Telekom VDSL2 Modem



  • Hallo zusammen,

    ich hab jetzt schon einiges zu dem Thema (auch hier) gelesen und teilweise auch gegensätzliches gefunden (bin verwirrt). Außerdem sind einige Threads schon ein bisschen her und so versuche ich mal meine Fragen zum Thema VDSL hier an den Mann zu bringen, da mir das Thema VDSL aus praktischer Sicht noch nicht unter die Augen gekommen ist. Es wäre auch nett, wenn hauptsächlich die antworten, die es aus Erfahrung wissen, weniger die, die es vom hören-sagen vermuten (nicht böööse sein).

    Zunächst mal zusammenfassend einige Fakten:

    A. Bei der Telekom gibt es kein DSL Modem mehr zum kauf
    B. Ich habe 2 VDSL Modems gefunden die aktuell verkauft werden
        - ZyXEL P871M (http://www.zyxel.com/de/de/products_services/p_871m.shtml?t=p)
        - Allnet ALL126AS2 (http://www.allnet.de/1583.html?&tx_mmallnetproductplugin_pi1[showUid]=46050&cHash=b869e4111c665267325884e7052b3f98)
    C. Normalerweise muss pfSense das WAN mit VLAN7 taggen außer man hat ein Modem welches selbst taggt (eigentlich ein Router mit PPPoE PassThrough)

    Wenn ich mit meinen Fakten/Vermutungen falsch liege, dann bitte gnadenlos korrigieren! Jetzt zu meinen Fragen:

    1. Hat jemand schon mehrere pfSense/VDSL Installationen hinter sich (eher problematisch oder eher problemlos)?
    2. Hat jemand erfolgreich pfSense im Einsatz mit einem Speedport 722V/723v/921v … als NUR-VDSL Modem (oder sind die Teile eh Schrott)?
    3. Hat jemand erfolgreich pfSense im Einsatz mit z.B. dem aufgezähltem ZyXEL oder Allnet Modem?
    4. Hat jemand erfolgreich pfSense hinter einer FritzBox als NUR-VDSL Modem (AVM Garantie erlischt?) im Einsatz?
    5. Hat die ALIX Büchse VLAN fähige NICs?

    Warum frage ich das alles? Bisher habe ich die Kunden in der Firma mit pfSense ausgestattet. Jetzt habe ich den ersten, der VDSL hat ... leider habe ich noch keine Erfahrung damit, da weder ich, noch die Firma noch irgendein Bekannter VDSL hat, so dass man das mal ausprobieren könnte. In einer Woche muss ich nun kurzfristig zum Kunden 200km hin fahren und dort eine VDSL Router/VPN Lösung hinstellen. Ausgiebiges Testen wird vor diesem Hintergrund also schwer.

    Ich will eigentlich keine FritzBox 3370 dort nutzen, wenn es aber anders nicht geht, werde ich wohl nicht drum rum kommen. Wäre also Prima, wenn vielleicht der eine oder andere mal aus dem Nähkästchen plaudern könnten ... gerade Frage 1 interessiert mich sehr.



  • Eventuell hilft das:
    http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html
    Heise.de weiss ja eigentlich, was sie tun…

    Sicherlich hast du aber schon google.de mit "VDSL pfsense" ausprobiert.

    Da die FritzBoxen aber meist die Option "Exposed Host" oder "DMZ Host" haben, sollte es doch auch funktionieren, wenn diese als Router/NAT funktioniert aber die Firewall ausgeschaltet ist. Den Rest kannst du dann alles an der pfsense einrichten.

    Kann dir sonst leider nicht helfen.



  • @Nachtfalke:

    Eventuell hilft das:
    http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html
    Heise.de weiss ja eigentlich, was sie tun…

    Yepp, oft wissen die das. Das hatte ich mir auch schon vor einiger Zeit zu Gemüte gezogen.

    Sicherlich hast du aber schon google.de mit "VDSL pfsense" ausprobiert.

