Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Fb6360->pfSense

    Scheduled Pinned Locked Moved Deutsch
    15 Posts 5 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      max2012
      last edited by

      Hallo,

      folgende Konfiguration:
      an einer Fritzbox 6360 (arbeitet nur als Kabelmodem; mit einer VoIP Nummer aktiv, die zum Empfangen von Faxe dient) hängt mein pfSense Router (Firewall+NAT).
      Komischerweise habe ich an der Fb KEINE Postfreigaben eingerichtet, und trotzdem funktioniert alles.
      Auf der eine Seite bin ich zwar froh, dass ich da nix konfigurieren musste, aber auf der andere Seite würde ich schon gerne verstehen, warum es trotzdem funktioniert.
      Hat einer von euch eine plausible Erklärung?

      Danke & Gruß

      Router+Firewall+pfBlockerNG by pfSense 2.2.3 (amd64) on
      Zotac ZBOX ID41 [Atom D525 @1.8GHz; 4GB Ram; SSD; USB 3.0 Gigabit NIC AX88179]

      1 Reply Last reply Reply Quote 0
      • O
        orcape
        last edited by

        Hi,
        ist wohl hier das falsche Forum. ;)
        Schon mal überlegt, was der Provider mit der Fritte alles konfigurieren kann.
        Stichwort TR069….
        Schau mal auf der Fritte nach, ob das aktiviert ist.

        an der Fb KEINE Postfreigaben eingerichtet,

        Was um alles in der Welt sind Postfreigaben.
        Wenn Du Portforwarding meinst, solltest Du schon mal sagen für was Du das benötigst. Ausserdem brauchst Du das nicht, wenn die Fritte als Modem arbeitet, was ich allerdings schon etwas bezweifle.
        Zu Deinen Einstellungen hast Du ja eher weniger gepostet. ;)
        Gruß orcape

        1 Reply Last reply Reply Quote 0
        • magicteddyM
          magicteddy
          last edited by

          Moin,

          Vermutlich läuft Deine Fritte 6360 nicht nur als Kabelmodem sondern als Router, das ist nicht das gleiche.  ;)

          Du hast halt 2 Router hintereinander Du kannst auch 3 oder 4 hintereinander hängen kein Thema.

          Dein PC (oder auch jeder andere Client) richtet alle seine Anfragen die nicht lokal sind an das Standardgateway das dürfte, für Deine Clients dann pfSense sein. Anfragen die pfSense nicht lokal abfrühstücken kann  werden an die nächste Stufe weiter gereicht, Deine Fritte, die ihrerseits die Anfragen an Deinen Internetanbieter weiter reicht.
          Durch die vorhergehenden Anfragen wird quasi der Kanal für die von außen eintreffenden Antworten geöffnet, so gelangen die Antworten an Deinen PC.

          Portfreigaben brauchst Du erst dann wenn Du von außen auf irgendetwas im LAN zugreifen willst. Es fehlt die Anfrage von innen die den Kanal öffnet, also musst Du vorher eine Portfreigabe einrichten und damit den Kanal öffnen. Du müsstest sogar 2 Portfreigaben konfigurieren, außen –> Fritte --> pfSense --> Client

          -teddy

          @Work Lanner FW-7525B pfSense 2.7.2
          @Home APU.2C4 pfSense 2.7.2
          @CH APU.1D4 pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • M
            max2012
            last edited by

            erst mal Danke für dein Kommentar; jeder Beitrag ist willkommen

            @orcape:

            Schau mal auf der Fritte nach, ob das aktiviert ist.

            hättest gleich dazu schreiben können, wo man das findet - finde ich nicht

            @orcape:

            an der Fb KEINE Postfreigaben eingerichtet,

            Was um alles in der Welt sind Postfreigaben.
            Wenn Du Portforwarding meinst,

            ich hatte natürlich ein Tippfehler; bzw. die Autokorrektur hat dazwischen gefunkt
            Richtig wäre "Portfreigabe"
            sie Attach

            @orcape:

            …wenn die Fritte als Modem arbeitet, was ich allerdings schon etwas bezweifle.
            Zu Deinen Einstellungen hast Du ja eher weniger gepostet. ;)

            also, die Fritte 6360 ist ein Kabelmodem.
            sorgt dafür dass ich meine fest-IP bekomme (wegen MAC)
            am pfSense habe ich die externe fest-IP direkt dran. insofern dachte ich die Fritte wäre nicht als Router konfiguriert.
            was meint ihr?

