PfSense als Exposed Host hinter FritzBox 6591 Cable

Mitglied: SMT000

SMT000 (Level 1) - Jetzt verbinden

26.01.2021, aktualisiert 27.01.2021, 1216 Aufrufe, 13 Kommentare, 1 Danke

Hallo zusammen,

ich kenne mich mit dem Thema leider nicht gut aus und habe deshalb einige Verständnisfragen.

Vorab, ich hab hier eine FritzBox 6591 Cable (Leihgerät von Vodafone, FritzOS 7.13), daran einen Switch und dann diverse Endgeräte.
Außerdem hängen an der FritzBox noch zwei Rufnummern an Fon1 und Fon2.
beispiel1 - Klicke auf das Bild, um es zu vergrößern

Ich habe ein Gerät mit vorinstallierter pfSense gekauft und die tollen Anleitungen hier im Forum haben mir bei den ersten Schritten zur Einrichtung sehr geholfen.

Mein Problem ist allerdings, dass ich die Leih-FritzBox nicht als Modem degradieren darf, das wurde wohl von AVM mit Version 5 oder 6 aus der Software entfernt. Außerdem beschränkt Vodafone auch an anderen Stellen meine Einstellungsmöglichkeiten. Ich kann jedoch die pfSense als Exposed Host freigeben.
1. Wie sinnvoll ist das? (Bitte mit Grund)
2. Welchen Ratten### an Problemen zieht das mit Blick auf VPN Verbindungen und doppeltem NAT nach sich?
beispiel2 - Klicke auf das Bild, um es zu vergrößern

Bitte um kleine Hilfestellung von den Foren-Gurus :) face-smile

Vielen Dank und liebe Grüße

SMT
Mitglied: aqui
26.01.2021, aktualisiert um 16:11 Uhr
dass ich die Leih-FritzBox nicht als Modem degradieren darf,
Geht seit Jahren auch gar nicht mehr weil die AVM Firmware das schon lange nicht mehr zulässt im Setup. Wenn, dann musst du ein reines Kabel-TV_Modem einsetzen ! Ansonsten bleibt dir nur die Kaskade mit doppeltem Firewalling und doppeltem NAT.
ich kenne mich mit dem Thema leider nicht gut aus
Wird hier doch alles haarklein im Detail auch für Laien wie dich erklärt:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Fazit:
Einfach mal die Suchfunktion benutzen ! ;-) face-wink
Bitte warten ..
Mitglied: Nemo-G
26.01.2021 um 16:05 Uhr
Hallo SMT,

Wenn Du von Kabel sprichst, hast Du bestimmt keine FB 7xxx, sondern eine 6490 oder eine 6591.
Berichtige bitte Deinen Threadtitel.

Nemo
(dankt im voraus)
Bitte warten ..
Mitglied: aqui
26.01.2021, aktualisiert um 18:10 Uhr
Berichtige bitte Deinen Threadtitel.
Lässt die neue Foren Software nach Auskunft von @Frank nicht mehr zu. TOs und alle anderen müssen leider bis dato immer mit solchen falschen und oft laienhaften Überschriften dann leben. :-( face-sad
Bitte warten ..
Mitglied: SMT000
26.01.2021 um 16:30 Uhr
Wenn Du von Kabel sprichst, hast Du bestimmt keine FB 7xxx, sondern eine 6490 oder eine 6591.

Du hast vollkommen recht, 6591 Cable! Was auch immer mich da geritten hat...
Bitte warten ..
Mitglied: Nemo-G
26.01.2021 um 17:10 Uhr
Meine Finger sind auch manchmal zu dick ... besonders, wenn ich gerade einen Anfall von Legasthenie habe.

Gruß, Nemo
Bitte warten ..
Mitglied: support-it
27.01.2021, aktualisiert um 22:49 Uhr
Hallo!
Zitat von @SMT000:

Ich kann jedoch die pfSense als Exposed Host freigeben.
1. Wie sinnvoll ist das? (Bitte mit Grund)
2. Welchen Ratten### an Problemen zieht das mit Blick auf VPN Verbindungen und doppeltem NAT nach sich?

Wenn du deine Firewall als exposed Host konfigurierst, werden alle WAN-Anfragen direkt auf deine pfsense weitergeleitet. Die Firewall der FB wird dabei deaktiviert (soweit ich weiß). Doppeltes NAT entfällt damit, es gibt nurnoch ein NAT undzwar direkt auf deine pfsense.

Wenn du deine VPN-Verbindungen direkt mit der FB konfiguriert hast, wird das nach der Umstellung nicht mehr gehen, da auch diese WAN-Anfrage dann direkt zur pfsense weitergeleitet wird.

