19
PfSense als Firewall und Proxy
Hallo zusammen,
ich möchte gerne zuhause ein wenig mit pfSense experimentieren. Aktuell sieht mein Netz zuhause wie folgt aus:
Fritzbox 6490 cable -- Cisco SG250-18 -- Clients (Hardware-Zoo aus W10, RPi4, QNAP, Fritz-AP, Fire-TV, Drucker, TV etc.)
Die Fritte hängt an einem Vodafone 400/40-MBit-Anschluss.
Die Geräte sind, wo immer möglich, per Kabel angebunden. An den Dosen in den einzelnen Zimmern hängen doofe kleine
unmanaged Switches. Nur im Wohnzimmer steht ein Fritz-Repeater 3000 für's WLAN, der auch per Kabel versorgt wird.
Es ist alles in einem banalen Netz mit 192.168.0.0/24. Die Fritte macht DHCP und DNS. Telefonie geht von der Fritte analog
über separate Kabel auf's Fax und ein altes Schnurlos-Gigaset. Auf dem Switch ist kein Routing aktiviert.
Mit der pfSense möchte ich natürlich gerne eine feiner zu konfigurierende Firewall haben und diese ggf. auch als Proxy nutzen,
um bestimmte Internetseiten zu sperren. Mir würden zwei Varianten einfallen, aber irgendwie fehlt mir gerade ein Denkanstoß:
1. Kann ich der pfSense auf jedem der beiden LAN-Ports eine Adresse aus dem aktuellen Netz 192.168.0.0/24 geben, z.B.
LAN1 = 192.168.0.3 und LAN2 = 192.168.0.4? Kann die Fritte dann weiter den DHCP spielen?
2. Die zweite Variante wäre, auf der Fritte DHCP zu deaktivieren und das Netz 192.168.0.0/24 nur als Transfernetz
zwischen Fritte und pfSense zu verwenden. Dahinter könnte ich dann vermutlich auch mit VLAN's arbeiten und den Switch
routen lassen sowie die pfSense DHCP abkaspern lassen, oder?
Liege ich da mit einer der beiden Varianten in der richtigen Richtung oder ist das Käse? Punkt-für-Punkt-Howto benötige ich nicht, aber
ein paar kleine Denkanstöße, die mich in die richtige Richtung lenken wären toll.
Als Hardware für die pfSense hätte ich noch einen Zotac-MiniPC (Core i3, 8GB RAM, 240GB M.2-SSD, 2 LAN-Ports) rumliegen.
Vorab vielen Dank.
Gruß Arno
ich möchte gerne zuhause ein wenig mit pfSense experimentieren. Aktuell sieht mein Netz zuhause wie folgt aus:
Fritzbox 6490 cable -- Cisco SG250-18 -- Clients (Hardware-Zoo aus W10, RPi4, QNAP, Fritz-AP, Fire-TV, Drucker, TV etc.)
Die Fritte hängt an einem Vodafone 400/40-MBit-Anschluss.
Die Geräte sind, wo immer möglich, per Kabel angebunden. An den Dosen in den einzelnen Zimmern hängen doofe kleine
unmanaged Switches. Nur im Wohnzimmer steht ein Fritz-Repeater 3000 für's WLAN, der auch per Kabel versorgt wird.
Es ist alles in einem banalen Netz mit 192.168.0.0/24. Die Fritte macht DHCP und DNS. Telefonie geht von der Fritte analog
über separate Kabel auf's Fax und ein altes Schnurlos-Gigaset. Auf dem Switch ist kein Routing aktiviert.
Mit der pfSense möchte ich natürlich gerne eine feiner zu konfigurierende Firewall haben und diese ggf. auch als Proxy nutzen,
um bestimmte Internetseiten zu sperren. Mir würden zwei Varianten einfallen, aber irgendwie fehlt mir gerade ein Denkanstoß:
1. Kann ich der pfSense auf jedem der beiden LAN-Ports eine Adresse aus dem aktuellen Netz 192.168.0.0/24 geben, z.B.
LAN1 = 192.168.0.3 und LAN2 = 192.168.0.4? Kann die Fritte dann weiter den DHCP spielen?
2. Die zweite Variante wäre, auf der Fritte DHCP zu deaktivieren und das Netz 192.168.0.0/24 nur als Transfernetz
zwischen Fritte und pfSense zu verwenden. Dahinter könnte ich dann vermutlich auch mit VLAN's arbeiten und den Switch
routen lassen sowie die pfSense DHCP abkaspern lassen, oder?
Liege ich da mit einer der beiden Varianten in der richtigen Richtung oder ist das Käse? Punkt-für-Punkt-Howto benötige ich nicht, aber
ein paar kleine Denkanstöße, die mich in die richtige Richtung lenken wären toll.
Als Hardware für die pfSense hätte ich noch einen Zotac-MiniPC (Core i3, 8GB RAM, 240GB M.2-SSD, 2 LAN-Ports) rumliegen.
Vorab vielen Dank.
Gruß Arno
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 923371769
Url: https://administrator.de/contentid/923371769
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo.
Wenn möglich degradiere die Fritzbox zum Modem und erledige die Einwahl von der PFSense aus. Das kommt natürlich nur in Frage, ob es Einwahldaten gibt bei deinem Kabel-Anschluss. Statische IPv4 oder DS-Lite oder was liegt an?
