136892
Dec 23, 2019, updated at 03:35:51 (UTC)
12837
3
0
Doppeltes NAT verhindern pfSense
Hallo,
ich nutze zurzeit eine FritzBox als Router und möchte dahinter eine pfSense betreiben um mich einfach damit mehr zu beschäftigen.
Die pfSense soll das direkt mit dem Internet kommunizieren da ich auch eine OpenVPN Instanz unter Proxmox laufen habe.
In meiner FritzBox hängen dann keine Geräte mehr außer das Telefon.
Jetzt habe ich gelesen das es anscheinend mehrere möglichkeiten gibt Doppeltes NAT zu verdindern.
1. Hier wurde beschreiben das man eine Statische Route einrichten kann und so die pfSense dirket erreichbar wäre. (Hier wurde es mit einer USG gezeigt)
2. Hier wird beschrieben das man in der FritzBox den Exposted Host aktivieren kan und somit alle Ports weitergeleitet werden. Wäre ja ein Risiko aber ich habe dann ide pfSense als Firewall laufen. Dort hängt jetzt nur das Telefon an der FritzBox...
Was wäre jetzt die Sinnvollere Lösung?
ich nutze zurzeit eine FritzBox als Router und möchte dahinter eine pfSense betreiben um mich einfach damit mehr zu beschäftigen.
Die pfSense soll das direkt mit dem Internet kommunizieren da ich auch eine OpenVPN Instanz unter Proxmox laufen habe.
In meiner FritzBox hängen dann keine Geräte mehr außer das Telefon.
Jetzt habe ich gelesen das es anscheinend mehrere möglichkeiten gibt Doppeltes NAT zu verdindern.
1. Hier wurde beschreiben das man eine Statische Route einrichten kann und so die pfSense dirket erreichbar wäre. (Hier wurde es mit einer USG gezeigt)
2. Hier wird beschrieben das man in der FritzBox den Exposted Host aktivieren kan und somit alle Ports weitergeleitet werden. Wäre ja ein Risiko aber ich habe dann ide pfSense als Firewall laufen. Dort hängt jetzt nur das Telefon an der FritzBox...
Was wäre jetzt die Sinnvollere Lösung?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 529200
Url: https://administrator.de/contentid/529200
Printed on: April 26, 2024 at 07:04 o'clock
3 Comments
Latest comment
Moin,
warum willst Du double NAT verhindern? In vielen Fällen tut das garnicht weh...
Vorschlag 2 arbeitet mit double NAT und läuft hier vollkommen problemlos.
Du könntest die Fritte eventuell zum Modem degradieren, aber dann macht sie keine Telefonie mehr aber auch kein NAT
-teddy
warum willst Du double NAT verhindern? In vielen Fällen tut das garnicht weh...
Vorschlag 2 arbeitet mit double NAT und läuft hier vollkommen problemlos.
Du könntest die Fritte eventuell zum Modem degradieren, aber dann macht sie keine Telefonie mehr aber auch kein NAT
-teddy
Guten Morgen,
Ich hab bei mir die Fritte in den Bridge-Mode versetzt, nach folgender Anleitung hier
Läuft trotz gegenteiliger Meinung im Netz auch noch mit FritzOs 7.10 auf ner 6490
Somit kannst du einen Lanport offen ins Netz stellen mit. Die Pfsense zieht sich dann ne eigene öfftentliche Ip. Telefonie und alle anderen Funktionen laufen auf der Fritte weiter.
Gruss fips
Ich hab bei mir die Fritte in den Bridge-Mode versetzt, nach folgender Anleitung hier
Läuft trotz gegenteiliger Meinung im Netz auch noch mit FritzOs 7.10 auf ner 6490
Somit kannst du einen Lanport offen ins Netz stellen mit. Die Pfsense zieht sich dann ne eigene öfftentliche Ip. Telefonie und alle anderen Funktionen laufen auf der Fritte weiter.
Gruss fips
Die pfSense soll das direkt mit dem Internet kommunizieren da ich auch eine OpenVPN Instanz
Wäre ja eigentlich ziemlicher netzdesigntechnischer Blödsinn denn die pfSense ist ja selber OpenVPN Server. Damit konterkariert man den Sinn einer Firewall, denn es ist doch völlig widersinnig ein Loch in die Firewall zu bohren um ungeschützten Internet Traffic ins lokale Netz zu schleusen und dann noch auf eine so zentrale Komponenten wie einen Proxmox Hypervisor. Man untergräbt damit sein eigens Sicherheitskonzept. Sowas würde ein verantwortungsvoller Netzwerker deshalb niemals frickeln was du da machst.So ein griseliges Konzept musst du einer Admin Community erstmal erklären. Auch jeder Laie weiss ja mittlerweile das man VPNs aus Sicherheitsgründen immer auf der Peripherie terminiert um eben genau DAS was du das frickelst zu verhindern. Sogra AVM macht das so auf den billigen FritzBox Consumer Routern für Oma Grete.
Sicher auch deine eigentlich richtige Intention eine Firewall zu verwenden ?!
Das aber nur mal nebenbei damit du mal über Weihnachten in dich gehst und nochmal besser über die Sinnhaftigkeit deines FW Designs nachdenkst.
Die pfSense soll das direkt mit dem Internet kommunizieren
Dann beschaffst du dir ein reines NUR Modem und schliesst sie so entsprechend an ! Wo ist denn da dein wirkliches Problem ?Das hiesige pfSense Tutorial beschreibt das Thema NUR Modem (kein Router) doch in epischer Breite und prefiert dort aus genau diesen Gründen auch so ein reines Modem Design.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Reine Modems gibt es zuhauf:
https://www.draytek.de/vigor165.html
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
was die hypbriden xDSL Modems anbetrifft für parallel VDSLund ADSL2
Reine ADSL2 Modems:
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
usw. usw.
Punkt 1.
Ja, man kann das NAT abschalten auf der pfSense und dann einfach normal transparent routen ohne NAT. Das Grundprinzip erklärt dieses Forentutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Punkt 2.
Exposet Host ist immer auch doppeltes NAT !!
Exposed Host bedeutet nur das der FB Router ALLE eingehenden Sessions bzw. UDP oder TCP Traffic auf die WAN IP des Routers an die dort angegebene interne IP Adresse forwardet.
Exposed Host ist sinnfrei und auch gefährlich und löst natürlich NICHT das Problem doppeltes NAT.
Einfach mal etwas nachdenken und die Suchfunktion benutzen auch wenn Weihnachten ist...
die Fritte eventuell zum Modem degradieren
Wäre ein gangbarer Weg aber m.W. supporten aktuelle FB Firmwares das schon seit langem nicht mehr.