Richtige Grundeinstellungen der Pfsense für mein Netzwerk
Hallo,
lese hier nun schon den ein oder anderen Artikel mit aber werde noch nicht ganz schlau, wie die Pfsense in meinem Fall richtig eingerichtet wird.
Ziel: Meine Server bzw. NAS Geräte sollen später mal in die DMZ und über VPN angesprochen werden können.
Was steht mir zur Verfügung:
Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
1x Fritzbox Cabel 6490
1x Pfsense mit 3 Lan Ports.
Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus befindet (Voip, Gastwlan) und über Lan 2 weiter an die Pfsense weiterleitet
Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen
Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23
IP Netz 192.168.178.1 des Fritzbox Netzes
IP der Pfsense 192.168.178.20 im Fritzbox Netz
Pfsense 192.168.10.1 welches auch mein Nutznetzwerk ist.
WAN der Pfsense wäre ja folglich die 192.168.178.20 und das Upstream GW die 192.168.178.1 richtig? Genau das gibt mir kein Internet. Nur wenn ich Das Upstream GW lösche habe ich nen Traffic anliegen.
Außer ein paar Rules und ein paar Packeten wie Ping habe ich zunächst mal nichts weiter eingerichtet, da es so viele Anleitungen zu dem Thema gibt und ich jedes mal aufs neue erstaunt bin, wie unterschiedlich hier vorgegangen und eingerichtet wird.
Könnt Ihr mir bitte dabei helfen, dass Ganze richtig zu konfigurieren? Das wäre wirklich top!!!!
lese hier nun schon den ein oder anderen Artikel mit aber werde noch nicht ganz schlau, wie die Pfsense in meinem Fall richtig eingerichtet wird.
Ziel: Meine Server bzw. NAS Geräte sollen später mal in die DMZ und über VPN angesprochen werden können.
Was steht mir zur Verfügung:
Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
1x Fritzbox Cabel 6490
1x Pfsense mit 3 Lan Ports.
Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus befindet (Voip, Gastwlan) und über Lan 2 weiter an die Pfsense weiterleitet
Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen
Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23
IP Netz 192.168.178.1 des Fritzbox Netzes
IP der Pfsense 192.168.178.20 im Fritzbox Netz
Pfsense 192.168.10.1 welches auch mein Nutznetzwerk ist.
WAN der Pfsense wäre ja folglich die 192.168.178.20 und das Upstream GW die 192.168.178.1 richtig? Genau das gibt mir kein Internet. Nur wenn ich Das Upstream GW lösche habe ich nen Traffic anliegen.
Außer ein paar Rules und ein paar Packeten wie Ping habe ich zunächst mal nichts weiter eingerichtet, da es so viele Anleitungen zu dem Thema gibt und ich jedes mal aufs neue erstaunt bin, wie unterschiedlich hier vorgegangen und eingerichtet wird.
Könnt Ihr mir bitte dabei helfen, dass Ganze richtig zu konfigurieren? Das wäre wirklich top!!!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346995
Url: https://administrator.de/contentid/346995
Ausgedruckt am: 19.12.2024 um 12:12 Uhr
36 Kommentare
Neuester Kommentar
Hi,
woher hast du die Information 192.168.178.x als "Fritzbox" Netz zu nehmen ?
Folgendes sollte richtig(er) sein:
Du hast z.B. das Netz a.b.c.0/29 (öffentliche IPs erhalten:
a.b.c.1 = Fritzbox
a.b.c.2 = 1. öffentliche IP
...
a.b.c.6 = 5. öffentliche IP
-
also musst du als WAN Interface z.B. die erste öffentliche IP mit Maske /29 und als Gateway die IP der Fritzbox ehmen.
Gruß
CH
woher hast du die Information 192.168.178.x als "Fritzbox" Netz zu nehmen ?
Folgendes sollte richtig(er) sein:
Du hast z.B. das Netz a.b.c.0/29 (öffentliche IPs erhalten:
a.b.c.1 = Fritzbox
a.b.c.2 = 1. öffentliche IP
...
a.b.c.6 = 5. öffentliche IP
-
also musst du als WAN Interface z.B. die erste öffentliche IP mit Maske /29 und als Gateway die IP der Fritzbox ehmen.
Gruß
CH
Hallo,
Bitte teile uns mit was dein ISP dir gegeben hat an IPs.
Erst wenn du deine (ISP ?) 6490 richtig angepappt und deine WAN Seite sauber geht kannst du mit der PFSense weitermachen. Du darfst auch deinen Rechner mit den Öffentlichen IPs füttern und an der 6490 Pappen. Geht auch wenn die 6490 im Bridge Modus läuft.
Gruß,
Peter
Zitat von @Spitzbube:
Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
5 freie zur Benutzung vorgesehene IPs oder doch nur eine weil du GW, Broadcast IP, Net Ip usw. mitgerechnet hast?Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
1x Fritzbox Cabel 6490
Vom ISP oder selbst beschafft? Die vom ISP ist etwas anders Konfiguriert und kannst du selbst so nicht Konfigurieren.Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus befindet
Bitte erkläre dein Bridge Modus der Fritte wenn die doch VOIP und gar ein GastWLAN bzw. GastNetz (per Port 4) machen kann? Der ISP sagt zwar Bridge, aber es ist Routing, nur Bridge hört sich besser an. Das VOIP kannst du dort nicht deaktivieren und musst somit damit Leben das dieses Fritte eben die Rufnummern hält. Dieser Mischmodus von Bridge und Routing machen die damit du eine Feste (oder auch mehrere IPs) bekommst bzw. du hinter der 6490 noch deine PFSense hängst und dort die IPs zuordnest welche der ISP dir gegeben hat.(Voip, Gastwlan) und über Lan 2
Lan2 der Fritte oder deiner PFSense? VOIP in form einer Nebenstelle der 6490 oder mit den Öffentlichen Rufnummern?Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen
Deine PFSense kennt dieses Netz und kann den Rechner auch erreichen?Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23
Die 6490 hat eine IP, die wird dir aber meist nicht genannt. DORT wird von der Bridge geredet, die IPs die du bekommen hast sind aber für deine PFSense gemeint, aber Routen dtut die 6490 tatsächlich, sonst würde keine VOIP gehen.IP Netz 192.168.178.1 des Fritzbox Netzes
Ne.1 am ende (4 Octet) sagt es ist eine IP und kein Netz.WAN der Pfsense wäre ja folglich die 192.168.178.20 und das Upstream GW die 192.168.178.1 richtig?