Habe ein ähnliches Konstrukt zuhause. Glasfaser ONT per Kabel mit dem WAN Port der PFSense verbunden und von dort aus die Einwahl abgefrühstückt. Dann wird weiter verteilt mit Access Points und IoT etc in VLANs.
Zwei Interfaces können nicht im selben Subnetz hängen an der Stelle. Entweder du definierst die PFSense als Exposed Host (Doppel NAT) und nimmst ein Transfernetz oder eben die Variante mit Fritzbox = Modem und PFSense macht die Einwahl.
Ich würde wo immer möglich zu letzterem Szenario tendieren. Das ganze Konstrukt wird so sauberer und du kannst VPN besser terminieren und auch weitaus granularer mit Netzwerk-Segmenten agieren.
EDIT: Kann den PFBlockerNG empfehlen, was das Sperren von Websites und Werbung im Netzwerk angeht. Mit einem PiHole kommst du auch weit, aber dann hast du wieder ein weiteres Gerät am Start.
Gruß
Marc
Wenn möglich degradiere die Fritzbox zum Modem und erledige die Einwahl von der PFSense aus. Das kommt natürlich nur in Frage, ob es Einwahldaten gibt bei deinem Kabel-Anschluss. Statische IPv4 oder DS-Lite oder was liegt an?
Habe ein ähnliches Konstrukt zuhause. Glasfaser ONT per Kabel mit dem WAN Port der PFSense verbunden und von dort aus die Einwahl abgefrühstückt. Dann wird weiter verteilt mit Access Points und IoT etc in VLANs.
Zwei Interfaces können nicht im selben Subnetz hängen an der Stelle. Entweder du definierst die PFSense als Exposed Host (Doppel NAT) und nimmst ein Transfernetz oder eben die Variante mit Fritzbox = Modem und PFSense macht die Einwahl.
Ich würde wo immer möglich zu letzterem Szenario tendieren. Das ganze Konstrukt wird so sauberer und du kannst VPN besser terminieren und auch weitaus granularer mit Netzwerk-Segmenten agieren.
EDIT: Kann den PFBlockerNG empfehlen, was das Sperren von Websites und Werbung im Netzwerk angeht. Mit einem PiHole kommst du auch weit, aber dann hast du wieder ein weiteres Gerät am Start.
Gruß
Marc
Hi Arno,
Zu deinen Fragen:
1.)
Ja, das geht aber dann musst du einen LACP LAG (Link Aggregation) auf den Cisco konfigurieren !
Ohne einen LAG wäre so ein Setup ja sinnfrei. Wozu sollte das gut sein ? Mal abgesehen davon das es designtechnisch falsch ist.
Was noch ginge ist die 2 LAN Ports als Bridge zusammenfassen mit einem IP Interface. Auch das ginge wäre aber auch etwas unsinnig. Wenn würde nur das LAG Setup zielführend sein.
Siehe dazu HIER.
Wie würdest du es sonst betreiben wollen ?? Andere Optionen gibt es ja kaum.
Auch wenn du keinerlei Tutorials wünschst solltest du, da du ja einen Layer 3 (Routing) fähigen Switch besitzt, generell dich VORAB festlegen ob du mit einem Layer_3_Konzept arbeiten willst sofern du dein Netzwerk weiter segmentieren willst. Das ist essentiell wichtig weil Design und Regelwerk etwas unterschiedlich ausfallen je nachdem welches Konzept man/du realisiert.
2.)
Richtig ! Das wäre die kllassische Kaskaden Variante. Siehe oben...
Mit dem Zotac wird das problemlos klappen.
https://broadbandforum.co/t/205884/
Zu deinen Fragen:
1.)
Ja, das geht aber dann musst du einen LACP LAG (Link Aggregation) auf den Cisco konfigurieren !
Ohne einen LAG wäre so ein Setup ja sinnfrei. Wozu sollte das gut sein ? Mal abgesehen davon das es designtechnisch falsch ist.
Was noch ginge ist die 2 LAN Ports als Bridge zusammenfassen mit einem IP Interface. Auch das ginge wäre aber auch etwas unsinnig. Wenn würde nur das LAG Setup zielführend sein.
Kann die Fritte dann weiter den DHCP spielen?
Nein, jedenfalls nicht in einem Kaskaden Design ?Siehe dazu HIER.
Wie würdest du es sonst betreiben wollen ?? Andere Optionen gibt es ja kaum.
Auch wenn du keinerlei Tutorials wünschst solltest du, da du ja einen Layer 3 (Routing) fähigen Switch besitzt, generell dich VORAB festlegen ob du mit einem Layer_3_Konzept arbeiten willst sofern du dein Netzwerk weiter segmentieren willst. Das ist essentiell wichtig weil Design und Regelwerk etwas unterschiedlich ausfallen je nachdem welches Konzept man/du realisiert.
2.)
Richtig ! Das wäre die kllassische Kaskaden Variante. Siehe oben...
Mit dem Zotac wird das problemlos klappen.
Mit einem PiHole kommst du auch weit
Warum nicht den PiHole oder das sehr viel bessere AdGuard direkt auf die pfSense holen ??https://broadbandforum.co/t/205884/
Hallo Marc,
Ich denke mal, das ich bei einer provider-eigenen Fritte diese eh nicht als reines Modem nutzen kann, da Vodafone diese ja fernkonfiguriert?