            ![Bildschirmfoto 2015-07-16 um 18.40.14.png](/public/imported_attachments/1/Bildschirmfoto 2015-07-16 um 18.40.14.png)
            ![Bildschirmfoto 2015-07-16 um 18.40.14.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2015-07-16 um 18.40.14.png_thumb)

            Router+Firewall+pfBlockerNG by pfSense 2.2.3 (amd64) on
            Zotac ZBOX ID41 [Atom D525 @1.8GHz; 4GB Ram; SSD; USB 3.0 Gigabit NIC AX88179]

            1 Reply Last reply Reply Quote 0
            • magicteddyM
              magicteddy
              last edited by

              Wir haben hier keine Glaskugeln,

              poste doch einfach das Bild Internet  -> Online-Monitor und entferne dort schützenswerte Daten

              Warum wird Deine Fritte als Router arbeiten? Weil 99,x% keine pfSense oder vergleichbares hinter der Fritte habe und damit quasi nackt und nach Seife gebückt mit dem Hintern ungeschützt im Internet hängen würden.

              -teddy

              @Work Lanner FW-7525B pfSense 2.7.2
              @Home APU.2C4 pfSense 2.7.2
              @CH APU.1D4 pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • M
                max2012
                last edited by

                @magicteddy:

                Wir haben hier keine Glaskugeln,

                poste doch einfach das Bild Internet  -> Online-Monitor und entferne dort schützenswerte Daten

                reicht dir das? da steht nicht viel….

                ![Bildschirmfoto 2015-07-16 um 21.34.02.png](/public/imported_attachments/1/Bildschirmfoto 2015-07-16 um 21.34.02.png)
                ![Bildschirmfoto 2015-07-16 um 21.34.02.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2015-07-16 um 21.34.02.png_thumb)

                Router+Firewall+pfBlockerNG by pfSense 2.2.3 (amd64) on
                Zotac ZBOX ID41 [Atom D525 @1.8GHz; 4GB Ram; SSD; USB 3.0 Gigabit NIC AX88179]

                1 Reply Last reply Reply Quote 0
                • magicteddyM
                  magicteddy
                  last edited by

                  und wie schaut die WAN IP von pfSense aus?

                  -teddy

                  @Work Lanner FW-7525B pfSense 2.7.2
                  @Home APU.2C4 pfSense 2.7.2
                  @CH APU.1D4 pfSense 2.7.2

                  1 Reply Last reply Reply Quote 0
                  • M
                    max2012
                    last edited by

                    @magicteddy:

                    und wie schaut die WAN IP von pfSense aus?

                    siehe Anhang

                    17-07-_2015_08-19-05.jpg
                    17-07-_2015_08-19-05.jpg_thumb

                    Router+Firewall+pfBlockerNG by pfSense 2.2.3 (amd64) on
                    Zotac ZBOX ID41 [Atom D525 @1.8GHz; 4GB Ram; SSD; USB 3.0 Gigabit NIC AX88179]

                    1 Reply Last reply Reply Quote 0
                    • ?
                      Guest
                      last edited by

                      Komischerweise habe ich an der Fb KEINE Postfreigaben eingerichtet, und trotzdem funktioniert alles.

                      Ist doch auch alles tutti so herum! Wenn die AVM FB nur als Modem agiert, dann muss man auch keine
                      Portweiterleitungen konfigurieren! Nur wenn die AVM FB NAT macht muss das geschehen.

                      Auf der eine Seite bin ich zwar froh, dass ich da nix konfigurieren musste, aber auf der andere Seite würde
                      ich schon gerne verstehen, warum es trotzdem funktioniert.Hat einer von euch eine plausible Erklärung?

                      Siehe weiter oben.

                      Man benötigt in der Regel ein Modem und einen Router oder eine Firewall, und nur weil das beides heute
                      mitunter recht oft in einem Gehäuse ist, kann es dennoch nur sein dass ein Router nur als reines Modem
                      agiert, nähmlich dann wenn es in den so genannten "Bridge Modus" versetzt wird bzw. darin arbeitet.

