PfSense als Exposed Host hinter FritzBox 6591 Cable
SMT000 (Level 1) - Jetzt verbinden
26.01.2021, aktualisiert 27.01.2021, 1216 Aufrufe, 13 Kommentare, 1 Danke
Hallo zusammen,
ich kenne mich mit dem Thema leider nicht gut aus und habe deshalb einige Verständnisfragen.
Vorab, ich hab hier eine FritzBox 6591 Cable (Leihgerät von Vodafone, FritzOS 7.13), daran einen Switch und dann diverse Endgeräte.
Außerdem hängen an der FritzBox noch zwei Rufnummern an Fon1 und Fon2.
Ich habe ein Gerät mit vorinstallierter pfSense gekauft und die tollen Anleitungen hier im Forum haben mir bei den ersten Schritten zur Einrichtung sehr geholfen.
Mein Problem ist allerdings, dass ich die Leih-FritzBox nicht als Modem degradieren darf, das wurde wohl von AVM mit Version 5 oder 6 aus der Software entfernt. Außerdem beschränkt Vodafone auch an anderen Stellen meine Einstellungsmöglichkeiten. Ich kann jedoch die pfSense als Exposed Host freigeben.
1. Wie sinnvoll ist das? (Bitte mit Grund)
2. Welchen Ratten### an Problemen zieht das mit Blick auf VPN Verbindungen und doppeltem NAT nach sich?
Bitte um kleine Hilfestellung von den Foren-Gurus
Vielen Dank und liebe Grüße
SMT
ich kenne mich mit dem Thema leider nicht gut aus und habe deshalb einige Verständnisfragen.
Vorab, ich hab hier eine FritzBox 6591 Cable (Leihgerät von Vodafone, FritzOS 7.13), daran einen Switch und dann diverse Endgeräte.
Außerdem hängen an der FritzBox noch zwei Rufnummern an Fon1 und Fon2.

Ich habe ein Gerät mit vorinstallierter pfSense gekauft und die tollen Anleitungen hier im Forum haben mir bei den ersten Schritten zur Einrichtung sehr geholfen.
Mein Problem ist allerdings, dass ich die Leih-FritzBox nicht als Modem degradieren darf, das wurde wohl von AVM mit Version 5 oder 6 aus der Software entfernt. Außerdem beschränkt Vodafone auch an anderen Stellen meine Einstellungsmöglichkeiten. Ich kann jedoch die pfSense als Exposed Host freigeben.
1. Wie sinnvoll ist das? (Bitte mit Grund)
2. Welchen Ratten### an Problemen zieht das mit Blick auf VPN Verbindungen und doppeltem NAT nach sich?

Bitte um kleine Hilfestellung von den Foren-Gurus
Vielen Dank und liebe Grüße
SMT
13 Antworten
- LÖSUNG aqui schreibt am 26.01.2021 um 15:52:53 Uhr
- LÖSUNG Nemo-G schreibt am 26.01.2021 um 16:05:48 Uhr
- LÖSUNG aqui schreibt am 26.01.2021 um 16:13:12 Uhr
- LÖSUNG SMT000 schreibt am 26.01.2021 um 16:30:03 Uhr
- LÖSUNG Nemo-G schreibt am 26.01.2021 um 17:10:01 Uhr
- LÖSUNG support-it schreibt am 27.01.2021 um 22:48:46 Uhr
- LÖSUNG aqui schreibt am 28.01.2021 um 10:58:35 Uhr
- LÖSUNG SMT000 schreibt am 28.01.2021 um 16:20:30 Uhr
- LÖSUNG aqui schreibt am 28.01.2021 um 16:28:09 Uhr
- LÖSUNG SMT000 schreibt am 28.01.2021 um 17:14:38 Uhr
- LÖSUNG aqui schreibt am 28.01.2021 um 17:17:12 Uhr
- LÖSUNG SMT000 schreibt am 28.01.2021 um 18:26:44 Uhr
- LÖSUNG aqui schreibt am 28.01.2021 um 17:17:12 Uhr
- LÖSUNG SMT000 schreibt am 28.01.2021 um 17:14:38 Uhr
- LÖSUNG aqui schreibt am 28.01.2021 um 16:28:09 Uhr
- LÖSUNG support-it schreibt am 28.01.2021 um 19:14:06 Uhr
- LÖSUNG SMT000 schreibt am 28.01.2021 um 16:20:30 Uhr
- LÖSUNG aqui schreibt am 28.01.2021 um 10:58:35 Uhr
LÖSUNG 26.01.2021, aktualisiert um 16:11 Uhr
dass ich die Leih-FritzBox nicht als Modem degradieren darf,
Geht seit Jahren auch gar nicht mehr weil die AVM Firmware das schon lange nicht mehr zulässt im Setup. Wenn, dann musst du ein reines Kabel-TV_Modem einsetzen ! Ansonsten bleibt dir nur die Kaskade mit doppeltem Firewalling und doppeltem NAT.ich kenne mich mit dem Thema leider nicht gut aus
Wird hier doch alles haarklein im Detail auch für Laien wie dich erklärt:https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Fazit:
Einfach mal die Suchfunktion benutzen !