Zitat von @radiogugu:
Wenn möglich degradiere die Fritzbox zum Modem und erledige die Einwahl von der PFSense aus. Das kommt natürlich nur in Frage, ob es Einwahldaten gibt bei deinem Kabel-Anschluss. Statische IPv4 oder DS-Lite oder was liegt an?
Ist eine provider-eigene Fritte, also keine Einwahldaten. Aber dafür kein blödes DS-Lite sondern seit Jahren immer die gleiche IPv4-Adresse seit meiner Beschwerde seinerzeit bei KabelBW. Die Telefonie der Fritte geht flöten, wenn ich sie zum Modem degradiere?Wenn möglich degradiere die Fritzbox zum Modem und erledige die Einwahl von der PFSense aus. Das kommt natürlich nur in Frage, ob es Einwahldaten gibt bei deinem Kabel-Anschluss. Statische IPv4 oder DS-Lite oder was liegt an?
Ich denke mal, das ich bei einer provider-eigenen Fritte diese eh nicht als reines Modem nutzen kann, da Vodafone diese ja fernkonfiguriert?
Moinsen,
ich mache mal den Anfang, da kommen bestimmt noch mehr Antworten. (edit: und Zack, schon überholt worden)
Vorab: ich hab nur gefährliches Halbwissen, im Gegensatz zu den allermeisten Usern hier bin ich kein Halb- oder Vollprofi im IT Bereich und nutze alles ausschließlich zu Hause.
Wenn du mit der pfsense experimentieren willst, dann probiere deine beiden genannten Ideen einfach aus.
:P
Vor zwei Jahren hab ich hier auch ne pfsense ins Heimnetz integriert, weil mich das Thema reizte. Aktuell hab ich (entgegen best practice) hier auch so angelegt: Fritzbox als erster Router mit NAT macht dhcp und dns im Transfernetz zwischen fritzbox und pfsense. Die pfsense hat auf dem WAN ebenfalls NAT (böse!), ich merke aber keine spürbaren Nachteile für MEINEN Bedarf reicht es.
Die pfsense macht dns und dhcp im nachgeschalteten Netz. Hier ist auf dem LAN1 das eigentliche Heimnetz, unterteilt in VLANs (du brauchst dafür ggf. neue kleine switche, denn sonst hast du vermutlich nur die Möglichkeit die VLANs pro Zimmer zu organisieren, denn die kleinen dummen switche, die du dort hast, können vermutlich kein VLAN. Der 2. LAN Port der pfsense macht ein weiteres LAN auf, mit eigenem Netzwerkbereich, komplett von LAN1 abgeschottet fürs homebanking.
Ich würde (egal, wie du dich bzgl Transfernetz usw entscheidest) die pfsense als dns resolver und dhcp server fürs nachgelagerte Netz betreiben: wesentlich differenziertere Möglichkeiten der Konfiguration als fritz, unbound als Resolver für dns...
Falls du die Fritzbox in den reinen Modem-Modus setzen kannst, probier alternativ auch das. Ansonsten hast du halt ne quasi DMZ VOR dem WAN Port der pfsense als Nebenprodukt. Vielleicht auch ganz nett. Auch kannst du dann den Telefonbereich stumpf so lassen und experimentierst erst einmal nur mit der pfsense und dem hinterliegenden Bereich, hast aber die "Sicherheit", dass du (sollte was schief gehen) einfach via fritzbox weitermachst und einfach schnell umstöpselst, und alles läuft weiter wie bisher. Zum Rumspielen vielleicht auch ganz nett...
So als erste Idee, wie gesagt, aus Sicht des Hobbykelleradmins only.
ich mache mal den Anfang, da kommen bestimmt noch mehr Antworten. (edit: und Zack, schon überholt worden)
Vorab: ich hab nur gefährliches Halbwissen, im Gegensatz zu den allermeisten Usern hier bin ich kein Halb- oder Vollprofi im IT Bereich und nutze alles ausschließlich zu Hause.
Wenn du mit der pfsense experimentieren willst, dann probiere deine beiden genannten Ideen einfach aus.
:P
Vor zwei Jahren hab ich hier auch ne pfsense ins Heimnetz integriert, weil mich das Thema reizte. Aktuell hab ich (entgegen best practice) hier auch so angelegt: Fritzbox als erster Router mit NAT macht dhcp und dns im Transfernetz zwischen fritzbox und pfsense. Die pfsense hat auf dem WAN ebenfalls NAT (böse!), ich merke aber keine spürbaren Nachteile für MEINEN Bedarf reicht es.
Die pfsense macht dns und dhcp im nachgeschalteten Netz. Hier ist auf dem LAN1 das eigentliche Heimnetz, unterteilt in VLANs (du brauchst dafür ggf. neue kleine switche, denn sonst hast du vermutlich nur die Möglichkeit die VLANs pro Zimmer zu organisieren, denn die kleinen dummen switche, die du dort hast, können vermutlich kein VLAN. Der 2. LAN Port der pfsense macht ein weiteres LAN auf, mit eigenem Netzwerkbereich, komplett von LAN1 abgeschottet fürs homebanking.
