Pfsense hinter FB 7490 -> WLAN der FB nutzen?



  • servus,

    sorry für die mit sicherheit x-te anfrage, aber eine längere recherche im netz ergab nicht nützliches für mich…leider.

    grundkonfiguration:

    WAN -> fb 7490 (192.168.x.x) -> pfsense (172.x.x.x)-> clients(LAN)

    sicherlich kommt dem einen oder anderen das argument: hol dir ein moden und setze die fritte hinter pfsense...
    wenn ich die fritte "nur" als wlan-ap und für voip nutzen wollte, wäre das mit sicherheit eine alternative.

    aber a) habe ich nicht vor noch ein extra modem zu setzen, und b) benötige ich features der fritte wie gast-wlan etc.

    daher die grundlegende frage: wie kann bei ausgangskonfiguration die wlan-funktionalität der fritte weiter genutzt werden?

    ein bekannter von mir (ipcop-nutzer) meinte, einfach eine static-route vom LAN der fb auf das netz des pfsense zu setzen (DHCP vom pfsense)...

    WAN -> fb 7490 (192.168.x.x) -> pfsense (172.x.x.x)-> clients(LAN)
                            |                                    |
                            -----------ROUTE?--------

    inwieweit ginge dies? logisch kann ich es nämlich nicht ganz nachvollziehen...

    man möge mir vergeben, wenn ich passende threads nicht via sufu gefunden habe...aller anfang ist eben schwer...
    danke für euer verständnis... :)

    beste grüße, maddis



  • Vielleicht wäre es besser, wenn du kurz das "etc." (also die von dir benötigten Fritzbox-Funktionen) einmal kurz auflistest, damit man schauen kann wie die Konfiguration später am sinnvollsten wäre.

    Nach meinen bisherigen Erfahrungen mit vorgeschalteten Routern / Double-NAT und ähnlichem würde ich eher dazu tendieren, die pfSense tatsächlich mit einem eigenen Modem und PPPoE die Einwahl durchführen zu lassen. Das hat den grossen Vorteil, dass du direkt über die Firewall alles notwendige konfigurieren kannst und keine Probleme mit Port-Weiterleitungen, Routen oder Sonderkonfigurationen entstehen. VOIP und WLAN-AP lassen sich an der Fritzbox auch hinter der pfSense nutzen, DHCP für WLAN-Clients funktioniert natürlich ebenfalls. In Sachen Gast-WLAN tendiere ich zu einem Freifunk-Router (z.B. einem TL-WR841N für 15,00 EUR) - dann hast du nur einmaligen Installationsaufwand, deine Gäste brauchen kein Kennwort und das Problem der Störerhaftung existiert nicht mehr. Die "Kindersicherung" der Fritzbox kann man auch über die pfSense abbilden, unter anderem in Verbindung mit den zeitgesteuerten Rules. Aber wie gesagt, das wäre jetzt nur meine persönliche Meinung :-)



  • danke erstmal der schnallen antwort.

    primär geht es mir tatsächlich erstmal darum, die wlan-funktionalität der fb weiter zu nutzen, sowie auch ein gast-wlan über die fritte zu steuern und dieses einfach via fritz-phone (ich bin hardwareseitig etwas avm-geschädigt) zu schalten, ohne anderweitige hardware zu verbasteln…
    letzteres (gast-wlan) geht leider nur, wenn die fb auch die internetverbindung aufgebaut hat...

    daher die frage nach der sinnhaftigkeit einer "static route" in der fritte, und inwieweit diese "sinn" macht.

    so in der art (text von einem anderen board geklaut):

    Die Fritzbox hat die IP Adresse 192.168.1.1 und stellt die Verbindung zum Internet her.
    Die IPCop hat auf der roten Karte (Internet) die IP 192.168.1.2. Die grüne Karte (internes Netz) hat die IP 10.1.1.1

    In der Fritzbox habe ich bei IPv4-Route diese Route eingetragen:
    Netzwerk 10.1.1.0 Subnetzmaske 255.255.255.0 Gateway 192.168.1.1

    DHCP ist in der Fritzbox deaktiviert. Die Clients bekommen die Adresse per DHCP von der IPcop.
    Wireless-Clients verbinden sich mit dem WLAN der Fritzbox und erhalten eine IP aus dem 10.1.1.0 Netz.

