Fritz!Box 7412 als nachgeschalteter Router an pfSense

Mitglied: vafk18
Hallo,

ich möchte ein neues Netzwerk 192.168.4.0/24 für meine Besucher einrichten, wo sie im Internet surfen dürfen aber nicht zu meiner Infrastruktur Zugang erhalten. Dazu habe ich meine ausgemusterte Fritz!Box 7412 ausgegraben und diese zum Leben erweckt.

Ich bin gem. der Anleitung https://ittweak.de/router-kaskade-schutz-des-eigenen-netzwerks-wegen-iot ... vorgegangen. Da die im Netzwerk 192.168.4.0/24 liegende FB7412 nach dem Abschalten des DSL Modems nicht über den WAN-Anschluß, sondern über den LAN-Anschluß mit der vorgeschalteten pfSense im Netzwerk 192.168.3.0./24 verbunden wird, komme ich vom "sichtbaren" 192.168.4.0/24 aus ins Internet, zugleich aber auch in das "verschleierte" 192.168.3.0/24, was nicht gewünscht ist.

Da ich von der im 192.168.3.0/24 liegenden pfSense nichts ins 192.168.4.0/24 Netz komme, verstehe ich, daß es damit zusammenhängt, daß die FB7412 hinter der pfSense liegt und nicht davor.

Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.

Content-Key: 1381648480

Url: https://administrator.de/contentid/1381648480

Ausgedruckt am: 27.10.2021 um 07:10 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.10.2021 um 18:50:39 Uhr
Goto Top
Zitat von @vafk18:

Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.

Moin,

Geht nicht, zumindest mit der Standard-AVM-Firmware. Mach Freetz drauf und schon kannst Du alls per iptables regeln. Oder kauf Dir für 20€ einen Mikrotik HAP/HEX, mit dem das in 5 Minuten erledigt ist.

lks
Mitglied: em-pie
em-pie 12.10.2021 um 19:35:28 Uhr
Goto Top
Moin,

Was hast du denn an Hardware verfügbar?

Ich würde da ein (VLAN-) Interface an der pfSense anlegen, mit einer IP 192.168.4.254/24. dort dann die Fritte dran und gut.

Über die pfSense wird dann alles reglementiert. Fertig.
Mitglied: erikro
erikro 12.10.2021 aktualisiert um 20:52:17 Uhr
Goto Top
Moin,

prinzipiell falscher Aufbau. Was Du willst, ist eine DMZ, in der Deine Freunde, Bekannten und Verwandten surfen können, aber auf keinen Fall auf Dein lokales Netz zugreifen und z. B. Deinen Server sehen. Du willst das so machen:


Wie Du siehst, wird der Verkehr der anderen durch Dein zu schützendes Netz geleitet. Richtiger Aufbau:


Jetzt geht der Verkehr der anderen nicht mehr durch Dein Netz.

Dazu braucht es noch nicht einmal ein weiteres Gerät. Vorausgesetzt die Hardware ist vorhanden, kann man das auch so machen:


Dann brauchst Du nur noch zu sagen, dass der Router vom VLAN10 und VLAN20 ins Internet routen soll, aber nicht vom VLAN20 ins VLAN10 und umgekehrt.

Liebe Grüße

Erik
Mitglied: vafk18
vafk18 13.10.2021 um 00:36:57 Uhr
Goto Top
@Lochkartenstanzer
Ich bin gerade am Freetz-Image "backen" - läuft nun seit einer halben Stunden und ich bin gespannt, ob und wie es wird. Ein Mikrotik HAP/HEX Router ist ein guter Tipp. Das kannte ich noch nicht. Werde ich auf meine nächste Einkaufsliste setzen. Danke!

@em-pie
Die vorgeschlagene Lösung werde ich morgen mit meiner pfSense testweise umsetzen. Diese läuft auf einem recht guten Einplatinencomputer mit Intel J1900 und 4GB RAM, den ich vor der Krise für rund 100 Euro in China gekauft habe. Mittlerweile kosten diese Computer das Doppelte...

@eikro
Auch Dir danke für den Tipp. Um das umzusetzen, muß ich auf der pfSense zwingend mein bestehendes Netzwerk ebenfalls als VLAN anlegen oder geht es, daß nur das Gäste-WLAN über VLAN geht?
Mitglied: aqui
aqui 13.10.2021 aktualisiert um 09:28:10 Uhr
Goto Top
Du hast die FritzBox falsch konfiguriert ! Wenn sie nur als dummer, einfacher WLAN Accesspoint arbeiten soll darf sie NICHT mit dem WAN Anschluss in das Gastsegment der pfSense verbunden werden sondern mit dem LAN Anschluss !!
Mit dem WAN Anschluss routet sie und macht NAT (Adress Translation) und stellt dann immer eine einseitige Verbindung her durch die aktive NAT Firewall was du ja nicht willst.
In jeden Falle ist es zwingend dafür auf der pfSense ein separates Interface zu generieren, da mit dieses Netzwerk vollkommen getrennt ist von deinem Privaten.
Wenn du nur ein einziges lokales LAN Interface zur Verfügung hast löst du das mit VLANs, was dann allerdings einen kleinen 20 Euro VLAN Switch erfordert:
https://administrator.de/tutorial/vlan-installation-und-routing-mit-pfse ...
bzw.
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...

Viel sinnvoller ist es aber statt der FritzBox einen MSSID fähigen AP zu verwenden. Sprich einen der mehrere WLANs aufspannen kann. So kannst du mit einer einzigen WLAN Hardware mehrere Netze bedienen wie bei dir dein Privates und dein Gastnetz.
Dieses simple Praxisbeispiel erklärt dir die einfache Umsetzung:
https://administrator.de/tutorial/vlan-installation-und-routing-mit-pfse ...

Dieses Tutorial beschreibt dir das genaue WIE für die FritzBox als AP:
https://administrator.de/tutorial/kopplung-von-2-routern-am-dsl-port-487 ...
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...