    Ja, auch das. Wie gesagt. Es steht ja einiges zum Thema drinnen. Nur teilweise evtl. nicht mehr up to date bzw. manchmal auch widersprüchliche Aussagen.

    Da die FritzBoxen aber meist die Option "Exposed Host" oder "DMZ Host" haben, sollte es doch auch funktionieren, wenn diese als Router/NAT funktioniert aber die Firewall ausgeschaltet ist. Den Rest kannst du dann alles an der pfsense einrichten.

    Dann müsste ich IPSec per NAT-T betreiben, da pfSense dann ja nicht mehr der direkte Endpunkt wäre … was natürlich konfigurierbar ist, ich aber gerne prinzipiell vermeiden würde.

    Für den Notfall habe ich auf jeden Fall heute noch eine AVM Fritz 3370 bestellt, falls ich es mit der pfSense nicht hinbekommen sollte. Das scheint mir das kleinste Teil von denen zu sein, was VDSL und IPSec kann und das Modem auch gleich bei ist. Mich hätte halt auch gerne interessiert, ob das z.B. mit dem ZyXEL oder AllNet Modem in Verbindung mit pfSense auch laufen würde. Gerade beim Allnet steht ja noch dabei, dass es mit den Telekomikern auch funktioniert. Vielleicht hat da doch noch jemand Erfahrung.

    Aber auf jeden Fall schon mal vielen Dank für Deine Antwort.



  • Hab die 3370 Fritze auch als Modem am PfSense laufen ;)



  • Bei uns steht das demnächst auch an, dachte an das Allnet Modem und das heise HowTo  ;)



  • @IPCop-Forum:

    Das ALL126AS2 muss zuerst kurz konfiguriert werden. Es hat standardmäßig die IP-Adresse 192.168.16.250/24 (diese sollte man natürlich ändern, wenn man dasselbe Subnet LAN-seitig verwenden will).

    In der Web-Oberfläche stellt man im Menü "VDSL2" unter "Profile Config" bei "Tone Config" den Wert "B43" ein und geht dann auf Apply. Hiernach synchronisiert sich der VDSL-Anschluss, und der an einem der LAN-Ports angeschlossene IPcop macht per PPPoE-Plugin (sowie "VDSL benutzt VLAN-Tag 7") die Einwahl.



  • Also ich habs jetzt mit dem vor Ort schon vorhandenem Speedport 722 (als Modem konfiguriert) gemacht. Der taggt wohl selbst, müsste nur alles wie bei normalem DSL machen (also ohne VLAN7). Hatte keine Zeit das noch mit dem Allnet auszuprobieren.



  • Hallo,

    bei den Speedports funktioniert der Betrieb als VDSL-Modem bzw. PPPoE-Passtrough. Bei den Fritzboxen kannst du das vergessen, habs mit einer 7390 durch, gibt übrigens einen entsprechenden Supporteintrag bei AVM. Es sprich aber nichts dagegen eine Fritzbox oder einen Speedport im Routingmodus zu betreiben, das ist auch der Workaround der von AVM empfohlen wird.

    VG.
    Livinlight



  • @Livinlight:

    Hallo,

    bei den Speedports funktioniert der Betrieb als VDSL-Modem bzw. PPPoE-Passtrough. Bei den Fritzboxen kannst du das vergessen, habs mit einer 7390 durch, gibt übrigens einen entsprechenden Supporteintrag bei AVM. Es sprich aber nichts dagegen eine Fritzbox oder einen Speedport im Routingmodus zu betreiben, das ist auch der Workaround der von AVM empfohlen wird.

    VG.
    Livinlight

    Also bei uns funktioniert das Routing mit der Fritz!Box als Router sehr gut. Und seit > 8 Jahren kann man doch die PPoE Funktion durchschleifen bzw. den Router als Modem umstellen. Zumindest damals lief das auch einwandfrei. Und von der AVM Qualität her sollte sich das nicht geändert haben. Bzw. sollte mit einem der nächsten Updates sicher "schnell" gefixed werden.