LÖSUNG 26.01.2021 um 16:05 Uhr
LÖSUNG 26.01.2021, aktualisiert um 18:10 Uhr
Berichtige bitte Deinen Threadtitel.
Lässt die neue Foren Software nach Auskunft von @Frank nicht mehr zu. TOs und alle anderen müssen leider bis dato immer mit solchen falschen und oft laienhaften Überschriften dann leben. LÖSUNG 26.01.2021 um 16:30 Uhr
LÖSUNG 26.01.2021 um 17:10 Uhr
LÖSUNG 27.01.2021, aktualisiert um 22:49 Uhr
Hallo!
Wenn du deine Firewall als exposed Host konfigurierst, werden alle WAN-Anfragen direkt auf deine pfsense weitergeleitet. Die Firewall der FB wird dabei deaktiviert (soweit ich weiß). Doppeltes NAT entfällt damit, es gibt nurnoch ein NAT undzwar direkt auf deine pfsense.
Wenn du deine VPN-Verbindungen direkt mit der FB konfiguriert hast, wird das nach der Umstellung nicht mehr gehen, da auch diese WAN-Anfrage dann direkt zur pfsense weitergeleitet wird.
Ich persönlich bin ein Fan von exposed Host, Voraussetzung dafür ist aber, dass du deine Firewall unter Kontrolle hast und regelmäßig aktualisierst. Denn alle Internet-Anfragen werden dann auf deine pfsense einprasseln.
Wenn du eine "einfach und sicherere" Methode haben willst, belasse es beim Doppelt-NAT. Du must dann alle Portweiterleitungen doppelt anlegen, einmal auf der FB und einmal auf der pfsense, wenn du in ein LAN der pfsense willst. Wenn die FB weiterhin ein eigenes Netzwerk verwalten soll und dort keine weiteren LAN-Geräte dran hängen, hast du auch quasi eine DMZ, auch keine schlechte Variante (lässt sich natürlich auch mit der pfsense einrichten). Und die VPN-Verbindungen kannst du dann weiterhin mit der FB aufbauen.
Auch wenn ich wiederum empfehlen würde, die pfsense als VPN-Server einzurichten (ich nehme an, dass das ähnlich wie bei der opnsense funktioniert, dort ist der OpenVPN-Server direkt als Plugin installiert).
Was mir gerade noch einfällt, das weiß ich ehrlich gesagt gerade nicht, ergibt aber Sinn: Wenn die FB weiterhin Telefonie machen soll, darf die pfsense kein exposed Host sein, ist das korrekt? Denn somit werden ja auch die SIP-Protokolle (externe Anrufe) an die pfsense weitergeleitet?
MfG
Zitat von @SMT000:
Ich kann jedoch die pfSense als Exposed Host freigeben.
1. Wie sinnvoll ist das? (Bitte mit Grund)
2. Welchen Ratten### an Problemen zieht das mit Blick auf VPN Verbindungen und doppeltem NAT nach sich?
Ich kann jedoch die pfSense als Exposed Host freigeben.
1. Wie sinnvoll ist das? (Bitte mit Grund)
2. Welchen Ratten### an Problemen zieht das mit Blick auf VPN Verbindungen und doppeltem NAT nach sich?
Wenn du deine Firewall als exposed Host konfigurierst, werden alle WAN-Anfragen direkt auf deine pfsense weitergeleitet. Die Firewall der FB wird dabei deaktiviert (soweit ich weiß). Doppeltes NAT entfällt damit, es gibt nurnoch ein NAT undzwar direkt auf deine pfsense.