Ich würde (egal, wie du dich bzgl Transfernetz usw entscheidest) die pfsense als dns resolver und dhcp server fürs nachgelagerte Netz betreiben: wesentlich differenziertere Möglichkeiten der Konfiguration als fritz, unbound als Resolver für dns...
Falls du die Fritzbox in den reinen Modem-Modus setzen kannst, probier alternativ auch das. Ansonsten hast du halt ne quasi DMZ VOR dem WAN Port der pfsense als Nebenprodukt. Vielleicht auch ganz nett. Auch kannst du dann den Telefonbereich stumpf so lassen und experimentierst erst einmal nur mit der pfsense und dem hinterliegenden Bereich, hast aber die "Sicherheit", dass du (sollte was schief gehen) einfach via fritzbox weitermachst und einfach schnell umstöpselst, und alles läuft weiter wie bisher. Zum Rumspielen vielleicht auch ganz nett...
So als erste Idee, wie gesagt, aus Sicht des Hobbykelleradmins only.
also keine Einwahldaten.
Ist Unsinn, denn diese hat sie schon. Sie telefoniert deshalb vorher immer via TR-096 (siehe HIER) "nach Hause" und holt sich diese vom Provider. Was sie dem dann sonst noch sagt über dich und deinen Anschluss willst du besser nicht wissen... Kein Mensch will bei gesetzlich freier Router Wahl in der EU sich noch gängeln lassen mit Zwangsroutern, deshalb ja die pfSense. 
Die Telefonie der Fritte geht flöten, wenn ich sie zum Modem degradiere?
Ja, aber das ist eh obsolet, denn die FB lässt sich schon lange nicht mehr als nur Modem betreiben. Diese Option hat AVM schon lange aus der Firmware entfernt.Einzig nur mit einer 7412 ist das noch möglich.
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
Alternativ nimmt man die klassischen NUR Modems wie das Vigor 165 oder Zyxel VMG3009.
Die Fritte betreibt man dann als reine VoIP Telefonie Anlage im lokalen Netz. Sofern man keine Kaskade mit doppeltem NAT und doppeltem Firewalling möchte (was technisch sinnvoller ist) und sie mit einem NUR Modem ersetzen will...
Zitat von @NixVerstehen:
Aber dafür kein blödes DS-Lite sondern seit Jahren immer die gleiche IPv4-Adresse seit meiner Beschwerde seinerzeit bei KabelBW.
Aber dafür kein blödes DS-Lite sondern seit Jahren immer die gleiche IPv4-Adresse seit meiner Beschwerde seinerzeit bei KabelBW.
Das ist schon mal gut.
Die Telefonie der Fritte geht flöten, wenn ich sie zum Modem degradiere?
Davon ist auszugehen. Leider kenne ich mich mit der Telefonie unfassbar gar nicht aus. Habe zwar bei einem Kunden mal eine Distybox für ein Faxgerät in Betrieb genommen, aber da war die Fritte der "Ich mach alles".
Ich denke mal, das ich bei einer provider-eigenen Fritte diese eh nicht als reines Modem nutzen kann, da Vodafone diese ja fernkonfiguriert?
Dann bleibt nur die Kaskade. Ist nun die Frage, brauchst du VPN von außerhalb oder gar IPSec Tunnel irgendwohin? Dann geht das zwar auch, aber mit etwas an Leistungseinbrüchen und du musst statische Routen definieren können in der Fritte. Kann man das bei dre Kabel-Provider beschnittenen Fritzbox überhaupt? 🤔
Gruß
Marc
aber mit etwas an Leistungseinbrüchen und du musst statische Routen definieren können in der Fritte.
Nein, die braucht man bei IPsec in einer Kaskade nicht. Ist ja auch klar, denn die Firewall macht ja NAT auf dem WAN Port zur Fritte. Folglich "sieht" die FritzBox keinerlei dieser lokalen Subnetze an der FW da diese von der Firewall ja alle auf die WAN IP Adresse umgesetzt werden (NAT eben !). Die FB "denkt" somit das aller Traffic aus ihrem lokalen LAN Netzwerk kommt, denn der FW WAN Port hat ja eine IP aus ihrem LAN. Damit sind statische Routen in der FB dann sinnfrei.Das einzige was man benötigt ist Port Forwarding für die IPsec Protokoll Suite oder den etwas laienhaften "Schrotschuss" exposed Host. Siehe dazu auch hier.
Wow, jetzt habt ihr mir eine Menge Input geliefert. Vielen Dank.
@aqui: Alter Schwede...wann schreibst du diese ganzen Tutorials? Schläfst du auch mal? Mega!!!
Ohne einen LAG wäre so ein Setup ja sinnfrei. Wozu sollte das gut sein ? Mal abgesehen davon das es designtechnisch falsch ist.
Was noch ginge ist die 2 LAN Ports als Bridge zusammenfassen mit einem IP Interface. Auch das ginge wäre aber auch etwas unsinnig. Wenn würde nur das LAG Setup zielführend sein.
Hier hatte ich mich missverständlich ausgedrückt. Ich meinte damit, das ich zwischen Fritte und pfSense bzw. pfSense und Switch dasselbe Netz habe. Ich hab hier noch etwas wie "transparenter Proxy" in einer verstaubten Gehirnzelle liegen, aber das ist vermutlich völliger Humbug.
