5
Fritz!Box 7412 als nachgeschalteter Router an pfSense
Hallo,
ich möchte ein neues Netzwerk 192.168.4.0/24 für meine Besucher einrichten, wo sie im Internet surfen dürfen aber nicht zu meiner Infrastruktur Zugang erhalten. Dazu habe ich meine ausgemusterte Fritz!Box 7412 ausgegraben und diese zum Leben erweckt.
Ich bin gem. der Anleitung https://ittweak.de/router-kaskade-schutz-des-eigenen-netzwerks-wegen-iot ... vorgegangen. Da die im Netzwerk 192.168.4.0/24 liegende FB7412 nach dem Abschalten des DSL Modems nicht über den WAN-Anschluß, sondern über den LAN-Anschluß mit der vorgeschalteten pfSense im Netzwerk 192.168.3.0./24 verbunden wird, komme ich vom "sichtbaren" 192.168.4.0/24 aus ins Internet, zugleich aber auch in das "verschleierte" 192.168.3.0/24, was nicht gewünscht ist.
Da ich von der im 192.168.3.0/24 liegenden pfSense nichts ins 192.168.4.0/24 Netz komme, verstehe ich, daß es damit zusammenhängt, daß die FB7412 hinter der pfSense liegt und nicht davor.
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
ich möchte ein neues Netzwerk 192.168.4.0/24 für meine Besucher einrichten, wo sie im Internet surfen dürfen aber nicht zu meiner Infrastruktur Zugang erhalten. Dazu habe ich meine ausgemusterte Fritz!Box 7412 ausgegraben und diese zum Leben erweckt.
Ich bin gem. der Anleitung https://ittweak.de/router-kaskade-schutz-des-eigenen-netzwerks-wegen-iot ... vorgegangen. Da die im Netzwerk 192.168.4.0/24 liegende FB7412 nach dem Abschalten des DSL Modems nicht über den WAN-Anschluß, sondern über den LAN-Anschluß mit der vorgeschalteten pfSense im Netzwerk 192.168.3.0./24 verbunden wird, komme ich vom "sichtbaren" 192.168.4.0/24 aus ins Internet, zugleich aber auch in das "verschleierte" 192.168.3.0/24, was nicht gewünscht ist.
Da ich von der im 192.168.3.0/24 liegenden pfSense nichts ins 192.168.4.0/24 Netz komme, verstehe ich, daß es damit zusammenhängt, daß die FB7412 hinter der pfSense liegt und nicht davor.
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1381648480
Url: https://administrator.de/contentid/1381648480
Printed on: April 19, 2024 at 23:04 o'clock
5 Comments
Latest comment
Zitat von @vafk18:
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
Moin,
Geht nicht, zumindest mit der Standard-AVM-Firmware. Mach Freetz drauf und schon kannst Du alls per iptables regeln. Oder kauf Dir für 20€ einen Mikrotik HAP/HEX, mit dem das in 5 Minuten erledigt ist.
lks
Moin,
Was hast du denn an Hardware verfügbar?
Ich würde da ein (VLAN-) Interface an der pfSense anlegen, mit einer IP 192.168.4.254/24. dort dann die Fritte dran und gut.
Über die pfSense wird dann alles reglementiert. Fertig.
Was hast du denn an Hardware verfügbar?
Ich würde da ein (VLAN-) Interface an der pfSense anlegen, mit einer IP 192.168.4.254/24. dort dann die Fritte dran und gut.
Über die pfSense wird dann alles reglementiert. Fertig.
Moin,
prinzipiell falscher Aufbau. Was Du willst, ist eine DMZ, in der Deine Freunde, Bekannten und Verwandten surfen können, aber auf keinen Fall auf Dein lokales Netz zugreifen und z. B. Deinen Server sehen. Du willst das so machen:
Wie Du siehst, wird der Verkehr der anderen durch Dein zu schützendes Netz geleitet. Richtiger Aufbau:
Jetzt geht der Verkehr der anderen nicht mehr durch Dein Netz.
Dazu braucht es noch nicht einmal ein weiteres Gerät. Vorausgesetzt die Hardware ist vorhanden, kann man das auch so machen:
Dann brauchst Du nur noch zu sagen, dass der Router vom VLAN10 und VLAN20 ins Internet routen soll, aber nicht vom VLAN20 ins VLAN10 und umgekehrt.
Liebe Grüße
Erik
prinzipiell falscher Aufbau. Was Du willst, ist eine DMZ, in der Deine Freunde, Bekannten und Verwandten surfen können, aber auf keinen Fall auf Dein lokales Netz zugreifen und z. B. Deinen Server sehen. Du willst das so machen:
Netz für die anderen -------- Router ------- Dein Netz ---------- Router --------- InternetWie Du siehst, wird der Verkehr der anderen durch Dein zu schützendes Netz geleitet. Richtiger Aufbau:
Dein Netz ---------- Router ----------- DMZ (Netz für die anderen) ----------- Router ----------InternetJetzt geht der Verkehr der anderen nicht mehr durch Dein Netz.