    Wenn ein Telekom murks Gerät eingesetzt wird, wie wir es teilw. auch machen mussten, dann muss man darauf achten dass der Router nur Clients aus seinem Netz erlaubt, die von ihm auch eine DHCP Adresse erhalten haben.
    In der alten/bisherigen stable Version war/ist nur pfSense nicht in der Lage, die Monitoring IP bei DHCP Interfaces zu setzen. :(

    Grüße

    Reiner



  • Bei uns laufen inzwischen zwei VDSL25 (Telekom) mit dem ALLNET ALL126AS2 / VDSL2 Slave Modem an der Pfsense.
    Man muss nur darauf achten das, dass Interface mit dem VLAN 7 getaggt wird.



  • Wir haben hier ebenfalls zwei pfsense Installation mit den Allnet VDSL Modems im Einsatz. Die Konfiguration ist halbwegs überschaubar, allerdings muss man vorab die Modems leicht umkonfigurieren. Dazu gibt es aber auf der Allnet Seite einen Hinweis.

    Ein Speedport habe ich übrigens nicht erfolgreich zum Betrieb als reines Modem bewegen können.



  • @EmL:

    5. Hat die ALIX Büchse VLAN fähige NICs?

    Ich habe mich gerade zufällig in diesen Thread "verlaufen". Weil ich mich überwiegend im englischen Teil bewege, habe ich den deutschsprachingen fast vergessen :)

    Zum Punkt 5. kann ich aus eigener Erfahrung sagen, dass das ALIX.2d13 VLAN-fähige Netzwerkschittstellen hat. Da ich erst vor wenigen Monaten auf VLANs umgestiegen bin, habe ich das extra nachgeschlagen. Hier ist die Referenz zu den VIA Rhine Ethernet Controllern:
    http://www.via.com.tw/en/products/networking/rhine/vt6105m/.

    Aktuell reicht mit mein ADSL-Anschluss noch aus. Als "reines" Modem verwende ich den DrayTek Vigor 120v2 im Bridge-Modus (PPPoE Pass-Through) und bin sehr zufrieden. Ich kann mir vorstellen, dass die VDSL-Produkte von DrayTek PPPoE Pass-Through können, habe aber z.B. im Handbuch des Vigor 2750 nichts dazu gefunden. Meine Vermutung stützt sich auf die folgende Seite: http://www.draytek.de/hilfe-u-support/faq/internet.html und die Frage "Wie kann ich meinen Vigor-Router als DSL-Modem konfigurieren?".

    Peter



  • @Reiner030:

    Also bei uns funktioniert das Routing mit der Fritz!Box als Router sehr gut. Und seit > 8 Jahren kann man doch die PPoE Funktion durchschleifen bzw. den Router als Modem umstellen. Zumindest damals lief das auch einwandfrei. Und von der AVM Qualität her sollte sich das nicht geändert haben. Bzw. sollte mit einem der nächsten Updates sicher "schnell" gefixed werden.

    Wenn ein Telekom murks Gerät eingesetzt wird, wie wir es teilw. auch machen mussten, dann muss man darauf achten dass der Router nur Clients aus seinem Netz erlaubt, die von ihm auch eine DHCP Adresse erhalten haben.
    In der alten/bisherigen stable Version war/ist nur pfSense nicht in der Lage, die Monitoring IP bei DHCP Interfaces zu setzen. :(

    Grüße

    Reiner

    Die Fritz!Box funktioniert als Router ja auch sehr gut, nur leider ist eine Konfiguration als reines VDSL-Modem nicht möglich. Und auch das Durchschleifen der PPPoE Geschichten funktioniert mit neuen Firmwares nicht mehr, da AVM diese Funktion entfernt hat! Davon unberührt funktioniert eine Fritz!Box natürlich tadellos auch als reines (A)DSL-Modem, das ist dann aber kein Passtrough sondern echter Modembetrieb. Bei den Telekomfirmwares ist diese Funktion aber weiterhin aktiv.