Also, prinzipiell würde ich ein L3-Konzept bevorzugen. Der Cisco-Switch kann das ja auch, das bekomme ich auch fix eingerichtet. Wenn ich aber die Fritte so belasse, wie sie ist, weil sie als reines Modem eh nicht mehr konfigurierbar ist, dann hab ich die Telefonie schon mal abgefackelt (bleibt wie es ist). Aber gibt das dann nicht eine mehrstufige Kaskade?
Zwischen Fritte und pfSense: z.B. 172.16.0.0/30 mit der Fritte .1 und der pfSense .2
Zwischen pfSense und Switch: z.B. 172.16.1.0/30 mit pfSense .1 und Switch .2
Hinter bzw. auf dem Switch dann die VLANs mit z.B. 172.16.10.0/24, 172.16.20.0/24 usw.
Oder hab ich da wieder einen Denkfehler drin? Und wenn schon L3, dann vielleicht auch gleich ein Management-VLAN1? Was mir auch noch durch den Kopf ging, ist meine VPN-Verbindung von meinem PC zuhause mit einem NCP-VPN-Client zu unserem Router im Büro.
Klar, die sind schon da, aber ich hab die Einwahldaten eben nicht auf Papier. Und ja, besser ich weiß nicht, was da via TR069 an Vodafone gefunkt wird Kürzlich hatte ich die Upload-Bandbreitenerhöhung von 20 auf 40 Mbit beauftragt. Resultat war, das Vodafone mir alle 6 Rufnummern gelöscht hatte. War natürlich ein System-Robot!? Oder die Mainzelmännchen? Da habe ich mich 10 Tage mit dem Support auseinander gesetzt, bis ich meine Rufnummern wieder hatte. Deshalb bleibt die VF-Fritte erstmal im Keller an der Wand...Routerfreiheit hin oder her
@aqui: Alter Schwede...wann schreibst du diese ganzen Tutorials? Schläfst du auch mal?
Mega!!!1. Kann ich der pfSense auf jedem der beiden LAN-Ports eine Adresse aus dem aktuellen Netz 192.168.0.0/24 geben, z.B.
LAN1 = 192.168.0.3 und LAN2 = 192.168.0.4? Kann die Fritte dann weiter den DHCP spielen?
Ja, das geht aber dann musst du einen LACP LAG (Link Aggregation) auf den Cisco konfigurieren !LAN1 = 192.168.0.3 und LAN2 = 192.168.0.4? Kann die Fritte dann weiter den DHCP spielen?
Ohne einen LAG wäre so ein Setup ja sinnfrei. Wozu sollte das gut sein ? Mal abgesehen davon das es designtechnisch falsch ist.
Was noch ginge ist die 2 LAN Ports als Bridge zusammenfassen mit einem IP Interface. Auch das ginge wäre aber auch etwas unsinnig. Wenn würde nur das LAG Setup zielführend sein.
Hier hatte ich mich missverständlich ausgedrückt. Ich meinte damit, das ich zwischen Fritte und pfSense bzw. pfSense und Switch dasselbe Netz habe. Ich hab hier noch etwas wie "transparenter Proxy" in einer verstaubten Gehirnzelle liegen, aber das ist vermutlich völliger Humbug.
Also, prinzipiell würde ich ein L3-Konzept bevorzugen. Der Cisco-Switch kann das ja auch, das bekomme ich auch fix eingerichtet. Wenn ich aber die Fritte so belasse, wie sie ist, weil sie als reines Modem eh nicht mehr konfigurierbar ist, dann hab ich die Telefonie schon mal abgefackelt (bleibt wie es ist). Aber gibt das dann nicht eine mehrstufige Kaskade?
Zwischen Fritte und pfSense: z.B. 172.16.0.0/30 mit der Fritte .1 und der pfSense .2
Zwischen pfSense und Switch: z.B. 172.16.1.0/30 mit pfSense .1 und Switch .2
Hinter bzw. auf dem Switch dann die VLANs mit z.B. 172.16.10.0/24, 172.16.20.0/24 usw.
Oder hab ich da wieder einen Denkfehler drin? Und wenn schon L3, dann vielleicht auch gleich ein Management-VLAN1? Was mir auch noch durch den Kopf ging, ist meine VPN-Verbindung von meinem PC zuhause mit einem NCP-VPN-Client zu unserem Router im Büro.
Ist Unsinn, denn diese hat sie schon. Sie telefoniert deshalb vorher immer via TR-096 (siehe HIER) "nach Hause" und holt sich diese vom Provider. Was sie dem dann sonst noch sagt über dich und deinen Anschluss willst du besser nicht wissen... Kein Mensch will bei gesetzlich freier Router Wahl in der EU sich noch gängeln lassen mit Zwangsroutern, deshalb ja die pfSense. face-wink
face-winkKlar, die sind schon da, aber ich hab die Einwahldaten eben nicht auf Papier. Und ja, besser ich weiß nicht, was da via TR069 an Vodafone gefunkt wird
Kürzlich hatte ich die Upload-Bandbreitenerhöhung von 20 auf 40 Mbit beauftragt. Resultat war, das Vodafone mir alle 6 Rufnummern gelöscht hatte. War natürlich ein System-Robot!? Oder die Mainzelmännchen? Da habe ich mich 10 Tage mit dem Support auseinander gesetzt, bis ich meine Rufnummern wieder hatte. Deshalb bleibt die VF-Fritte erstmal im Keller an der Wand...Routerfreiheit hin oder her aber das ist vermutlich völliger Humbug.
