Pfsense einrichten als Test hinter Fritzbox
Hallo Experten,
ich habe aktuell eine Fritzbox als DSL Router bei Osnatel. Nun würde ich gerne eine pfsense installieren. Das dafür notwendige Modem (Draytek Vigor 167 ist bereits gekauft, aber noch nicht angeschlossen.
Ich wollte erst einmal mit pfsense warm werden, da ich kein Experte bin. Ich habe also pfsense auf einem ipu-Board installiert und den WAN Anschluss an einen Lan-Anschluss der Fritzbox angeschlossen. Mir ist klar, dass Doppel-NAT nicht sinnvoll ist aber für einen Test halte ich das für die richtige Vorgehensweise.
Ich bekomme die pfsense so weit eingerichtet, dass ich mit meinem Laptop (anschlossen am LAN von der pfsense / ipu-Board) auf die Fritzbox zugreifen kann (kann die Weboberfläche öffnen.).
Ich kann auch den Google-Server anpingen, das klappt also auch.
Bei der Grundinstallation von pfsense aus den verschiedenen Tutorials (vielen Dank an aqui) habe ich entnehmen können, dass ich dann auch schon per Webbrowser ins Internet kommen müsste. Aber genau das klappt bei mir nicht.
Kann mir da irgendwer helfen?
Gruss Norbert
ich habe aktuell eine Fritzbox als DSL Router bei Osnatel. Nun würde ich gerne eine pfsense installieren. Das dafür notwendige Modem (Draytek Vigor 167 ist bereits gekauft, aber noch nicht angeschlossen.
Ich wollte erst einmal mit pfsense warm werden, da ich kein Experte bin. Ich habe also pfsense auf einem ipu-Board installiert und den WAN Anschluss an einen Lan-Anschluss der Fritzbox angeschlossen. Mir ist klar, dass Doppel-NAT nicht sinnvoll ist aber für einen Test halte ich das für die richtige Vorgehensweise.
Ich bekomme die pfsense so weit eingerichtet, dass ich mit meinem Laptop (anschlossen am LAN von der pfsense / ipu-Board) auf die Fritzbox zugreifen kann (kann die Weboberfläche öffnen.).
Ich kann auch den Google-Server anpingen, das klappt also auch.
Bei der Grundinstallation von pfsense aus den verschiedenen Tutorials (vielen Dank an aqui) habe ich entnehmen können, dass ich dann auch schon per Webbrowser ins Internet kommen müsste. Aber genau das klappt bei mir nicht.
Kann mir da irgendwer helfen?
Gruss Norbert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2140812283
Url: https://administrator.de/forum/pfsense-einrichten-als-test-hinter-fritzbox-2140812283.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
25 Kommentare
Neuester Kommentar
Alles zu dem Thema Router Kaskade erklärt dir das pfSense/OPNsense Tutorial im Kapitel "Kaskaden Lösung":
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen... !
Nebenbei hast du kein Internet sondern ein DNS Problem durch völlig falsches DNS Setup.
Nur Dummies nutzen 8.8.8.8 als DNS Server ! Vernünftige nutzen hier eine Datenschutz freundlichere Alternative ! Aber auch die ist unsinnig da völlig überflüssig !
Hier musst du NICHTS eintragen, denn die pfSense "lernt" per DHCP den DNS Server automatisch von der FritzBox. Also im DNS Feld des Setups alles LEER lassen.
Das richtige Setup des DNS Cachings wird HIER erklärt ! Also auch einmal die weiterführenden Links lesen !
Vernüftige Adminstratoren gehen dann logischerweise strategisch vor und immer zuerst ins "Diagnostics" Menü der pfSense und checken unter Ping und nslookup ob von dort eine Hostnamen Auflösung, sprich DNS sauber klappt.
Erst danach dann an den Endgeräten !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen... !
Nebenbei hast du kein Internet sondern ein DNS Problem durch völlig falsches DNS Setup.
Nur Dummies nutzen 8.8.8.8 als DNS Server ! Vernünftige nutzen hier eine Datenschutz freundlichere Alternative ! Aber auch die ist unsinnig da völlig überflüssig !