Nö. Du hast von deinen ISP IPs bekommen (GW, DNS, Braodcast, Netz IP und freie IPs). Die haust du in deiner PFSense rein, denn dei 6490 wird über die dir mitgeteilte GW IP angesprochen (eine Öffentliche IP) (in diesem zusammenhang reden die ISPs wieder von Bridge, obwohl ein Routing sich dahinter verbirgt - siehe VOIP). Die 6490 hat also an ihren LAN PORTS die Öffentlichen IPs welche man dir genannt hat, muss also dann mit deiner PFSense reden können. Hast du allerdings die 6490 als Router mit NAT am laufen....Genau das gibt mir kein Internet.
Si, Si. Du hast einen Kabelanbieter mit Fester IP (V4?) dann brauchst du zwingend eine sog. Rourterkaskade weil dir der Priovider mit seiner (6490 (Router)) an dessen LAN Ports dir di Öffentlichen Ports anbietet. VOIP (deine registrierten Rufnummern) kippt er dort auch raus. Ein Gastnetz oder GastWLAN gibt es dann zwangsläufuig auch nicht.Bitte teile uns mit was dein ISP dir gegeben hat an IPs.
Erst wenn du deine (ISP ?) 6490 richtig angepappt und deine WAN Seite sauber geht kannst du mit der PFSense weitermachen. Du darfst auch deinen Rechner mit den Öffentlichen IPs füttern und an der 6490 Pappen. Geht auch wenn die 6490 im Bridge Modus läuft.
Gruß,
Peter
Moin,
beim UM Business Anschluss hast Du kein internes Netz ala 192.168.178.1 oder so. Die FB fungiert lediglich als Kabelmodem.
Deshalb solltest Du genau das tun, was ChriBro Dir bereits geraten hat.
Gruß
Uwe
Edit: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
beim UM Business Anschluss hast Du kein internes Netz ala 192.168.178.1 oder so. Die FB fungiert lediglich als Kabelmodem.
Deshalb solltest Du genau das tun, was ChriBro Dir bereits geraten hat.
Gruß
Uwe
Edit: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo,
OK. Hab noch keinen Unity Media Business mit 5 Öffentlich nutzbare IPs in BW hinter einer 6490 gemacht.
Die 6490 ist deine oder wurde diese vom ISP gestellt? (Die gestellte 6490 hat ein paar andere Einstellungen als deine eigene und kannst du nicht selbst einstellen, auch UM stellt die nicht ein)- Eine getsellte 6490 verhält sich ein bisserl anders als eine von dir gestellte 6490. Bei deinem Tarif empfehle ich dager dir eine 6490 geben zu lassen und dir dahinter deine eigene Infrastruktur aufzubauen. Also - eigene oder ISP 6490?
Der Brigde Mode dient nur dazu die Fritte als Modem zu nutzen und den Datenverkehr auf LAN 2 oder irgend einem definierten Port weiterzuleiten.
An der Fritte kannst du nicht pro Port oder per Port IPs zuweosen. Das ist ein einfacher Switch und jeder Port ist gleich, ausser du Routest und machst NAT, dann kann Port 4 für GastLAN genutzt werden. Punkt.
Aber wie du schon gesagt hast, in BW ist es evtl. alles anders. Fragt sich ob du als Bestandskundes dort zählst oder als Kunde der nach dem 06.06.2017 Kunde dort ist oder Feste IPs danach bezogen hat. Da wird nochmals unterschieden. Daher sprech mit denen und lass dir die Fritte einrichten. Geräte dahinter fassen die sowieso nicht an. Und bedenke: aDSL/vDSL/xDSL/sDSL ungleich DOCSIS. Melde ein Störung und lass jemand von denen kommen der dir auch deren ? Fritte einrichtet. Alles dahinter ist deine Baustelle.
Du hast IPs erhalten welche im 4ten Octet eine .23 oder .33 oder .49 oder 54 und eine.238 haben. Was bitte soll das für eine Subnetzmaske sein und was bitte ist die .1? Das wäre normal eine /24, somit ein 255.255.255.000 oder auch 253 nutzbare von 255 IPs. Du nutzt 5 IPs, und es werden 247 verschwendet? Aber auch das kann in BW ganz anders sein. Oder ists ein IPV6? Rechne selbst nach https://www.heise.de/netze/tools/netzwerkrechner/
Gruß,
Peter
OK. Hab noch keinen Unity Media Business mit 5 Öffentlich nutzbare IPs in BW hinter einer 6490 gemacht.
Die 6490 ist deine oder wurde diese vom ISP gestellt? (Die gestellte 6490 hat ein paar andere Einstellungen als deine eigene und kannst du nicht selbst einstellen, auch UM stellt die nicht ein)- Eine getsellte 6490 verhält sich ein bisserl anders als eine von dir gestellte 6490. Bei deinem Tarif empfehle ich dager dir eine 6490 geben zu lassen und dir dahinter deine eigene Infrastruktur aufzubauen. Also - eigene oder ISP 6490?
