Richtige Grundeinstellungen der Pfsense für mein Netzwerk

Hi,

nach dem zunächst alles lief bis auf das WanGW hab ich mich an das Thema VPN einnwahl gemacht. Vieles versucht nichts ging

Bis ich auf den Eintrag gestoßen bin: VPN mit iPhone an pfSense hinter FritzBox

Hab das dann abgeleitet von der Privaten IP auf mein Netz.

also so wie ich das verstanden habe, stehen mir 5 Feste IP Adressen zu, die ich 5 Geräten anhand der Mac Adresse zuweisen kann.

Die IP Aufteilung von UM is nicht = .1 .2 .3 usw. sondern .23 .33 .49 .54 .238 über diese kann ich verfügen und ja es gibt ne .1 welche jedoch UM vorbehalten ist.

Ergo die erste Adresse is die xxx.x.xx.23 diese kann ich über das Kundencenter anhand der MAC Adresse fix zuweisen. Einmal Neustart der Fritzbox und diese wird vom ISP zugewiesen.

Also wäre doch für die Pfsense die .23 die Upstream GW Adresse und die .33 die WAN Adresse. LAN behält somit die .10.1 als LAN GW

Nur wenn ich das richtig verstehe muss ich unter WAN kein static zuweisen, da er dies eh schon vom ISP über die MAC zugewiesen bekommt. Somit war für mich die WAN seither dynamisch und nichts weiter konfiguriert.

Die erste öffentliche wäre die .23 und is der Fritzbox zugewiesen. Die zweite öffentliche .33 is noch frei die kann ich der pfsense zuweisen.

Dann sollte das aussehen siehe Screenshot, jedoch bekomme ich da kein Internet.

@peter

Nein hab da nichts mitgerechnet. Da die IPs auch unterschiedlich sind.


Vom ISP oder selbst beschafft? Die vom ISP ist etwas anders Konfiguriert und kannst du selbst so nicht Konfigurieren.

Nein die ist vom ISP. Wie ich jedoch gelesen habe ist diese sogenannte Bridge Funktion nicht bei allen Kunden verfügbar mit einer ausnahme auch nur für Kunden in BW.

Bitte erkläre dein Bridge Modus der Fritte wenn die doch VOIP und gar ein GastWLAN bzw. GastNetz (per Port 4) machen kann? Der ISP sagt zwar Bridge, aber es ist Routing, nur Bridge hört sich besser an. Das VOIP kannst du dort nicht deaktivieren und musst somit damit Leben das dieses Fritte eben die Rufnummern hält. Dieser Mischmodus von Bridge und Routing machen die damit du eine Feste (oder auch mehrere IPs) bekommst bzw. du hinter der 6490 noch deine PFSense hängst und dort die IPs zuordnest welche der ISP dir gegeben hat.

Warum soll das nicht gehen. Mir hat man das so erklärt: Der Brigde Mode dient nur dazu die Fritte als Modem zu nutzen und den Datenverkehr auf LAN 2 oder irgend einem definierten Port weiterzuleiten. Da es mit VOIP Schwierigkeiten gab, haben sie so vermute ich die VOIP nicht mit durchgeschleift und das WLAN auch dort gelassen. Geht jedenfalls bei mir. Da meine Geräte sich aber in nem anderen Subnetz geschützt dahiner verbinden sollen, lass ich das WLAN der Fritte an und nutze dies nur als Gästewlan. So kommt keiner der Gäste rein und trozdem haben diese dann WLAN. VOIP ist mit einem DECT telefon nicht relevant klar kann man sich die Mühe machen das durchzuschleifen aber für das was ich telefoniere reicht das zunächst!

nein das war ein versehen hab aber nix gefunden zum rückgänig machen

Kannst mir da bitte in der Praxis helfen, wo da nun genau was rein kommt bei der pfsense?

Moin,

Stimmt da war was. Hatte das vor einiger Zeit schon mal vor, die Pfsense zu konfigurieren. Dabei hab ich auch meine ich rausgefunden dass man da nicht alle ips wahllos zu ordnen kann sondern wie du schon schreibst einige davon broadcast und so weiter sind. Das is mir auch erst am späten Abend eingefallen.