    Aus meiner Sicht bringt die Jagd nach einem dedizierten VDSL-Modem nichts, einfach Fritz oder Speedportrouter vorschalten und Einwahl erledigen lassen, Pfsense-Box dahinter geschaltet und Routen und NAT konfigurieren, fertig. Und zumindest das Speedport 221 nimmt nur unwesentlich weniger Energie als z. B. ein 723er der entsprechend konfiguriert wurde (WLAN, DECT usw. abgeschaltet)

    VG.



  • @Livinlight:

    @Reiner030:

    Also bei uns funktioniert das Routing mit der Fritz!Box als Router sehr gut. Und seit > 8 Jahren kann man doch die PPoE Funktion durchschleifen bzw. den Router als Modem umstellen. Zumindest damals lief das auch einwandfrei. Und von der AVM Qualität her sollte sich das nicht geändert haben. Bzw. sollte mit einem der nächsten Updates sicher "schnell" gefixed werden.

    Wenn ein Telekom murks Gerät eingesetzt wird, wie wir es teilw. auch machen mussten, dann muss man darauf achten dass der Router nur Clients aus seinem Netz erlaubt, die von ihm auch eine DHCP Adresse erhalten haben.
    In der alten/bisherigen stable Version war/ist nur pfSense nicht in der Lage, die Monitoring IP bei DHCP Interfaces zu setzen. :(

    Grüße

    Reiner

    Die Fritz!Box funktioniert als Router ja auch sehr gut, nur leider ist eine Konfiguration als reines VDSL-Modem nicht möglich. Und auch das Durchschleifen der PPPoE Geschichten funktioniert mit neuen Firmwares nicht mehr, da AVM diese Funktion entfernt hat! Davon unberührt funktioniert eine Fritz!Box natürlich tadellos auch als reines (A)DSL-Modem, das ist dann aber kein Passtrough sondern echter Modembetrieb. Bei den Telekomfirmwares ist diese Funktion aber weiterhin aktiv.

    Aus meiner Sicht bringt die Jagd nach einem dedizierten VDSL-Modem nichts, einfach Fritz oder Speedportrouter vorschalten und Einwahl erledigen lassen, Pfsense-Box dahinter geschaltet und Routen und NAT konfigurieren, fertig. Und zumindest das Speedport 221 nimmt nur unwesentlich weniger Energie als z. B. ein 723er der entsprechend konfiguriert wurde (WLAN, DECT usw. abgeschaltet)

    VG.

    Da mich das Thema schon länger interessiert und ich momentan etwas verwirrt bin folgende Frage: Was ist der Unterschied zwischen "Passtrough und echtem Modembetrieb" wie du schreibst. Meinst du bei "echtem Modembetrieb" evtl., dass die Fritz!Box die Einwahl übernimmt? Das wäre unglücklich, weil man dann zwei Router hintereinandergeschaltet hätte, Fritz!Box und pfSense, die beide NATen. In so einem Fall sähe ich auch keine Möglichkeit, die pfSense-Maschine aus dem Internet anzusprechen.

    Im Übrigen kann ich Livinlight nur recht geben: Die neuen Fritz!Boxen unterstützen kein PPPoE Passthrough (mehr). Ich habe selbst extra einge Handbücher der Fritz!Boxen kürzlich durchgeschaut um mich selbst zu überzeugen. Es gibt es etliche Foren, in denen diese fehlende Funktionalität der Fritz!Boxen bemängelt wird. Nach meinem Verständnis ist aber PPPoE Passthrough erforderlich, um das Doppel-NATen zu verhindern. Bitte korrigiert mich, wenn ich da falsch liege. Wenn ich EmL richtig verstanden habe, sucht er kein "dediziertes VDSL-Modem", sondern eher einen VDSL-Router mit PPPoE Passthrough-Funktionalität. Reine Modems gibt es nach meiner Erfahrung ohnehin nicht mehr: Alle angeblichen Modems - wie auch ein so einfaches Modell wie mein Vigor 120v2 - sind Router mit Modem, die mehr oder weniger flexibel konfigurierbar sind. Und PPPoE Passthrough ist eine extrem flexible Konfigurationsmöglichkeit.