Das ist es ! Und doppelte IP Netze weisst du selber als Netzwerk Profi das das keine besonders intelligente Idee ist ! Aber gibt das dann nicht eine mehrstufige Kaskade?
Ja, ist dir ja oben mehrfach gesagt worden. Eine klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Oder hab ich da wieder einen Denkfehler drin?
Nope, alles richtig. Kann man so machen.VPN-Verbindung von meinem PC zuhause mit einem NCP-VPN-Client zu unserem Router im Büro.
Kein Problem das wird fehlerlos klappen, denn der Client ist ja der Initiator und supportet NAT Traversal (NAT-T, UDP 4500). Kein Thema also !aber ich hab die Einwahldaten eben nicht auf Papier.
Wie bitte ?? Was ist das denn für ein Provider ?! Die sind rechtlich verpflichtet dir die auszuhändigen wenn du in der EU bist !! Gängelung der Endkunden...ohne Worte.Zitat von @aqui:
Ich bin ja kein Profi aber das ist vermutlich völliger Humbug.
Das ist es ! Und doppelte IP Netze weisst du selber als Netzwerk Profi das das keine besonders intelligente Idee ist ! Nur einigermaßen versierter Laie. Hab mir das im Laufe der Jahre selbst angeeignet. Mein Gebiet sind eherGüterkraftverkehrsgesetz, Lenk- und Ruhezeiten, LKW-Technik und Spedition allgemein. Aber man muss nicht alles können
Aber gibt das dann nicht eine mehrstufige Kaskade?
Ja, ist dir ja oben mehrfach gesagt worden. Eine klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Oder hab ich da wieder einen Denkfehler drin?
Nope, alles richtig. Kann man so machen.Fein...gute Lehrer gehabt. <-- Lob. Was hab ich anfangs beim Thema VLAN und Co geflucht, aber wenn man es mal kapiert hat, ist es nicht schwer.
VPN-Verbindung von meinem PC zuhause mit einem NCP-VPN-Client zu unserem Router im Büro.
Kein Problem das wird fehlerlos klappen, denn der Client ist ja der Initiator und supportet NAT Traversal (NAT-T, UDP 4500). Kein Thema also !Vermutlich muss ich nur aufpassen, das ich zuhause nicht die selben IP-Bereiche nutze, die ich auf dem VPN-Client im Split-Tunneling ins Büro schiebe.
aber ich hab die Einwahldaten eben nicht auf Papier.
Wie bitte ?? Was ist das denn für ein Provider ?! Die sind rechtlich verpflichtet dir die auszuhändigen wenn du in der EU bist !! Gängelung der Endkunden...ohne Worte.Nope...gibts bei Vodafone nicht. Wenn du dir einen eigenen Router holst, dann mußt du den bei Vodafone anmelden. Dann stellen Sie dir die Einwahldaten und SIP-Zugangsdaten ins Kundenportal rein. Dort kannst sie dann abrufen. Mit Provider-Router gibbet keine Einwahldaten. Dafür gibt es ja das tolle TR069. Bei KabelBW war der Laden echt noch ok, dann bei Unitymedia
ging es noch so und bei Vodafone ist es völliger Käse. Solange es geht ist alles gut, aber wenn du beim Support anrufen mußt, dann trink vorher 5 Jägermeister
Einstweilen vielen Dank an alle. Ich setze den Thread auf gelöst, wenn ich es umgesetzt habe. Wird aber noch ein paar Tage dauern.
Moinsen nochmal aus dem Hobbykeller,
wie gesagt: hier auch doppelt NAT. Gefühlt hab ich da nix zu leiden:
Homeoffice mit Videokonferenzen und Kram ohne Probleme, sowohl Kind als auch ich, auch gleichzeitig nebenbei noch Dischord und ps4 und Netprime usw. Da wirst du vermutlich nix merken.
VPN ins Firmennetz als CLient aufbauen ohne Einschränkungen (wenn du die Regeln in der pfsense richtig setzt).
VPN von extern nach Hause trotz doppelt NAT (wie @aqui ja sagte) sowieso gut mit PWL in der Fritz auf den VPN Server Port.
Mein Tip: mach es erstmal, häng die sense an die Fritzbox, bau dahinter ein Probelan auf, darin dann Maschine und Materie kennenlernen. Dann nach und nach damit ernster arbeiten und schließlich steht alles hinter der pfsense. Dann kannst du immer noch in Ruhe überlegen, ob du bzgl der Fritzbox davor was ändern willst.
Und bis dahin ist es eben ein ziemlich sicherer Ast, auf dem du deine Experimente betreiben kannst...jm2c.
wie gesagt: hier auch doppelt NAT. Gefühlt hab ich da nix zu leiden:
Homeoffice mit Videokonferenzen und Kram ohne Probleme, sowohl Kind als auch ich, auch gleichzeitig nebenbei noch Dischord und ps4 und Netprime usw. Da wirst du vermutlich nix merken.
VPN ins Firmennetz als CLient aufbauen ohne Einschränkungen (wenn du die Regeln in der pfsense richtig setzt).