Werd nach der Arbeit mal da anrufen und mir das erklären lassen welche ips für welchen Zweck bestimmt sind. Seit die Firma nach Köln umgezogen ist hat der Kundenservice massiv abgenommen.

Fakt ist, dass das die Fritte von denen ist und VoIP an der FB anliegt und ich auch weiter WLAN nutzen kann ob ich das Teil nun auf einen bestimmten LAN Port in den Bridge Modus versetzt habe oder nicht.

Für mich ist es einerseits gut, da man sich trotz anderem Netz mal eben mit WLAN aufschalten kann ohne jetzt hier eine MyFRITZ! Freigabe einrichten zu müssen. Gleiches für VoIP da brauch ich auch nur das Dect einschalten und die Geräte zuweisen ohne großen Aufwand an der pfsense wo ich mir ein weiteres Stück Hardware hinter der Firewall ggf. spare.

Du wirst lachen: Hab gerade in deinem Beitrag gelesen

Das ist aber keine Modem Einrichtung wie du sie beschreibst sondern deine FritzBox rennt als stinknormale Router Kaskade mit der Firewall, richtig ?

ja genau so. ich sagte nur dass es so komfortabel ist momentan. Wie du schon richtig schreibst wäre mir ein reines Modem only auch lieber aber selbst beim Anschluss durch den Techniker ist ihm keins eingefallen, was 450 MBit hat und docsis 3.1 kann. Sonst wäre diese blöde Fritzbox längst rausgeflogen.

Die IP Adressen sind:

217.8.51.23

217.8.51.33

217.8.51.49

217.8.51.54

217.8.51.238

Gut sicherlich hab ich keinen Schmerz die telefonie hinter die Pfsense zu setzen und das Gästewlan auch dort anzusiedeln. Nur hatte ich mich halt gefragt, ob das unbedingt sein muss wenns so etwas komfortabler geht. Das kann man sich aber sicherlich als einen ToDo Punkt vorbehalten, wenn mal alles soweit läuft. Bin darauf jetzt in Zeiten von Smartphone und Co. nicht wirklich angewiesen.

Nun sind ja bei der Fritzbox die Pics deiner Anleitung etwas veraltet und mit der 6490 UM wird das so auch sicherlich nicht so ohne weiteres gehen.

Hast du mir vllt. eine Empfehlung für ein reines Modem?

Nach meinem Anruf beim Kundenservice von UM musste ich mir jetzt sagen lassen, dass man einem die Daten nicht nennen kann, dies jedoch mit der Umstellung auf RIP zum Wunschtermin genannt werden kann. Lächerlich! Dann wurde ich noch als alter Bridge Kunde abgetan.

Die Dame schickte mir eine Anleitung welche exakt den Weg beschreibt, wie man auf Bridge umstellt und eine Portweiterleitung einrichtet. Das wird dann als großes Update verkauft

Hab jetzt mal das WAN GW konfiguriert und somit sollte das auch passen oder was meint Ihr?

@peter

Der Auftrag is schon seit letztem Jahr ausgeführt. Hatte wegen Beruf und Umzug nur nie wirklich Zeit das alles zu konfigurieren. Also wie die Dame richtig sagte, bin ich ein "alter Bridge Kunde"

Was mich belustigt hat, war die Aussage, dass man die Umstellung auf RIP als neues großes tolles Feature beworben hat.

Das Gateway ist online. WAN und Lan funktionieren soweit auch. Was noch nicht geht ist der Ping auf die Pfsense. Das Packet apinger ist installiert und die Firewallfreigabe für ICPM ist auch gemacht.

Konfiguration Fritzbox:

Webinterface 192.168.178.1

DHCP an

IP Range 192.168.178.20 - 192.168.178.200

Bridgemode ist aktiviert an Lan 2

Bei UM hab ich nun die Mac Adresse der Fritzbox der 217.8.51.23 zugewiesen.

Freigaben sind UDP 500 und 4500 und ESP für IPSec auf die Pfsense welche von der Fritzbox die 192.168.178.20 bekommen hat. Diese IP ist dem Gerät zugewiesen (Diesem Gerät immer die gleiche IP zuweisen)

Konfiguration Pfsense:

Die Pfsense hat seit gestern Abend nun die 217.8.51.33 / 24 am WAN Port welche ebenfalls im Mail Service Center mit der Mac Adresse des WAN Ports der Pfsense verbunden ist.

