Problem mit pfSense hinter FritzBox mit BPjM Filter



  • Hi
    bisher hatte ich
    Telekom - FB(10.2.2.254,NAT,BJPM,…) - Netz (10.2.2.x)

    Die Fritzbox hat auch alles anstandslos gemacht aber die Scanversuche aus China gingen mir so auf die Nerven dass eine GeoIP FW her musste.
    Also PFSENSE auf ein APU genagelt und reingehängt.

    Telekom - FB(10.2.3.254,NAT,BJPM,...) - Netz (10.2.3.x) - (10.2.3.253)PFSENSE(10.2.2.254) - Netz (10.2.2.x)

    Dadurch musste ich an keinem der Geräte was umstellen sondern nur der FB sagen wo Sie denn 10.2.2.x findet.

    Nun hat die nette FB allerdings durch die neue IPKonfig erst mal die Filter mit der Kindersicherung gelöscht.
    Erst mal kein Problem dachte ich, kann man ja wieder eintragen.

    Nun sagt mir aber die Kiste sobald ich einen PC (10.2.2.?)  hinzufügen will dass dies kein Netz der Fritzbox ist und ich somit die IP nicht eintragen kann.

    Nun wäre die Frage ob es ein BJPM Modul und eine Freigabesteuerung für die PFSense gibt.
    Gefunden habe ich bis jetzt nix.

    Danke



  • Hi
    @tesme33:

    Dadurch musste ich an keinem der Geräte was umstellen sondern nur der FB sagen wo Sie denn 10.2.2.x findet.

    Nun sagt mir aber die Kiste sobald ich einen PC (10.2.2.?)  hinzufügen will dass dies kein Netz der Fritzbox ist und ich somit die IP nicht eintragen kann.

    Wofür musst die auf der FB die PCs eintragen? Sollen die vom Web erreichbar sein?

    @tesme33:

    Nun wäre die Frage ob es ein BJPM Modul und eine Freigabesteuerung für die PFSense gibt.
    Gefunden habe ich bis jetzt nix.

    Was du da suchst, ist wahrscheinlich ein Proxyserver mit Filter wie Squid als Package.
    Die einfachere Lösung ist aber die, pfSense in den Bridge Mode zu schalten. Damit ist sie transparent und du hast dein 10.2.2.x Netz wieder direkt an der BF wie früher. Die Filter zwischen den Interfaces funktionieren dennoch.

    Grüße


  • Moderator

    Wofür musst die auf der FB die PCs eintragen? Sollen die vom Web erreichbar sein?
    Nein, aber wenn er den Jugendschutzfilter von der FB nutzen will, muss dieser ja wissen, welche IPs er filtern muss und das geht (leider) nur mit FB-lokalen Netzen. Was eigentlich totaler Unfug und sinnfreie Einschränkung seitens der FB ist.

    Die einfachere Lösung ist aber die, pfSense in den Bridge Mode zu schalten. Damit ist sie transparent und du hast dein 10.2.2.x Netz wieder direkt an der BF wie früher. Die Filter zwischen den Interfaces funktionieren dennoch.
    Das mag sein, aber damit nimmt er sich auch sämtliche Zusatzfunktionen der pfSense wie VPN, IPv6, DNSCache, etc. drekcetera, und das wäre mir persönlich das nicht wert.
    Die Filterei kann man wie @virago schon sagt auch recht passabel mit Squid und Co machen. Sinnvoller finde ich es eh, besser mit seinen Kindern zu reden und auf Augenhöhe zu bleiben. Verhindern, dass sie früher oder später im Internet was sehen, was sie vielleicht nicht sollen, kann eh kein Filter dieser Welt, dazu ist das Internet viel zu schnelllebig und YT und Co. bieten da schnell viele Howtos an, wie man solche Filter ruck-zuck umgeht, seien es Proxys, DNS oder VPNs, die dann vom lokalen PC aus genutzt werden und die am Filter einer FB vorbei gehen.