Warum soll das nicht gehen.
Weil dein ISP (Unity Media) es eben so macht, obs dir passt oder nicht. Die geben vor was am DOCSIS 3.0 Port passiert.Der Brigde Mode dient nur dazu die Fritte als Modem zu nutzen und den Datenverkehr auf LAN 2 oder irgend einem definierten Port weiterzuleiten.
An der Fritte kannst du nicht pro Port oder per Port IPs zuweosen. Das ist ein einfacher Switch und jeder Port ist gleich, ausser du Routest und machst NAT, dann kann Port 4 für GastLAN genutzt werden. Punkt.
Da es mit VOIP Schwierigkeiten gab, haben sie so vermute ich die VOIP nicht mit durchgeschleift und das WLAN auch dort gelassen.
VOIP macht die Fritte (ISP Fritte) sehr wohl bei Business Tarif und auch mit 5 IPs. Da ist die Fritte dann deine Telefonanlage. dazu muss die zwingend Routing machen weil sonst kein VOIP gehen würde. Ist halt nunmal so.Und WLAN geht dann auch nicht weil die Fritte das dann nicht kann. Ist auch halt so. Und wenn du die als Router betreibst, bekommst du halt die feste IP nicht. Unterscheide was du willst - Pest oder Cholera. ist aber halt so. Auch Unity Media kann nicht Zaubern und bei denen kocht wasser auch bei 100 ° C, so wie bei dir auch.klar kann man sich die Mühe machen das durchzuschleifen aber für das was ich telefoniere reicht das zunächst!
Klar geht VOIP, nur die Öfentlichen Rufnummern bleiben bei der Fritte in Verwaltung, hast also nur Frittennebenstellen dann als VOIP teilnehmer.Aber wie du schon gesagt hast, in BW ist es evtl. alles anders. Fragt sich ob du als Bestandskundes dort zählst oder als Kunde der nach dem 06.06.2017 Kunde dort ist oder Feste IPs danach bezogen hat. Da wird nochmals unterschieden. Daher sprech mit denen und lass dir die Fritte einrichten. Geräte dahinter fassen die sowieso nicht an. Und bedenke: aDSL/vDSL/xDSL/sDSL ungleich DOCSIS. Melde ein Störung und lass jemand von denen kommen der dir auch deren ? Fritte einrichtet. Alles dahinter ist deine Baustelle.
Du hast IPs erhalten welche im 4ten Octet eine .23 oder .33 oder .49 oder 54 und eine.238 haben. Was bitte soll das für eine Subnetzmaske sein und was bitte ist die .1? Das wäre normal eine /24, somit ein 255.255.255.000 oder auch 253 nutzbare von 255 IPs. Du nutzt 5 IPs, und es werden 247 verschwendet? Aber auch das kann in BW ganz anders sein. Oder ists ein IPV6? Rechne selbst nach https://www.heise.de/netze/tools/netzwerkrechner/
Gruß,
Peter
Hallo,
Dann bearbeite deine Frage und du wirst sehen da ist was zum Klicken was den grünen Balken verblassen lässt
Gruß,
Peter
Dann bearbeite deine Frage und du wirst sehen da ist was zum Klicken was den grünen Balken verblassen lässt
Kannst mir da bitte in der Praxis helfen, wo da nun genau was rein kommt bei der pfsense?
Du brauchst dazu für dein WAN Interface dessen IP, das GW, die Subnetzmaske (CCIDR), NS usw.Gruß,
Peter
Eingerichtet ist soweit mal die Fritzbox
Das ist aber keine Modem Einrichtung wie du sie beschreibst sondern deine FritzBox rennt als stinknormale Router Kaskade mit der Firewall, richtig ?Zeigt auch schon deine VoIP Einrichtuing darauf was im reinen Modem Betrieb nicht möglich wäre.
Damit hast du dann aber keine Chance die restlichen öffentlichen IPs als Virtual IPs zu nutzen und sie auf Endgeräte in die DMZ zu mappen wie du es eigentlich willst.
Das geht nur wenn die FB als reines Modem läuft. Das kannst du dann daran sehen, das du eine direkte Provider IP am WAN Port der pfSense hast (IP Adress Übersicht der Interfaces).
Letztlich willst du das ja aber nicht durch die bequeme Nutzung der im Router integrierten VoIP Funktion. Dann musst du aber mit der Routerkaskade, doppeltem NAT und dem Brachliegen der anderen öffentlichen IPs leben, das sollte dir dann klar sein.
Alles Nähere dazu auch im hiesigen Tutorial im Kapitel Internet Anbindung:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo,
Warum? Geht es nicht? oder warum fragst du?
Welche von deinen dir genannten IPs kannst nur du wissen, ebenso welche Netzwerkmaske das sein soll /24 oder eine /30 /32. genauso ist es mit der GW adresse und was die DNS sind. Du hast diese Information. Oder glaubst du tatsächlich das UM dir 255 IPs gibt wobei 247 verschwendet sind wenn du nur eine einzige IP mit dein Business Paket oder auch nur 5 IPs nutzen kannst. Wenn man dir sagt "Folge den grünen pfeile, nicht den roten" aber du verschweigst das du Farbenblind bist, kann dir keiner weiterhelfen. Du möchtest Hilfe, kannst aber kaum eine gestellte Frage korrekt beantworten. Die Fragen dienen nicht unserer Belustigung, sondern dir Helfen zu können. Wenn du die Fragen nicht verstehst, sag es. Nicht jeder kann eine Rolls-Royce Trent 895-17 Triebwerk mit 413,4 kN Schubleistung korrekt zusammenbauen, Einstellen, Warten und Reparieren, auch wenn er öfters auf einer Flugschau war/ist.
