Konfiguration pfSense als Routing Firewall Only



  • Servus zusammen,

    ich nutze pfSense aktuell an einem 16k Telekom und einem 100k Kabel Anschluss. Am Kabel Anschluss werkelt eine Fritzbox 6360, am Telekom Anschluss ist nur ein Modem vorgeschaltet. pfSense macht die PPPOE Einwahl. Soweit läut alles nun ganz gut und rund.
    Nun bekomme ich am Freitag ein Upgrade am Telekom Anschluss auf 100K mit Vectoring Technologie. Hierzu habe ich mir nun eine Fritzbox 7490 besorgt. Modems mit VDSL Vectoring sind nicht wirklich günstiger. Da ich mittelfristig den Kabel Vertrag auslaufen lasse (Juni 2016), nutze ich auch IPTV über den Telekom Anschluss. Die Fritzbox soll zudem als DECT für die Telefonie genutzt werden.

    Nun bin ich mit pfSense grundsätzlich zufrieden als Management Werkzeug für Routing / Firewall. Die Fritzbox kann ja nur eingehend effektiv firewallen, ausgehend kann man nichts konkret reglementieren. Dies wäre mir aber doch recht wichtig. Die IP Adressverwaltung erfolgt zu 99% auf Basis von statischen Einträgen.

    Wie ich gelesen habe, kann ich die pfSense so konfigurieren, dass ich keinen NAT mehr mache und sie "nur" als Routing Firewall verwende. (Beispiel FB 192.168.1.254, PFSense 192.168.1.253 -> Clients 192.168.1.1-192.168.1.100)
    Meine Idee war, dass ich über die DHCP Konfiguration den Geräten, die nicht durch die pfSense sollen die Fritzbox als Gateway zuweise. Das kann ich ja schick über die DHCP Konfiguration bei statischen Einträgen einstellen. Alle anderen Geräte bekommen die pfSense als Gateway verpasst. Die Ausnahmen die direkt gehen sollen, sind zum Beispiel Konsolen für Online Gaming (Portweiterleitung), zu Beginn vielleicht noch die Media Receiver.
    Die Geräte sind alle in einem Netzwerk verkabelt, wer das Gateway umstellt, kommt direkt raus, das ist mir klar (meine Frau und Kind haben das Know How nicht).

    pfSense soll dann weiterhin "Firewall" spielen, Traffic Shaping für den einen oder anderen Client, DNS und DHCP bereitstellen.

    Was mir noch nicht so ganz klar ist, wie ich das mit den VLANs anstelle / konfigurieren muss, wenn ich vom PC aus, der hinter pfSense ist, per VLC auf die IPTV Streams zugreifen möchte. Hier ist es grundsätzlich gut beschrieben, aber mit PPPOE Einwahl (https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/). Muss ich das genauso machen, nur anstatt PPPOE als normales Interface mit fester IP definieren?

    Habe ich etwas übersehen in meiner Überlegung bzw. Planung was nicht klappt?

    Danke für euere Hinweise und Feedback.

    Grüße
    Sven



  • Fritzbox 7490 ca. 195€
    Vigor130 - DrayTek ca. 110 €
    das wäre schon ein Unterschied da und du hast alle Öffentlichen IP's auf der PfSense. Ist dann einfach sauberer.
    Würde ich so machen.
    Außer du brauchst die FritzBox noch für andere Dinge dann lohnt sich der Aufpreis schon.

    Eine Anleitung für PPPOE hast du ja schon. Wenn du es aber Trotzdem mit der FritzBox machen willst, dann musst du alles in der Konfigurieren, die PfSense hat dann damit ja erst mal nix zu tun.
    Für den IPTV sollte dann die FritzBox als default Gatway eingetragen werden.
    So weit ich weiß gibt es für die FritzBox für IPTV dann auch Assistenten.


  • LAYER 8 Moderator

    Hallo Sven,

    das macht in meinen Augen für keines deiner Szenarios wirklich Sinn:

    1. Wenn du kein Subnetting machst, schließt du die pfSense nur mit einem Interface an, ansonsten müsstest du ja auf jeder Seite das gleiche Netz definieren, was NIE gemacht werden sollte. Damit reduzierst du dann auch den Durchsatz des Interfaces, denn der Traffic müsste raus und rein über die selbe NIC. Unpraktisch
    2. Was die Fritzbox (je nach Box) Firewallen nennt, ist sehr großzügig ausgelegt. Faktisch kann das Gerät nicht wirklich annähernd filtern, sondern NATtet nur und erlaubt dir dann freundlicherweise ein paar Forwards oder alles auf eine IP weiterzuleiten. Wirkliche Regeln kann ich auf einer FB nicht erstellen (außer man bohrt sie mit Freetz und Co wieder auf). Damit "filtern" zu wollen, ist also weit hergeholt
    3. Gateways zuweisen ist sicher kein Problem, den Haken hast du auch schon erkannt, man kann es sehr leicht umgehen. Auch wenn das jetzt deine Frau und Kind nicht können, glaub mir, dein Kind kann es seeeehr bald und früher als du denkst. Youtube machts möglich.
    4. Für Konsolen brauchst du den Schnickschnack gar nicht. Ob die jetzt 1x oder 2x genattet werden ist im Prinzip egal, NAT wirst du nicht wegbekommen. Ergo nutzt es auch nichts, die direkt hinter die FB zu stellen (wozu auch). Ist noch dazu unnötig, da du das Problem wesentlich einfacher lösen kannst, wenn du die FritzBox einfach alles an die nachgeschaltete pfSense weiterleiten lässt (exposed Host) und auf der pfSense für die Konsolen dann den UPNP Service anmachst. Das funktioniert bei uns im Labor problemlos bei Media Kisten wie auch einer PS3/4.
    5. Wenn du Geräte an der pfSense vorbei ins Netz lässt, geht dir die Möglichkeit zum effektiven Traffic Shaping flöten, denn wie soll die pfS sinnvoll shapen wenn sie das gesamte Volumen nicht kennt?
    6. VLANs kannst du hinter der pfSense doch viel sinnvoller nutzen, als wenn du dir Wege an der Firewall vorbei baust. Da verstehe ich deine Planung so überhaupt nicht.

    Grüße



  • Ah wunderbar, danke für euer Feedback.
    Ja, das mit einer NIC, hatte ich gar nicht so im Auge, da hast du natürlich vollkommen recht.
    Wie ich sehe wird mir wohl fast nur ein Doppel-Nat bleiben, ich hatte immer gelesen das wäre nicht so toll.

    Warum ich die FB verwenden möchte hat mehrere Gründe. Sie hat nicht den billigsten aktuellen Preis gekostet, sondern 144€. Ich habe schon mehrere FritzFons. Wenn mal Probleme auftauchen was den Anschluss angeht, habe ich relativ gute und bekannte Ansichtsmöglichkeiten in der FB Administration (DSL Infos, etc.).

    Ich werde es nun mal ausprobieren in den nächsten Wochen, mal sehen zu welchem Schluss ich komme. Im Worst Case kann ich die FB auch als PPPOE Pass Trough verwenden und muss mich wegen Dect anderweitig umsehen.


  • LAYER 8 Moderator

    Wie ich sehe wird mir wohl fast nur ein Doppel-Nat bleiben, ich hatte immer gelesen das wäre nicht so toll.
    Es macht keinen großen Overhead oder Probleme, da du die davor stehende FB ja auf exposed Host schaltest (im Normalfall), somit wird zwar das Paket zweimal umgeschrieben, aber von der Erreichbarkeit her macht das wenig aus.

    Ich habe auch die FritzFONs im Einsatz und bin mit denen in Verbindung mit der Kabel Fritte sehr zufrieden, deshalb bleibt bei mir vor der Firewall (zwangsweise) auch die FB stehen :)



  • Moin,

    ob sinnvoll oder nicht muss jeder für sich entscheiden, ich habe mir den UPNP Krempel im LAN gespart:
    Grundsituation KD Fritte und dahinter pfSense.
    Juniors PS4 wird, via MAC Adresse gleich in ein VLAN verfrachtet was an pfSense vorbei gleich hinter der Fritte hängt.
    Damit kann ich die PS4 zwar nicht filtern, habe aber auch keine Probleme mit UPNP, und sie hat keinen Zugang zum LAN.
    Für die Priorisierung nutz ich die Fritte, die gibt Pakete zur pfSense bevorzugt weiter, Junior muss sich da "hinten anstellen".
    Solange kein ungedrosselter FTP-Upload läuft ist das kein Thema, er ist zufrieden.

    -teddy


  • LAYER 8 Moderator

    Ist auch eine veritable Möglichkeit :) Weshalb aber Probleme mit uPNP? Der Kram springt nur an, wenn die PS3/4 es anfordert, und auch nur dann. Da der Kram im extra VLAN steht, ist das auch kein Beinbruch (IMHO). Aber sonst hast du recht :)



  • Kleine Anmerkung, mit dem Software-Update 6.50 für die FritzBox 7490 vor ein paar Tagen ist auch wieder die frühere Funktion des PPPoE-Passthrough eingefügt worden, mit der auch die FB als Modem verwendet werden kann.



  • Weißt du ob das für andere FritzBox Modelle auch kommt?


Log in to reply