VPN von extern nach Hause trotz doppelt NAT (wie @aqui ja sagte) sowieso gut mit PWL in der Fritz auf den VPN Server Port.
Mein Tip: mach es erstmal, häng die sense an die Fritzbox, bau dahinter ein Probelan auf, darin dann Maschine und Materie kennenlernen. Dann nach und nach damit ernster arbeiten und schließlich steht alles hinter der pfsense. Dann kannst du immer noch in Ruhe überlegen, ob du bzgl der Fritzbox davor was ändern willst.
Und bis dahin ist es eben ein ziemlich sicherer Ast, auf dem du deine Experimente betreiben kannst...jm2c.
Zitat von @th30ther:
Moinsen nochmal aus dem Hobbykeller,
wie gesagt: hier auch doppelt NAT. Gefühlt hab ich da nix zu leiden:
Homeoffice mit Videokonferenzen und Kram ohne Probleme, sowohl Kind als auch ich, auch gleichzeitig nebenbei noch Dischord und ps4 und Netprime usw. Da wirst du vermutlich nix merken.
VPN ins Firmennetz als CLient aufbauen ohne Einschränkungen (wenn du die Regeln in der pfsense richtig setzt).
VPN von extern nach Hause trotz doppelt NAT (wie @aqui ja sagte) sowieso gut mit PWL in der Fritz auf den VPN Server Port.
Mein Tip: mach es erstmal, häng die sense an die Fritzbox, bau dahinter ein Probelan auf, darin dann Maschine und Materie kennenlernen. Dann nach und nach damit ernster arbeiten und schließlich steht alles hinter der pfsense. Dann kannst du immer noch in Ruhe überlegen, ob du bzgl der Fritzbox davor was ändern willst.
Und bis dahin ist es eben ein ziemlich sicherer Ast, auf dem du deine Experimente betreiben kannst...jm2c.
Moinsen nochmal aus dem Hobbykeller,
wie gesagt: hier auch doppelt NAT. Gefühlt hab ich da nix zu leiden:
Homeoffice mit Videokonferenzen und Kram ohne Probleme, sowohl Kind als auch ich, auch gleichzeitig nebenbei noch Dischord und ps4 und Netprime usw. Da wirst du vermutlich nix merken.
VPN ins Firmennetz als CLient aufbauen ohne Einschränkungen (wenn du die Regeln in der pfsense richtig setzt).
VPN von extern nach Hause trotz doppelt NAT (wie @aqui ja sagte) sowieso gut mit PWL in der Fritz auf den VPN Server Port.
Mein Tip: mach es erstmal, häng die sense an die Fritzbox, bau dahinter ein Probelan auf, darin dann Maschine und Materie kennenlernen. Dann nach und nach damit ernster arbeiten und schließlich steht alles hinter der pfsense. Dann kannst du immer noch in Ruhe überlegen, ob du bzgl der Fritzbox davor was ändern willst.
Und bis dahin ist es eben ein ziemlich sicherer Ast, auf dem du deine Experimente betreiben kannst...jm2c.
Servus,
vielen Dank. Ich werde das an einem der nächsten Wochenenden mal testen. Momentan wäre es nicht möglich, am heimischen Netzwerk zu basteln. Meine Herren Söhne (14 und 18) sitzen mit ihren Kumpels im Garten und schauen per Stream Fußball auf dem Beamer und der Outdoor-Leinwand
Da schreit's schon "Paaapaaa", wenn's mal 2 Sek. ruckelt.Gruß NV
das ich zuhause nicht die selben IP-Bereiche nutze
Absolut richtig ! Das hier, wie immer, lesen und verstehen: VPNs einrichten mit PPTP
Zitat von @NixVerstehen:
Also, prinzipiell würde ich ein L3-Konzept bevorzugen. Der Cisco-Switch kann das ja auch, das bekomme ich auch fix eingerichtet. Wenn ich aber die Fritte so belasse, wie sie ist, weil sie als reines Modem eh nicht mehr konfigurierbar ist, dann hab ich die Telefonie schon mal abgefackelt (bleibt wie es ist). Aber gibt das dann nicht eine mehrstufige Kaskade?
Zwischen Fritte und pfSense: z.B. 172.16.0.0/30 mit der Fritte .1 und der pfSense .2
Zwischen pfSense und Switch: z.B. 172.16.1.0/30 mit pfSense .1 und Switch .2
Hinter bzw. auf dem Switch dann die VLANs mit z.B. 172.16.10.0/24, 172.16.20.0/24 usw.
Also, prinzipiell würde ich ein L3-Konzept bevorzugen. Der Cisco-Switch kann das ja auch, das bekomme ich auch fix eingerichtet. Wenn ich aber die Fritte so belasse, wie sie ist, weil sie als reines Modem eh nicht mehr konfigurierbar ist, dann hab ich die Telefonie schon mal abgefackelt (bleibt wie es ist). Aber gibt das dann nicht eine mehrstufige Kaskade?
Zwischen Fritte und pfSense: z.B. 172.16.0.0/30 mit der Fritte .1 und der pfSense .2
Zwischen pfSense und Switch: z.B. 172.16.1.0/30 mit pfSense .1 und Switch .2
Hinter bzw. auf dem Switch dann die VLANs mit z.B. 172.16.10.0/24, 172.16.20.0/24 usw.