Dazu braucht es noch nicht einmal ein weiteres Gerät. Vorausgesetzt die Hardware ist vorhanden, kann man das auch so machen:
Dein Netz (VLAN10)-----------Router--------------Internet
|
Netz der anderen (VLAN20)-------Dann brauchst Du nur noch zu sagen, dass der Router vom VLAN10 und VLAN20 ins Internet routen soll, aber nicht vom VLAN20 ins VLAN10 und umgekehrt.
Liebe Grüße
Erik
@Lochkartenstanzer
Ich bin gerade am Freetz-Image "backen" - läuft nun seit einer halben Stunden und ich bin gespannt, ob und wie es wird. Ein Mikrotik HAP/HEX Router ist ein guter Tipp. Das kannte ich noch nicht. Werde ich auf meine nächste Einkaufsliste setzen. Danke!
@em-pie
Die vorgeschlagene Lösung werde ich morgen mit meiner pfSense testweise umsetzen. Diese läuft auf einem recht guten Einplatinencomputer mit Intel J1900 und 4GB RAM, den ich vor der Krise für rund 100 Euro in China gekauft habe. Mittlerweile kosten diese Computer das Doppelte...
@eikro
Auch Dir danke für den Tipp. Um das umzusetzen, muß ich auf der pfSense zwingend mein bestehendes Netzwerk ebenfalls als VLAN anlegen oder geht es, daß nur das Gäste-WLAN über VLAN geht?
Ich bin gerade am Freetz-Image "backen" - läuft nun seit einer halben Stunden und ich bin gespannt, ob und wie es wird. Ein Mikrotik HAP/HEX Router ist ein guter Tipp. Das kannte ich noch nicht. Werde ich auf meine nächste Einkaufsliste setzen. Danke!
@em-pie
Die vorgeschlagene Lösung werde ich morgen mit meiner pfSense testweise umsetzen. Diese läuft auf einem recht guten Einplatinencomputer mit Intel J1900 und 4GB RAM, den ich vor der Krise für rund 100 Euro in China gekauft habe. Mittlerweile kosten diese Computer das Doppelte...
@eikro
Auch Dir danke für den Tipp. Um das umzusetzen, muß ich auf der pfSense zwingend mein bestehendes Netzwerk ebenfalls als VLAN anlegen oder geht es, daß nur das Gäste-WLAN über VLAN geht?
Du hast die FritzBox falsch konfiguriert ! Wenn sie nur als dummer, einfacher WLAN Accesspoint arbeiten soll darf sie NICHT mit dem WAN Anschluss in das Gastsegment der pfSense verbunden werden sondern mit dem LAN Anschluss !!
Mit dem WAN Anschluss routet sie und macht NAT (Adress Translation) und stellt dann immer eine einseitige Verbindung her durch die aktive NAT Firewall was du ja nicht willst.
In jeden Falle ist es zwingend dafür auf der pfSense ein separates Interface zu generieren, da mit dieses Netzwerk vollkommen getrennt ist von deinem Privaten.
Wenn du nur ein einziges lokales LAN Interface zur Verfügung hast löst du das mit VLANs, was dann allerdings einen kleinen 20 Euro VLAN Switch erfordert:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...
Viel sinnvoller ist es aber statt der FritzBox einen MSSID fähigen AP zu verwenden. Sprich einen der mehrere WLANs aufspannen kann. So kannst du mit einer einzigen WLAN Hardware mehrere Netze bedienen wie bei dir dein Privates und dein Gastnetz.
Dieses simple Praxisbeispiel erklärt dir die einfache Umsetzung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dieses Tutorial beschreibt dir das genaue WIE für die FritzBox als AP:
Kopplung von 2 Routern am DSL Port
Mit dem WAN Anschluss routet sie und macht NAT (Adress Translation) und stellt dann immer eine einseitige Verbindung her durch die aktive NAT Firewall was du ja nicht willst.
In jeden Falle ist es zwingend dafür auf der pfSense ein separates Interface zu generieren, da mit dieses Netzwerk vollkommen getrennt ist von deinem Privaten.
Wenn du nur ein einziges lokales LAN Interface zur Verfügung hast löst du das mit VLANs, was dann allerdings einen kleinen 20 Euro VLAN Switch erfordert:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...
Viel sinnvoller ist es aber statt der FritzBox einen MSSID fähigen AP zu verwenden. Sprich einen der mehrere WLANs aufspannen kann. So kannst du mit einer einzigen WLAN Hardware mehrere Netze bedienen wie bei dir dein Privates und dein Gastnetz.
Dieses simple Praxisbeispiel erklärt dir die einfache Umsetzung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dieses Tutorial beschreibt dir das genaue WIE für die FritzBox als AP:
Kopplung von 2 Routern am DSL Port
