PfSense hinter Fritzbox vs. DSL-Modem



  • Hallo,

    ich setze derzeit eine Fritzbox 3390 an einem Annex-J DSL-Anschluss der Telekom ein. Vor einigen Monaten (vor der Umstellung auf den IP-Basierten Anschluss) kam noch pfSense zum Einsatz mit einem normalen DSL-Modem, somit hat die Firewall am WAN-Anschluss auch die Einwahl übernommen. Natürlich bevorzuge ich diese Variante, allerdings scheint es sich in der Praxis zunehmend so zu entwickeln das es entweder keine geeigneten Modems mehr gibt, die Nutzung als Modem durch Firmware-Updates unterbunden wird oder man direkt mit einem Passwortgeschützten Zugangsrouter leben muss (z.B. bei Kabelanbietern).

    Ich würde zukünftig gerne das interne Netzwerk wieder hinter pfSense betreiben ohne aber mit den obigen Problemen bei einem Anschlusswechsel konfrontiert sein zu müssen. Mir bleiben in der Praxis also nur folgende Varianten:

    1. pfSense + passendes Annex-J Modem, bei späterem Wechsel auf VDSL erneuter Modemwechsel - sofern es in dieser Richtung überhaupt noch Hardware gibt? Die Fritzbox würde dann entfallen oder ebenfalls hinter die pfSense wandern, z.B. als WLAN-AP.

    2. Ich belasse die Fritzbox direkt am DSL-Anschluss, diese führt also die Einwahl durch. Die pfSense wird als "Exposed Host" geführt und angeschlossen, jegliche weiteren Dienste (Kindersicherung, DHP, VPN, …) werden auf der Fritzbox deaktiviert. In diesem Fall laufen natürlich zwei verschiedene Netze, welche auf den Geräten entsprechend eingetragen werden müssen. Die Clients bekommen als Gateway die IP der pfSense zugewiesen, idealerweise direkt per DHCP.

    In dieser Variante wäre ich natürlich flexibel, sofern sich der Zugangsrouter künftig ändert. Falls der Anschluss auf VDSL umgestellt würde, könnte man sogar die Fritzbox so belassen und alles liefe weiter wie zuvor. Allerdings habe ich in dieser Konstellation ein "Doppel-NAT" und dies bringt dann Probleme mit externen Diensten mit sich, beispielsweise VPN, VOIP und ähnlichem, korrekt? Wenn ich NAT auf der pfSense deaktiviere, so würde diese nur noch als Router fungieren, somit könnte ich darauf auch keine Firewall-Regeln mehr verwalten und die Fritzbox ist für die Sicherheit zuständig, richtig? Kann die Fritzbox denn in einer solchen Konstellation auch weitere direkt angeschlossene Geräte verwalten, z.B. einen Entertain-Receiver der direkt angeschlossen wird damit es mit IGMPv3 und dem VLAN-Tagging keine Probleme gibt?

    Grüsse,

    Michael



  • Hallo,

    es gibt immer weniger reine Modems das stimmt gerade für VDSL.
    Wir setzen hier das http://www.draytek.de/vigor130.html ein und das läuft echt gut an einem VDSL 50 der Telekom.
    Das Vigor 130 kann auch ADSL daher fällt dann ein spätere Wechsel wieder weg.

    Doppelt NAT ist immer doof das stimmt. Aber selbst wenn die PfSense nur das Router fungiert kann man hier natürlich trotzdem Regeln machen es wird eben nur nicht mehr über NAT die IP (in dem Fall ja aber nur zu deiner Fritzbox) verschleiert.

    Den Rest da gibt es ja genug Posts wie man das schafft.

    Gehen tut das alles noch ;)



  • Hi michaeljk,
    wie das mein "Vorredner" schon richtig gepostet hat, besteht immer weniger die Möglichkeit das "Zwangsrouterproblem" zu umgehen.
    Ich hatte das vor einem Monat erst an einem O2-Anschluß, mit deren Billig-Routern keine Möglichkeit mehr besteht von remote in Dein privates Netz zu gelangen.
    Da hilft dann als langjähriger Kunde nur die Kündigung und schon bewegt sich was.;-)
    Jetzt Fritte 7490 und feste IP.
    Ändert aber nichts an der Tatsache, das nun die pfSense in der Routerkaskade hinter der Fritte hängt.
    Eine Möglichkeit wäre das….
    http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware-als-modem-nutzen/#comment-3539
    Ob das aber auf Dauer und an jedem Anschluß funktioniert kann ich leider auch nicht sagen.
    Gruß orcape



  • Hallo,

    vielen Dank für eure Rückmeldungen! Ich habe heute noch ein neues ALLNET ALL0333CJ DSL-Modem erhalten, damit funktioniert die Verbindung am bestehenden Annex-J Anschluss bisher einwandfrei. Danke auch für den Hinweis auf das Vigor 130 - laut Telekom ist bei uns der Ausbau geplant, wann VDSL kommt ist aber noch nicht sicher. Es ist einfach schade, dass die Provider mittlerweile alle geschlossene Systeme bevorzugen und es kaum noch geeignete Modems gibt.



  • Ich habe heute noch ein neues ALLNET ALL0333CJ DSL-Modem erhalten, damit funktioniert die Verbindung am bestehenden Annex-J Anschluss bisher einwandfrei.