    Grüße

    Edit: Ich habe mal den Topic-Titel angepasst, unter FB-PFsense-Netz kann sich ja kein Mensch vorstellen, wo das Problem liegt ;)



  • @JeGr:

    Die einfachere Lösung ist aber die, pfSense in den Bridge Mode zu schalten. Damit ist sie transparent und du hast dein 10.2.2.x Netz wieder direkt an der BF wie früher. Die Filter zwischen den Interfaces funktionieren dennoch.
    Das mag sein, aber damit nimmt er sich auch sämtliche Zusatzfunktionen der pfSense wie VPN, IPv6, DNSCache, etc. drekcetera, und das wäre mir persönlich das nicht wert.

    Laut seinem ersten Satz ist tesme33s einzige Motivation, eine pfSense einzusetzen, das Blockieren von Länder-IPs, und da ist Bridging gewiss die einfachste und schnellste Lösung für ihn.
    Ich habe nicht den Eindruck, dass er so sattelfest ist, die ganze Filterung in einem Proxy zu konfigurieren und wenn er keine zusätzlichen Funktionen benötigt, warum sollte er sich das antun?

    Die Alternative, mit den Kindern das Thema zu bereden, ist natürlich auch sehr zu empfehlen, aber das überlasse ich ihm  ;)

    Grüße


  • Moderator

    Laut seinem ersten Satz ist tesme33s einzige Motivation, eine pfSense einzusetzen, das Blockieren von Länder-IPs, und da ist Bridging gewiss die einfachste und schnellste Lösung für ihn.
    Ich habe nicht den Eindruck, dass er so sattelfest ist, die ganze Filterung in einem Proxy zu konfigurieren und wenn er keine zusätzlichen Funktionen benötigt, warum sollte er sich das antun?

    Erst lernt man krabbeln, dann laufen ;) Wenn man das Gerät dann schonmal dran und drin hat - vielleicht gehe ich da zu sehr von mir aus - reizen einen irgendwann die anderen Funktionen auch noch :) Aber sicher hast du recht, dass das für den Moment einmal eine gangbare Lösung wäre.

    Ich bin nur selbst "mitleidend", da ich dank Kabel-Anschluß auch zu einer vorgeschalteten Fritzbox im Heimnetz verdammt bin. Und wenn man sich dann anderen Diensten zuwendet ist es ärgerlich, wenn man dann auf die beschränkten Versionen der FB angewiesen ist (sofern die überhaupt existieren oder Bug-frei sind).

    Ich wollte mit dem "Aber" nur einwerfen, dass man dann eben mit der Funktion der FB leben muss (ob man will oder nicht) ;)

    Grüße



  • Was vielleicht noch funktionieren "könnte".
    Auf der FritzBox kann Port4 wenn ich das richtig im Kopf habe als Gäste Netzwerk genutzt werden.
    Wenn Du jetzt an der pfSense eine weiter Schnittstelle aufmachst für die Kinder und das mit der LAN4 noch verbindest könnest Du
    auf der FritzBox den BPjM Filter für das Gäste Netzwerk aktivieren.

    Deine bisher vorhanden Verbindung (WAN) bleibt wie es ist.

    Im DHCP einen neuen Bereich für die neue Schnittstelle aufmachen und die MAC der PC´s hinterlegen.
    Danach kommt das pfSense Regelwerk zu tragen welches die IP´s der Kinder PC über die neue Schnittstelle sendet und damit an LAN4 der FritzBox mit BPjM Filter.

    War jetzt ein kurzes BrainStorming. Ob es funktioniert - testen.  ;)


  • Moderator

    Im Prinzip könnte es auch noch einfacher gehen:

    Einfach die zu schützenden PCs statische DHCP Leases vergeben bzw. statische IPs konfigurieren. Dann diese IPs statisch von 10.2.2.x nach 10.2.3.x NATten und die entsprechende IP bei der FB in den Filter hauen. Natürlich geht das schief, sobald sich jemand am Rechner/Tablet/whatever eine andere IP statisch vergibt. Aber wenn man die NAT darauf begrenzt, müsste man schon eine andere Adresse treffen, die nicht gefiltert wird. Also ein wenig aufwendiger zu umgehen.

