PfSense Firewall mit Fritzbox von Kabel Deutschland?



  • Hallo Leute,

    ich habe hier wieder mal eine ganz spezielle Anforderung:

    Im Netzwerk befindet sich eine Fritzbox von Kabeldeutschland. Ich möchte direkt dahinter die pfSense setzen (die Fritzbox also nur als Modem nutzen und alle Pakete zur pfSense durchleiten). Ich möchte aber trotzdem das WLAN der Fritzbox nutzen können, die CLients sollen aber über die pfSense nach Außen gehen - ich habe hier irgendwo einen Denkfehler.

    1.png Beschreibt die Situation, (fast) wie es derzeit ist. Fast: weil die pfSense derzeit auf dem ESXI läuft. Damit funktioniert es seltsamerweise auch. Ich habe die Konfiguration kopiert und ein APU Board gekauft und diese dort eingespielt um umabhängig vom ESXI zu sein. Damit sieht die Installation wie auf der Zeichnung aus. Leider habe ich in dieser Konfigurtation bei Downloads alle paar Sekunden (10 - 30) einen Aussetzer, den ich nicht hatte, als die pfSense noch auf dem ESXI platziert war.

    Eigentlich wollte ich das aber sauber trennen und habe deshalb einen Aufbau wie in 2.png gemacht, und der Fritzbox einen eigenen Netzbereich gegeben. Aber auch hier liefen Dinge nicht wie erwartet - ich hatte den Eindruck dass teilweise Daten nicht über die pfSense gelaufen sind…. im WLAN wurden IP Adressen des Bereich 192.168.2.X verteilt (wie gewünscht) - nachdem die Fritzbox aber 192.168.1.X als Netz hat, frage ich mich, ob das so überhaupt funktionieren kann?!
    WLAN sollte von den Clients ganz normal genutzt werden können, die Daten sollen aber über die pfSense laufen!
    Kann mir jemand sagen, was ich hier falsch mache und wie ich es korrigieren kann?

    liebe Grüße,
    CE





  • Hallo,

    hier noch was ergänzt:

    In der Konfiguration von 2.png war Internet verfügbar! Allerdings war es extrem langsam bis Adressen aufgelöst wurden. Egal ob über WLAN oder Kabelgebunden dauerte das Auflösen der Adresse einge Sekunden.
    Das geht in den beiden anderen Varianten ganz normal! (bis auf die Aussetzer in Konfig 1.png)

    lg.



  • Moin,

    die Konfig 1 hat ja Schleifenpotenzial ohne Ende.
    Das kann so nichts werden. Da die 4 Ausgänge der FB wie ein Switch funktionieren (Außer der Gastzugang ist auf dem Port 4 aktiviert)

    Die Konfig 2 sieht da besser aus. Das WLAN wird dir nur Probleme bereiten, da die Geräte vor der Pfsense sind. Das „Bein“ in das WAN ist nach meinem Kenntnisstand nicht in der FB abschaltbar. Somit hat die Pfsense keine Möglichkeit den Traffic zu kontrollieren. Ich empfehle zwingend einen AP hinter der PFsense oder eine WLAN Karte in der PF Sense.

    Gruß
    Keule



  • Moin,

    warum so ein Gefrickel?
    Ein separater Accesspoint ist schon für unter 20€ http://www.heise.de/preisvergleich/tp-link-tl-wr841n-a340658.html zu bekommen. Den mit OpenWRT geflasht, läuft. Wegen Dualband habe ich den C7 vom gleichen Hersteller, OpenWRT rauf, läuft.

    -teddy



  • Hallo,

    Keule: Ja - das mit den Schleifen hat mich eigentlich schon gewundert, dass das in der Variante mit der VA am ESXI funktioniert…. das läuft tatsächlich ohne Probleme... Aber ich will es eben trennen von dem Host.

    Warum die gleiche Konfiguration (1.png) nicht funktioniert, verstehe ich deshalb nicht. (ist komplett Ident zur Variante am ESXI)

    Um das Schleifenproblem zu lösen, wollte ich die FB in einen anderen Netzwerkbereich setzen. Aber in der Konfiguration dauern die Seitenaufrufe ewig!
    Selbst wenn das mit dem WLAN ein anderes Thema ist - es betrifft auch die PCs die Kabelgebunden sind!
    Die Frage ist nur warum?

    Die Anfragen werden zum GW im eigenen LAN geschickt. (pfSense) und die sollte es dann entsprechend an die FB weiterleiten - das sollte eigentlich nichts verlangsamen?

    In der pfSense ist die Firewall so eingestellt, dass man aus dem LAN alles erreichen kann. Demnach kann ich auch die Fritzbox im anderen LAN erreichen. Könnte dabei vielleicht etwas schief laufen?

    Wenn meine Clients im WLAN einen Adressbereich aus meinem LAN bekommen (192.168.2.X) die Fritzbox aber in 192.168.1.X hängt, wird dann trotzdem nicht über die pfSense geroutet? Gehen die Geräte im WLAN den direkten weg über die Fritzbox, obwohl sie als Gateway die 192.168.2.254 erhalten?

    lg. CE



  • @cyberexpress:

    …Aber in der Konfiguration dauern die Seitenaufrufe ewig!...