Ich persönlich bin ein Fan von exposed Host, Voraussetzung dafür ist aber, dass du deine Firewall unter Kontrolle hast und regelmäßig aktualisierst. Denn alle Internet-Anfragen werden dann auf deine pfsense einprasseln.
Wenn du eine "einfach und sicherere" Methode haben willst, belasse es beim Doppelt-NAT. Du must dann alle Portweiterleitungen doppelt anlegen, einmal auf der FB und einmal auf der pfsense, wenn du in ein LAN der pfsense willst. Wenn die FB weiterhin ein eigenes Netzwerk verwalten soll und dort keine weiteren LAN-Geräte dran hängen, hast du auch quasi eine DMZ, auch keine schlechte Variante (lässt sich natürlich auch mit der pfsense einrichten). Und die VPN-Verbindungen kannst du dann weiterhin mit der FB aufbauen.

Auch wenn ich wiederum empfehlen würde, die pfsense als VPN-Server einzurichten (ich nehme an, dass das ähnlich wie bei der opnsense funktioniert, dort ist der OpenVPN-Server direkt als Plugin installiert).

Was mir gerade noch einfällt, das weiß ich ehrlich gesagt gerade nicht, ergibt aber Sinn: Wenn die FB weiterhin Telefonie machen soll, darf die pfsense kein exposed Host sein, ist das korrekt? Denn somit werden ja auch die SIP-Protokolle (externe Anrufe) an die pfsense weitergeleitet?

MfG
Bitte warten ..
Mitglied: aqui
28.01.2021, aktualisiert um 10:59 Uhr
werden alle WAN-Anfragen direkt auf deine pfsense weitergeleitet.
Nicht ganz.... Es werden nur die geforwardet für die die FB keine anderen, dedizierten Port Forwarding Einträge hat. ;-) face-wink
die pfsense als VPN-Server einzurichten (ich nehme an, dass das ähnlich wie bei der opnsense funktioniert
Das tut es mit der Ausnahme das die OPNsense keine L2TP VPNs supportet:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/knowledge/openvpn-server-installieren-pfsense-f ...
darf die pfsense kein exposed Host sein, ist das korrekt?
Nein auch nicht ganz. Die FB wird dann jeglichen Telefonie relevanten Traffic wie SIP und RTP schlicht NICHT forwarden egal ob da PFW Regeln oder exposed Host steht. Das ist auch bei der VPN Funktion so. Ist VPN auf der FB aktiviert wird sie VPN Frames nicht forwarden. Gut, das bezieht sich nur auf IPsec Frames. Alle anderen VPN Protokolle wie OpenVPN usw. die sie selber vom Featureset nicht kann forwardet sie natürlich weiterhin.
Bitte warten ..
Mitglied: SMT000
28.01.2021 um 16:20 Uhr
So, zu Testzwecken habe ich die pfSense an LAN2 der Fritzbox angeschlossen und als Exposed Host freigegeben. pfSense bekommt per DHCP von der Fritzbox am WAN die 192.168.1.139 zugewiesen, am LAN habe ich 10.0.0.1 eingegeben.
Am LAN der pfSense hängt ein Laptop, der von der pfSense die IP 10.0.0.2 erhalten hat. Von dem Laptop aus kann ich alle Geräte im Netz der Fritzbox erreichen, umgekehrt nicht. Gut.
Von einem Rechner im Netz der Fritzbox hab ich anschließend eine IPsec VPN Verbindung zur pfSense hergestellt. Das scheint funktioniert zu haben, ich hab eine weitere IP Adresse (10.98.1.1) erhalten und kann den Laptop hinter der pfSense anpingen. Auch gut.
Was allerdings nicht funktioniert, ist mein DNS. Ich kann den Laptop nur mit der IP Adresse anpingen und vom Laptop aus komme ich auch nur mittels IP Adresse auf das NAS zB.
Hättet ihr da noch einen Tipp für mich?

Die Telefonie funktioniert übrigens weiterhin, trotz Exposed Host.

Grüße, SMT
Bitte warten ..
Mitglied: aqui
28.01.2021, aktualisiert um 16:29 Uhr
kann ich alle Geräte im Netz der Fritzbox erreichen, umgekehrt nicht. Gut.
Ist ja auch vollkommen logisch und erwartbar, denn der WAN Port der pfSense ist der rote Port also das zu schützende Interface (Internet) Logisch das hier entsprechend scharfe da sicheres Regelwerk und obendrauf der NAT Prozess einen Zugriff in die andere Richtung verhindern. Alles andere wäre bei einer Firewall absurd was einen ja schon der gesunde IT Verstand sagt ! ;-) face-wink
hab ich anschließend eine IPsec VPN Verbindung zur pfSense hergestellt. Das scheint funktioniert zu haben
Klar das klappt, weil die pfSense automatisch Regeln erstellt die IPsec am WAN Port zulassen.
Guckst du auch:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
Was allerdings nicht funktioniert, ist mein DNS
Das solltest du dann auch richtig mit Forwarder und Resolver einstellen !!
https://administrator.de/forum/pfsense-web-de-aktiver-scheunentor-regel- ...
Hast du vermutlich nicht gemacht, oder ?!
Die Telefonie funktioniert übrigens weiterhin, trotz Exposed Host.
Wie zu erwarten weil diese Ports NICHT geforwardet werden. Siehe oben !
Bitte warten ..
Mitglied: SMT000
28.01.2021, aktualisiert um 17:17 Uhr
Das solltest du dann auch richtig mit Forwarder und Resolver einstellen !!
https://administrator.de/forum/pfsense-web-de-aktiver-scheunentor-regel- ...
Hast du vermutlich nicht gemacht, oder ?!
Den Beitrag hatte ich schon gefunden und auch meine Einstellungen entsprechend angepasst ;)