Um zu prüfen, ob die Zuordnung der 217.8.51.33 /24 von Unity Media funktioniert, habe ich den WAN Port der Pfsense zunächst dynamisch konfiguriert. Dort wurde sofort die statische IP 217.8.51.33 dem WAN Port der Pfsense zugeordnet. Sollte also funktionieren.

Dann habe ich den WAN Port der Pfsense auf statische IP umgestellt. Die 217.8.51.33 / 24 als IP eingetragen und dann die mir von Unity Media genannte WAN Gateway Adresse 217.8.51.1 /24 eingetragen. Das WAN Gateway war dann nach einem Neustart auch online.

Dem LAN Port der Firewall hab ich als Interface IP die 192.168.10.1 zugewiesen. DHPC läuft auch auf der Firewall.

Das Packet apinger hab ich noch installiert. Der Ping auf die Fritzbox 217.8.51.23 klappt. Der Ping auf die Pfsense 217.8.51.33 klappt nicht.

Hab dann eine ICMP Rule zulassen erstellt jedoch bekomme ich die Firewall über ne mobile App aus dem Mobilfunknetz nicht gepingt.

Mehr kann ich bis dato noch nicht sagen. Werde heute abend nochmals anrufen und nach den Daten für die IP fragen. Was fehlt den deiner Meinung nach noch. Ich kann das nicht einschätzen, da ich diesbezüglich total unerfahren bin.

Was echt mal toll wäre, ist ein kleines How To, was Ihr also "Profis" als Standard Einrichtung empfiehlt. Welche Pakete, welche Rules etc. So wäre mal gewährleistet, dass niemand mit offenen Scheunentoren rumläuft und ein gewisses Grundpacket an die Hand bekommt. Weil wie Ihr schon richtig erkannt habt, kaufen kann man viel aber das Teil später einrichten und zu administrieren ist was ganz anderes.

@108012

- Die AVM FB wird zum reinen Modem in dem man sie in den Bridge Modus versetzt und dahinter werden dann die
PPPoE Daten und die statischen IP Adressen direkt eingetragen und dort steht dann alles was aus dem Internet
via VPN erreichbar sein soll im LAN, wenn es auch so aus dem Internet erreichbar sein soll, also FTP, Web oder mail
Server dann wäre hier eine DMZ zu bevorzugen.

Würde auch deine 2. Variante bevorzugen. PPPoE Daten sind mir jedoch nicht bekannt. Das kenne ich nur vom DSL.

Das ist alles Quatsch!
- Warum soll die AVM FB die statische IP Adresse bekommen? Das soll doch die pfSense Firewall machen, oder?
- Entweder man hat wie Peter es schoin richtig angemerkt hat die AVM FB im Bridged Modus und dann hat sie keine
IP Adresse und auch VOIP und WLAN sollten nicht mehr funktionisfähig sein, oder aber die AVM FB ist immer noch
als Router unterwegs und man leitet einfach Ports und Protokolle weiter an die pfSense die dann aber die IP Adresse(n)
eingetragen bekommt

Ich kann dir die Einstellungen zeigen. Es ist schon etwas komisch, da gebe ich euch reicht. Es ist jedoch fakt, dass die FB dies so praktiziert. Bridge ist eingestellt auf Lan 2 und nur da. Trotzdem kann ich mich jeder Zeit mit meinem Macbook mit dem FB WLAN verbinden und bin und kann Internet surfen. Gleiches gilt für meine Telefonie. Mein DECT Gigaset lässt sich ganz normal via Dect anmelden und nutzen.

Konfiguriere ich das ganze jetzt um. Lasse den Bridge Mode deaktiviert und aktiviere in den Freigaben nur den Exposed Host, dann geht auch kein WLAN und kein VOIP mehr gleiches gilt für die IPv4 Route Funktion.

Also entweder man packt in die DMZ Geräte rein die aus dem Internet erreichbar sein sollen oder aber man greift
mittels VPN von unterwegs drauf zu und braucht die DMZ nicht wirklich. Ich würde die Methode mit dem VPN
immer bevorzugen wollen.

