spitzbube
Goto Top

Richtige Grundeinstellungen der Pfsense für mein Netzwerk

Hallo,

lese hier nun schon den ein oder anderen Artikel mit aber werde noch nicht ganz schlau, wie die Pfsense in meinem Fall richtig eingerichtet wird.

Ziel: Meine Server bzw. NAS Geräte sollen später mal in die DMZ und über VPN angesprochen werden können.

Was steht mir zur Verfügung:

Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.

1x Fritzbox Cabel 6490

1x Pfsense mit 3 Lan Ports.

Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus befindet (Voip, Gastwlan) und über Lan 2 weiter an die Pfsense weiterleitet

Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen

Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23

IP Netz 192.168.178.1 des Fritzbox Netzes

IP der Pfsense 192.168.178.20 im Fritzbox Netz

Pfsense 192.168.10.1 welches auch mein Nutznetzwerk ist.

WAN der Pfsense wäre ja folglich die 192.168.178.20 und das Upstream GW die 192.168.178.1 richtig? Genau das gibt mir kein Internet. Nur wenn ich Das Upstream GW lösche habe ich nen Traffic anliegen.

Außer ein paar Rules und ein paar Packeten wie Ping habe ich zunächst mal nichts weiter eingerichtet, da es so viele Anleitungen zu dem Thema gibt und ich jedes mal aufs neue erstaunt bin, wie unterschiedlich hier vorgegangen und eingerichtet wird.

Könnt Ihr mir bitte dabei helfen, dass Ganze richtig zu konfigurieren? Das wäre wirklich top!!!!
wan
lan

Content-ID: 346995

Url: https://administrator.de/contentid/346995

Ausgedruckt am: 19.12.2024 um 12:12 Uhr

ChriBo
ChriBo 22.08.2017 um 19:26:31 Uhr
Goto Top
Hi,
woher hast du die Information 192.168.178.x als "Fritzbox" Netz zu nehmen ?
Folgendes sollte richtig(er) sein:
Du hast z.B. das Netz a.b.c.0/29 (öffentliche IPs erhalten:
a.b.c.1 = Fritzbox
a.b.c.2 = 1. öffentliche IP
...
a.b.c.6 = 5. öffentliche IP
-
also musst du als WAN Interface z.B. die erste öffentliche IP mit Maske /29 und als Gateway die IP der Fritzbox ehmen.

Gruß
CH
Pjordorf
Pjordorf 22.08.2017 um 19:33:18 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
5 freie zur Benutzung vorgesehene IPs oder doch nur eine weil du GW, Broadcast IP, Net Ip usw. mitgerechnet hast?

1x Fritzbox Cabel 6490
Vom ISP oder selbst beschafft? Die vom ISP ist etwas anders Konfiguriert und kannst du selbst so nicht Konfigurieren.

Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus befindet
Bitte erkläre dein Bridge Modus der Fritte wenn die doch VOIP und gar ein GastWLAN bzw. GastNetz (per Port 4) machen kann? Der ISP sagt zwar Bridge, aber es ist Routing, nur Bridge hört sich besser an. Das VOIP kannst du dort nicht deaktivieren und musst somit damit Leben das dieses Fritte eben die Rufnummern hält. Dieser Mischmodus von Bridge und Routing machen die damit du eine Feste (oder auch mehrere IPs) bekommst bzw. du hinter der 6490 noch deine PFSense hängst und dort die IPs zuordnest welche der ISP dir gegeben hat.

(Voip, Gastwlan) und über Lan 2
Lan2 der Fritte oder deiner PFSense? VOIP in form einer Nebenstelle der 6490 oder mit den Öffentlichen Rufnummern?

Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen
Deine PFSense kennt dieses Netz und kann den Rechner auch erreichen?

Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23
Die 6490 hat eine IP, die wird dir aber meist nicht genannt. DORT wird von der Bridge geredet, die IPs die du bekommen hast sind aber für deine PFSense gemeint, aber Routen dtut die 6490 tatsächlich, sonst würde keine VOIP gehen.

IP Netz 192.168.178.1 des Fritzbox Netzes
Ne.1 am ende (4 Octet) sagt es ist eine IP und kein Netz.

WAN der Pfsense wäre ja folglich die 192.168.178.20 und das Upstream GW die 192.168.178.1 richtig?
Nö. Du hast von deinen ISP IPs bekommen (GW, DNS, Braodcast, Netz IP und freie IPs). Die haust du in deiner PFSense rein, denn dei 6490 wird über die dir mitgeteilte GW IP angesprochen (eine Öffentliche IP) (in diesem zusammenhang reden die ISPs wieder von Bridge, obwohl ein Routing sich dahinter verbirgt - siehe VOIP). Die 6490 hat also an ihren LAN PORTS die Öffentlichen IPs welche man dir genannt hat, muss also dann mit deiner PFSense reden können. