Fritz!Box 7412 als nachgeschalteter Router an pfSense
Hallo,
ich möchte ein neues Netzwerk 192.168.4.0/24 für meine Besucher einrichten, wo sie im Internet surfen dürfen aber nicht zu meiner Infrastruktur Zugang erhalten. Dazu habe ich meine ausgemusterte Fritz!Box 7412 ausgegraben und diese zum Leben erweckt.
Ich bin gem. der Anleitung https://ittweak.de/router-kaskade-schutz-des-eigenen-netzwerks-wegen-iot ... vorgegangen. Da die im Netzwerk 192.168.4.0/24 liegende FB7412 nach dem Abschalten des DSL Modems nicht über den WAN-Anschluß, sondern über den LAN-Anschluß mit der vorgeschalteten pfSense im Netzwerk 192.168.3.0./24 verbunden wird, komme ich vom "sichtbaren" 192.168.4.0/24 aus ins Internet, zugleich aber auch in das "verschleierte" 192.168.3.0/24, was nicht gewünscht ist.
Da ich von der im 192.168.3.0/24 liegenden pfSense nichts ins 192.168.4.0/24 Netz komme, verstehe ich, daß es damit zusammenhängt, daß die FB7412 hinter der pfSense liegt und nicht davor.
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
ich möchte ein neues Netzwerk 192.168.4.0/24 für meine Besucher einrichten, wo sie im Internet surfen dürfen aber nicht zu meiner Infrastruktur Zugang erhalten. Dazu habe ich meine ausgemusterte Fritz!Box 7412 ausgegraben und diese zum Leben erweckt.
Ich bin gem. der Anleitung https://ittweak.de/router-kaskade-schutz-des-eigenen-netzwerks-wegen-iot ... vorgegangen. Da die im Netzwerk 192.168.4.0/24 liegende FB7412 nach dem Abschalten des DSL Modems nicht über den WAN-Anschluß, sondern über den LAN-Anschluß mit der vorgeschalteten pfSense im Netzwerk 192.168.3.0./24 verbunden wird, komme ich vom "sichtbaren" 192.168.4.0/24 aus ins Internet, zugleich aber auch in das "verschleierte" 192.168.3.0/24, was nicht gewünscht ist.
Da ich von der im 192.168.3.0/24 liegenden pfSense nichts ins 192.168.4.0/24 Netz komme, verstehe ich, daß es damit zusammenhängt, daß die FB7412 hinter der pfSense liegt und nicht davor.
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1381648480
Url: https://administrator.de/forum/fritzbox-7412-als-nachgeschalteter-router-an-pfsense-1381648480.html
Ausgedruckt am: 08.04.2025 um 17:04 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @vafk18:
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
Welche Einstellungen muß ich in der pfSense bzw. FB7412 vornehmen, damit Benutzer des "sichtbaren" Netzes 192.168.4.0/24 nur ins Internet kommmen und ansonsten von allen anderen Netzen abgeschottet bleiben? Danke.
Moin,
Geht nicht, zumindest mit der Standard-AVM-Firmware. Mach Freetz drauf und schon kannst Du alls per iptables regeln. Oder kauf Dir für 20€ einen Mikrotik HAP/HEX, mit dem das in 5 Minuten erledigt ist.
lks
Moin,
prinzipiell falscher Aufbau. Was Du willst, ist eine DMZ, in der Deine Freunde, Bekannten und Verwandten surfen können, aber auf keinen Fall auf Dein lokales Netz zugreifen und z. B. Deinen Server sehen. Du willst das so machen:
Wie Du siehst, wird der Verkehr der anderen durch Dein zu schützendes Netz geleitet. Richtiger Aufbau:
Jetzt geht der Verkehr der anderen nicht mehr durch Dein Netz.
