Hilfe bei Neueinrichtung



  • Hallo,

    ich habe mir mein Netzwerk neu eingerichtet und benötige Hilfe bei der Konfiguration. Ich hoffe, Ihr könnt mir weiterhelfen.

    Hardwaretechnisch sieht es folgendermaßen aus

    WAN über WAN, LAN über ETH1; ETH2 ist nicht belegt.

    Vorher lief alles über eine FritzBox 7490 (LAN und WIFI); mit der Kombination aus PfSense und OpenWRT habe ich mich wohl ein wenig übernommen. Daher wäre es schön, wenn Ihr mir bei der Grundkonfiguration helfen könntet, bis ich mich in die Materie eingefunden habe.

    Kann ich irgendwie alle verbundenen Geräte anzeigen lassen?
    Ich habe über den DHCP Server bzw. DHCP Leases allen Geräten feste IP Adressen zugewiesen. Das NAS und der Freifunk Router (OpenWRT, allerdings mit Custom Firmware von Freifunk Hamburg) werden nicht unter Leases angezeigt. Das NAS hat sich selbst eine statische IP erteilt und als Gateway PfSense angegeben.

    Firewall
    Was sind die minimalen Einstellungen, die ich in der Firewall einstellen sollte, um den Zugriff von Außen bestmöglich einzuschränken?
    In den Firewall Logs sehe ich viele Verbindungsversuche des Modems (in diesem Fall noch die FB 7490, die als Modem für meinen Telekom Anschluss fungiert), die ich vermutlich getrost blocken kann. Gemäß meiner Recherchen sind das verschiedene UPNP Anfragen etc.
    Ich möchte nach Außen hin möglichst "zu" sein; im Idealfall würde ich nur bestimmte Ports whitelisten (HTTP, HTTPS, was noch?).

    Archer C7
    Der C7 soll den Traffic wirklich nur an PfSense weiterleiten. Möglichst ohne DHCP, dies soll PfSense übernehmen. Hier weiß ich nicht, wie genau ich die Bridge Einstellungen vornehmen soll. Die Verbindung funktioniert momentan, seit gestern funktionieren aber die Chromecasts nicht mehr zufriedenstellend (YouTube und Streamen verschiedener Dinge von Smartphone/Browser geht, Abspielen von Netflix komischerweise nicht).
    Ich dachte, dass dies vielleicht daran liegt, dass ich per DNS Forwarder wegen Geoblocking alternative DNS Server einstellt hatte; trotz Deaktivieren des Forwarders bleibt das Problem nun aber bestehen.
    Im Idealfall hätte ich gerne für die festgelegten Domains die alternativen DNS Server (sämtliche Geräte) und für alle anderen den regulären DNS Server (ursprünglich hatte ich 8.8.8.8 und einen vom CCC empfohlenen, offenen DNS Server angegeben).

    Zugriff von/auf die Geräte im Netzwerk
    Meine Geräte (Desktop, Laptop) sollen Zugriff auf alle anderen Geräte haben. Die Pis sollen nur untereinander kommunizieren und Zugriff auf das NAS haben. Laptop2 und Phone2 sollen untereinander kommunizieren dürfen und Zugriff auf das NAS haben. Einer der Pis soll später auch von außerhalb des LANs erreichbar sein, alle anderen Geräte jedoch nicht (Zugriff von Außen über mich per OpenVPN).

    Freifunk
    Der Freifunk Router soll gar keinen Zugriff auf irgend etwas haben, außer auf den Internetzugang.

    2.4/5Ghz
    Macbook Pro und Nexus 6 sollten problemlos per 5Ghz connecten können. Chromecasts, Laptop 2 und Phone 2 habe ich einfach mal auf 2.4 gelassen, damit diese meinen Traffic nicht ausbremsen.

    VLANs
    Bislang noch nicht festgelegt. Was empfehlt Ihr hier?

    Sorry, das ist ein Haufen Fragen… ich bin da wohl ein wenig zu enthusiastisch an die Sache rangegangen bzw. habe mich vorab nicht genug informiert. Damit jetzt aber erst einmal alles halbwegs vernünftig läuft wäre es schön, wenn Ihr weiterhelfen könntet :)

    Danke & LG
    ![network Kopie.jpg](/public/imported_attachments/1/network Kopie.jpg)
    ![network Kopie.jpg_thumb](/public/imported_attachments/1/network Kopie.jpg_thumb)



  • Moin,

    da die "Fritte" ja noch bei Dir läuft mal ein Gedanke um evtl. einen Punkt zu erledigen:

    Wenn Du den Freifunk Router nicht weiter vordrosseln willst / musst hänge ihn doch einfach in das Gastnetz der Fritte, sinvoll regulieren kannst Du wg. des Freifunk VPN-Tunnels sowieso nicht also nimm den Router die Last. Gleichzeitig hast Du ihn damit von Deinem Netz isoliert, sogar "schutzisoliert" da ja der Freifunk Router die Netze auch trennt  ;D.