Hier musst du NICHTS eintragen, denn die pfSense "lernt" per DHCP den DNS Server automatisch von der FritzBox. Also im DNS Feld des Setups alles LEER lassen.
Das richtige Setup des DNS Cachings wird HIER erklärt ! Also auch einmal die weiterführenden Links lesen !
Vernüftige Adminstratoren gehen dann logischerweise strategisch vor und immer zuerst ins "Diagnostics" Menü der pfSense und checken unter Ping und nslookup ob von dort eine Hostnamen Auflösung, sprich DNS sauber klappt.
Erst danach dann an den Endgeräten !
Hallo Trebron!
Du blockierst auf dem WAN-Interface alle privaten Netzwerke. Da dein Gateway (die FB) aber eine private IP hat, kann das nix werden. Nimm da mal den Haken raus.
Welchen DNS Server man nimmt ist Glaubenssache. Häufig hängt man am Provider-DNS weil z.B. bei O2 nur damit die Telefonie funktioniert. Wenn man mehr Freiheit braucht nimmt man andere. Quad9 nehme ich auch.
Hier gilt aber was @aqui (Schönen Gruß!) geschrieben hat. In der PfSense benötigst du bei deinem Setup keinen.
VG
Buc
Du blockierst auf dem WAN-Interface alle privaten Netzwerke. Da dein Gateway (die FB) aber eine private IP hat, kann das nix werden. Nimm da mal den Haken raus.
Welchen DNS Server man nimmt ist Glaubenssache. Häufig hängt man am Provider-DNS weil z.B. bei O2 nur damit die Telefonie funktioniert. Wenn man mehr Freiheit braucht nimmt man andere. Quad9 nehme ich auch.
Hier gilt aber was @aqui (Schönen Gruß!) geschrieben hat. In der PfSense benötigst du bei deinem Setup keinen.
VG
Buc
Hallo,
Mein Konto müsste aus meiner Sicht auch passen, trotzdem kommen da keine unzähligen neuen EURs drauf an
Ein IPConfig /all deines Clients ist hier hilfreicher da du niemanden von dein Netzkonstrukt etwas Gehaltvolles Erzählst.
Gruß,
Peter
Mein Konto müsste aus meiner Sicht auch passen, trotzdem kommen da keine unzähligen neuen EURs drauf an
Ein IPConfig /all deines Clients ist hier hilfreicher da du niemanden von dein Netzkonstrukt etwas Gehaltvolles Erzählst.
Gruß,
Peter
Welchen DNS Server verwendet denn dein Client?
@Pjordorf: Wenn du die passenden Einstellungen gefunden hast, poste die mal. Mein Konto hat auch so ne Fehlkonfiguration.
Buc
@Pjordorf: Wenn du die passenden Einstellungen gefunden hast, poste die mal. Mein Konto hat auch so ne Fehlkonfiguration.
Buc
Kollege @Pjordorf hat aber Recht. Ein ipconfig -all eines Clients würde hier helfen.
Auch ein nslookup www.administrator.de von einem Client.
Normalerweise muss man gar nichts an der pfSense konfigurieren. Nur mit ihrer Default Konfig funktioniert das alles schon so out of the Box !
Du solltest parallel nochmal checken ob ggf. IPv6 aktiviert ist in deiner FB (Dual Stack) aber dort die DNS Server fehlen und deshalb primär IPv6 genutzt wird aber mit einer falschen DNS Konfig.
IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Auch ein nslookup www.administrator.de von einem Client.
Normalerweise muss man gar nichts an der pfSense konfigurieren. Nur mit ihrer Default Konfig funktioniert das alles schon so out of the Box !
Du solltest parallel nochmal checken ob ggf. IPv6 aktiviert ist in deiner FB (Dual Stack) aber dort die DNS Server fehlen und deshalb primär IPv6 genutzt wird aber mit einer falschen DNS Konfig.
IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Moinsen,
und nimm (da ja kein IPv6 am Start) mal die Einstellung unter "general settings" (LAN Interface) > IPv6 configuration raus...
