PFSense via PPPoE ins Internet
Hallo zusammen,
Ich hoffe ihr könnt mir hier weiterhelfen bin nämlich echt langsam am verzweifeln.
Folgendes Szenario:
Ein Kunde von mir bekommt an mehreren Außenstellen eine PFSense Firewall (NETGATE).
Diese soll zukünftig die VPN Verbindungen zum HQ und zum Rechenzentrum übernehmen.
Da für dieses Vorgehen die PFSense eine Feste Public IP benötigt lass ich die PFSense via PPPoE die Verbindung zum Internet aufbauen.
Davor befindet sich eine FritzBox 3490 diese soll dann als Modem dienlich sein.
Dies klappt auch soweit einwandfrei.
Leider bekomme ich es aber nicht hin das an der Fritz Box angeschlossene Geräte egal ob LAN oder WLAN eine Internet Verbindung über die PFSense aufbauen.
Da ich nicht die ganze Zeit beim Kunden vor Ort sein kann hab ich mir zuhause eine Ähnliche Konstellation aufgebaut bloß mit einem Speedport w921v anstatt einer Fritzbox. Das Ergebnis ist aber das selbe.
Aktuell ist es so:
Der WAN Anschluss der PFSense ist mit dem Speedport verbunden, darüber wird die Öffentliche IP abgefragt durch PPPoE.
Zusätzlich ist das LAN Interface der PFSense als DHCP-Client konfiguriert und auch mit dem Speedport verbunden.
Das heißt DHCP übernimmt der Speedport um ein einheitliches Netz aufzubauen.
Die PFSense selber hat Internet und kann auch z.B.: Google anpingen.
Das interne Netz kommt aber leider nicht raus.
Ich danke im Voraus über eure Antworten.
LG Krasz1000
Ich hoffe ihr könnt mir hier weiterhelfen bin nämlich echt langsam am verzweifeln.
Folgendes Szenario:
Ein Kunde von mir bekommt an mehreren Außenstellen eine PFSense Firewall (NETGATE).
Diese soll zukünftig die VPN Verbindungen zum HQ und zum Rechenzentrum übernehmen.
Da für dieses Vorgehen die PFSense eine Feste Public IP benötigt lass ich die PFSense via PPPoE die Verbindung zum Internet aufbauen.
Davor befindet sich eine FritzBox 3490 diese soll dann als Modem dienlich sein.
Dies klappt auch soweit einwandfrei.
Leider bekomme ich es aber nicht hin das an der Fritz Box angeschlossene Geräte egal ob LAN oder WLAN eine Internet Verbindung über die PFSense aufbauen.
Da ich nicht die ganze Zeit beim Kunden vor Ort sein kann hab ich mir zuhause eine Ähnliche Konstellation aufgebaut bloß mit einem Speedport w921v anstatt einer Fritzbox. Das Ergebnis ist aber das selbe.
Aktuell ist es so:
Der WAN Anschluss der PFSense ist mit dem Speedport verbunden, darüber wird die Öffentliche IP abgefragt durch PPPoE.
Zusätzlich ist das LAN Interface der PFSense als DHCP-Client konfiguriert und auch mit dem Speedport verbunden.
Das heißt DHCP übernimmt der Speedport um ein einheitliches Netz aufzubauen.
Die PFSense selber hat Internet und kann auch z.B.: Google anpingen.
Das interne Netz kommt aber leider nicht raus.
Ich danke im Voraus über eure Antworten.
LG Krasz1000
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1462283459
Url: https://administrator.de/contentid/1462283459
Ausgedruckt am: 13.11.2024 um 00:11 Uhr
12 Kommentare
Neuester Kommentar
Leider bekomme ich es aber nicht hin das an der Fritz Box angeschlossene Geräte egal ob LAN oder WLAN eine Internet Verbindung über die PFSense aufbauen.
Wie denn auch? Nur die pfsense hat die Einwahldaten. Also kleinen Switch an den LAN Port der pfsense und die Fritte leer gemacht. Fürs WLAN nen kleinen AP. VOIP dann über ein entsprechendes Telefon direkt oder eine Voip Basis wie die N510IP.