    Was mich näher interessieren würde, weil ich es so noch nicht verstehe: Was bedeutet es, "eine Fritz!Box oder einen Speedport im Routingmodus als Workaround zu betreiben", weil sie kein PPPoE Passthrough können?

    Peter



  • @pvoigt:

    Da mich das Thema schon länger interessiert und ich momentan etwas verwirrt bin folgende Frage: Was ist der Unterschied zwischen "Passtrough und echtem Modembetrieb" wie du schreibst. Meinst du bei "echtem Modembetrieb" evtl., dass die Fritz!Box die Einwahl übernimmt? Das wäre unglücklich, weil man dann zwei Router hintereinandergeschaltet hätte, Fritz!Box und pfSense, die beide NATen. In so einem Fall sähe ich auch keine Möglichkeit, die pfSense-Maschine aus dem Internet anzusprechen.

    Im Übrigen kann ich Livinlight nur recht geben: Die neuen Fritz!Boxen unterstützen kein PPPoE Passthrough (mehr). Ich habe selbst extra einge Handbücher der Fritz!Boxen kürzlich durchgeschaut um mich selbst zu überzeugen. Es gibt es etliche Foren, in denen diese fehlende Funktionalität der Fritz!Boxen bemängelt wird. Nach meinem Verständnis ist aber PPPoE Passthrough erforderlich, um das Doppel-NATen zu verhindern. Bitte korrigiert mich, wenn ich da falsch liege. Wenn ich EmL richtig verstanden habe, sucht er kein "dediziertes VDSL-Modem", sondern eher einen VDSL-Router mit PPPoE Passthrough-Funktionalität. Reine Modems gibt es nach meiner Erfahrung ohnehin nicht mehr: Alle angeblichen Modems - wie auch ein so einfaches Modell wie mein Vigor 120v2 - sind Router mit Modem, die mehr oder weniger flexibel konfigurierbar sind. Und PPPoE Passthrough ist eine extrem flexible Konfigurationsmöglichkeit.

    Was mich näher interessieren würde, weil ich es so noch nicht verstehe: Was bedeutet es, "eine Fritz!Box oder einen Speedport im Routingmodus als Workaround zu betreiben", weil sie kein PPPoE Passthrough können?

    Peter

    Der Unterschied zwischen Modem und Passtrough ist, wie du schon richtig erkannt hast, das bei Passtrough der angeschlossene Client die PPPoE-Einwahl übernimmt. Bei dem "echten" Modembetrieb übernimmt die Fritz!Boox oder Speedport die Einwahl, verliert aber sämtliche Routingfunktionalitäten und ist zudem bei VDSL nicht möglich. Benutzt man aber die Fritz!Box als Router, bleiben alle Funktionalitäten erhalten und du hast quasi "out of the Box" ne zweite Firewall.
    Das dopelte NAT stellt im Normalfall (es werden keine Dienste nach außen angeboten) kein Problem dar. Solchen Dienstanbieten könnte man dann aber z. B.  in die "DMZ" zwischen Fritz!Box\Speedport und Pfsense platzieren. Eine weitere Möglichkeit wäre das NAT auf der Pfsense einfach abzuschalten, die privaten Netze über das WAN freizugeben (extra Punkt in der Konfig) und natürlich müssen auf der Fritz!Box die Rückrouten für die internen Netze konfiguriert werden. Das ist aber auf einem Speedport (bei mir W 921) insofern problematisch da es auf der Weboberfläche keinen solchen Konfigurationspunkt gibt, hier müsste man die Konfig manuell herunterladen manipulieren und wieder hochladen. Das funktioniert. Die Pfsense müsstest du dann über die Fritz!Box "exposen" falls die unbedingt von aussen erreichbar sein soll.

    VG.