Das Routing würd ich nicht dem Switch überlassen, sondern der pfSense, wenn du was darüber lernen willst.
Du kannst auf den Switchen z.B. VLAN 1 ungetaggt und 2-n getaggt machen, auf der pfSense kannst du am LAN Port mehrere virtuelle Ports erstellen die du in verschiedene VLANs hängst.
So hast du im Dashboard eine schöne Anzeige was über jedes einzelne Interface bzw. VLAN an Traffic läuft und musst nicht jedes mal auf die Switche wenn du was ändern willst. Zudem kannst du dann unterschiedliche Firewall Regeln für jedes einzelne VLAN anhand des Interfaces erstellen.
Telefonie solltest du auf der Fritte lassen, das macht vieles einfacher.
Und ja, Kabelanschluss hatte noch nie Zugangsdaten, theoretisch könnte sich jeder im Mietshaus im Keller mit andübeln, wenn da nicht die Sperre mittels MAC-Adresse wäre.
Früher durfte man nicht mal eigene Geräte verwenden, das hat die Gesetzgebung jetzt aber geändert, jetzt muss man aus Sicherheitsgründen dem Provider eben mitteilen welches Gerät man daran betreibt und die MAC für seinen Tarif freischalten.
https://helpdesk.vodafonekabelforum.de/wiki/Endger%C3%A4tefreiheit_bei_V ...
Off Topic:
Bei einem Bekannten, der ein vorkonfiguriertes SIP Telefon von der Arbeit ins Home Office gestellt bekommen hat, sagte das Gerät immer "Telefonie ausgefallen".
Bei mir zuhause hatte sich das Telefon sofort mit dem SIP Provider verbunden. Zuhause beim Bekannten musste die Vodafone Hotline diesen "unbekannten" SIP Traffic erst freischalten
Gruß
Marc
Zitat von @rzlbrnft:
Sicherheitsgründen dem Provider eben mitteilen welches Gerät man daran betreibt und die MAC für seinen Tarif freischalten.
https://helpdesk.vodafonekabelforum.de/wiki/Endger%C3%A4tefreiheit_bei_V ...
Sicherheitsgründen dem Provider eben mitteilen welches Gerät man daran betreibt und die MAC für seinen Tarif freischalten.
https://helpdesk.vodafonekabelforum.de/wiki/Endger%C3%A4tefreiheit_bei_V ...
Bei einem Bekannten, der ein vorkonfiguriertes SIP Telefon von der Arbeit ins Home Office gestellt bekommen hat, sagte das Gerät immer "Telefonie ausgefallen".
Bei mir zuhause hatte sich das Telefon sofort mit dem SIP Provider verbunden. Zuhause beim Bekannten musste die Vodafone Hotline diesen "unbekannten" SIP Traffic erst freischalten
Gruß
Marc
Zitat von @radiogugu:
Off Topic:
Bei einem Bekannten, der ein vorkonfiguriertes SIP Telefon von der Arbeit ins Home Office gestellt bekommen hat, sagte das Gerät immer "Telefonie ausgefallen".
Bei mir zuhause hatte sich das Telefon sofort mit dem SIP Provider verbunden. Zuhause beim Bekannten musste die Vodafone Hotline diesen "unbekannten" SIP Traffic erst freischalten
Gruß
Marc
Off Topic:
Zitat von @rzlbrnft:
Sicherheitsgründen dem Provider eben mitteilen welches Gerät man daran betreibt und die MAC für seinen Tarif freischalten.
https://helpdesk.vodafonekabelforum.de/wiki/Endger%C3%A4tefreiheit_bei_V ...
Sicherheitsgründen dem Provider eben mitteilen welches Gerät man daran betreibt und die MAC für seinen Tarif freischalten.
https://helpdesk.vodafonekabelforum.de/wiki/Endger%C3%A4tefreiheit_bei_V ...
Bei einem Bekannten, der ein vorkonfiguriertes SIP Telefon von der Arbeit ins Home Office gestellt bekommen hat, sagte das Gerät immer "Telefonie ausgefallen".
Bei mir zuhause hatte sich das Telefon sofort mit dem SIP Provider verbunden. Zuhause beim Bekannten musste die Vodafone Hotline diesen "unbekannten" SIP Traffic erst freischalten
Gruß
Marc
Finde ich prinzipiell nicht schlimm, unsereins möchte in seinem Firmennetz ja auch keinen "unbekannten" Traffic haben.
Zitat von @rzlbrnft:
Finde ich prinzipiell nicht schlimm, unsereins möchte in seinem Firmennetz ja auch keinen "unbekannten" Traffic haben.
Finde ich prinzipiell nicht schlimm, unsereins möchte in seinem Firmennetz ja auch keinen "unbekannten" Traffic haben.
Eher ungewollten Traffic
Nach dem Motto "Nehmt unseren SIP oder gar keinen."
Gruß
Marc
@NixVerstehen
Arno, wenn's das denn nun war bitte den Thread dann auch schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Arno, wenn's das denn nun war bitte den Thread dann auch schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @aqui:
@NixVerstehen
Arno, wenn's das denn nun war bitte den Thread dann auch schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
@NixVerstehen
Arno, wenn's das denn nun war bitte den Thread dann auch schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Erledigt