    die lösung scheint mir aber iwi zu simpel, und würde (so befürchte ich) vermutlich den pfsense obsolet machen…
    ich kann natürlich das lan zwischen fritte und pfsense auf genau zwei clients begrenzen, somit würde ja, wenn ich recht bin, jedweder verkehr dennoch über pfsense gehen,oder...?

    und die funktionalität der fritte wäre gewährleistet, oder sehe ich das falsch...?

    gruss maddis


  • LAYER 8 Moderator

    grundkonfiguration

    An der ist erstmal nichts SO verkehrt, bis auf die Tatsache, dass es mit dem WLAN der FB eben nicht gut ist. Mitunter lässt sich das aber eben nicht anders realisieren (sh. KabelFB bspw.)

    wenn ich die fritte "nur" als wlan-ap und für voip nutzen wollte, wäre das mit sicherheit eine alternative.

    Evtl. wäre es eine Alternative aber auch VoIP kann da böse reingrätschen, deshalb ist an sich erstmal nichts böse, das VoIP vor der pfSense abzukaspern. Auch ein GästeWLAN finde ich da besser aufgehoben als in meinem "sicheren" LAN, was weiß ich was der Gast für komische Sachen treibt!?

    aber a) habe ich nicht vor noch ein extra modem zu setzen,

    Muss ja nicht immer gleich ein extra Modem sein. Vielfach gammeln einfach auch noch andere alte FB rum oder man hat noch andere Hardware, die das übernehmen kann. Prinzipiell macht es schon Sinn. Ich hatte bspw. lange (gezwungen) 2x FB im Einsatz, einmal mit VoIP + GästeWLAN vorne (KabelBox) und einmal hintendran für gebridgtes WLAN im internen LAN.

    b) benötige ich features der fritte wie gast-wlan etc.

    Wenn das aber dein einziges Kriterium ist, dann würde ich dazu raten für ordentliches WLAN lieber nen eigenen AP hinzustellen (den du dann auch besser positionieren kannst für optimale Ausleuchtung) und bei gutem Kauf kannst du den dann auch noch ggf. mit OpenWRT o.ä. ausstatten um VLANs machen zu können. Dann kannst du dein Gäste WLAN richtig ordentlich aufbauen und brauchst die Fritte vorne nur noch für VoIP und DSL.

    daher die grundlegende frage: wie kann bei ausgangskonfiguration die wlan-funktionalität der fritte weiter genutzt werden?

    kurze Antwort: gar nicht

    ein bekannter von mir (ipcop-nutzer) meinte, einfach eine static-route vom LAN der fb auf das netz des pfsense zu setzen (DHCP vom pfsense)…

    Das ist quatsch. Eine statische Route bringt dir erstmal überhaupt nichts, außer dass du der FB erzählst, welches Netz hinter deiner pfSense läuft. Mit der Info allein kann sie aber nichts anfangen. Klar, deine WLAN Clients an der FB die in einem ganz anderen Netz dann stehen könnten theoretisch dann mit den Geräten im LAN sprechen. Dafür müsstest du das aber auf dem WAN der pfSense erlauben. Was aber wieder bedeutet, dass du deine Sicherheit vom LAN schwächst bzw. Löcher bohrst wo du eigentlich keine brauchen solltest. Das will man eigentlich nicht.

    letzteres (gast-wlan) geht leider nur, wenn die fb auch die internetverbindung aufgebaut hat...

    Nö, das geht immer. Muss nur richtig konfiguriert werden. Ist aber bei dir eh irrelevant, da die Box ja hier die Verbindung eh aufbaut. Zudem das Fon nichts anderes macht, als die WLAN Funktion an/aus (bzw. beim GastWLAN).

    die lösung scheint mir aber iwi zu simpel, und würde (so befürchte ich) vermutlich den pfsense obsolet machen...

    Obsolete nicht, aber ich bau mir doch keine Firewall hinter die FB wenn ich die dann eh wieder mit dem WLAN Gedöns vornedran ausheble ;) Also Sinn macht es eben m.E.n. keinen großen. Ja es ist vielleicht "bequem" aber nicht toll.

    ich kann natürlich das lan zwischen fritte und pfsense auf genau zwei clients begrenzen, somit würde ja, wenn ich recht bin, jedweder verkehr dennoch über pfsense gehen,oder...?