Gut das mit der DMZ hatte ich für Geräte wie einen Exchange Server irgend wann mal vorgesehen. Ein NAS soll künftig auch mal zugriff aufs Internet bekommen. Wichtig ist mir, dass die Server, Clients etc per Wake over Internet aufwachen ich mich per VPN ins Netz einwählen kann um mich dann mit ner RDP zu verbinden. Die Pfsense soll noch nen WLAN Chip mit Magnet Antenne bekommen. Als Konfigurtations-WLAN und Bastelspaß. So is mal der Plan. Man kann dort ja dort sehr vieles anstellen, entdecken usw.

Die /24 ist Falsch vermutlich muss dort eine /30 oder /29 hin. Du musst in deine Unterlagen schauen was die dir verkauft haben. Nur du hast dazu Zugang. oder nutze das UM Kundencenter, da steht es auch.

Ich habe dazu überhaupt keine Unterlagen. Auch im Kundencenter steht überhaupt nix drin. Glaubst ich erzähl dir hier irgend einen Schwachsinn? Ich habe lediglich die 5 IP Adressen bekommen von denen ich 2 bisher über die Mac Adresse zugeordnet habe.

Die eine Dame erzählt was von das Gateway sei die 217.8.51.1 der andere Kollege sagt wenn Ihre IP 217.8.51.33 ist dann müssen sie + 1 rechnen, das ist das Gateway und ausgehend von 217.8.51.33 +2 dass ist dann Ihre IP.

Was ich nicht begreife: Wozu soll ich dem WAN diese Static zuordnen, wenn doch der WAN Port eh die MAC hinterlegt im Mailkundencenter dynamisch die IP richtig zuordnet?

Wozu soll die Konfiguration des IPv4 Upstreamgateways erforderlich sein. Manche sagen, dass ist nur erforderlich, wenn man mehrere WANs also Multiwan betreibt und dort definiert welcher Wan Port welches Gateway nutzt.

Wunder dich nicht wenn du ICMP dort gesperrt hast, nicht Antworten soll und wenn dioch, deine /24 an der PFSense ist schlichtweg Falsch.

Wer behauptet den, dass ich den gesperrt hab? Ich sagte ich habe eine Rule definiert, welches das ICMP zulässt also allow.

Hab eben nochmals getestet:

Also die 217.8.51.33 /29 mit GW 217.8.51.1 funktioniert nicht

Auch die 217.8.51.33 /30 mit GW 217.8.51.1
funktioniert auch nicht

Einzig die 217.8.51.33/24 mit GW 217.8.51.1
funktioniert sofort.

Würde es was bringen wenn ich an der Fritzbox einen exposed Host bzw. eine IPv4 Route definiere welche direkt auf die fritzbox geht?

Irgendwas muss die Box ja haben warum das nicht sauber geroutet wird.

Jedenfalls geht der Ping nun auf die 217.8.51.33

Hallo Uwe,

ich wurde gestern von den IP Adressen nochmals umgestellt. Unity Media unterscheidet da zwischen Bridge und Rip Kunde. Nun bin ich ein Rip Kunde. Durch die Umstellung erhielt ich auch 5 andere IP Adressen durch welche ich die Gateway Adresse erfahren habe.

Basteln naja musst halt die Bridge noch aktivieren und die Protfreigaben fürs VPN machen aber ansonsten ist das denke ich richtig konfiguriert.

Die Fritzbox bekommt automatisch die erste IP also .42 was auch das Gateway war, was UM mir angegeben hat. An der Pfsense hab ich die .43 statisch vergeben und dem der Upstream Gateway Adresse die .42 der Fritzbox zugewiesen.

Die Firewall braucht halt ne weile, um das ganze Routing zu erkennen und Internet an die Clients zu verteilen. Aber nach ner weile und einem Reboot gehts dann.

Sicher das da jedesmal nachdem der Online ist ein Reboot machen musst? Kein Wunder das du kein Internet hast

Was du immer für Sachen annimmst oder glaubst zu wissen Ich habe definiv Internet. und das wird auch durch die Firewall geroutet.

Das Gateway kannst du dir selbst ausrechen falls es nicht ausdrücklich auf der UM Kundenloginseite steht. Und auch die SubNetzmaske kannst du dir selbst ausrechen. Hier ein beispiel aus NRW wo z.B. 1 (Eine) Feste P zugeteilt wurde. rate mal was dort die nutzbare IP ist?

