fruppy
Goto Top

Tipps gesucht - Pfsense hinter Fritz 6490 Cable und VLANs

Hallo zusammen,

ich plane mein Heimnetz umzustellen wie auf der beigefügten Grafik:

annotation 2020-03-26 215942

- FritzBox Cable zum Internet (Ex-Unitymedia Vodafone NRW, mit echter IPv4-Adresse+IPv6 - als Zusatzoption am Anschluss extra gebucht)
- Pfsense als Router auf einer APU mit 3 Ports
- Dahinter weitere Fritzbox im Routermodus (mit Repeater über LAN-Brücker für Mesh-Netz - läuft prima mit 1a Netzabdeckung + "Roaming")
- VLAN-Switch noch nicht angeschafft, aktuell noch ein normaler Switch 8-Port
- Synology als Heimserver, auf welchem mehrere Docker-Container laufen (macvlan noch nicht eingerichtet, aber das geht wohl recht problemlos)
- Jede Menge weitere Netzwerkclients

Leider hänge ich nach schon ausführlicher Lektüre vieler Tutorials fest und bekomme es nicht zuende eingerichtet.

Was ich schon hinbekommen habe:
- Pfsense, die alles über's VPN schickt
- Fritzbox-Pfsense-Fritzbox Kaskade mit Doppel-NAT
- Fritzbox Bridge-Modus freischalten (war vorher im "versteckt" und musste freigeschaltet werden)

Was noch nicht läuft:
- VLANs auf der pfsense
- pfsense mit Traffic eines VLAN über VPN und anderes VLAN direkt ins Netz
- Fritz-Box im Bridge Modus: die Fritzbox scheint sich die IPs zu schnappen und/oder die pfsense bekomme ich nicht richtig eingerichtet

Ich bin offen für Modifikationen des Set-ups, andere Hardware/Software (ich weiß, Fritzbox... aber das Mesh funktioniert so schön und ich hatte sie schon) oder auch pfsense gegen eine andere Firewall auswechseln (OPNsense, Sophos), sonstige Vorschläge. Einfaches Handling und Wartung ist mir auch Geld Wert. Vielleicht Unify? Firewalla Gold ? (leider erst im Juli erhältlich). Normalerweise gelingt es mir, mich auch in komplexere Materie einzulesen, aber hier komme ich mit meiner zur Verfügung stehenden Zeit leider schon länger nicht weiter.

Wenn ihr Tipps habt, entweder in Form von konkreten Konfigurationsvorschlägen, oder Links auf Tutorials, bin ich sehr dankbar.

Danke schon jetzt,
Frank

Content-Key: 561112

Url: https://administrator.de/contentid/561112

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 26.03.2020 aktualisiert um 23:18:02 Uhr
Goto Top
Das hiesige VLAN Tutorial beantwortet alle deine Fragen dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Was in solchen Kaskaden zu beachten ist mit einem NAT Router beschreibt dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Solange du die Finger von Unify lässt ist an dem Konzept gar nichts auszusetzen und du hast alles genau richtig gemacht.
Firewall zu tauschen ist natürlich Quatsch, denn die anderen machen ja auch nix anderes !
Alles gut also ! face-wink

(P.S.: Habt ihr euch bei der Erstellung des Threads abgesprochen ?: face-wink
OPNSense hinter Fritzbox )
Mitglied: fruppy
fruppy 26.03.2020 um 23:24:24 Uhr
Goto Top
Hi Aqui,

Danke für die Links! Was meinst Du mit Finger von Unify lassen? Sieht mir nach einer sehr komfortablen Sache aus, wenn man die paar hundert Euro investiert.

Mit dem anderen Thread hab ich tatsächlich nichts zu tun, aber sehr nah dran! face-smile

Frank
Mitglied: aqui
aqui 26.03.2020 aktualisiert um 23:29:11 Uhr
Goto Top
Nein, das ist ein Irrtum. Proprietäre Software zum managen und überall benötigst du einen proprietären Controller und landet damit in einem Vendor Lock. Gruseliges Konfig CLI. Kann man nur dringenst von abraten.
Nebenbei ist das ein WLAN Hersteller mit entsprechend wenig KnowHow im Switch und Router Umfeld. Im Gegensatz zu den WLAN Produkten sind Router und Switch zugekaufte OEM Billigware mit entsprechender Performance die nur umgelabelt ist also nichtmal was Eigenes von denen.
Das können andere wie Mikrotik, TP-Link, Cisco, Zyxel, NetGear und die anderen üblichen Verdächtigen im Billigsegement weitaus besser.
Mitglied: 142583
142583 27.03.2020, aktualisiert am 28.03.2020 um 11:50:47 Uhr
Goto Top
Mikrotik, TP-Link, Cisco, Zyxel, NetGear setzen ebenfalls auf prioritäre Ökosysteme.