    Na dann drücke ich Dir die Daumen, das es bei der Telekom so bleibt, was ich aber eher bezweifle.
    Das Problem ist, das immer weniger Provider gewillt sind, dem Kunde eigene Hardware zu erlauben und mit Absicht die VoIP-Daten gar nicht erst preisgeben. Wenn man Glück hat erhält man die Einwahldaten für´s DSL, das ist aber eben nur leider die halbe Wahrheit.
    Die "Billigprovider" geben Dir eine PIN, die Du per Telefon eingibst und konfigurieren Dir Deine "BOX", welche fälschlicherweise auch noch als "schöne neue Hardware" bezeichnet wird, dann ohne Dein zutun.
    Das Ergebnis ist dann vielleicht für "Otto Normalverbraucher" akzeptabel, der zu Hause nur einen PC oder einen Laptop stehen hat und der mit Begriffen wie DynDNS, Portforwarding und remoter Zugriff sowieso nichts anfangen kann.
    Das ist aber dann wohl so beabsichtigt…. ;)
    Gruß orcape



  • Und aus diesem Grund habe ich Voip und DSL Provider voneinander getrennt.
    Telefonie läuft über Sipgate bzw. Dusnet und DSL habe ich 1und1 ohne Voip-Flat, mal abgesehen davon, dass ich von 1und1 die Voipdaten zu Verfügung gestellt bekommen habe.
    Als DSL-Modem habe ich mir aus der Bucht eine Vodafon Easybox 903 für 12€ geschossen.
    Funktioniert einwandfrei als reines Modem.



  • Ich habe aktuell auch eine Routerkaskade aufgrund der Zwangsrouter problematik.

    Habt Ihr da Ahnung wie es mit DoppelNAT aussieht ?

    Die PfSense bietet ja sowas wie 1:1 NAT an, wobei ich nicht ganz glaube das das dafür ist.

    Grüße



  • Was das mit 1:1 NAT auf sich hat, ist hier schön erklärt…
    http://shorewall.net/NAT.htm
    Das ist also nur interessant, wenn Dir seitens des Providers mehrere feste IP´s vergeben werden, die Du dann einzeln an div. Server im LAN "durchreichen" kannst.
    Wenn´s da eine andere Lösung gibt, wäre ich da auch nicht abgeneigt.
    Wobei ja durch eine Routerkaskade mit einer Fritte und einem 2.pfSense Router die Sicherheit wohl kaum leiden kann.
    Ob man nun 3 oder 4 Subnetze hat, ist dann wohl auch irrelevant.
    Gruß orcape



  • @orcape:

    Wobei ja durch eine Routerkaskade mit einer Fritte und einem 2.pfSense Router die Sicherheit wohl kaum leiden kann.
    Ob man nun 3 oder 4 Subnetze hat, ist dann wohl auch irrelevant.
    Gruß orcape

    Das ist wohl wahr, jedoch kommen mehrere Games die ich aktuell spiele nicht mit dem DoppelNAT klar.

    Grüße



  • Das ist wohl wahr, jedoch kommen mehrere Games die ich aktuell spiele nicht mit dem DoppelNAT klar.

    ..sollte bei entsprechender Einstellung des Portforwardings auf dem ersten Router aber eigentlich nicht das Problem darstellen.
    Du solltest nur Prüfen ob da nicht teils ganze Portbereiche freigeschaltet werden müssen.
    Meine VPN-Tunnel ohne ein Portforwarding funktionieren auch nicht.
    Wenn Du das mit Wireshark mal überprüfst, sollte das schon Klarheit bringen, warum das nicht funktioniert.
    Gruß orcape


  • LAYER 8 Moderator

    Du solltest nur Prüfen ob da nicht teils ganze Portbereiche freigeschaltet werden müssen.
    Bei keinem aktuellen Spiel das mir bekannt wäre ist das ein Thema weil fast jeder Anbieter auf uPNP setzt, was die pfSense problemlos kann. Bei vorgeschalteter Fritzbox und "Exposed Host" Setting gibt es nichts was dem widerspricht.



  • @JeGr:

    Bei keinem aktuellen Spiel das mir bekannt wäre ist das ein Thema weil fast jeder Anbieter auf uPNP setzt, was die pfSense problemlos kann. Bei vorgeschalteter Fritzbox und "Exposed Host" Setting gibt es nichts was dem widerspricht.

    Das werde ich mal testen!



  • Was ist das Problem mit pfSense hinter der Fritzbox?

    Mein WAN2 ist auf 192.168.178.2 und die 7362 SL Fritte unter 192.168.178.1 hat die pfSense als exposed Host.

    Welche Probleme gibt es mit diesem setup?

    An FRITZ!Box angeschlossene Computer sind sicher vor unerwünschten Zugriffen aus dem Internet. Für einige Anwendungen wie z.B. Online-Spiele oder das Filesharing-Programm eMule muss Ihr Computer jedoch für andere Teilnehmer des Internets erreichbar sein. Durch Portfreigaben erlauben Sie solche Verbindungen.
    Liste der Portfreigaben
    Aktiv Bezeichnung Protokoll Port an Computer an Port
    Exposed Host alle anderen Ports PC-192-168-178-2 Bearbeiten Löschen
    Neue Portfreigabe
    Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert.
    Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden.
    Änderungen der Sicherheitseinstellungen über UPnP gestatten
    Geräte und Anwendungen mit UPnP-Unterstützung können im Heimnetz Sicherheitseinstellungen wie die Portfreigaberegeln der FRITZ!Box automatisch verändern. Aktivieren Sie diese Option aus Sicherheitsgründen nur, wenn Sie tatsächlich eingehende Verbindungen aus dem Internet gestatten möchten.
    Die aktuelle Konfiguration Ihrer FRITZ!Box gestattet die Änderung der Sicherheitseinstellungen über UPnP. Anwendungen mit UPnP-Unterstützung können somit automatisch weitere Ports öffnen.
    Liste der UPnP geöffneten Ports
    Protokoll Port an Rechnername an IP-Adresse an Port
    Es sind keine UPnP-Portfreigaben eingerichtet.


Log in to reply