                      1 Reply Last reply Reply Quote 0
                      • magicteddyM
                        magicteddy
                        last edited by

                        Moin,

                        an der IP sieht man das die Fritte alles durchreicht, also echter Modembetrieb und kein Router.
                        Also hast Du nur pfSense als Router und das Geraffel davor ist im Prinzip nur die Anpassung an die Leitung mit Auskopplung der Telefonie. Alles ist gut ;D

                        -teddy

                        @Work Lanner FW-7525B pfSense 2.7.2
                        @Home APU.2C4 pfSense 2.7.2
                        @CH APU.1D4 pfSense 2.7.2

                        1 Reply Last reply Reply Quote 0
                        • O
                          orcape
                          last edited by

                          Also hast Du nur pfSense als Router und das Geraffel davor ist im Prinzip nur die Anpassung an die Leitung mit Auskopplung der Telefonie. Alles ist gut

                          Im Prinzip ja, wenn es denn @max2012 schafft, die pfSense richtig zu konfigurieren.
                          Was ich auf Grund seiner Fragestellung aber eigentlich für sehr fraglich halte.
                          Gruß orcape

                          1 Reply Last reply Reply Quote 0
                          • M
                            max2012
                            last edited by

                            @orcape:

                            Also hast Du nur pfSense als Router und das Geraffel davor ist im Prinzip nur die Anpassung an die Leitung mit Auskopplung der Telefonie. Alles ist gut

                            Im Prinzip ja, wenn es denn @max2012 schafft, die pfSense richtig zu konfigurieren.
                            Was ich auf Grund seiner Fragestellung aber eigentlich für sehr fraglich halte.
                            Gruß orcape

                            Ist doch schön, dass du dir Sorgen um meine Konfiguration machst. Echt!
                            Wenn es dir nichts ausmacht, würde ich es gerne mal durchgehen, um sicher zu sein, dass ich nix übersehen habe.

                            Also, ich nutze pfBlockerNG, und habe "deny inbound" auf alle Länder gesetzt! Das habe ich als "Floating rule" einrichten lassen.
                            Da ich aber das eine oder andere durchlassen möchte (wie Port 25/smtp) habe ich eine "Pass"-Regel im "Floating"-Bereich ganz oben mit "Quick"-Status erzeugt.
                            Mein Problem ist nur, dass diese Regel regelmäßig nach unten (ganz unten) landet. Ich bekomme es einfach nicht auf Pos 1 fixiert.
                            Eine Idee, wie ich das lösen könnte?

                            Danke & Gruß

                            Router+Firewall+pfBlockerNG by pfSense 2.2.3 (amd64) on
                            Zotac ZBOX ID41 [Atom D525 @1.8GHz; 4GB Ram; SSD; USB 3.0 Gigabit NIC AX88179]

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator
                              last edited by

                              Also, ich nutze pfBlockerNG, und habe "deny inbound" auf alle Länder gesetzt! Das habe ich als "Floating rule" einrichten lassen.

                              Öhm - warum? Default Deny ist doch eh aktiv, wenn du also kein allow von extern hast (mal von VPN abgesehen) - wozu dann länderspezifisches deny?

                              Da ich aber das eine oder andere durchlassen möchte (wie Port 25/smtp) habe ich eine "Pass"-Regel im "Floating"-Bereich ganz oben mit "Quick"-Status erzeugt.

                              OK, das erklärt das gewünschte oben mit pfBlocker. Aber zwei Dinge die ich unsinnig finde: pfBlocker klemmt in Floating macht ggf. Sinn, hat aber nen anderen Background (ähnlich wie Shaping Regeln). Aber warum wenn du eh nur ein WAN hast dann irgendwelche anderen Port 25 Floating Regeln? Floating ist nur dafür da, ggf. alle oder mehrere Interfaces abzudecken. Wenn du nur 25/tcp annehmen willst, dann kleb dir die Regel aufs WAN wo sie hingehört und gut. Zudem macht ein "pfBlockerNG alle Länder block" absolut keinen Sinn. Damit blockst du ja ggf. ALLES. Auf der pfSense gilt doch eh Default Deny (siehe oben), deshalb ist so eine Regel IMHO Unsinn. Es würde jetzt eher Sinn machen, ggf. spezifische Länder zu blocken um bspw. keine Mails von SMTP Servern anzunehmen aus deren Ländern du nichts erwartest oder möchtest. Ist bei Mail aber wieder so eine Sache - woher weiß ich welchen Weg die Mail durch Relays nimmt.

                              Eine Idee, wie ich das lösen könnte?

