Wiedermal… Fritzbox 7490 + pfSense
-
Servus erstmal :)
ich wollte ne pfSense in mein Netzwerk implementieren, hab auch schon n bisschen rumprobiert und hier gesucht.
Das ganze ist offensichtlich nicht so einfach wenn die FB DECT und Wlan handeln soll.
Jetzt dachte ich mir, wäre es evtl einfacher, wenn Ich die pfSense nur fürs Lan benutze, ein VLAN zu machen und die da rein zu hängen?
Sprich:
Vlan1: FB ->Switch -> Wlan, DECT
Vlan2: Pfsense ->Switch -> Lan GeräteWäre sowas möglich? Vorallem, kann die FB weiter Internet für die Geräte in VLAN2 bereitstellen?
Oder was wäre die beste Lösung für mich?
Bin ziemlich neu was routing etc angeht, kann auch sein das ich nen Denkfehler irgendwo hab…
Bin für jede Hilfe dankbar.
Merci!
-
Jetzt dachte ich mir, wäre es evtl einfacher, wenn Ich die pfSense nur fürs Lan benutze, ein VLAN zu machen und die da rein zu hängen?
Nein.
Vlan1: FB ->Switch -> Wlan, DECT
Vlan2: Pfsense ->Switch -> Lan GeräteMacht so überhaupt kein Sinn. Warum dazu VLANs verwenden, wenn es eh zwei abgeschottete Netzbereiche sind. Zudem kann die FritzBox kein VLAN Tagging, somit kannst du da auch nicht sinnvoll irgendwelche VLANs benutzen geschweige denn deine WLAN Geräte in ein VLAN packen.
Wenn die FB zwingend weiter WLAN machen soll, hat dein WLAN eben keine sinnvolle Absicherung gegenüber dem Internet, da es im FB-Netz vor der pfSense existiert (192.168.178.x). DECT ist das alles Wurscht, weil DECT nix mit IP am Hut hat.
Das Sinnvollste m.E.n. wäre WLAN anders zu lösen (mit einem anderen Gerät) und da je nach Bedarf ein oder mehrere SSIDs + VLANs einzuführen, aber hinter der pfSense, so dass die das sauber handeln kann. Dazu brauchts dann natürlich auch nen VLAN fähigen WLAN AP und Switch. Da du nichts über die Hardware der pfS schreibst, kann ich dazu nichts sagen.
Oder was wäre die beste Lösung für mich?
Das weiß man nicht, wenn du nicht definierst, was du genau haben willst und zur Verfügung hast.
Grüße
Jens -
Hi Jens,
danke für die Antwort schon mal.
Alles klar, dann liste ich mal… :)
Fritzbox 7490 (Wlan AP, DECT), HP 1810G-24, Pfsense Box (atm ein alter rechner von mir mit AMD X2 Dual core, 2 gig ram, Intel NIC mit 2Gigabit schnittstellen und einer Gigabit onboard schnittstelle).
Dann hab ich noch nen cisco air-ap1252ag-a-k9 hier rumliegen.
Allerdings is das Wlan der Fritzbox durch ne 2. Fritzbox repeatet um das Signal im Haus zu verteilen.
Klar wäre das beste wenn alles hinter der pfSense liegt, allerdings wie gesagt keine Ahnung wie ich das auf dieser Basis realisieren soll.
Gruß,
Ceo
-
Hallo
Du schreibst leider nicht um welches Modell es sich bei der 2ten FB handelt.
Aber eine mögliche Variante wäre, die bisher als Repeater eingesetzte FB im Modemmodus an den DSL-Anschluß zu legen (Repeater-Funktion entfällt) an dieser dann pfsense > dahinter die FB7490 mit Telefonie und WLAN.