Was mir auffällt: Der Screen aus deinem Kundencenter, den hab ich so schon mal nicht. Werde dann auf ne andere Seite weitergeleitet. Kann es sein, dass man irgendwo dein Experten Modus noch deaktivieren muss.

Hier nochmals ein genauer Screenshot. Aber ich denke das ist so nicht zielführen. Es ist gut möglich, dass durch die Umstellung am Sa. die IP Adressen und Daten noch nicht nachgepflegt wurden.

Werde mich aber heute Abend gleich nochmals drum bemühen, da ich mir nicht vorstellen kann, dass die extra für BW ein anderes Kundencenter bauen. Würde ja in sofern keinen Sinn machen. Hättest mal lieber den letzten Screenshot aufmerksam angeschaut, dann wäre dir aufgefallen, dass das genau die gleiche Stelle im Kundencenter ist die du mir beschrieben hast. Man kann jedoch den Zugriff auf das Kundencenter für andere Leute freigeben in dem man als Organisator bzw. Admin ist und dort in den Einstellungen Subuser anlegen kann.

Du siehst also: Ich habe die IP Informationen nicht verbummelt, mitteilen will ich diese euch nur äußerst ungern, aber was bleibt mir anderes übrig als auf das zu vertrauen, was man dann gesagt bekommt.

Zu den IP Adressen: Es is doch ### egal wie die lauten. 5 Adressen 3 Oktette . Hauptsache das Octett stimmt und ist bei allen gleich.

Die wie gesagt, die .42 ist wohl das Gateway wie man mir sagte und wird der Fritzbox zugewiesen. .43 is dem WAN Port der Pfsense statisch zugewiesen das Upstream Gateway wäre auch die .42 also fir Fritzbox. Internet läuft. Selbst nach ersten Einrichtungssteps des VPNs kommen schon UDP Pakete 4500 und 500 an nur kein ESP. Die IP Adresse des iPhones ist klar in den mit geschnittenen Logs zu erkennen.

Also warum soll kein Internet funktionieren? Wie kommst du darauf oder wer sagt das? Was mir jedoch aufgefallen ist, dass die Pfsense bei den meisten Konfigs im gleichen Subnetz hängt wie die Fritzbox.

Ich verstehe deine Frage nicht. Worauf willst du hinaus? Macht Ihr das mit Absicht?

Das ist genau die Seite, welche Pjordorf hier nennt.

https://www.unitymedia.de/benutzerkonto/login/zugangsdaten/
Meine Produkte
Internet
Runter scrollen bis "WifiSpot-Einstellungen und Optionen Internet" und dort ganz rechts auf dern Richtungszeiger nach Unten Klicken

Nur sieht es farblich anders aus. Erkennst aber auch am Ersten Satz in beiden Screenshots. Vielmehr frage ich mich, warum das ESP nicht durchgeht vom VPN.

Das dürfte es beantworten:

Wo kann ich Informationen zu meinen statischen IP-Adressen einsehen, wenn ich z.B. das Schreiben von Unitymedia Business mit den Angaben verlegt habe?

Im Kundencenter sind die Informationen zu Ihren Produkten, z.B. zu Ihren statischen IP-Adressen, einsehbar.

Dieser Service gilt nur für NRW und Hessen. Kunden in Baden-Württemberg nutzen bitte das Mail Service Center.

Um dem Rätselraten ein Ende zu bereiten, hab ich gestern einen Brief von Unity Media erhalten, in den meine IP Adress Daten drinstehen.

Hier die IP Adressen (Die ersten 3 Oktette sind immer gleich und /29)

Subnetz: .40

Netzwerkadresse. 41

Gatewayadresse der Fritzbox .42

Konfiguriert ist nun folgenes:

Fritzbox erhält automatisch die .42 von Unity Media. Die Fritzvbox selbst habe ich auf Exposed Host umkonfiguriert. Somit sollten alle anfragen durchkommen. Seither ging der Ping nicht auf die Pfsense wahrscheinlich weil die Fritte das ICPM nicht automatisch durchlässt und man dafür keine Portfreigabe schalten kann auf der FB. Mit der Konfiguration geht nun auch der Ping der Pfsense. Geräte im Netz der FB haben halt jetzt die IPs 192.168.178.20-200 aber die lassen sich auch noch kleiner ziehen.