  • @Livinlight:

    Der Unterschied zwischen Modem und Passtrough ist, wie du schon richtig erkannt hast, das bei Passtrough der angeschlossene Client die PPPoE-Einwahl übernimmt. Bei dem "echten" Modembetrieb übernimmt die Fritz!Boox oder Speedport die Einwahl, verliert aber sämtliche Routingfunktionalitäten und ist zudem bei VDSL nicht möglich. Benutzt man aber die Fritz!Box als Router, bleiben alle Funktionalitäten erhalten und du hast quasi "out of the Box" ne zweite Firewall.
    Das dopelte NAT stellt im Normalfall (es werden keine Dienste nach außen angeboten) kein Problem dar. Solchen Dienstanbieten könnte man dann aber z. B.  in die "DMZ" zwischen Fritz!Box\Speedport und Pfsense platzieren. Eine weitere Möglichkeit wäre das NAT auf der Pfsense einfach abzuschalten, die privaten Netze über das WAN freizugeben (extra Punkt in der Konfig) und natürlich müssen auf der Fritz!Box die Rückrouten für die internen Netze konfiguriert werden. Das ist aber auf einem Speedport (bei mir W 921) insofern problematisch da es auf der Weboberfläche keinen solchen Konfigurationspunkt gibt, hier müsste man die Konfig manuell herunterladen manipulieren und wieder hochladen. Das funktioniert. Die Pfsense müsstest du dann über die Fritz!Box "exposen" falls die unbedingt von aussen erreichbar sein soll.

    VG.

    Vielen Dank für deine Erläuterungen. Ich bin natürlich immer davon ausgegangen, dass man natürlich Dienste nach außen (d.h. ins Internet bzw. vom Internet nutzbar) anbietet, wenn man pfSense verwendet, um dabei mehr Flexibilität, höhere Sicherheit und eine bessere Protokollierung zu haben als mit einer Billig-Firewall/Router-Kombination. Diese Gründe - und weil ich eben auch mehr über Netzwerke, Sicherheit und Firewalls lernen will - haben mich bewogen, pfSense in Betrieb zu nehmen.

    Wenn man keine Dienste anbieten bzw. die angebotenen selbst nutzen will, reicht doch wahrscheinlich meistens die Telekom-Standard-Hardware oder eine Fritz!Box aus.

    Mir persönlich geht es insbesondere um meinen Mail-Server (separate Hardware) und natürlich den OpenVPN-Server auf der pfSense-Maschine selbst. Ich wäre da im Moment überfragt, wie ich die mit Doppel-NAT erreichen könnte, und bin froh, dass mein Vigor 120v2 PPPoE Passthrough - was hier mit Bridge-Mode bezeichnet wird) am ADSL-Anschluss verwenden kann.

    Wie das von dir vorgeschlagene "Exposen" mit einer Fritz!Box funktioniert, weiß ich leider nicht, da ich noch nie eine hatte. Auch mit anderer Hardware musste ich das noch nicht machen. Ich meine vor langer Zeit gelesen zu haben, man könne im Doppel-NAT-Fall (weil PPPoE Passthrough nicht einstellbar ist und pfSense erreichbar sein muss) alle Ports an die pfSense-Box per NAT weiterleiten. Das ist natürlich mühselig und fehleranfällig, weil redundant mit pfSense. Auch meine ich mal gelesen zu haben, dass es eine Port-Nummer geben soll - quasi als Repräsentant für alle. Leider konnte ich dieses Halbwissen bisher nicht vervollständigen, und die Quelle dazu habe ich auch nicht mehr. Über eine Beurteilung hier im Forum würde ich mich freuen, insbesondere auch über Quellen, um mehr zu lernen  ;).