Als AP kannst du dann dein cisco air-ap1252ag-a-k9 nutzen aber besser im Bridge-Modus (Kabel) und nicht als Repeater (Kabel verlegen oder dLan nutzen)
LG
Semonia -
An Fritzboxen die ich als Modem benutzen könnte mangelt es mir nicht. Hab glaube ich noch ne 3270 oder so(bin mir nicht sicher, auf jedenfall unterstützt sie vdsl)…
Der cisco AP würde wahrscheinlich von der Reichweite her sogar durchs ganze Haus reichen. Den allerdings in dem Setup konfiguriert zu bekommen scheint mir als Cisco noob etwas schwierig zu werden ^^
-
Der cisco AP würde wahrscheinlich von der Reichweite her sogar durchs ganze Haus reichen. Den allerdings in dem Setup konfiguriert zu bekommen scheint mir als Cisco noob etwas schwierig zu werden ^^
Bei deiner Auswahl an FBen ;) kannst du das gleiche auch mit einer zusätzlichen FB machen. Das Szenario ist relativ einfach egal ob Cisco oder FB. Üngünstig ist nur der Einsatz eines dieser Geräte als Repeater weil dir diese Betriebsart Bandbreite raubt. Aber das ist kein pfSense-Thema. Mit der zuvor genannten Variante FB als Modem > pfSense > FB 7490 (Telefonie, WLAN) hast du jedenfalls eine relativ übersichtlich zu gestaltende Grundkonfiguration, die du später an deine weiteren Bedürfnisse anpassen kannst.
LG
-
Bei deiner Auswahl an FBen ;) kannst du das gleiche auch mit einer zusätzlichen FB machen. Das Szenario ist relativ einfach egal ob Cisco oder FB. Üngünstig ist nur der Einsatz eines dieser Geräte als Repeater weil dir diese Betriebsart Bandbreite raubt. Aber das ist kein pfSense-Thema. Mit der zuvor genannten Variante FB als Modem > pfSense > FB 7490 (Telefonie, WLAN) hast du jedenfalls eine relativ übersichtlich zu gestaltende Grundkonfiguration, die du später an deine weiteren Bedürfnisse anpassen kannst.
LG
Genau, jetzt müsste ich nur wissen wie ich das ganze umsetze. Hab bisher noch nix mit FW geschweige denn mehreren AP's, Routern usw gemacht. Gibts irgendwo nen Guide der beschreibt wie so ein Setup umzusetzen ist?
Wie ich z.b. der Fritzbox sag das jetzt die pfSense die Internetverbindung herstellt und die Fritzbox nurnoch DECT und WLAN machen soll… Wie DHCP dann geregelt wird, über die pfSense oder über die Fbox? Und wenn über pfSense, wie bekommen WLan Geräte ne IP..
Glaub ich hab noch Schwierigkeiten das Gesamtkonzept so einer Hardware Firewall Lösung zu verstehen.
Merci und VG,
Ceo
-
Wie ich z.b. der Fritzbox sag das jetzt die pfSense die Internetverbindung herstellt und die Fritzbox nurnoch DECT und WLAN machen soll… Wie DHCP dann geregelt wird, über die pfSense oder über die Fbox? Und wenn über pfSense, wie bekommen WLan Geräte ne IP..
Glaub ich hab noch Schwierigkeiten das Gesamtkonzept so einer Hardware Firewall Lösung zu verstehen.
Keine Sorge, pfsense ist mir auch ziemlich neu und ich habe vor kurzem erst eine ähnliche Frage gestellt - Antwort mit weiterführenden Links findest du https://forum.pfsense.org/index.php?topic=103783.0 dort.
Mach ein Schritt nach dem anderen und versuche nicht alles auf einem Schlag zu verstehen.
In Bezug auf Fritzbox als Modem musst du etwas auf die installierte Firmware achten, diese Funktion war zwischenzeitlich mal raus, aktuell 6.5 wieder dabei. Infos wie man das macht findest du bei AVM. Diese Gerät wird auch nur als Modem und zu nichts anderem verwendet. (Auch das ist nicht zwingend so, aber mit einer Routerkaskade oder ae. wird das noch mehr Aufwand?
pfSense stell dir am besten wie deine bisherige Fritzbox vor. Die pfSense kann einiges davon besser anderes aber wiederum nicht (Telefonie wie bisher mit der FB) Solange kein anderes Gerät vorrangig DHCP zur Verfügung stellen soll (z.B. Windows Server) macht das nun die pfSense.