    Vermutlich weil Dein Switch mit einem Broadcast-storm beschäftigt ist?



  • okay - wie unterbinde ich das?



  • Ich verstehe diese APs einfach nicht.
    Einerseits werbe sie mit 300Mb/s WLAN, andererseits haben sie nur eine 100Mb/s Lan-Schnittstelle.

    OK, von den 300 Mb/s brutto bleiben 25% im Protokoll-Overhead, das sind aber auch nur 75Mb/s.
    Wie passen jetzt die verbleibenden 225Mb/s durch ein 100Mb/s Nadelöhr?  Kopfschüttel
    (dabei bin ich einer derjenigen, die TP-Link Geräte (na gut, Switch) hier im Forum positiv sehen…)



  • @cyberexpress:

    okay - wie unterbinde ich das?

    a) durch korrektes Setup der Geräte und Verkabelung
    b) aktiviere STP/RSTP im gemanagten Switch (was nicht der richtige Weg ist!)

    Nachtrag:
    besorge Dir wirklich lieber einen separaten AP und stelle den dort auf, wo es von der Abstrahlung/Ausleuchtung her Sinn ergibt.
    Vielleicht in 2015 lieber ein aktuelleres Modell. Ich favorisiere für private Installationen gerade die Xclaim wireless Geräte (wenn ich nicht bei eBay einen Ruckus AP erbeute)



  • Servus,

    ich war jetzt mehr auf der Suche nach einem WLAN Modul für das ALIX APU 1D4

    Gibts dazu empfehlungen? Es muss keinesfalls stärker sein als die Fritzbox. Ist nur für den Innenbereich - habe so ein Ding noch nie verbaut. Was kaufe ich am besten und brauche ich noch Antennen dazu?

    Damit sollte ich mein Problem eigentlich lösen können, oder? Damit hängt die Fritzbox am WAN Port der pfSense, der Switch am LAN Port und die Fritzbox selbst ist im anderen Netzbereich … so richtig?

    lg. CE



  • streiche mal das Wort ALIX in dem Kontext, Du hast sicherlich eine APU 1D4. ALIX war der viel schwächere Vorgänger.

    Wenn Du eine WLAN Karte in die APU steckst, dann bedenke, dass FreeBSD erst seit jüngerer Zeit den n-WLAN Standard beherrscht. AC funktioniert gar nicht.
    Und natürlich brauchst Du externe Antennen, oder sitzt Du immer IN Deiner APU während Du im WLAN bist?



  • Moin,

    @jahonix:

    … Vielleicht in 2015 lieber ein aktuelleres Modell. Ich favorisiere für private Installationen gerade die Claim wireless

    von der Webseite: " …Mit dem Xclaim CloudManager, der die leistungsstarke AmazonCloud nutzt, gibt es jetzt einen globalen Verwaltungsdienst für Xclaim Access Points, der folgende Features und Vorteile besitzt..."

    Ist das Management nur über die Cloud möglich? Das wäre für mich ein absolutes KO Kriterium.

    -teddy



  • Weiß ich nicht.
    Konfiguriert wird das Gerät über eine App. Ob die lokal oder via Cloud zugreift muss ich noch testen.
    Die Controller-Funktionen, die sonst (zB bei Ruckus) ein lokaler ZoneDirector übernimmt, werden über die Cloud gemanaged. Zumindest wenn Du mehr als einen AP hast.



  • Moin,

    dann sind sie für mich aus dem rennen, schade.

    -teddy



  • Tach auch,

    @cyberexpress:

    Servus,

    ich war jetzt mehr auf der Suche nach einem WLAN Modul für die APU 1D4

    Gibts dazu empfehlungen? Es muss keinesfalls stärker sein als die Fritzbox. Ist nur für den Innenbereich - habe so ein Ding noch nie verbaut. Was kaufe ich am besten und brauche ich noch Antennen dazu?

    Damit sollte ich mein Problem eigentlich lösen können, oder? Damit hängt die Fritzbox am WAN Port der pfSense, der Switch am LAN Port und die Fritzbox selbst ist im anderen Netzbereich … so richtig?

    lg. CE

    Hallo Hier die aktuelle Hardwareliste von BSD.org
    https://www.freebsd.org/relnotes/CURRENT/hardware/support.html

    Meine Empfehlung:
    Am besten Atheros-Karten verwenden mit Chip 9280 oder 9287 die haben die "Mastermode" Funktion.

    Gruß
    Keule



  • @magicteddy:

    Ist das Management nur über die Cloud möglich? Das wäre für mich ein absolutes KO Kriterium.

    Wie ich gerade herausgefunden habe, funktioniert das Management über die SmartPhone/Tablett App ohne Cloud.
    In der Cloud werden nur optional Management und Controller-Funktionen angeboten.



  • Moin,

    Chris, danke fürs Nachprüfen!

    -teddy


Log in to reply