Hier weiss immer noch keiner was du denn jetzt dort von UM hast, wir sind immer noch eher am Vermuten als am Wissen. Und wenn du meinst das UM dir jetzt blöd kommt, bedenke solange der Auftrag nicht ausgeführt ist kann die tatsächlich n ichts dazu sagen weil die daten einfach noch nicht vorliegen. Sollte dein auftrag aber schon durchgeführt sein ists was anderes, aber wenn die dir sagt du gehörst zu den kunden die schon vor dem 06.06.2017 eine feste IP hattest ... Sprich mit UM
Und nur wenn du deine eigene Ärmelkanalbrücke betreibst kann/darf man Brückenkunde zu dir sagen
Beispiel eines UM Business mit Fester IP in NRW (Aktiv am rennen mit einer weiteren 7490 hinter der UM 6490 und Portforwarding für eine WebCam, aber nur von einer bestimmten IP aus dem Internet (Go 1984 zwecks Aufzeichnung) zugänglich - Feste IP welche aubruft).
112.97.108.232 Subnet-Adresse (so bei UM genannt und sollte reichen). daraus ergibt sich folgendes
112.97.108.233 Gateway IP
112.97.108.234 Nutzbare IP
112.97.108.235 Broadcast Adresse
Und dort werden also auch tatsächlich diese Daten in der nachgeschalteten 7490 an LAN1 (Internet per anderen Router....) eingetragen. Vertrag ist noch frisch, von 03/2017
Du kannst auch dein Windows PC dort per LAN dran stecken, DHCP aus und die IPs die dir genannt wurden (IP, GW, DNS usw.) dort am LAN eitippeln. Dann sollte Internet gehen, aber bedenke, der PC ist dann mit nackten Ar... direkt aus dem Internet angreifbar.
Dein Problem ist also nicht die PFSense.
Gruß,
Peter
Warum? Geht es nicht? oder warum fragst du?
Welche von deinen dir genannten IPs kannst nur du wissen, ebenso welche Netzwerkmaske das sein soll /24 oder eine /30 /32. genauso ist es mit der GW adresse und was die DNS sind. Du hast diese Information. Oder glaubst du tatsächlich das UM dir 255 IPs gibt wobei 247 verschwendet sind wenn du nur eine einzige IP mit dein Business Paket oder auch nur 5 IPs nutzen kannst. Wenn man dir sagt "Folge den grünen pfeile, nicht den roten" aber du verschweigst das du Farbenblind bist, kann dir keiner weiterhelfen. Du möchtest Hilfe, kannst aber kaum eine gestellte Frage korrekt beantworten. Die Fragen dienen nicht unserer Belustigung, sondern dir Helfen zu können. Wenn du die Fragen nicht verstehst, sag es. Nicht jeder kann eine Rolls-Royce Trent 895-17 Triebwerk mit 413,4 kN Schubleistung korrekt zusammenbauen, Einstellen, Warten und Reparieren, auch wenn er öfters auf einer Flugschau war/ist.
Hier weiss immer noch keiner was du denn jetzt dort von UM hast, wir sind immer noch eher am Vermuten als am Wissen. Und wenn du meinst das UM dir jetzt blöd kommt, bedenke solange der Auftrag nicht ausgeführt ist kann die tatsächlich n ichts dazu sagen weil die daten einfach noch nicht vorliegen. Sollte dein auftrag aber schon durchgeführt sein ists was anderes, aber wenn die dir sagt du gehörst zu den kunden die schon vor dem 06.06.2017 eine feste IP hattest ... Sprich mit UM
Und nur wenn du deine eigene Ärmelkanalbrücke betreibst kann/darf man Brückenkunde zu dir sagen
Beispiel eines UM Business mit Fester IP in NRW (Aktiv am rennen mit einer weiteren 7490 hinter der UM 6490 und Portforwarding für eine WebCam, aber nur von einer bestimmten IP aus dem Internet (Go 1984 zwecks Aufzeichnung) zugänglich - Feste IP welche aubruft).
112.97.108.232 Subnet-Adresse (so bei UM genannt und sollte reichen). daraus ergibt sich folgendes
112.97.108.233 Gateway IP
112.97.108.234 Nutzbare IP
112.97.108.235 Broadcast Adresse
Und dort werden also auch tatsächlich diese Daten in der nachgeschalteten 7490 an LAN1 (Internet per anderen Router....) eingetragen. Vertrag ist noch frisch, von 03/2017
Du kannst auch dein Windows PC dort per LAN dran stecken, DHCP aus und die IPs die dir genannt wurden (IP, GW, DNS usw.) dort am LAN eitippeln. Dann sollte Internet gehen, aber bedenke, der PC ist dann mit nackten Ar... direkt aus dem Internet angreifbar.
Dein Problem ist also nicht die PFSense.
Gruß,
Peter
Hallo,
und dahinter die pfSense. Alles was mittels VPN erreicht werden soll ist dann hinter der AVM FB aber vor der pfSense!
- Die AVM FB wird zum reinen Modem in dem man sie in den Bridge Modus versetzt und dahinter werden dann die
PPPoE Daten und die statischen IP Adressen direkt eingetragen und dort steht dann alles was aus dem Internet
via VPN erreichbar sein soll im LAN, wenn es auch so aus dem Internet erreichbar sein soll, also FTP, Web oder mail
Server dann wäre hier eine DMZ zu bevorzugen.
- Last but not least kann man die AVM FB auch "aufbohren" indem man einfach Ports und IP Adressen weiterleitet
und dann wieder an der pfSense das VPN terminiert. Also dort keine Ports öffnet und etwas "verbiegt"!
mittels VPN von unterwegs drauf zu und braucht die DMZ nicht wirklich. Ich würde die Methode mit dem VPN
immer bevorzugen wollen.