Gruß Looser
Moin,
OK.
Auch ok.
Nochmal ok.
Da würde ich was anderes nehmen. Aber wahrscheinlich sind die Fritten vorhanden.
Warum auch nicht. Deine Konfiguration sieht also so aus:
Und was Du erwartest, dass es funktioniert ist:
Siehst Du jetzt selbst, warum das nicht funktionieren kann? Du musst schon die Geräte hinter die pfsense und nicht hinter die zum Modem degradierte Fritte hängen.
hth
Erik
Zitat von @Krasz1000:
Ein Kunde von mir bekommt an mehreren Außenstellen eine PFSense Firewall (NETGATE).
Ein Kunde von mir bekommt an mehreren Außenstellen eine PFSense Firewall (NETGATE).
OK.
Diese soll zukünftig die VPN Verbindungen zum HQ und zum Rechenzentrum übernehmen.
Auch ok.
Da für dieses Vorgehen die PFSense eine Feste Public IP benötigt lass ich die PFSense via PPPoE die Verbindung zum Internet aufbauen.
Nochmal ok.
Davor befindet sich eine FritzBox 3490 diese soll dann als Modem dienlich sein.
Da würde ich was anderes nehmen. Aber wahrscheinlich sind die Fritten vorhanden.
Dies klappt auch soweit einwandfrei.
Warum auch nicht. Deine Konfiguration sieht also so aus:
LAN/WLAN ---- pfsense ---- fritte (nur Modem) ---- Internet
Leider bekomme ich es aber nicht hin das an der Fritz Box angeschlossene Geräte egal ob LAN oder WLAN eine Internet Verbindung über die PFSense aufbauen.
Und was Du erwartest, dass es funktioniert ist:
LAN/WLAN ---- pfsense ---- fritte (nur Modem) ---- Internet
|
weitere Geräte
Siehst Du jetzt selbst, warum das nicht funktionieren kann? Du musst schon die Geräte hinter die pfsense und nicht hinter die zum Modem degradierte Fritte hängen.
hth
Erik
Davor befindet sich eine FritzBox 3490 diese soll dann als Modem dienlich sein.
Eine klassische Router_Kaskade also mit doppeltem NAT und doppeltem Firewalling.das an der Fritz Box angeschlossene Geräte
Das ist auch völliger Quatsch, denn dort sollten doch bei einem Firewall Konzept niemals Endgeräte sein ! Damit führst du das Firewall Konzept ja völlig ad absurdum, denn für die Firewall ist an ihrem WAN Port ja das "böse" Internet logisch also das sie von dort nichts ins lokale Netz lässt.Überdenke also besser nochmal dein Konzept bevor du solch eine designtechnischen Unsinn machst. Die Kollegen oben haben ja schon alles dazu gesagt.
Besser wäre es dann die pfSense gleich ganz wegzulassen oder... Die FritzBox durch ein reines NUR Modem wie Vigor 160 oder Zyxel VMG3006 zu ersetzen was technisch eh die bessere Lösung wäre.
Guckst du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Fazit:
Endgeräte haben im WAN Koppelnetz der Kaskade nichts zu suchen. Das ist immer Punkt zu Punkt. Auch das WLAN der FritzBox sollte man tunlichst deaktivieren oder wenn, dann einzig nur das Gast WLAN aktiv lassen.
Solange die Fritte aber nur Modem ist
Das ist heute nicht mehr möglich, denn die FritzBox lässt sich nicht mehr als reines NUR Modem konfigurieren. AVM hat diese Funktion entfernt so das die Box immer als NAT Router arbeitet.Einzige Ausnahme ist hier die FritzBox 7412:
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Mit allen anderen FritzBoxen ist das immer eine Router_Kaskade mit doppeltem NAT und doppeltem Firewalling.
Wenn dem so wäre, dürfte doch die Einwahl der pfSense via PPPoE nicht funktionieren.
Weiterhin müßten doch die Geräte an der Fritte ins Internet kommen. Da aber die Zugangsdaten nicht in der Fritte hinterlegt sind, baut diese doch keine Internetverbindung auf, sondern die pfSense.