Du hast da "Track Interface" stehen...welches "trackst" du denn? Denn unter WAN hast du IPv6 ja nicht aktiviert...
Hat aber afaik nix damit zu tun...
Sinniger sind da die Fragen nach ifconfig -a, nslookup und die Idee auf der FB dann mal wegen IPv6 DNS Servern zu schauen...
Hier zB ist auch doppel NAT, Dualstack, DNS macht unbound auf der pfsense als resolver.
Da ich noch weitere Subnetze habe, sind einige Regeln nötig um DNS Abfragen zu erlauben, das ist ja aber bei deinem setting egal (da keine weiteren VLANs).
Du kannst also in deinem Beispiel "web.de" pingen, erreichst die Seite aber nicht via Browser? Läuft der ping von der pfsense oder vom Client aus??
Denn bei deinem Client-screenshot fällt mir auf, dass du zwar "Manuell" ausgewählt hast, dann aber kein Eintrag bei zB DNS Server dort hinterlegt ist...
Grüßle
the other
und nimm (da ja kein IPv6 am Start) mal die Einstellung unter "general settings" (LAN Interface) > IPv6 configuration raus...
Du hast da "Track Interface" stehen...welches "trackst" du denn? Denn unter WAN hast du IPv6 ja nicht aktiviert...
Hat aber afaik nix damit zu tun...
Sinniger sind da die Fragen nach ifconfig -a, nslookup und die Idee auf der FB dann mal wegen IPv6 DNS Servern zu schauen...
Hier zB ist auch doppel NAT, Dualstack, DNS macht unbound auf der pfsense als resolver.
Da ich noch weitere Subnetze habe, sind einige Regeln nötig um DNS Abfragen zu erlauben, das ist ja aber bei deinem setting egal (da keine weiteren VLANs).
Du kannst also in deinem Beispiel "web.de" pingen, erreichst die Seite aber nicht via Browser? Läuft der ping von der pfsense oder vom Client aus??
Denn bei deinem Client-screenshot fällt mir auf, dass du zwar "Manuell" ausgewählt hast, dann aber kein Eintrag bei zB DNS Server dort hinterlegt ist...
Grüßle
the other
Da ich noch weitere Subnetze habe, sind einige Regeln nötig um DNS Abfragen zu erlauben
Kann man nur hoffen das der TO so intelligent war das Default LAN Interface zu nutzen was per Default schon ein entsprechendes Regelwerk hat.Neue Interfaces, sei es native oder VLANs, haben das nicht. Da wird im Default erstmal ALLES geblockt wie es ja bei Firewalls üblich ist. Hoffentlich hat der TO das auf dem Radar ?!
Ein Blick in die Firewall Logs kann hier, wie immer, nicht schaden.
Moinsen @aqui,
ja eben, das hatte mich auch schon mal in die Verwirrung geschickt...ist eben ne Firewall. Aber wenn mensch von Fritzbox kommt, dann ist das schon was anderes und der Umdenkprozess muss auch erst in die Gänge kommen... wie ich aus eigener Erfahrung bestätigen kann, denn ohne deine Tipps hätte ich auch erst mal ein langes Gesicht gemacht...
ja eben, das hatte mich auch schon mal in die Verwirrung geschickt...ist eben ne Firewall. Aber wenn mensch von Fritzbox kommt, dann ist das schon was anderes und der Umdenkprozess muss auch erst in die Gänge kommen... wie ich aus eigener Erfahrung bestätigen kann, denn ohne deine Tipps hätte ich auch erst mal ein langes Gesicht gemacht...
Moinsen,
also:
dein Client hängt hinter der pfsense am LAN...die pfsense mit ihrem WAN an einem LAN der Fritzbox.
Dein pfsense WAN bekommt den DNS Server durch DHCP von der Fritzbox zugeteilt (hier 1.1.1.1.).
Wenn du auf dem Client dann eine DNS Abfrage startest, kommt time-out...
