PfSEnse mit openVPN hinter Fritzbox



  • Hallo,

    ich habe in meinem Heimnetzwerk aufgrund des Schutzbedarfs den Bedarf von zwei getrennten Netzwerken.
    IIn das eine (NW1) möchte ich webcam, dreambox, qnap, wlan etc. hängen, in das andere (NW2) drucker, nas, desktop, etc.

    NW1 soll über das Internet via fritzbox ansprechbar sein (offene Ports in fb), NW2 nur über vpn

    habe derzeit die Fritz 7150. sie fungiert als fw, voip router, ata etc. Die Funktion möchte ich behalten.

    nach meinem derzeitigen Kentnisstand gibt es folgende Möglichkeitnen

    1. router hinter fritz
    2. fritz patchen für dmz
    3. router vor fritz

    sinnvoll erscheint mir nur 1

    Nun die Fragen

    • habe einen pfSense fw entdeckt (http://shop.varia-store.com/). Möchte diesen nun als fw/router für NW2
      einsetzten und ihn hinter die fb hängen
    • von meinem laptop möchte ich auf NW2 (via OpenVPN) zugreifen.
    • von NW2 soll es Zugriff auf NW1 und Internet geben

    So nun die Fragen:

    • kann fritz openvpn zum router routen /passthru ?
    • Denke ich in der richtigen Richtung ?
    • Gibt es ERfahrungswerte /ALternativen

    Vielen Dank schonmal im voraus für TIPs.

    Gruß
    brother-t


  • LAYER 8 Moderator

    Da muss ich minimal widersprechen. Sinnvoll erschiene mir 3, nicht 1. Da du aber nicht angibst, wie du WLAN, Drucker, etc. anschließt gehe ich einmal frech davon aus, dass du die Fritzbox daher als WLAN AP und ggf. auch als Printserver o.ä. im Einsatz hast.

    Wie gesagt finde ich Methode 1 suboptimal, da man mit 2 Geräten herumspielen muss wenn etwas nicht funktioniert. Da du aber wahrscheinlich kein freies DSL modem hast (ich gehe mal von DSL aus, Kabel wäre ja wesentlich einfacher), wirst du die pfSense wohl nicht direkt ans Netz bekommen. Das hätte es viel einfacher gemacht.
    Was du nun genau für die Hardware nimmst ist dir überlassen, aber ich würde in deinem Szenario mindestens 3 LANs nehmen. Spätestens wenn du dann doch irgendwann Version 3 machen willst, brauchst du LAN1 für WAN, 2 für deine "DMZ" und 3 für dein geschütztes Netz.

    Für dein Vorhaben #1 aber:

    • Die Fritzbox macht gar nichts mit Passthrough. OpenVPN funktioniert schlicht auf UDP Port 1194. Oder was immer du konfigurierst auf der pfS. Der Port wird ganz normal wie gehabt durchgereicht an die IP, die du der pfS auf dem externen Interface zur Fritzbox hin gibst. Natürlich muss der Port da auch filtertechnisch offen sein, aber das versteht sich von selbst.

    • Dazu habe ich weiter oben ja bereits geschrieben: ich würde es anders machen (bzw. tue das gerade). Ich hatte selbst sehr lange zu Hause aus "Faulheitsgründen" die Fritzbox an der "Front", aber nachdem gerade die 7390 am DSL immer unstabiler geworden ist, nutze ich nun ein DSL Modem (aka ausrangierte alte Fritzbox 7170 im Modem-only-Modus) vor dem ersten Interface der pfS und lasse die Sense selbst DSL aufbauen. Viel feinere Kontrolle. Außerdem kannst du dann den VPN Tunnel direkt aus dem Internet am Frontgateway (der pfS) terminieren und musst den nicht erst umständlich durchtunneln. Fritz und alles was Ports weitergeschoben bekommt wandern in OPT1 (genannt DMZ) und werden mit Portforwardings bzw. Firewallregeln und Routen versorgt. Alles was "Ruhe" haben soll wandert nach LAN und zum LAN hin wird auch nichts aufgemacht (außer ganz wenigen Zugriffen von Servern aus der DMZ).

    • Ich glaube das habe ich gerade beschrieben :)

    Im Prinzip schlage ich das hier vor:

    
          WAN / Internet
                :
                : PPPoE-Provider
                :
          .–---+-----.
          |  Gateway  |  (DSL Modem)
          '-----+-----'
                |
            WAN | IP or Protocol
                |
          .-----+-----.   priv. DMZ    .------------.
          |  pfSense  +----------------+ DMZ-Server |
          '-----+-----' 192.168.1.1/24 '------------'
                |
            LAN | 10.0.0.1/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients/Servers)
    
    

    Grüße
    Grey


Log in to reply