- Warum soll die AVM FB die statische IP Adresse bekommen? Das soll doch die pfSense Firewall machen, oder?
- Entweder man hat wie Peter es schoin richtig angemerkt hat die AVM FB im Bridged Modus und dann hat sie keine
IP Adresse und auch VOIP und WLAN sollten nicht mehr funktionisfähig sein, oder aber die AVM FB ist immer noch
als Router unterwegs und man leitet einfach Ports und Protokolle weiter an die pfSense die dann aber die IP Adresse(n)
eingetragen bekommt.
via VPN auf das NAS zugreifen? Warum die DMZ hinter der DMZ Zone aufsetzen? Warum alles auf die pfSense leiten?
Mach am besten was Du willst aber ich würde den Luxus der AVM Apps nicht missen wollen und dann die pfSense zur
Absicherung des internen Netzwerkes (LAN) benutzen wollen.
Welche der drei Methoden möchtest Du denn benutzen!? Und dann kann man Dir auch wirklich zielgerichtet helfen.
Gruß
Dobby
lese hier nun schon den ein oder anderen Artikel mit aber werde noch nicht ganz schlau, wie die Pfsense in meinem
Fall richtig eingerichtet wird.
- Also es gibt da drei gängige Möglichkeiten man benutzt die AVM FB als Router und hat weiter VOIP und WLANFall richtig eingerichtet wird.
und dahinter die pfSense. Alles was mittels VPN erreicht werden soll ist dann hinter der AVM FB aber vor der pfSense!
- Die AVM FB wird zum reinen Modem in dem man sie in den Bridge Modus versetzt und dahinter werden dann die
PPPoE Daten und die statischen IP Adressen direkt eingetragen und dort steht dann alles was aus dem Internet
via VPN erreichbar sein soll im LAN, wenn es auch so aus dem Internet erreichbar sein soll, also FTP, Web oder mail
Server dann wäre hier eine DMZ zu bevorzugen.
- Last but not least kann man die AVM FB auch "aufbohren" indem man einfach Ports und IP Adressen weiterleitet
und dann wieder an der pfSense das VPN terminiert. Also dort keine Ports öffnet und etwas "verbiegt"!
Ziel: Meine Server bzw. NAS Geräte sollen später mal in die DMZ und über VPN angesprochen werden können.
Also entweder man packt in die DMZ Geräte rein die aus dem Internet erreichbar sein sollen oder aber man greiftmittels VPN von unterwegs drauf zu und braucht die DMZ nicht wirklich. Ich würde die Methode mit dem VPN
immer bevorzugen wollen.
Was steht mir zur Verfügung:
Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
Klär mal bitte ab wie viele und welche IP Adressen man dort für Server und/oder VPN benutzen kann.Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
1x Fritzbox Cabel 6490
1x Pfsense mit 3 Lan Ports.
Ok1x Pfsense mit 3 Lan Ports.
Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus
befindet (Voip, Gastwlan) und über Lan 2 weiter an die Pfsense weiterleitet
Das ist alles Quatsch!befindet (Voip, Gastwlan) und über Lan 2 weiter an die Pfsense weiterleitet
- Warum soll die AVM FB die statische IP Adresse bekommen? Das soll doch die pfSense Firewall machen, oder?
- Entweder man hat wie Peter es schoin richtig angemerkt hat die AVM FB im Bridged Modus und dann hat sie keine
IP Adresse und auch VOIP und WLAN sollten nicht mehr funktionisfähig sein, oder aber die AVM FB ist immer noch
als Router unterwegs und man leitet einfach Ports und Protokolle weiter an die pfSense die dann aber die IP Adresse(n)
eingetragen bekommt.
Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen
Warum nicht hinter die AVM FB als Router und dann mittels VPN Fernzugang oder iOS oder Android App schnell von außenvia VPN auf das NAS zugreifen? Warum die DMZ hinter der DMZ Zone aufsetzen? Warum alles auf die pfSense leiten?
Mach am besten was Du willst aber ich würde den Luxus der AVM Apps nicht missen wollen und dann die pfSense zur
Absicherung des internen Netzwerkes (LAN) benutzen wollen.
Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23
Man kann auch dem WAN Interface in der pfSense eine MAC Adresse zuweisen bzw. dort eine Fakeadresse hinterlegen!IP Netz 192.168.178.1 des Fritzbox Netzes
IP der Pfsense 192.168.178.20 im Fritzbox Netz
Das netz zwischen den beiden Geräten ist schon eine DMZ Zone!IP der Pfsense 192.168.178.20 im Fritzbox Netz
Könnt Ihr mir bitte dabei helfen, dass Ganze richtig zu konfigurieren? Das wäre wirklich top!!!!
Wriklich Top wäre hier wenn Du uns erst einmal erzählst was Du nun genau vor hast!Welche der drei Methoden möchtest Du denn benutzen!? Und dann kann man Dir auch wirklich zielgerichtet helfen.
Gruß
Dobby
Hallo,
Hier geht es nicht um Sicherheit, hier ist der Umsatz die Treibende Kraft. Bei einer z.B. PFSense, Sophos, Juniper, Mikrotik usw. ist es anders. Gewerblich halt, wo Sicherheit an erster Stelle steht.
Gruß,
Peter
Zitat von @Spitzbube:
Was mich belustigt hat, war die Aussage, dass man die Umstellung auf RIP als neues großes tolles Feature beworben hat.
Lerne zwischen Verkaufsargumente und Techische Funktionen und deren Realisierbarkeit zu unterscheidenWas mich belustigt hat, war die Aussage, dass man die Umstellung auf RIP als neues großes tolles Feature beworben hat.