    Peter



  • @pvoigt:

    Vielen Dank für deine Erläuterungen. Ich bin natürlich immer davon ausgegangen, dass man natürlich Dienste nach außen (d.h. ins Internet bzw. vom Internet nutzbar) anbietet, wenn man pfSense verwendet, um dabei mehr Flexibilität, höhere Sicherheit und eine bessere Protokollierung zu haben als mit einer Billig-Firewall/Router-Kombination. Diese Gründe - und weil ich eben auch mehr über Netzwerke, Sicherheit und Firewalls lernen will - haben mich bewogen, pfSense in Betrieb zu nehmen.

    Wenn man keine Dienste anbieten bzw. die angebotenen selbst nutzen will, reicht doch wahrscheinlich meistens die Telekom-Standard-Hardware oder eine Fritz!Box aus.

    Mir persönlich geht es insbesondere um meinen Mail-Server (separate Hardware) und natürlich den OpenVPN-Server auf der pfSense-Maschine selbst. Ich wäre da im Moment überfragt, wie ich die mit Doppel-NAT erreichen könnte, und bin froh, dass mein Vigor 120v2 PPPoE Passthrough - was hier mit Bridge-Mode bezeichnet wird) am ADSL-Anschluss verwenden kann.

    Wie das von dir vorgeschlagene "Exposen" mit einer Fritz!Box funktioniert, weiß ich leider nicht, da ich noch nie eine hatte. Auch mit anderer Hardware musste ich das noch nicht machen. Ich meine vor langer Zeit gelesen zu haben, man könne im Doppel-NAT-Fall (weil PPPoE Passthrough nicht einstellbar ist und pfSense erreichbar sein muss) alle Ports an die pfSense-Box per NAT weiterleiten. Das ist natürlich mühselig und fehleranfällig, weil redundant mit pfSense. Auch meine ich mal gelesen zu haben, dass es eine Port-Nummer geben soll - quasi als Repräsentant für alle. Leider konnte ich dieses Halbwissen bisher nicht vervollständigen, und die Quelle dazu habe ich auch nicht mehr. Über eine Beurteilung hier im Forum würde ich mich freuen, insbesondere auch über Quellen, um mehr zu lernen  ;).

    Peter

    Du kannst Doppel-NAT verhindern, indem du NAT auf der Pfsense deaktivierst. Dann wird nur über den vorgelagerten Router NAT betrieben und der Rest ist internes Routing. Die Dienste die nach außen angeboten werden, müssen dann selbstverständlich am ersten Router\Gateway propagiert werden. An der Pfsense müssen entsprechende Firewallregeln erstellt werden um Kommunikation zuzulassen. Das mit der einen Portnummer kann so nicht stimmen, es sei denn man legt einen Alias für eine Portrange an, den kann man halt benennen wie man will. Bei einem Mailserver den du anbieten willst, gehe ich von einer statischen Adresskonfiguration deines Providers für deinen Anschluss aus? Bei Verwendung von IP-Adressen aus einem dynamischen Bereich bzw. Tricks mit DynDNS kann es vorkommen das Mails von den Servern der Provider im Netz "rejected" werden., aber möglicherweise bietet dein Anbieter ja ein entsprechenden Relay oder Proxyservice.

    VG.



  • @Livinlight:

    Du kannst Doppel-NAT verhindern, indem du NAT auf der Pfsense deaktivierst. Dann wird nur über den vorgelagerten Router NAT betrieben und der Rest ist internes Routing. Die Dienste die nach außen angeboten werden, müssen dann selbstverständlich am ersten Router\Gateway propagiert werden. An der Pfsense müssen entsprechende Firewallregeln erstellt werden um Kommunikation zuzulassen. Das mit der einen Portnummer kann so nicht stimmen, es sei denn man legt einen Alias für eine Portrange an, den kann man halt benennen wie man will. Bei einem Mailserver den du anbieten willst, gehe ich von einer statischen Adresskonfiguration deines Providers für deinen Anschluss aus? Bei Verwendung von IP-Adressen aus einem dynamischen Bereich bzw. Tricks mit DynDNS kann es vorkommen das Mails von den Servern der Provider im Netz "rejected" werden., aber möglicherweise bietet dein Anbieter ja ein entsprechenden Relay oder Proxyservice.