    "Von außen dicht machen" brauchst Du eigenlich nichts, Du darfst nur nichts unbedacht aufmachen :P

    -teddy



  • Danke für den Tipp! Das werde ich jetzt erst einmal so laufen lassen.

    Allerdings möchte ich mittelfristig die FB gegen ein reines Modem eintauschen (FB verkaufen, Modem kaufen), da die 7490 nicht gerade günstig war und jetzt doch nicht genutzt wird.



  • Moin,

    gerade etwas Zeit, deshalb zum C7

    dem C7 solltest Du was das Netz angeht jegliche Eigeninitiative abgewöhnen:
    DHCP Server für die Interfaces AUS
    Anschluss über einen LAN Port nicht über WAN!
    LAN Statische IP zuweisen
    Bridge WiFi 5G & 2,4G und LAN
    Somit sollte er erstmal funtkionieren.
    V-Lans hier erst wenn sonnst alles läuft.

    Die letztendliche Struktur des Netzes hast Du ja eigentlich schon beschrieben:
    Was funktional zusammengehört packe doch einfach in ein Netz

    Die RaspPis ein Netz z.B.: 192.168.7.0 (VLan 7)
    Freifunk                            192.168.3.0 (VLan 3) (sobald die Fritte raus soll)
    Deine Geräte                    192.168.1.0 (VLan 1) Faulheit, kein eigenes Netz fürs Management da Du eh Admin bist
    WLan                                192.168.9.0 (VLan 9)
    NAS                                  192.168.6.0 (VLan 6) Wobei ich das NAS in das Netz hängen würde wo sie am meisten Datenverkehr von und zum NAS herrscht wenn sonst nichts dagegen spricht, entlastet den Router.

    Zu den Netzen, ich nehme im 3 Oktett gerne eine Ziffer aus der Buchstabenwahl am Telefon die zum Netz passt, wenn man in mehreren Netzen unterwegs ist hat man die Topologie leichter auf dem Schirm 8).
    Raspi –> R --> 7
    WLan --> W --> 9
    Wenn Du das Wlan auf dem C7 später weiter differenzieren willst kannst Du auf 91, 92 usw. erweitern und behältst eine logische Struktur.

    Zugriff von außen per VPN kein Ding, Du stellst auf der APU ein wohin wer darf, ob von außen nur auf den einen RasPi oder das gesamte Netz, Deine Entscheidung :D, Deine Verantwortung.

    -teddy



  • Danke :)

    Ich habe aktuell das Problem, dass der DHCP Server unter PfSense nicht mehr funktioniert. Eigentlich ist das halb so wild, denn alle verbundenen Geräte haben sowieso schon eine statische IP zugewiesen bekommen; aber
    a) sollte der DHCP Server ja trotzdem grundlegend funktionieren und
    b) benötigen zumindest die Chromecasts unbedingt einen DHCP Server

    Nachdem ich DHCP im C7 deaktiviert hatte, musste ich auf den anderen mobilen Geräten lediglich IP, Subnet und Gateway vergeben (logo), danach funktionierte alles wie gewünscht. Die Chromecasts wollten dann aber nicht mehr so, wie sie sollen; obwohl auch die unter PfSense jeweils statische IPs zugewiesen bekommen haben.