IP Range 192.168.178.20 - 192.168.178.200
Wirst du dort jemals wirklich 180 Clients dran hängen haben? Mach ein 192.168.178.100 - 192.168.178.105 raus und die Leasedauer uaf 3, 6 12 , 24 Stunden. das reicht.Bridgemode ist aktiviert an Lan 2
Geht über jeden der 4 LAN Ports der Fritte (oder habe ich etwas nicht mitbekommen?).Die Pfsense hat seit gestern Abend nun die 217.8.51.33 / 24
Die /24 ist Falsch vermutlich muss dort eine /30 oder /29 hin. Du musst in deine Unterlagen schauen was die dir verkauft haben. Nur du hast dazu Zugang. oder nutze das UM Kundencenter, da steht es auch.Das Packet apinger hab ich noch installiert
Wo? Auf den Rechner? Blödsinn. Ein Ping reicht.Der Ping auf die Pfsense 217.8.51.33 klappt nicht.
Wunder dich nicht wenn du ICMP dort gesperrt hast, nicht Antworten soll und wenn dioch, deine /24 an der PFSense ist schlichtweg Falsch.Was echt mal toll wäre, ist ein kleines How To
Das Howto entseht nachdem man alle Information zusammengetragen hat und daraus dann diese eine bestimmte Konfiguration ableiten kann. Und ein bischen Grundlagenwissen braucht es auch, notfalls ein telefon und zuhötren und Verstehen.Welche Pakete, welche Rules etc.
Kommt alles drauf an was du denn tun willst und was du brauchst. Zum Surfen alleine reicht DNS und Port 80 (http) und Port 443 (https) ausgehend vollkommen aus. Jetzt finde noch raus welche dieser Ports TCP / UDP oder beides braucht.So wäre mal gewährleistet, dass niemand mit offenen Scheunentoren rumläuft und ein gewisses Grundpacket an die Hand bekommt. Weil wie Ihr schon richtig erkannt habt, kaufen kann man viel aber das Teil später einrichten und zu administrieren ist was ganz anderes.
Erstmal geht nichts weil alles dicht. Mache nur Regeln für das was du brauchst oder willst. Alles andere bleibt dicht. Eine Home Firewall z.B. FritzBox ist anderes eingestellt. die lässt ausgehend erstmal alles zu. Warum? Weil sonst keiner das dingens Kaufen würde weil kaum einer weiß wo was eingestellt wird. Scheunentor - ist aber im Konsumerbereich nicht anders machbar. Wäre so wie du kaufst dir ein Smartphone und ohne spezieller Konfiguration geht noch nicht mal das Telefonieren. kaufst du das dann?Hier geht es nicht um Sicherheit, hier ist der Umsatz die Treibende Kraft. Bei einer z.B. PFSense, Sophos, Juniper, Mikrotik usw. ist es anders. Gewerblich halt, wo Sicherheit an erster Stelle steht.
Gruß,
Peter
Moin nochmal,
wenn Du wirklich einen UM Business Anschluss hast, brauchst Du an der FB nicht zu basteln. Die fungiert eigentlich nur als Modem und Telefonanlage. Aus eben diesem Grunde wirst Du von UM auch darauf hingewiesen, dass es zwingend erforderlich ist, hinter der FB eine separate FW oder einen Router zu betreiben. Es wäre mal interessant zu wissen, wie die Dir zugewiesenen 5 IP's und die dazugehörige Subnetzmaske wirklich aussehen.
Ich habe hier an meinem UM Business Anschluss eine /29er Netzmaske. Von meinem 5er Block habe ich eine IP fest an den WAN Port meiner FW gebunden. Die anderen vier sind als virtuelle IP's ebenfalls an den WAN Port geklöppelt. Diese Konfig fahre ich seit nunmehr fünf Jahren ohne nennenswerte Probleme. Von den einigen Ausfällen auf Seiten von UM mal abgesehen. Unter den von mir eingesetzten FW's war auch die PFSense.
Gruß und einen schönen Sonntag
Uwe
wenn Du wirklich einen UM Business Anschluss hast, brauchst Du an der FB nicht zu basteln. Die fungiert eigentlich nur als Modem und Telefonanlage. Aus eben diesem Grunde wirst Du von UM auch darauf hingewiesen, dass es zwingend erforderlich ist, hinter der FB eine separate FW oder einen Router zu betreiben. Es wäre mal interessant zu wissen, wie die Dir zugewiesenen 5 IP's und die dazugehörige Subnetzmaske wirklich aussehen.
Ich habe hier an meinem UM Business Anschluss eine /29er Netzmaske. Von meinem 5er Block habe ich eine IP fest an den WAN Port meiner FW gebunden. Die anderen vier sind als virtuelle IP's ebenfalls an den WAN Port geklöppelt. Diese Konfig fahre ich seit nunmehr fünf Jahren ohne nennenswerte Probleme. Von den einigen Ausfällen auf Seiten von UM mal abgesehen. Unter den von mir eingesetzten FW's war auch die PFSense.
Gruß und einen schönen Sonntag
Uwe
Hallo,
PS. Die ersten 3 Oktett sind alle gleich.
Gruß,
Peter
Zitat von @Spitzbube:
ich wurde gestern von den IP Adressen nochmals umgestellt. Unity Media unterscheidet da zwischen Bridge und Rip Kunde.
Was bitte ist ein RIP Kunde? Ein toter Kunde?ich wurde gestern von den IP Adressen nochmals umgestellt. Unity Media unterscheidet da zwischen Bridge und Rip Kunde.
Durch die Umstellung erhielt ich auch 5 andere IP Adressen durch welche ich die Gateway Adresse erfahren habe.