    VG.

    Vielen Dank für deine Anwort, auf die ich leider erst jetzt eingehen kann.

    Bislang habe ich mich noch nicht mit dem Gedanken auseinandergesetzt, wie pfSense funktioniert, schaltet man NAT ab. Im Moment denke ich mir dabei einen Knoten in den Kopf, wenn ich mir vorstelle, ich müsste NAT-Regeln auf einem Gerät (z.B. Telekom-oder AVM-Router ohne PPPoE Pass-Through) und Firewall-Regeln auf einer anderen Maschine mit pfSense einrichten - vielleicht Gewohnheitssache:).

    Mit der Portnummer wirst du wohl recht haben - falls ich die Quelle nochmals finden sollte, poste ich sie hier im Forum.

    Mein momentaner Mail-Server (nicht auf der pfSense-Maschine) ist nicht ganz ausgewachsen: Zwar stellt er einen vollwertigen IMAP-Server zur Verfügung (er sammelt alle Provider-Accounts ein), jedoch werden alle Mails, die ich über meinen Mail-Server verschicke, per SMTP an einen meiner Provider-SMTP-Server abgeliefert, der die Zustellung dann übernimmt (SMTP-Relay). Durch Zufall habe ich herausgefunden, dass DynDNS (so ist meine pfSense-Maschine erreichbar) sogar einen MX-Eintrag pflegt, so dass ich auch Mails direkt an meinen SMTP-Server senden kann. Das nutze ich allerdings nur für Testzwecke, um Postfix besser kennenzulernen :-) In dieser Konfiguration würde ich ihn wohl auch problemlos betreiben können, wenn sich pfSense ohne NAT hinter einem Router befindet, und der Mail-Server hinter pfSense.

    Wichtig ist mir, dass mein OpenVPN-Server (aktuell auf der pfSense-Maschine) erreichbar ist. Was müsste geändert werden, wenn pfSense hinter einem NAT-Router (Telekom-oder AVM-Router ohne PPPoE Pass-Through) angeordnet wäre? Müsste außer einer NAT-Regel zur pfSense-Maschine (z.B. Port 1194) noch mehr geändert werden?

    Wenn pfSense hinter einem Router stünde, würde pfSense doch wahrscheinlich die IP-Änderungen am WAN-Port des vorgeschalteten Routers nicht mehr mitbekommen - oder? Das wäre aus meiner Sicht schade, weil diese Information, mit welcher IP ich wann am Internet hänge, dann vom vorgeschalteten Router protokolliert werden müsste. Geht das mit solchen Geräten wie den Standard-Telekom- oder AVM-Geräten überhaupt? Kann man da auch die Logs an einen Syslog-Server schicken? Ich nutze schon recht lange diese Gerätetypen, d.h. Standard-Telekom- oder AVM-Router, nicht mehr :-)

    Peter



  • Das Zyxel VMG1312-B30A funktioniert einwandfrei als VDSL2-Ethernet-Bridge.
    Es handelt an meinem Anschluss eine schnellere Verbindung aus, als die FritzBox und ist trotzdem stabiler, d.h. verliert die Synchronisierung nicht so oft, wie die Fritte.

    Die VLAN-Tags kann man entweder im VMG1312-B30A einrichten, so dass es Richtung LAN untagged ist und man auch beliebige Plastikrouter dahinter betreiben kann, oder man schaltet diese Funktion ab und tagged drekt in pfSense und das VMG1312-B30A reicht das dann Richtung VDSL durch. ADSL2 geht auch, klar.



  • Das Zyxel VMG132-B30A kann ich auch nur wärmstens empfehlen.
    Hab jetzt erst wieder 5 Stück verbaut. 2 x T-Online VDSL, 2 x Buisness VDSL, 1 x 1und1 und keine Probleme!

    Vielleicht sollte man noch darauf Hinweisen das Zyxel auch ein Forum hat, dort sind meist aktuellere Firmwares und man kann Probleme direkt klären.


Locked