Ich kann von der pfSense die IP Adresse pingen aber den Namen nicht.
pfsense1 - Klicke auf das Bild, um es zu vergrößern
pfsense2 - Klicke auf das Bild, um es zu vergrößern
Wenn ich das NAS aber unter Diagnose -> DNS Lookup eingebe, spuckt er mir auch nicht die IP Adresse aus, die es eigentlich hat.
pfsense3 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
28.01.2021, aktualisiert um 17:17 Uhr
Wenn du einemal www.heise.de dort eingibts kannst du den pingen ??
Wenn ja klappt alles.
Namen aus dem lokalen LAN kann man logischerweise nicht pingen, denn die werden nur via SMB mit Name Broadcasts bekannt gegeben nicht per DNS !
Bitte warten ..
Mitglied: SMT000
28.01.2021 um 18:26 Uhr
Okay, sehr gut, dann funktioniert alles einwandfrei! :) face-smile
Gibt es denn eine Möglichkeit, dass ich die mit Namen anstatt IP Adressen erreichen kann?
Bitte warten ..
Mitglied: support-it
28.01.2021 um 19:14 Uhr
Zitat von @aqui:
Nein auch nicht ganz. Die FB wird dann jeglichen Telefonie relevanten Traffic wie SIP und RTP schlicht NICHT forwarden egal ob da PFW Regeln oder exposed Host steht. Das ist auch bei der VPN Funktion so. Ist VPN auf der FB aktiviert wird sie VPN Frames nicht forwarden. Gut, das bezieht sich nur auf IPsec Frames. Alle anderen VPN Protokolle wie OpenVPN usw. die sie selber vom Featureset nicht kann forwardet sie natürlich weiterhin.

Moin,
danke für die Aufklärung :) face-smile wieder was gelernt!

MfG
Bitte warten ..
Heiß diskutierte Inhalte
MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
gelöst Daniel26Vor 1 TagFrageMikroTik RouterOS30 Kommentare

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
gelöst AndiPeeVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Microsoft
STRG + ALT + ENTF
TezzlaVor 1 TagAllgemeinMicrosoft12 Kommentare

Mahlzeit zusammen, wir haben gerade im Kollegenkreis über Sinn und Unsinn der Sperrbildschirmentriegelung STRG + ALT + ENTF unter Win10 diskutiert. Mich würde hierzu ...

Video & Streaming
Streamingplattform mit eigenen Servern
gelöst icegetVor 1 TagFrageVideo & Streaming6 Kommentare

Hallo liebe Community, ich würde gerne via Amazaon AWS (oder andere Cloudanbietern) mehrere Serverinstanzen (Streaming) starten, um z.B. 2000 Personen den selben Stream den ...

Windows Server
Nutzer als lokaler Admin in Windows Server 2019
hanheikVor 1 TagFrageWindows Server6 Kommentare

Hallo, in SBS 2011 konnte ich ganz einfach einen Nutzer als lokalen Admin einstellen. Windows fragte dann, für welchen Rechner; Rechner auswählen; fertig! In ...

E-Mail
Alternative zu horde webmail
fisch56Vor 1 TagFrageE-Mail6 Kommentare

Hallo, ich habe das horde webmail auf meinem Server, macht allerdings Probleme. Suche daher eine Alternative. Das Postfach hat viele Unterordner, die z.B. bei ...

Switche und Hubs
Zwei Lancom GS-315XP Switche VLAN verbinden
wieoderwasVor 1 TagFrageSwitche und Hubs14 Kommentare

Hallo zusammen, wir haben zwei neue Lancom GS-315XP Switche bekommen. An einem dieser Switche sind Lancom Accesspoints angeschlossen. Ich verzweifel gerade an der Verbindung ...

TK-Netze & Geräte
Beantragung Telekom Glasfaseranschluss beschleunigen
RoadmaxVor 1 TagFrageTK-Netze & Geräte4 Kommentare

Hallo Zusammen, wir benötigen relativ kurzfristig für eine neue Niederlassung in Duisburg einen 1GBit symetrischen Glasfaseranschluss. Der Vormieter hatte bereits einen 1GBit Anschluss der ...