Das Gateway kannst du dir selbst ausrechen falls es nicht ausdrücklich auf der UM Kundenloginseite steht. Und auch die SubNetzmaske kannst du dir selbst ausrechen. Hier ein beispiel aus NRW wo z.B. 1 (Eine) Feste P zugeteilt wurde. rate mal was dort die nutzbare IP ist?PS. Die ersten 3 Oktett sind alle gleich.
Die Fritzbox bekommt automatisch die erste IP also .42 was auch das Gateway war, was UM mir angegeben hat.
Wenn in BW wirklich alles anders ist, kann das evtl sein, zumal du ja ein R.I.P. Kunde bist. Nachvollziehen kannes hier keiner, da alle Relevanten Information fehlen. Wenn ich 42 sage, meine ich jetzt das du ein Er, eine Sie oder ein Es bist oder ich einfach die Ultimative Antwort meine An der Pfsense hab ich die .43 statisch vergeben
Du musst schon die nehmen welche man dir gegeben hat, da kannst du aus den verschiedenen IPs nicht irgendeine nehmen.Die Firewall braucht halt ne weile, um das ganze Routing zu erkennen und Internet an die Clients zu verteilen.
Eher wieder Blödsinn. Der DOCSIS )Kabelmodem) braucht schon ein paar Sekunden das ist richtig bis er dann sagt "Ich habe fertig gemacht". Internet LED darf leuchtenAber nach ner weile und einem Reboot gehts dann.
Sicher das da jedesmal nachdem der Online ist ein Reboot machen musst? Kein Wunder das du kein Internet hast Gruß,
Peter
Hallo,
https://www.unitymedia.de/benutzerkonto/login/zugangsdaten/
Meine Produkte
Internet
Runter scrollen bis "WifiSpot-Einstellungen und Optionen Internet" und dort ganz rechts auf dern Richtungszeiger nach Unten Klicken
Dann Lesen und weiterscrollen und bei "IP-Adressen und PTR Name (Expertenmodus)" ebenfalls auf den Pfeil nach unten Klickern
Huch, da steht tatsächlich das Wort Expertenmodus
Gruß,
Peter
Zitat von @Spitzbube:
Was mir auffällt: Der Screen aus deinem Kundencenter, den hab ich so schon mal nicht. Werde dann auf ne andere Seite weitergeleitet. Kann es sein, dass man irgendwo dein Experten Modus noch deaktivieren muss.
Welchen Expertenmodus? Auf der UM Seite kann man nur durchklickern, um mehr als eine Überschrift zu sehen wirst du schon die Maus benutzen müssen, oder aber du hast als Kunde aus BW eben eine andere Seite und Einstellungen. Ich habe noch keine Seite eines BW Kunden gesehen.Was mir auffällt: Der Screen aus deinem Kundencenter, den hab ich so schon mal nicht. Werde dann auf ne andere Seite weitergeleitet. Kann es sein, dass man irgendwo dein Experten Modus noch deaktivieren muss.
https://www.unitymedia.de/benutzerkonto/login/zugangsdaten/
Meine Produkte
Internet
Runter scrollen bis "WifiSpot-Einstellungen und Optionen Internet" und dort ganz rechts auf dern Richtungszeiger nach Unten Klicken
Dann Lesen und weiterscrollen und bei "IP-Adressen und PTR Name (Expertenmodus)" ebenfalls auf den Pfeil nach unten Klickern
Huch, da steht tatsächlich das Wort Expertenmodus
Gruß,
Peter
Hallo,
und dann einmal mit Firefox der ein Apple spielt (general.useragent.override mit "Mozilla/5.0 (iPad; U; CPU OS 3_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B334b Safari/531.21.10" nutzen). dann hasz du eine werbsite aber 2 verschiendene Endergebnisse.
Gruß,
Peter
Zitat von @Spitzbube:
Es ist gut möglich, dass durch die Umstellung am Sa. die IP Adressen und Daten noch nicht nachgepflegt wurden.
Das ist durchaus möglich.Es ist gut möglich, dass durch die Umstellung am Sa. die IP Adressen und Daten noch nicht nachgepflegt wurden.
da ich mir nicht vorstellen kann, dass die extra für BW ein anderes Kundencenter bauen.
Ist doch heute kein Problem. Du bekommst sogar je nach genutzen Browser andere Kost vorgesetzt. Einmal z.B. mit einen IE oder einen Apple Safari/Firefox diese Seite aufrufen. https://www.microsoft.com/de-de/software-download/windows10und dann einmal mit Firefox der ein Apple spielt (general.useragent.override mit "Mozilla/5.0 (iPad; U; CPU OS 3_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B334b Safari/531.21.10" nutzen). dann hasz du eine werbsite aber 2 verschiendene Endergebnisse.
aufgefallen
Du dort 5 IPs stehen hast plu 3 Zu Administartion. Also ein /29 Netz. Sagt dir auch https://mxtoolbox.com/subnetcalculator.aspxMan kann jedoch den Zugriff auf das Kundencenter für andere Leute freigeben
Wie viele Leute nutze4n den bei dir das Kundencenter? Hier nur der Inhaber.mitteilen will ich diese euch nur äußerst ungern, aber was bleibt mir anderes übrig als auf das zu vertrauen, was man dann gesagt bekommt.
Darfst auch gerne die ersten 3 Oktetten verschleien. Die sind ja sowieso gleich.Zu den IP Adressen: Es is doch ### egal wie die lauten. 5 Adressen 3 Oktette .
5 IP Adressen und 3 Oktetten ist wie ein Steak und frisches Gras.hat nicht wirklich die gleiche Aussage.Hauptsache das Octett stimmt und ist bei allen gleich.