    Gruß



  • Wow. So ein Interesse an meiner Anfrage hätte ich nicht erwartet.
    Danke fürs Anpassen des Titels.

    Ja ich bin neu beim Thema PFsense, aber so nach 17 Jahren Firewall1 muss man sich ja auch mal was Neues gönnen ;-).
    Auf PFsense bin ich eigentlich nur aufgesprungen weil ich die HW von pcengines.ch sehr gut finde und die ganz gut zu funktionieren scheint. Im Notfall auch mit einem ipfire.

    Das mit dem Bridging finde ich nicht so prickelnd, da ich nach und nach die eine oder andere Funktion der pfsense mal in Betrieb nehmen wollte und die schönsten gehen halt nur im routing mode. So die Themen Virenscanner/Squid/dansguard wollte ich dann auch mal testen und openvpn lief auch schon, bis mir aufgefallen war dass ich die IPs in der FB nicht eintragen kann. Also ich denke mit dem Dansguard wäre ich schon ganz glücklich aber die zeitliche Limitierung ist mir vom erzieherischen Standpunkt wichtig.

    Die Idee die Kids in Gästelan zu hängen geht nicht so einfach da dieses komplett abgeschottet wird und dann das NAS mit den Musik und Video Titeln nicht mehr für die Kids erreichbar. Meine Kinder kriegen auch immer noch Surfzeit wenn Sie dannach fragen, ich möchte Sie aber dazubringen zu hinterfragen ob Sie denn Ihre Zeit nicht mit was besserem Verbringen können so z.b. mit der Freundin reden anstatt whatsapp(Tochter) oder Legospielen anstatt sich bei youtube die Legobauwerke anderer anzuschauen (Junior). Das klappt bis jetzt auch ganz gut nur an verregneten Wochenenden ist dann halt der Daddelbedarf deutlich grösser als Papaswille noch Zeit herzugeben, so dass wir dann bei Uno oder so was  enden. Hilft auch Papa :-) mal nicht in Foren zu stöbern und sich zu wundern wieso die alte ESDI Platte an der Sun360 schon wieder nen gekippten Sektor hat .

    Auf jeden Fall danke für die Ideen . Ich lasse die mir mal durch den kopf gehen. Vielleicht gehe ich auch hin und hänge die Kiste die aussen ständig gescannt wird in eine eigenes LAN dann habe ich meinen Effekt. Vom Durchsatz her ist die APU schnell genug. Zumindest ohne Regeln und FW.
    –----------------------------------------------------------
    [  4] local 10.2.2.244 port 5001 connected with 192.168.1.100 port 47727
    [ ID] Interval      Transfer    Bandwidth
    [  4]  0.0-60.0 sec  5.52 GBytes  791 Mbits/sec
    [  4] local 10.2.2.244 port 5001 connected with 192.168.1.100 port 47728
    [  4]  0.0-60.0 sec  5.59 GBytes  800 Mbits/sec

    Um gleich vorzugreifen. Nein ich kann die Ports die benötigt werden nicht ändern. 22,25,433,933 .
    Und SSH mit keys kann aufgrund eines Clientthemas im Moment auch nicht machen.

    Danke


  • Moderator

    Hört sich lustig an. Ggf. könntest du einen Teil auch per time-based Rules abwickeln (also quasi Grundzeiten definieren, wo Junior und Töchterchen ins Internet dürfen), und die sonstigen Zeiten über ne Zusatzregel an und abschalten.
    Wäre sicher nicht optimal und das CP oder ein anderes Modul ggf. sinnvoller. Du könntest bei entsprechendem Switch auch die Kids in ein eigenes VLAN hängen (was dann ein extra Interface auf der pfSense wäre und damit wären wieder Interface Regeln möglich, CP etc.).

    Was hat es denn noch mit dem Firewall Auszug auf sich? Und den Ports? Den letzten Teil hatte ich nicht ganz im Zusammenhang verstanden.