Wenn du deine VPN-Verbindungen direkt mit der FB konfiguriert hast, wird das nach der Umstellung nicht mehr gehen, da auch diese WAN-Anfrage dann direkt zur pfsense weitergeleitet wird.
Ich persönlich bin ein Fan von exposed Host, Voraussetzung dafür ist aber, dass du deine Firewall unter Kontrolle hast und regelmäßig aktualisierst. Denn alle Internet-Anfragen werden dann auf deine pfsense einprasseln.
Wenn du eine "einfach und sicherere" Methode haben willst, belasse es beim Doppelt-NAT. Du must dann alle Portweiterleitungen doppelt anlegen, einmal auf der FB und einmal auf der pfsense, wenn du in ein LAN der pfsense willst. Wenn die FB weiterhin ein eigenes Netzwerk verwalten soll und dort keine weiteren LAN-Geräte dran hängen, hast du auch quasi eine DMZ, auch keine schlechte Variante (lässt sich natürlich auch mit der pfsense einrichten). Und die VPN-Verbindungen kannst du dann weiterhin mit der FB aufbauen.
Auch wenn ich wiederum empfehlen würde, die pfsense als VPN-Server einzurichten (ich nehme an, dass das ähnlich wie bei der opnsense funktioniert, dort ist der OpenVPN-Server direkt als Plugin installiert).
Was mir gerade noch einfällt, das weiß ich ehrlich gesagt gerade nicht, ergibt aber Sinn: Wenn die FB weiterhin Telefonie machen soll, darf die pfsense kein exposed Host sein, ist das korrekt? Denn somit werden ja auch die SIP-Protokolle (externe Anrufe) an die pfsense weitergeleitet?
MfG
LÖSUNG 28.01.2021, aktualisiert um 10:59 Uhr
werden alle WAN-Anfragen direkt auf deine pfsense weitergeleitet.
Nicht ganz.... Es werden nur die geforwardet für die die FB keine anderen, dedizierten Port Forwarding Einträge hat. die pfsense als VPN-Server einzurichten (ich nehme an, dass das ähnlich wie bei der opnsense funktioniert
Das tut es mit der Ausnahme das die OPNsense keine L2TP VPNs supportet:https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/knowledge/openvpn-server-installieren-pfsense-f ...
darf die pfsense kein exposed Host sein, ist das korrekt?
Nein auch nicht ganz. Die FB wird dann jeglichen Telefonie relevanten Traffic wie SIP und RTP schlicht NICHT forwarden egal ob da PFW Regeln oder exposed Host steht. Das ist auch bei der VPN Funktion so. Ist VPN auf der FB aktiviert wird sie VPN Frames nicht forwarden. Gut, das bezieht sich nur auf IPsec Frames. Alle anderen VPN Protokolle wie OpenVPN usw. die sie selber vom Featureset nicht kann forwardet sie natürlich weiterhin.LÖSUNG 28.01.2021 um 16:20 Uhr
So, zu Testzwecken habe ich die pfSense an LAN2 der Fritzbox angeschlossen und als Exposed Host freigegeben. pfSense bekommt per DHCP von der Fritzbox am WAN die 192.168.1.139 zugewiesen, am LAN habe ich 10.0.0.1 eingegeben.
Am LAN der pfSense hängt ein Laptop, der von der pfSense die IP 10.0.0.2 erhalten hat. Von dem Laptop aus kann ich alle Geräte im Netz der Fritzbox erreichen, umgekehrt nicht. Gut.
Von einem Rechner im Netz der Fritzbox hab ich anschließend eine IPsec VPN Verbindung zur pfSense hergestellt. Das scheint funktioniert zu haben, ich hab eine weitere IP Adresse (10.98.1.1) erhalten und kann den Laptop hinter der pfSense anpingen. Auch gut.
Was allerdings nicht funktioniert, ist mein DNS. Ich kann den Laptop nur mit der IP Adresse anpingen und vom Laptop aus komme ich auch nur mittels IP Adresse auf das NAS zB.
Hättet ihr da noch einen Tipp für mich?
Die Telefonie funktioniert übrigens weiterhin, trotz Exposed Host.