Es gibt es auch anders und funktioniert trotzdem Die wie gesagt, die .42 ist wohl
Es steht dort. Nicht Vermuten. Notfalls nachrechnen, ist kein geheimniss IPs auszurechnen.wird der Fritzbox zugewiesen.
Wird in der ersten FB zum Kabel überhaupt etwas ausser telefonie eingetragen?Was mir jedoch aufgefallen ist, dass die Pfsense bei den meisten Konfigs im gleichen Subnetz hängt wie die Fritzbox.
Die FB hat kein Netz noch ein Subnetz. Die ist als Bridge. Deine PFSense hat an der WAN Schnittstelle eben die Daten von UM.Gruß,
Peter
Hallo,
Also eine /29 oder ein (SNM) 255.255.255.248 Netz (insgesamt 8 IPs)
Gruß,
Peter
Also eine /29 oder ein (SNM) 255.255.255.248 Netz (insgesamt 8 IPs)
Die Fritzvbox selbst habe ich auf Exposed Host umkonfiguriert.
Warum Routet die wenn es doch eine Bridge sein soll? Betreiber die so wie UM das vorgesehen hat (Eine Bridge die zwar tatsächlich routet - aber du dies nicht siehst)Somit sollten alle anfragen durchkommen.
Im Bridge Modus gehen alle Anfragen von alleine durch und kommen an deiner PFSense an.Seither ging der Ping nicht auf die Pfsense wahrscheinlich weil die Fritte das ICPM nicht automatisch durchlässt
Blödsinnund man dafür keine Portfreigabe schalten kann auf der FB.
Wird auch nicht gebraucht bzw. benötigt.Mit der Konfiguration geht nun auch der Ping der Pfsense. Geräte im Netz der FB haben halt jetzt die IPs 192.168.178.20-200
Damit macht deine Fritte eindeutig keine Bridge. Die Fritte muss aber im Bridge Modus laufen, so wie von UM vorgesehn. Im Bridge Modus gibt es kein NAT und somit auch kein Privates netz hinter der Fritte, deshalb sollst und musst du ja einen Eigenen NAT Router (deine PFSense) stellen.Dem LAN Port der Pfsense habe ich die 192.168.10.1 gegeben.
Wenn du das so haben willst, es ist dein Privates LAN, nur solltest du nicht zwingend ein 192.168.0.0/24 nehmen wenn du VPN machen willst. Die chance das deine VPN partner selbst ein 0er Netz haben ist gross.Gruß,
Peter
Hallo,
Nix Wortklauberei. Routing ungleich Bridging.
Gruß,
Peter
Nix Wortklauberei. Routing ungleich Bridging.
um was geht's dir hier eigentlich?
Nicht ich, sondern du bekommst etwas nicht ans fliegen.Ich kenne eine !"WEITERLEITUNG"! in ein anderes Subnetz als Routing.
Du sagst es - Routing.Das ist einfach falsch. Das was du beschreibst würde die Exposed Host Funktion machen.
Nur das eine Bridge sich nicht wie Routing mit einen Exposed Host verhält.Somit ist beim Bridge eine Portfreigabe erforderlich.
Wissenschaft, Raketenwissenschaft oder Hörensagen?Wer sagt den das UM nur ausschließlich Bridge
Keiner, aber das ist bei UM abhängig deines gewählten Tarifs, deiner Gerätschaften und was hinten rauskommen soll. Ich weiß nur das bei UM in NRW, um alles im Businesstarif zu nutzen (IPv4, Feste IP, Telefonie) ist halt eine Bridge nötig, vorzugsweise die vom UM da sonst einige Schalter und Häkchen nicht gesetzt werden können obwohl beides eine 6490 ist.Bitte beachte, dass der Anschluss in BW ist
Sag ich die ganze Zeit schon. BW kann ganz anders sein als das was ich dir von NRW zeigte / sagte.Alternativ kann ich auch hier die 10.98.1.0 /24
Jo klar.Nur klappts nicht wirklich.
Mach dir keine sorgen, ich bin draussen.Gruß,
Peter
Ob ich nun nen Tarif X mit 1 statischen oder Y mit 5 IP Adressen habe ist total egal ob ich Bridge oder Exposed host eingestellt hab
Nein, das ist Blödsinn, da es 2 vollkommen unterschiedliche technische Verfahren sind. Laienhaft haben sie (fast) das gleiche Verhalten im Endeffekt sind aber völlig unterschiedlich, da exposed Host im Layer 3 arbeitet mit entsprechenden Nachteilen (ist nix anderes als Port Forwarding) und Bridging ist eine reine Layer 2 Angelegenheit.Nur mal am Rande....
Rauskommen tut am LAN immer das selbe.
Nein, nicht unbedingt.Exposed Host kann nur Portbasierte IP Protokolle so forwarden und macht das auch nur für die Ports die der Router nicht selber benötigt oder die die anderweitige Port Forwarding Regeln haben. Portlose Protokolle springen da über die Klinge.
Hier ist der Forwarding Umfang also beschränkt.
Bridging agiert auf Layer 2, dem sind Protokolle, Ports und Adressen Latte ist letztlich also umfassender, hat aber den gravierenden Nachteil das es nur in gebridgten Netzen funktioniert und nicht über Router Grenzen also IP Netz übergreifend.
Solche Banalitäten kennt man aber als Netzwerker...oder sollte es wenigstens.
Alle Sachen was in solch einem simplen Kaskaden Design zu konfigurieren ist erklären diverse Tutorials hier.
Dazu hätte es eigentlich nicht so einen Monsterthread gebraucht...aber da ja alles eh gelöst ist jetzt sind wir ja nun auch alle erlöst.