Wenn du auf dem Client dann eine mit Angabe eines ANDEREN DNS-Servers machst geht es...
Welchen DNS-Server hast du denn beim Client im Netzwerkmanager hinterlegt (bei manueller Konfig wie im screenshot zu sehen)??
Was ergibt nslookup mit administrator.de 1.1.1.1. ?
Sollte ja passen. Vermutlich fehlt deinem Client einfach ein DNS-Servereintrag, er fragt dann sich selber, kennt die Antwort nicht und Ende.
Gibst du ihm aber vor, wen er (statt sich selbst) zu fragen hat nach "administrator.de" mit der Ergänzung, dann geht es ja...
Da du alle Tipps für die unbound Konfiguration der pfsense ja bereits umgesetzt hast, scheint doch da der Hund begraben.
Und weil ich es vermutlich überlesen habe:
ein Ping von der pfsense aus (Diagnostics > Ping sowie nslookup) bringen ein passendes Ergebnis, oder?
Grüßle
th30ther
also:
dein Client hängt hinter der pfsense am LAN...die pfsense mit ihrem WAN an einem LAN der Fritzbox.
Dein pfsense WAN bekommt den DNS Server durch DHCP von der Fritzbox zugeteilt (hier 1.1.1.1.).
Wenn du auf dem Client dann eine DNS Abfrage startest, kommt time-out...
Wenn du auf dem Client dann eine mit Angabe eines ANDEREN DNS-Servers machst geht es...
Welchen DNS-Server hast du denn beim Client im Netzwerkmanager hinterlegt (bei manueller Konfig wie im screenshot zu sehen)??
Was ergibt nslookup mit administrator.de 1.1.1.1. ?
Sollte ja passen. Vermutlich fehlt deinem Client einfach ein DNS-Servereintrag, er fragt dann sich selber, kennt die Antwort nicht und Ende.
Gibst du ihm aber vor, wen er (statt sich selbst) zu fragen hat nach "administrator.de" mit der Ergänzung, dann geht es ja...
Da du alle Tipps für die unbound Konfiguration der pfsense ja bereits umgesetzt hast, scheint doch da der Hund begraben.
Und weil ich es vermutlich überlesen habe:
ein Ping von der pfsense aus (Diagnostics > Ping sowie nslookup) bringen ein passendes Ergebnis, oder?
Grüßle
th30ther
Moinsen,
also, wenn deine pfsense administrator.de pingen kann, dann löst die pfsense den Namen ja auch korrekt auf. Es geht also generell in deinem kleinen Netzwerk hinter der Fritzbox...
Nicht so dein Client...der weiß immer noch nicht weiter.
Und daher (dreimal ist ja bekanntlich keinmal) nochmals gefragt:
WIE sind die Einstellungen des Clients zum Netzwerk?
Manuell? Falls ja > welchen DNS Server angegeben?
also, wenn deine pfsense administrator.de pingen kann, dann löst die pfsense den Namen ja auch korrekt auf. Es geht also generell in deinem kleinen Netzwerk hinter der Fritzbox...
Nicht so dein Client...der weiß immer noch nicht weiter.
Und daher (dreimal ist ja bekanntlich keinmal) nochmals gefragt:
WIE sind die Einstellungen des Clients zum Netzwerk?
Manuell? Falls ja > welchen DNS Server angegeben?
Der Fehler der (mal wieder) oben beim Ping gemacht wurde ist die "Source Address" fälschlicherweise auf Automatic zu belassen.
Mit nur ein wenig intelligentem Nachdenken wäre es sinnvoll diese auf das lokale LAN Segment zu setzen in das auch der Client angeschlossen ist !!! So bekommen dann die ICMP Pings eine Absender IP aus dem lokalen LAN Segment des Clients.
So könnte man dann zu 99,9% so realistisch pingen wie es auch ein Client im lokalen LAN machen würde !
Dann wäre ein ipconfig -all vom Testclient sinnvoll wie zu Recht 3mal schon gefordert plus die Info ob es Firewall Log irgendwelche Blocking Meldungen gibt !
