          Das setzt voraus, dass die Fritzbox den ausgehenden Traffic der Netze hinter der pfSense nattet.
          Tut sie das?

          Wie prüfe ich das? Egal, habe Outbound NAT auf der pfSense erstmal wieder aktiviert. So wie ich das rausgehört habe sollte das erstmal keiner erfolgreichen Internetverbindung im Weg stehen.

          Funktioniert die DNS Auflösung auf den LANs hinter der pfSense?

          Ping auf google.de funktioniert nur auf dem WAN Port, nicht auf den LAN Ports.

          Auf den zusätzlichen Interfaces musst du jeglichen Traffic nach außen erst erlauben. Nur am ursprünglichen LAN gibt setzt pfSense gleich bei der Einrichtung eine Pass-any Regel, vorausgesetzt, das Interface war bei der Installation bereits vorhanden (bei einer virtualisierten Firewall ist das ja nicht selbsverständlich).
          Auch DNS-Zugriff auf die Interface-IP selbst muss erlaubt werden, falls du nicht Ziel "any" erlaubt hast.

          Sind die Regeln so korrekt konfiguriert? Wenn ja, waren diese schon da.
          da3cf0d3-0fd2-4895-be2e-2169712f4e40-image.png

          V 1 Reply Last reply Reply Quote 0
          • ?
            A Former User
            last edited by

            Kommando zurück, jetzt scheint alles zu gehen :)

            würdet ihr generell empfehlen, das NAT auf der pfSense abzuschalten?

            Jetzt muss ich mir nur noch anschauen, IPv6 zu integrieren.

            JeGrJ 1 Reply Last reply Reply Quote 0
            • V
              viragomann @A Former User
              last edited by

              @DooDafiit said in pfSense hinter Fritz!Box betreiben - kein Internet:

              Das setzt voraus, dass die Fritzbox den ausgehenden Traffic der Netze hinter der pfSense nattet.
              Tut sie das?

              Wie prüfe ich das?

              Das kann man nur am WAN der FB sehen.
              Oder man weiß, wie die FB tickt. Ich kann da leider nicht helfen.

              Sind die Regeln so korrekt konfiguriert? Wenn ja, waren diese schon da.

              Sie erlauben einfach alles, was in dem Source Alias enthalten ist.
              Ob das korrekt ist, hängt von deinen Anforderungen ab, die wohl sonst niemand hier kennt.
              Ich nehme an, der Alias enthält alle LANs, dann ist die Regel auf jeden Fall mal für den Test geeignet.

              würdet ihr generell empfehlen, das NAT auf der pfSense abzuschalten?

              Mit aktivem NAT wird der Traffic zwei mal genattet. Einmal auf des pfSense WAN Subnetz und dann auf die öffentliche IP der FB (falls verfügbar).
              Manche spezielle Software hat ein Problem damit, bspw. welche, die auf UPnP angewiesen ist.
              Für normale Kommunikation ist es aber völlig egal.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @A Former User
                last edited by

                @DooDafiit said in pfSense hinter Fritz!Box betreiben - kein Internet:

                würdet ihr generell empfehlen, das NAT auf der pfSense abzuschalten?

                Nein. Generell traue ich einer FritzBox - im Normalfall sogar einer Provider FritzBox - nichts zu. Im dümmsten Fall kann diese von außen resettet werden (bspw. Kabel-Fritte) oder setzt sich mal nach einem FW Update zurück. Daher nutze ich außer den minimalsten Features der Fritte gar nichts davon. Dieses ewige Doppel-NAT vermeiden Thema ist eine lange Leier die am Ende des Tages bei den meisten relativ unspektakulär ist und kaum eine Geige spielt. Zumal wenn man die Fritte auf exposed Host bekommt (sofern man noch eine IPv4 hat). Dann ist alles andere eh irrelevant. Aber da eine Fritte sehr gern auch mal vom Provider gesteuert werden kann - je nach Anschluß - ist das für mich ein WAN device auch wenns bei mir steht, und da will ich keine Infos von meinem Netz drin haben, die ggf. nach außen sickern oder die bei einem Reset eines Supporters ders mal wieder gut meint dann draufgehen. Wenn man außer manueller Route und exposed Host nichts konfiguriert ist das nach einem kompletten Reset schnell wiederhergestellt und mehr brauche ich auf der Kiste dann nicht zu machen 😃

                Cheers
                \jens

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                ? 1 Reply Last reply Reply Quote 0
                • ?
                  A Former User @JeGr
                  last edited by

                  @JeGr Danke für dein Feedback :)
                  Ich hab generell vor, mir in Zukunft ein kleines Modem zu kaufen und die FritzBox komplett zu ersetzen.

                  1 Reply Last reply Reply Quote 1
                  • First post
                    Last post