Telefonie muss in diesem Fall die FB zur Verfügung stellen, WLAN kann die FB zur Verfügung stellen - kurz gesagt du bindest neben der pfSense nur die Sachen ein die du weiterhin benötigst und sonst nicht über die pfSense laufen können. Deine FB'en werden damit zu Zusatzgeräten degradiert und sind von Ihren eigentlichen Möglichkeiten stark unterfordert ;)Versuche als erstes alles bis zur Telefonie zum laufen zu bringen der Rest lässt sich dann leichter erklären.
-
Verstehe. Lass mich das kurz zusammenfassen, ob ich richtig denke:
WAN -> dummes FB Modem -> pfSense -> FB7490(DECT, WiFi AP) -> Switch
Oder WAN -> dummes FB Modem -> pfSense -> Switch -> FB7490(DECT, WiFi AP)
Und noch zu meiner Frage bezüglich DHCP: Wie bekommen in dem Fall die WiFi Geräte DHCP wenn die FB als AP die nicht verteilt?
Danke für die Antworten und deine Geduld!
Ceo
-
Oder WAN -> dummes FB Modem -> pfSense -> Switch -> FB7490(DECT, WiFi AP)
Und noch zu meiner Frage bezüglich DHCP: Wie bekommen in dem Fall die WiFi Geräte DHCP wenn die FB als AP die nicht verteilt?
Kein Problem … die "oder" Variante würde ich bevorzugen, günstig ist ein Smart-Switch (für VLAN) aber kein muss.
Die FB handhabt das recht einfach in Bezug auf DHCP. Bei anderen Routern müsste man ggf. DHCP-Relay einstellen, das macht die FB aber soweit ich mich erinnere ohne weitere Einstellungen.
Wenn das alles läuft würde ich noch eine Einteilung in Vlan's bevorzugen LAN/WLAN aber das lässt sich alles später richten.
P.S. Wichtig > vorher die IP-Bereiche/Netze planen die 7490 für die ersten Gehversuche so einstellen, das diese auch über DHCP eine IP bezieht, später auf eine feste IP einstellen oder über DHCP reservieren.
-
Thx!
Ich werd das über die nächsten Tage mal probieren und dann zurück reporten.
Bin gespannt, irgendwas wird sicher nicht funktionieren :-)
Greets,
Ceo
-
Moin,
Kein Problem … die "oder" Variante würde ich bevorzugen, günstig ist ein Smart-Switch (für VLAN) aber kein muss.
Der oben erwähnte HP1810G-24 ist eine VLAN fähige Ethernet Mehrfachsteckdose.
Standart IP 192.168.2.10
MfG
HornetX11 -
Bin gespannt, irgendwas wird sicher nicht funktionieren :-)
Nicht so pessimistisch ;)
Oder WAN -> dummes FB Modem -> pfSense -> Switch -> FB7490(DECT, WiFi AP)
Genau so.
Mach es Etappenweise:
-
andere FB als Modem/Router konfigurieren um dein Internet wieder hinzubekommen. Da FBs sehr oft 192.168.178.x als Default Netz haben und dort die .1, würde ich hier WAN der pfSense statisch auf .254 konfigurieren (das ganze Netz als /24). Dann in der FB die pfSense IP (.254) als exposed Host konfigurieren - allen Traffic da reinpumpen (wenn die FB routet) - oder wenn Modem only, dann die pfSense WAN Seite als PPPoe (o.ä.) konfigurieren und einwählen lassen. Wenn das klappt und du Netz hast, weiter:
-
pfSense mit WAN testen. PPPoE oder Routing je nachdem wie in 1). Bei Routing, Default Route auf 192.168.178.1/24, WAN selbst auf .254. Bei PPPoE Daten eingeben, GW wird selbst gesetzt.