Das grundlegende Know How basiert auf Vyatta und der Code der mit den ASICS und SOCs von den OEMs kommt ist auch der selbe, wie der des teuersten Switches der Welt. Die CLI ist Industriestandard.

Die Switches sind Non-Blocking, heißt die Summe der Frontside-Ports ist nicht größer als die Forwarding-Leistung der Backbone.

Warum er immer wieder diese Märchen erzählt und warum niemand das merkt oder sich daran stört, dass ist bemerkenswert. Ich gehe davon aus, dass zu dem ausgedachten Teil du e gehörige Portion vorsätzliches Unwahrheit sagen kommt.
Mitglied: scriptorius
scriptorius 27.03.2020, aktualisiert am 28.03.2020 um 11:55:10 Uhr
Goto Top
Warum er immer wieder diese Märchen erzählt und warum niemand das merkt oder sich daran stört, dass ist bemerkenswert. Ich gehe davon aus,
dass zu dem ausgedachten Teil du e gehörige Portion vorsätzliches Unwahrheit sagen kommt.

Ich finde solche Aussagen unfassbar und keinesfalls hinnehmbar.
Das sind rein persönliche Angriffe und tragen nichts zur Sache bei.

Ein bestes Beispiel für kulturelle Verrohung unserer Gesellschaft.
Und keiner stört sich daran.
Mitglied: 142583
142583 27.03.2020, aktualisiert am 28.03.2020 um 11:56:12 Uhr
Goto Top
Hinnehmbar findest Du, dass Ratssuchende mit einer zur Obsession gewordenen Märchenkampagne, jedes Mal beleidigt werden? Wenn das so ist, dann weiß ich nicht es mit Dir nicht stimmt.

Niemanden ist geholfen, wenn man den Lug und Trug, in einem Forum wie dieses freien Lauf lässt.

Wenn es etwas zur Sache beitragen würde und nur ein Teilen der Wahrheit entspricht, geschenkt.
Mitglied: scriptorius
scriptorius 27.03.2020 um 18:25:36 Uhr
Goto Top
Bleib einfach sachlich und halte Dich an die Regeln des öffentlichen Forums hier.
Deine persönliche Meinung hinsichtlich der Teilnehmer (incl. Deiner Bewertung meiner Person) kannst Du von mir aus in Dein Tagebuch schreiben.
Mitglied: fruppy
fruppy 27.03.2020 um 21:11:44 Uhr
Goto Top
Danke für die inhaltlichen Beiträge und bleibt doch alle freundlich miteinander. Vielleicht schlägt die Quarantäne dem einen oder anderen auf's Gemüt ...
Mitglied: fruppy
fruppy 28.03.2020 aktualisiert um 12:56:43 Uhr
Goto Top
Aqui, ganz vielen Dank für die Hinweise, das ist wirklich klasse.

Ich werde jetzt den pfsense-Weg weiter verfolgen und fühle mich darin bestätigt. Ich denke die pfsense ist einfach unstrittig das stabilste Set-up.

Ubiquiti hatte ich nur im Sinn um evtl. später auch mal VLAN-zuordnung auf WLANs zu machen, das probiere ich vielleicht später, aktuell bin ich mit dem Fritz-WLAN hoch zufrieden.

Um das Set-up umzusetzen will ich meine fehlenden Netwerkkenntnisse in der pfsense erstmal ergänzen. Ich habe mich bis jetzt bei der (funktionierenden) Konfiguration mit Tutorials durchgebracht, muss aber besser verstehen, was ich da eigentlich umgesetzt habe, bevor ich beginne, noch die VLANs draufzusetzen.

Das gilt besonders für die NAT Regeln. Leider bin ich da noch ganz am Anfang!

Vielleicht kannst Du mir helfen, wie ich diese auto-generierten NAT Regeln und um OpenVPN ergänzten Regeln richtig deute?