    Aus dem Syslog werde ich auch nicht schlau, da DHCP einfach nur beendet wird, nachdem es startet:

    Jul 11 10:02:31	dhcpd: exiting.
    Jul 11 10:02:31	dhcpd:
    Jul 11 10:02:31	dhcpd: the README file.
    Jul 11 10:02:31	dhcpd: send them to the appropriate mailing list as described in
    Jul 11 10:02:31	dhcpd: help directly to the authors of this software - please
    Jul 11 10:02:31	dhcpd: Please do not under any circumstances send requests for
    Jul 11 10:02:31	dhcpd:
    Jul 11 10:02:31	dhcpd: submitting bug reports and requests for help.
    Jul 11 10:02:31	dhcpd: mailing list, please read the section on the README about
    Jul 11 10:02:31	dhcpd: If you intend to request help from the dhcp-bugs at isc.org
    Jul 11 10:02:31	dhcpd: yet read the README, please read it before requesting help.
    Jul 11 10:02:31	dhcpd: If you did get this software from ftp.isc.org and have not
    Jul 11 10:02:31	dhcpd:
    Jul 11 10:02:31	dhcpd: requesting help.
    Jul 11 10:02:31	dhcpd: get the latest from ftp.isc.org and install that before
    Jul 11 10:02:31	dhcpd: If you did not get this software from ftp.isc.org, please
    Jul 11 10:02:31	dhcpd:
    Jul 11 10:02:31	dhcpd: bad range, address 10.10.10.254 not in subnet 10.10.0.0 netmask 255.255.255.0
    Jul 11 10:02:31	dhcpd: For info, please visit https://www.isc.org/software/dhcp/
    Jul 11 10:02:31	dhcpd: All rights reserved.
    Jul 11 10:02:31	dhcpd: Copyright 2004-2015 Internet Systems Consortium.
    Jul 11 10:02:31	dhcpd: Internet Systems Consortium DHCP Server 4.2.8
    

    Das Einzige, was mir auffällt, ist das Gerät 10.10.10.254; kann das allein dafür verantwortlich sein, dass der DHCP Server sich selbst beendet? Ich weiß nicht, welches Gerät das sein soll (statisch habe ich die IP nicht vergeben, und wenn sie per DHCP vergeben würde, müsste sie ja im korrekten Subnet sein..?).

    Da ich nun LAN und beide Wifi auf dem C7 gebridged habe, sollte ja ggf. der DHCP Server unter PfSense agieren, wenn IPs vergeben werden müssen - sofern er sich dann nicht nach jedem Start sofort wieder selbst beenden würde.

    Ich habe im Internet schon nach "Minimalkonfigurationen" für PfSense gesucht… diese auch angewandt. Allerdings habe ich in letzter Zeit Fehler, die ich mir nicht erklären kann, denn sie traten plötzlich auf, ohne dass ich aktiv irgendwelche Einstellungen verändert hatte.

    Bsp 1: mein Hauptrechner (per LAN direkt an PfSense) hat normalen Internetzugriff. Trotzdem konnten Seiten, die ich per Browser sogar aufrufen konnte, per Terminal nicht angepingt werden (100% Packet Loss). Dieser Fehler ist mittlerweile behoben.
    Bsp 2: Das Ubuntu Notebook (per 2.4 Ghz WIFI über C7) konnte bestimmte Seiten nicht aufrufen -> DNS Error. Im C7 selbst waren gar keine DNS Einstellungen vorgenommen, unter PfSense war/ist dnsmasq temporär deaktiviert. Auch das ist jetzt behoben, aber eben unerklärlich.

    Kann das irgendwie damit zusammenhängen, dass die FB zwischen APU und WAN hängt? Momentan leitet sie den Traffic ja nicht nur durch, sondern hat auch eigene Firewall Regeln usw. (die allerdings vorher auch nie Probleme bereitet hatten).

    Die VLANs lasse ich bis zum Schluss, also wenn alles so läuft, wie es soll, außen vor. Die Vergabe von Dir klingt schlüssig, werde ich so anwenden :)

    VPN übrigens aus dem Grund, weil ich so keinen "generellen Traffic" von Außen erlauben muss. Der eine oder andere Pi wird evtl. noch mal für Zugriff per WAN freigeschaltet werden, aber NAS etc. eben nicht.

    Anbei noch mal eine übersichtlichere network map. OT: beim Einbinden des Druckers in mein Netzwerk scheitere ich gerade auch, weil man per Tastenfeld nur Kurzpasswörter eingeben kann und die Einrichtungssoftware ein Witz ist. Das wird hier noch ein schönes Projekt :D




  • Moin, gerade nur wenig Zeit,

    Dein DHCP läuft nicht weil Du dich beim Netz vertippt hast:

    address 10.10.10.254 not in subnet 10.10.0.0 netmask 255.255.255.0
    -teddy



  • D'oh! Jetzt läuft der DHCP Server wieder. Danke!! Ich hatte wohl mit dem Subnet ein bisschen rumgespielt und vergessen, den ursprünglichen Wert zurück zu setzen.


Log in to reply