Im Zweifelsfall würde ich die Fritte entsorgen und ein echtes Modem verbauen, z.B. Vigor.
Weiterhin müßten doch die Geräte an der Fritte ins Internet kommen. Da aber die Zugangsdaten nicht in der Fritte hinterlegt sind, baut diese doch keine Internetverbindung auf, sondern die pfSense.
Im Zweifelsfall würde ich die Fritte entsorgen und ein echtes Modem verbauen, z.B. Vigor.
Hi,
wer macht PPPoE ?
Die Fritzbox ? dann hast du eine Routerkaskade mit doppeltem NAT.
Die PFsense ? dann ist die Fritzbox als Modem konfiguriert, ist aber unwahrscheinlich, da dies bei den meisten Fritzboxen nicht mehr möglich ist, dein speedport kann es auch nicht.
Bersorge die "echte" Modems und lass dann die pfSense PPPoE machen, dann hast du auch kein Doppel-NAT.
Bei einer Routerkaskade mußt du auf allen Interfaces (auch WAN) <Block private networks and loopback addresses> disablen.
Gruß
CH
wer macht PPPoE ?
Die Fritzbox ? dann hast du eine Routerkaskade mit doppeltem NAT.
Die PFsense ? dann ist die Fritzbox als Modem konfiguriert, ist aber unwahrscheinlich, da dies bei den meisten Fritzboxen nicht mehr möglich ist, dein speedport kann es auch nicht.
Bersorge die "echte" Modems und lass dann die pfSense PPPoE machen, dann hast du auch kein Doppel-NAT.
Bei einer Routerkaskade mußt du auf allen Interfaces (auch WAN) <Block private networks and loopback addresses> disablen.
Gruß
CH
Die Frage ist ob sie das wirklich tut oder der TO das nur willkürlich annimmt. Normal arbeitet der WAN Port der pfSense per Default im DHCP Client Mode, zieht sich also alles automatisch von einer davor kaskadierten FB in deren lokalen LAN und baut darüber die Verbindung auf und nicht per PPPoE.
Normal lassen Provider keine multiplen PPPoE Sessions zu sollte die FB auch noch als PPPoE Endgerät eingewählt sein.
Das kann final aber sicher nur der TO beantworten was da wie wirklich rennt. Bis jetzt hat er ja noch keinerlei Feedback dazu gegeben oder das Interesse an einer zielführenden Lösung verloren.
Bei einem PPPoE Passthrough wäre es aber noch utopischer lokale Endgeräte im LAN der FritzBox ins interne Netz zu routen. Ganz im Gegenteil, das wäre noch fataler, denn dann hängt der WAN Port im öffentlichen Internet und die Endgeräte ungeschützt daran mit einer lokalen RFC 1918 IP des FB LANs. Gruselig...
Ein weiterer Grund warum das Design bzw. der Betrieb von Endgeräten im Koppelnetz ein NoGo ist und der TO dringenst diesen Unsinn überdenken sollte.
Normal lassen Provider keine multiplen PPPoE Sessions zu sollte die FB auch noch als PPPoE Endgerät eingewählt sein.
Das kann final aber sicher nur der TO beantworten was da wie wirklich rennt. Bis jetzt hat er ja noch keinerlei Feedback dazu gegeben oder das Interesse an einer zielführenden Lösung verloren.
Bei einem PPPoE Passthrough wäre es aber noch utopischer lokale Endgeräte im LAN der FritzBox ins interne Netz zu routen. Ganz im Gegenteil, das wäre noch fataler, denn dann hängt der WAN Port im öffentlichen Internet und die Endgeräte ungeschützt daran mit einer lokalen RFC 1918 IP des FB LANs. Gruselig...
Ein weiterer Grund warum das Design bzw. der Betrieb von Endgeräten im Koppelnetz ein NoGo ist und der TO dringenst diesen Unsinn überdenken sollte.
Im Zweifelsfall würde ich die Fritte entsorgen und ein echtes Modem verbauen, z.B. Vigor.
Wäre sicher die technisch beste Lösung.