-
pfSense VLANs auf dem LAN konfigurieren: 10 für LAN, 20 für WLAN (Beispiel), 30 für Sonstiges (MediaServer, Konsolen o.ä.). VLANs auf dem LAN erscheinen dann als Reiter wie echte Interfaces und sind so zu konfigurieren. Für die bessere Übersicht am Besten IP Netze nutzen, die das VLAN wiederspiegeln (bspw. VLAN 10: 172.22.10.x/24 für LAN, VLAN20: 172.22.20.x für WLAN usw.). Hier dann auch nach Bedarf DHCP Server konfigurieren wie benötigt.
3a) Für jedes VLAN jetzt noch Outbound NAT Regeln einrichten, sonst klappt keine Kommunikation mit dem Netz
3b) Dito natürlich auch Firewall Regeln von VLAN XY nach Internet/Any-
HP1810 konfigurieren: VLANs anlegen, der Port zur pfSense bekommt alle nötigen VLANs tagged und keinen untagged, die übrigen Ports je nach Gerät was dranhängt untagged das VLAN. Bspw. der Port zur FB 7490 dann VLAN 20 für WLAN, Port zu einem LAN PC VLAN 10 usw.
-
Ne Kiste anschließen und schauen ob sie ne IP bekommt, aus dem richtigen Netz etc. und ins Internet kommt.
Das wars sp ungefähr. :)
-
-
Das is mal ne Anleitung ;D
Vielen Dank für die Mühe. Werd das ganze die Tage mal ausprobieren.
Is ne ganz schöne Aufgabe, hab bisher weder was mit VLANs noch mit NAT oder Routen gemacht.
Wenn ich die pfSense jetzt PPPoe Einwahl handeln lass und dem WAN interface sagen wir die 192.168.1.254 gebe, wäre dass dann mein Standard Gateway oder wäre das dann das LAN interface mit bspw 192.168.1.1?
Wahrscheinlich kriegt das WAN interface ja n eigenes Gateway vom ISP oder?
Merci nochmal! Werds versuchen! :D
PS: Frohe Weihnachten :)
-
Moin,
Wenn pfSense die PPPoE Verbindung herstellt gibst Du dem WAN Interface keine IP, das nimmt Dir freundlicherweise der ISP ab ;)
Wenn Dein LAN Interface der pfSense die 192.168.1.254 von Dir bekommt ist das dein Gateway für Dein Netz am LAN Port der pfSense und normalerŵeise auch dein DNS.Bau keine Geschichten mit dem gleichen Netz auf 2 Interfaces der pfSense! Das wäre bei WAN 192.168.1.254 und LAN 192.168.1.1 der Fall!
-teddy
-
Ah jetz versteh ichs. Merci!!!
-
Wenn Dein LAN Interface der pfSense die 192.168.1.254 von Dir bekommt ist das dein Gateway für Dein Netz am LAN Port der pfSense und normalerŵeise auch dein DNS.
Bitte kurz mal innehalten :)
Wenn die pfSense PPPoE macht, wählt sie sich mit Zugangsdaten via Modem beim Provider ein und bekommt dann via DHCP artigem Mechanismus alles gepusht was sie braucht: DNS, Gateway etc.
Auf dem LAN oder anderen LANs wird KEIN Gateway konfiguriert. Niemals nicht. Das einzige Mal, dass du ein Gateway auf einem Interface brauchen wirst, WEISST du, dass du es brauchst ;) Steht auch so oder so ähnlich bei der Einstellung dabei: im Normalfall wird kein Gateway bei einem Interface gesetzt, es sei denn du weißt ganz genau was du tust und warum du es brauchst. Dein Standard Gateway wird nur auf dem WAN definiert, sonst nirgends. Und bei PPPoE geht das automatisch.
Andernfalls hat Teddy absolut recht: NIE zwei gleiche IP Netze auf verschiedenen Interfaces des Routers verwenden. BÖSE böse böse! :D
-
Alles klar :D :D
-
Eine weitere Frage…
Durch den Umzug meiner Hardware brauch ich jetzt noch nen DECT Repeater... Würde es da irgendwelche Probleme geben bezüglich dem was ich vor habe?
Gruss,
Ceo
-
Der DECT Repeater hat doch mit dem Rest der Netzwerkinfrastruktur nichts zu tun? DECT ist doch eine ganz andere (Funk)Baustelle?