                              Ja siehe oben. Weg mit den Floating Regeln, du hast keine multiplen WANs und auch m.E. sonst keinen sinnvollen Grund, die Regeln in "Floating" zu hängen. Das sind incoming WAN Regeln. Und dort sauber sortiert wird das auch Sinn machen. Aber doppelt Blocken macht hier gar keinen Sinn.

                              Grüße
                              Jens

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • M
                                max2012
                                last edited by

                                @JeGr:

                                Ja siehe oben. Weg mit den Floating Regeln, du hast keine multiplen WANs und auch m.E. sonst keinen sinnvollen Grund, die Regeln in "Floating" zu hängen. Das sind incoming WAN Regeln. Und dort sauber sortiert wird das auch Sinn machen. Aber doppelt Blocken macht hier gar keinen Sinn.

                                Danke für deine Bemerkung. Habe ich wieder was dazu gelernt.
                                Ich bin aber nicht ganz davon überzeugt, dass das alles "unsinnig" ist, was ich da mache.
                                Vielleicht weißt du nur noch nicht, was ich will, weil ich es auch noch nicht so dargelegt habe!?
                                Also, es ist so: ich erlaube und möchte Mails erhalten.
                                Aber definitiv möchte ich keine Mails von bestimmte Länder/Regionen, wie zB Indien, Korea, Japan, etc.
                                Von andere Länder/Regionen will ich aber auf jeden Fall Mails erhalten.
                                Also dachte ich mir, pfBlockerNG hilft mir die Länder ausfindig zu machen, um dort alles zu blockieren, was reinkommt.
                                Bei andere Länder darf zwar smtp(25) rein, aber der Rest auch nicht.

                                Wie würdest du das machen?

                                Gruß,

                                Router+Firewall+pfBlockerNG by pfSense 2.2.3 (amd64) on
                                Zotac ZBOX ID41 [Atom D525 @1.8GHz; 4GB Ram; SSD; USB 3.0 Gigabit NIC AX88179]

                                1 Reply Last reply Reply Quote 0
                                • JeGrJ
                                  JeGr LAYER 8 Moderator
                                  last edited by

                                  Also, es ist so: ich erlaube und möchte Mails erhalten.
                                  Aber definitiv möchte ich keine Mails von bestimmte Länder/Regionen, wie zB Indien, Korea, Japan, etc.

                                  Und woher nimmst du die konkrete genaue Angabe, dass du absolut keine Mails von dort bekommen willst? Woher weißt du, dass bspw. durch einen lokalen/kontinentalen Ausfall eines Dienstes dieser über eine andere Geolokation sendet? Das ist ja unter anderem der Sinn von Internet und seinem Routing. Dass der Weg nicht vorgegeben ist. Und das gilt hier auch bei Mails, einem der ältesten Protokolle. Wenn jetzt - bspw. - Windows Live Mail Western Europe ausfällt und die dann - um möglichst geografisch nahe zu bleiben - die Mails via Ost Europa senden, du aber bspw. die Länder geblockt hast? Gibts keine Mail. Obwohl du die vielleicht haben möchtest.
                                  Das war meine Aussage. Man kann eben bei Diensten, die man "anbietet" - und da gehört indirekt dann der eigene Mailserver dazu - nur mit Abstichen solche krassen Aussagen treffen. Vor allem wird es dann bei Fehlersuche lustig, warum Mail x nicht lief und nach viel Debugging kommt dann raus - ups Land geblockt.

                                  Aber gut, dass musst du wissen, ob du das möchtest.

                                  Also dachte ich mir, pfBlockerNG hilft mir die Länder ausfindig zu machen, um dort alles zu blockieren, was reinkommt.

                                  Ich habe nicht behauptet, dass es das falsche Tool für Geo-Blocking ist. Ich habe nur in Frage gestellt, ob es für Mails das Richtige ist.

                                  Wie würdest du das machen?

                                  Frei nach der Aussage "Don't be a mail-nazi" im Mailserver. Wo es eigentlich hingehört, auch weil man dann beim Debugging die Firewall oder Routing außen vor hat. Hängt aber davon ab wie stark man beschränken will, kann, warum und in welchem Ausmaß etc.

                                  Wenn du aber unbedingt bspw. mit pfB arbeiten willst, kannst du auch für die Länder, die du nicht möchtest, Alias Listen erstellen und diese dann in deiner Allow Regel mit ! (NOT) Indikator als Quelle angeben. Dann erreichst du das, was du willst, aber wesentlich einfacher zu managen.

                                  Gruß

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.