Meine Fritzbox Cable (siehe Diagramm oben) hat 192.168.0.1/24 als Adressbereich,
meine Fritzbox für's WLAN 192.168.1.1/24 (und die pfsense selbst ist 192.168.1.2).

nat_pfsense
- Aller Traffic vom localhost/pfsense selbst (127.0.0.1/24) und dessen ipv6 (::1/128) equivalent, sowie mein lokaler LAN-Netzbereich (192.168.1.0/24) geht wird raus aufs WAN; wenn ich die Regeln aufklicke, sehe ich: von Source nach any, Translation "interface address".
- Ich habe noch die ganzen Auto-Generierten "ISAKMP" Regeln zusätzlich drin. Diese gleichen den anderen, außer dass als Destination port 500 angegeben ist und "translation static". Wenn ich es richtig verstehe, sind diese Regeln für IPSec-VPN Passthrough autogeneriert worden, was ich nicht nutze. Ich habe sie testweise gelöscht und alles ist noch fine, das werde ich wohl so lassen. Aber verstehen will ich trotzdem, warum waren sie überhaupt nötig, für jemanden der IPSec nutzt? Warum schickt nicht die jeweilige allgemeine "Schwesterregel" sowieso alle Ports weiter? Bedeutet es, dass alle Ports, außer 500 ggf. übersetzt würden wenn das WAN-Interface z.B. Portmapping erfordert? Müsste ich bei Nutzung eines OpenVPN Servers hinter der pfsense (nicht der pfsense-integrierte OpenVPN-Server) hier analog die 1194 so konfigurieren?
- Weiter habe ich für die OpenVPN-Outbound Verbindung alle NAT-Regeln dupliziert. Warum ist es so, dass pfsense nun allen Traffic über mein Outbound-OpenVPN schickt (das ist korrekt so gewünscht und funktioniert auch), obwohl die regulären NAT-Regeln noch unberührt daneben stehen?

Bei den Firewall-Regeln habe ich das hier eingestellt:

firewall_lan_pfsense

1. Regel bewirkt, dass ich immer auf's pfsense admin GUI komme, war default
2. blockt Bogon-netze, war default
3./4. erlaubt LAN-Traffic nach draußen (alles)
5. soll mir erlauben, von innerhalb des Netzwerks 192.168.1.x noch auf die Admin-Seite der Fritz Box Cable (192.168.0.1, am WAN der pfsense) zu kommen. Funktioniert, bin aber nicht sicher, ob das so elegant und sauber ist.

firewall_wan_pfsense

1. blockt Bogon-netze, war default
2. Erlaubt mir, vom Netz der Fritz Box Cable ins lokale Netz zukommen (Admin-Interfaces). Funktioniert, hoffe das ist technisch so auch sauber. Dazu habe ich außerdem ein 1:1 im NAT eingerichtet:

nat11_pfsense

Vermutlich eine Menge "dumme" Fragen, ich will es aber vollständig verstehen. Auch nach Recherche finde ich nicht alle Antworten bzw. möchte sicher gehen, dass ich es auch korrekt interpretiert und eingestellt habe.
Mitglied: Frank
Frank 28.03.2020 um 12:01:44 Uhr
Goto Top
@142583

  • Ich habe die Teile deiner Kommentare entfernt, die gegen unsere Diskussionsregeln verstoßen!
  • Zu behaupten das jemand lügt, kann man am Besten beweisen, wenn man die angebliche Lüge aufdeckt. Mehr als Beschimpfungen habe ich hier aber nicht gefunden. Das ist unprofessionell.
  • Wenn dich was an der Aussage von @aqui stört diskutiere es auf sachlicher Ebene, dann wirst du schnell feststellen, was an deiner Behauptung richtig oder falsch ist. Am Besten ihr macht dazu einen neuen Beitrag (Challenge) auf und zeigt was ihr zu dem Thema könnt und wo das Problem liegt.

Beschimpfungen und Beleidigungen etc. lasse ich hier aber nicht zu.

Gruß
Frank
Webmaster
Mitglied: 142583
142583 28.03.2020 um 13:20:24 Uhr
Goto Top
Dann werde ich meine Kritik etwas subtiler formulieren und auf den Tag warten, bis ein Mod oder Admin das Trollen unterbindet.