Firewall Log daher VOR dem Ping löschen (wegen der Übersichtlichkeit) und die Log Reihenfolge im Log Setting so setzten das die aktuellste Meldung immer OBEN erscheint !
Kollege @th30ther hat hier absolut Recht das es die Firewall so gut wie sicher nicht ist sondern der Client oder ein falsches oder fehlendes Regelwerk am lokalen LAN Port der Firewall an dem der Client hängt.
Aber auch der Screenshot des LAN Regelwerkes wurde ebenso schon 3mal nachgefragt.
So kann man sich natürlich auch im Kreis drehen.
Mit nur ein wenig intelligentem Nachdenken wäre es sinnvoll diese auf das lokale LAN Segment zu setzen in das auch der Client angeschlossen ist !!! So bekommen dann die ICMP Pings eine Absender IP aus dem lokalen LAN Segment des Clients.
So könnte man dann zu 99,9% so realistisch pingen wie es auch ein Client im lokalen LAN machen würde !
Dann wäre ein ipconfig -all vom Testclient sinnvoll wie zu Recht 3mal schon gefordert plus die Info ob es Firewall Log irgendwelche Blocking Meldungen gibt !
Firewall Log daher VOR dem Ping löschen (wegen der Übersichtlichkeit) und die Log Reihenfolge im Log Setting so setzten das die aktuellste Meldung immer OBEN erscheint !
Kollege @th30ther hat hier absolut Recht das es die Firewall so gut wie sicher nicht ist sondern der Client oder ein falsches oder fehlendes Regelwerk am lokalen LAN Port der Firewall an dem der Client hängt.
Aber auch der Screenshot des LAN Regelwerkes wurde ebenso schon 3mal nachgefragt.
So kann man sich natürlich auch im Kreis drehen.
Moinsen,
Also erstmal: super, dass es läuft.
Der Befehl unter Linux lautet ifconfig -a , wie ich hier auch schon etwas versteckt geschrieben hatte
Da dein client ja an der pfsense hängt, ist das regelwerk für lan ja via gui einsehbar (firewall >regeln > lan), hattest du ja auch gepostet... ;)
Es gibt zwar noch verborgene default regeln für bestimmte Dienste, aber das spielt bei deinem Szenario IMHO keine Rolle.
Persönlicher Tipp? Da du dich ja eh von der fritzbox trennen willst, dann bau dir deine pfsense langsam auf...
...einlesen ggf in den Resolver Dienst unbound (wenn dann später die fritzbox als DNS forwarder wegfällt) und für lan konfigurieren
...einlesen in dhcp auf der pfsense und dann für lan konfigurieren bzw. Statische IPs vergeben für clients
Wäre jetzt ideal zu beginnen, solange du dir Zeit zum Lesen nehmen kannst...erleichtert den Umstieg später.
Du hast dann alles zentral auf deiner pfsense und schon Ahnung, was da wie grundsätzlich geht.
Also erstmal: super, dass es läuft.
Der Befehl unter Linux lautet ifconfig -a , wie ich hier auch schon etwas versteckt geschrieben hatte
Zitat von @th30ther:
Sinniger sind da die Fragen nach ifconfig -a, nslookup
Sinniger sind da die Fragen nach ifconfig -a, nslookup
Da dein client ja an der pfsense hängt, ist das regelwerk für lan ja via gui einsehbar (firewall >regeln > lan), hattest du ja auch gepostet... ;)
Es gibt zwar noch verborgene default regeln für bestimmte Dienste, aber das spielt bei deinem Szenario IMHO keine Rolle.
Persönlicher Tipp? Da du dich ja eh von der fritzbox trennen willst, dann bau dir deine pfsense langsam auf...
...einlesen ggf in den Resolver Dienst unbound (wenn dann später die fritzbox als DNS forwarder wegfällt) und für lan konfigurieren
...einlesen in dhcp auf der pfsense und dann für lan konfigurieren bzw. Statische IPs vergeben für clients
Wäre jetzt ideal zu beginnen, solange du dir Zeit zum Lesen nehmen kannst...erleichtert den Umstieg später.