Dazu braucht es noch nicht einmal ein weiteres Gerät. Vorausgesetzt die Hardware ist vorhanden, kann man das auch so machen:
Dann brauchst Du nur noch zu sagen, dass der Router vom VLAN10 und VLAN20 ins Internet routen soll, aber nicht vom VLAN20 ins VLAN10 und umgekehrt.
Liebe Grüße
Erik
prinzipiell falscher Aufbau. Was Du willst, ist eine DMZ, in der Deine Freunde, Bekannten und Verwandten surfen können, aber auf keinen Fall auf Dein lokales Netz zugreifen und z. B. Deinen Server sehen. Du willst das so machen:
1
Netz für die anderen -------- Router ------- Dein Netz ---------- Router --------- Internet
Wie Du siehst, wird der Verkehr der anderen durch Dein zu schützendes Netz geleitet. Richtiger Aufbau:
1
Dein Netz ---------- Router ----------- DMZ (Netz für die anderen) ----------- Router ----------Internet
Jetzt geht der Verkehr der anderen nicht mehr durch Dein Netz.
Dazu braucht es noch nicht einmal ein weiteres Gerät. Vorausgesetzt die Hardware ist vorhanden, kann man das auch so machen:
1
2
3
2
3
Dein Netz (VLAN10)-----------Router--------------Internet
|
Netz der anderen (VLAN20)-------
Dann brauchst Du nur noch zu sagen, dass der Router vom VLAN10 und VLAN20 ins Internet routen soll, aber nicht vom VLAN20 ins VLAN10 und umgekehrt.
Liebe Grüße
Erik
Du hast die FritzBox falsch konfiguriert ! Wenn sie nur als dummer, einfacher WLAN Accesspoint arbeiten soll darf sie NICHT mit dem WAN Anschluss in das Gastsegment der pfSense verbunden werden sondern mit dem LAN Anschluss !!
Mit dem WAN Anschluss routet sie und macht NAT (Adress Translation) und stellt dann immer eine einseitige Verbindung her durch die aktive NAT Firewall was du ja nicht willst.
In jeden Falle ist es zwingend dafür auf der pfSense ein separates Interface zu generieren, da mit dieses Netzwerk vollkommen getrennt ist von deinem Privaten.
Wenn du nur ein einziges lokales LAN Interface zur Verfügung hast löst du das mit VLANs, was dann allerdings einen kleinen 20 Euro VLAN Switch erfordert:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...
Viel sinnvoller ist es aber statt der FritzBox einen MSSID fähigen AP zu verwenden. Sprich einen der mehrere WLANs aufspannen kann. So kannst du mit einer einzigen WLAN Hardware mehrere Netze bedienen wie bei dir dein Privates und dein Gastnetz.
Dieses simple Praxisbeispiel erklärt dir die einfache Umsetzung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dieses Tutorial beschreibt dir das genaue WIE für die FritzBox als AP:
Kopplung von 2 Routern am DSL Port
Mit dem WAN Anschluss routet sie und macht NAT (Adress Translation) und stellt dann immer eine einseitige Verbindung her durch die aktive NAT Firewall was du ja nicht willst.
In jeden Falle ist es zwingend dafür auf der pfSense ein separates Interface zu generieren, da mit dieses Netzwerk vollkommen getrennt ist von deinem Privaten.
Wenn du nur ein einziges lokales LAN Interface zur Verfügung hast löst du das mit VLANs, was dann allerdings einen kleinen 20 Euro VLAN Switch erfordert:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...
Viel sinnvoller ist es aber statt der FritzBox einen MSSID fähigen AP zu verwenden. Sprich einen der mehrere WLANs aufspannen kann. So kannst du mit einer einzigen WLAN Hardware mehrere Netze bedienen wie bei dir dein Privates und dein Gastnetz.
Dieses simple Praxisbeispiel erklärt dir die einfache Umsetzung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dieses Tutorial beschreibt dir das genaue WIE für die FritzBox als AP:
Kopplung von 2 Routern am DSL Port