    Nein kannst du nicht. Das Netz zwischen Fritte und Sense ist zwar nur ein Transfernetz für die Sense, aber wenn du WLAN brauchst auf der Fritte dann muss das auch noch in dem Netz Clients haben. Wenn du das aber auf /30 setzt, können da keine Wireless Clients mehr rein.

    und die funktionalität der fritte wäre gewährleistet, oder sehe ich das falsch...?

    Welche? Routing/DSL Einwahl? Ja. Aber wenn du da unbedingt WLAN (für Gäste) machen willst, reicht das nicht.

    Auch wenn dus vielleicht nicht machen möchtest, wäre der beste Weg IMHO sich ne Kiste wie bspw. den Archer C7 von TP-Link zu besorgen und den als WLAN AP ins LAN hinter die pfSense zu packen. Vorn auf der Fritte lässt du das Netz auf /24 und packst die pfSense auf .2 oder .254. DHCP bleibt an und dein Gäste-WLAN konfigurierst du auf der FB. Dann kannst dus einfach per Telefon an/aus schalten. Gast Clients tauchen dann per DHCP im Transfernetz neben der pfSense auf und gehen brav über die Fritte ins Internet (können da dann auch noch limitiert werden etc.). Mit einem Klick ist da vorne dann aber auch wieder Ruhe und WLAN aus.
    Den anderen AP baust du dir sauber ins LAN ein und hast damit schnelles WLAN in deinem LAN Segment und ordentlich abgeschirmt.

    Gruß



  • danke der sehr ausführlichen antwort und die entscheidungshilfe… :)

    es wird auf einen zusätzlichen PoE WLAN-AP im netz hinter der pfsense hinauslaufen, was final betrachtet die unkomplizierteste lösung ist.
    mal schauen welche geräte da so empfohlen werden.

    im das web-if der fb aus dem lan zu erreichen hatte ich hier auch schon eine art howto gefunden.

    danke, maddis



  • Moin,

    wenn Du das Gästenetz im WLan ganz einfach abfrühstücken willst und gleichzeitig natürlich Dein privates WLan nutzen willst: Ubiquiti AP Lite. Bedingung: Du hast die Möglichkeit 2 VLans tagged zum AP, entweder mit einem managed Switch oder an einem freien Lan Port von pfSense. Die Controllersoftware für den AP brauchst Du nur zum Einrichten und für Aktualisierungen, den Rest wickelst Du komplett auf Deiner pfSense ab, Du kannst stressfrei getrennte Regeln für die Netz festlegen, einen zugriff vom privatem WLan aufs LAN definieren, per Captive Portal eine Vorschaltseite mit kontrolliertem Zugang, …
    Die APs haben auch eine Gastnetzfunktion dazu muss die Controller Software aber dauernd laufen, das habe ich nicht getestet da ich im Lan schon ein Gastnetz für Fremdgeräte eingerichtet hatte habe ich das WLan Gastnetz dort mit angebunden.
    Praktisch ist auch die Möglichkeit eine SSID zeitgesteuert automatisch ein- und abzuschalten, wie von Geisterhand tauchen die Kinder plötzlich auf  8). Maximal 4 SSIDs sind je Unifi AP möglich.

    Eigentlich hatte ich mir den Unifi AP nur als Spielzeug geholt um ihn kennenzulernen ganz schnell war der Archer C7 offline, die Funkabdeckung mit dem Unifi ist besser als mit dem Archer C7.

    -teddy



  • ihr werdet lachen, aber ein UAP-AC-LITE ist gerade vorhin geordert und schon auf dem weg zu mir. :)
    das gast-wlan werde ich aber wohl vorerst von der fb managen, da simpel via fritzfon zu aktivieren/deaktivieren.

    die vlan-geschichte werde ich mir später sicher mal zu gemüte führen, step eins ist jetzt aber erstmal die firewall in betrieb zu nehmen.
    und wenn der AP wirklich so gut ist in sachen abdeckung, kann ich endlich meinen fritz-powerline 546E deaktivieren.

    gruss maddis


Log in to reply