Du hast dann alles zentral auf deiner pfsense und schon Ahnung, was da wie grundsätzlich geht.
PS
Pfsense / Client zwischendurch neu gestartet / neu verbunden? Auf automatische Einstellungen gegangen in der client Netzwerkkonfiguration? Unter manuellen Einstellungen den DNS Server nachgetragen? IT voodoo...?
Zitat von @Trebron:
Ich weiß nicht warum, aber nun kann ich Websites aufrufen. Verändert an der pfsense habe ich nichts. Auch an meinem Client habe ich nichts geändert. Ich habe wirklich keine Erklärung.
Ich weiß nicht warum, aber nun kann ich Websites aufrufen. Verändert an der pfsense habe ich nichts. Auch an meinem Client habe ich nichts geändert. Ich habe wirklich keine Erklärung.
Pfsense / Client zwischendurch neu gestartet / neu verbunden? Auf automatische Einstellungen gegangen in der client Netzwerkkonfiguration? Unter manuellen Einstellungen den DNS Server nachgetragen? IT voodoo...?
Könnt Ihr mir bitte dann den Befehl ipconfig -all unter Linux nennen!
Terminal öffnen, mit sudo su root Rechte zuweisen und dann ifconfigBesser wäre aber ein ip a und ein ip route
Ich bräuchte auch einen Hinweis, wie ich an das fehlende Regelwerk vom lokalen Lan rankomme.
Oha...an solchen Banalitäten scheiterst du schon ??Firewall --> Rules und dort wählst du dann in der roten Interface Übersicht das Interface aus an dem du das Regelwerk sehen oder bearbeiten willst !
Schön, dass es nun geht. Ein einfaches nslookup administrator.de hätte dir den aktiven DNS Server gezeigt. Hier hätte die PfSense auftauchen sollen.
Kleiner Tip: Denke daran, die Konfiguration der PfSense regelmässig zu sichern, wenn du dich einarbeitest und an verschiedensten Einstellungen rumspielst. Da kannst du immer wieder auf eine funktionierende Version zurückspringen wenn was schiefgeht.
VG
Buc
Kleiner Tip: Denke daran, die Konfiguration der PfSense regelmässig zu sichern, wenn du dich einarbeitest und an verschiedensten Einstellungen rumspielst. Da kannst du immer wieder auf eine funktionierende Version zurückspringen wenn was schiefgeht.
VG
Buc
Ein einfaches nslookup administrator.de hätte dir den aktiven DNS Server gezeigt.
Oder ein dig www.administrator.de sofern man vorher mit apt install dnsutils die DNS Utility Tools installiert hat.Ein Blick in die Datei resolv.conf (mit cat /etc/resolv.conf) hätte da auch sofort Klarheit geschaffen. Aber der TO befindet sich ja noch in der Lernphase.
Trotzdem mal eine Info zu ifconfig unter Linux:
Du hast absolut Recht mit dem obigen Statement, also keine Sorge !Leider ist aber die ip Syntax nicht in allen Distros immer enthalten und muss dann ggf. über den Packet Manager nachinstalliert werden, würde man sich blind darauf verlassen. ifconfig gibts aber, obwohl veraltet, schon seit Jahrhunterten und liefert diese Info auch. Genau deshalb waren oben in weiser Voraussicht ja auch beide Optionen genannt. 😉
Müsste man das zusätzlich Linux Anfängern immer noch on top erklären verwirrt man sie ggf. noch mehr als zielführend beim Problem zu helfen. Ist für die Supporter hier also immer ein Vabanque Spiel wie weit man gehen sollte mit zusätzlichen Bürden die man Fragenden mit einfachen Grundkenntnissen ggf. auferlegt.
Aber gut wenn nun alles rennt wie es soll bei dir. Der Rest ist dann genau wie du oben schon richtig sagst ausprobieren und Erfahrungen machen. Und wenns mal kneift hier fragen...
Bitte dann auch nicht vergessen deinen Thread dann zu schliessen.
Wie kann ich einen Beitrag als gelöst markieren?