Dem WAN Port der Pfsense habe ich jetzt statisch die .43 zugewiesen und als Default GW die .42 also die Gatewayadresse der Fritzbox zugewiesen.

Dem LAN Port der Pfsense habe ich die 192.168.10.1 gegeben.

Sollte doch so richtig sein oder?

Also eine /29 oder ein (SNM) 255.255.255.248 Netz (insgesamt 8 IPs)

Netmask: 255.255.255.248 = 29 11111111.11111111.11111111.11111 000

Die / 29 ist die Suffix und das andere 255.255.255.248 die Netzmaske. Was das selbe für mich ist.

langsam geht mit deine Wortglauberei mächtig aufn Zeiger und bringt mich hier nicht die Bohne weiter. Du hast die Informationen bekommen, ohne die DU hier nicht arbeiten kannst um was geht's dir hier eigentlich?

Warum Routet die wenn es doch eine Bridge sein soll? Betreiber die so wie UM das vorgesehen hat (Eine Bridge die zwar tatsächlich routet - aber du dies nicht siehst)

Dann gibt die FB das halt weiter. Wie man es nennt ist es dir nicht recht! Ob man ein Auto nun Car, Kraftfahrzeug, Kfz oder Fortbewegungsmittel nennt is doch schnuppe. Ich kenne eine !"WEITERLEITUNG"! in ein anderes Subnetz als Routing.

Im Bridge Modus gehen alle Anfragen von alleine durch und kommen an deiner PFSense an.

Das ist einfach falsch. Das was du beschreibst würde die Exposed Host Funktion machen. Beim Bridge ist immer noch die Firewall der FB aktiviert. beim Exposed Host nicht. Somit ist beim Bridge eine Portfreigabe erforderlich.

Damit macht deine Fritte eindeutig keine Bridge. Die Fritte muss aber im Bridge Modus laufen, so wie von UM vorgesehn.

Wer sagt den das UM nur ausschließlich Bridge unterstützt wenns anders auch geht? Das behauptest jetzt DU wieder Ich muss kein Bridge einstellen könnte es auch mit nem Exposed Host.

Hab mir mal die Mühe gemacht, die Anleitung von Unity Media zum Thema Exposed Host zu Posten. Diese ist gestern an mich versendet worden.

Bitte beachte, dass der Anschluss in BW ist und NRW und Hessen hier ne Ausnahme sind.

Wenn du das so haben willst, es ist dein Privates LAN, nur solltest du nicht zwingend ein 192.168.0.0/24 nehmen wenn du VPN machen willst. Die chance das deine VPN partner selbst ein 0er Netz haben ist gross.

Alternativ kann ich auch hier die 10.98.1.0 /24

wie hier beschrieben: IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Nur klappts nicht wirklich. Habe mir hier mal etwas Troubleshooting geholt. VPN mit iPhone an pfSense hinter FritzBox

Das ist schade Peter. Mal ehrlich das Thema ist längst gelöst. Ob ich nun nen Tarif X mit 1 statischen oder Y mit 5 IP Adressen habe ist total egal ob ich Bridge oder Exposed host eingestellt hab genau so wenig wie das Modem oder nen Router. Rauskommen tut am LAN immer das selbe. Wenn nicht dann hätte ich tatsächlich fragen müssen was bei der Fritzbox los ist und was man da einstellen muss. Vielmehr hätte ich mir gewünscht, dass aus meinen unzähligen Anworten in der ich dir mit diversen Angaben über Gateway Sufix oder Netzadresse gegeben habe mal die Nachfrage von dir oder auch den anderen gekommen wäre: Was hast du den hier und da konfiguriert? Die IP trägst du hier ein den DNS dort hier kommt das Gateway rein usw. Was mich generell noch mehr enttäusch ist die Tatsache, dass diese ausführliche Art der Hilfe schon mal irgendwo in diesem Forum stattgefunden hat und da sind Leute am Start gewesen, die haben weit weniger Erfahrung mitgebracht haben als ich. Verstehe ich nicht warum man auch anderen Usern wie mir nicht auf einfache Weise helfen kann.