Grüße, SMT
Am LAN der pfSense hängt ein Laptop, der von der pfSense die IP 10.0.0.2 erhalten hat. Von dem Laptop aus kann ich alle Geräte im Netz der Fritzbox erreichen, umgekehrt nicht. Gut.
Von einem Rechner im Netz der Fritzbox hab ich anschließend eine IPsec VPN Verbindung zur pfSense hergestellt. Das scheint funktioniert zu haben, ich hab eine weitere IP Adresse (10.98.1.1) erhalten und kann den Laptop hinter der pfSense anpingen. Auch gut.
Was allerdings nicht funktioniert, ist mein DNS. Ich kann den Laptop nur mit der IP Adresse anpingen und vom Laptop aus komme ich auch nur mittels IP Adresse auf das NAS zB.
Hättet ihr da noch einen Tipp für mich?
Die Telefonie funktioniert übrigens weiterhin, trotz Exposed Host.
Grüße, SMT
LÖSUNG 28.01.2021, aktualisiert um 16:29 Uhr
kann ich alle Geräte im Netz der Fritzbox erreichen, umgekehrt nicht. Gut.
Ist ja auch vollkommen logisch und erwartbar, denn der WAN Port der pfSense ist der rote Port also das zu schützende Interface (Internet) Logisch das hier entsprechend scharfe da sicheres Regelwerk und obendrauf der NAT Prozess einen Zugriff in die andere Richtung verhindern. Alles andere wäre bei einer Firewall absurd was einen ja schon der gesunde IT Verstand sagt ! hab ich anschließend eine IPsec VPN Verbindung zur pfSense hergestellt. Das scheint funktioniert zu haben
Klar das klappt, weil die pfSense automatisch Regeln erstellt die IPsec am WAN Port zulassen.Guckst du auch:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
Was allerdings nicht funktioniert, ist mein DNS
Das solltest du dann auch richtig mit Forwarder und Resolver einstellen !!https://administrator.de/forum/pfsense-web-de-aktiver-scheunentor-regel- ...
Hast du vermutlich nicht gemacht, oder ?!
Die Telefonie funktioniert übrigens weiterhin, trotz Exposed Host.
Wie zu erwarten weil diese Ports NICHT geforwardet werden. Siehe oben !LÖSUNG 28.01.2021, aktualisiert um 17:17 Uhr
Das solltest du dann auch richtig mit Forwarder und Resolver einstellen !!
https://administrator.de/forum/pfsense-web-de-aktiver-scheunentor-regel- ...
Hast du vermutlich nicht gemacht, oder ?!
Den Beitrag hatte ich schon gefunden und auch meine Einstellungen entsprechend angepasst ;)https://administrator.de/forum/pfsense-web-de-aktiver-scheunentor-regel- ...
Hast du vermutlich nicht gemacht, oder ?!
Ich kann von der pfSense die IP Adresse pingen aber den Namen nicht.
Wenn ich das NAS aber unter Diagnose -> DNS Lookup eingebe, spuckt er mir auch nicht die IP Adresse aus, die es eigentlich hat.
LÖSUNG 28.01.2021, aktualisiert um 17:17 Uhr
LÖSUNG 28.01.2021 um 18:26 Uhr
LÖSUNG 28.01.2021 um 19:14 Uhr
Zitat von @aqui:
Nein auch nicht ganz. Die FB wird dann jeglichen Telefonie relevanten Traffic wie SIP und RTP schlicht NICHT forwarden egal ob da PFW Regeln oder exposed Host steht. Das ist auch bei der VPN Funktion so. Ist VPN auf der FB aktiviert wird sie VPN Frames nicht forwarden. Gut, das bezieht sich nur auf IPsec Frames. Alle anderen VPN Protokolle wie OpenVPN usw. die sie selber vom Featureset nicht kann forwardet sie natürlich weiterhin.
Nein auch nicht ganz. Die FB wird dann jeglichen Telefonie relevanten Traffic wie SIP und RTP schlicht NICHT forwarden egal ob da PFW Regeln oder exposed Host steht. Das ist auch bei der VPN Funktion so. Ist VPN auf der FB aktiviert wird sie VPN Frames nicht forwarden. Gut, das bezieht sich nur auf IPsec Frames. Alle anderen VPN Protokolle wie OpenVPN usw. die sie selber vom Featureset nicht kann forwardet sie natürlich weiterhin.
Moin,
danke für die Aufklärung
MfG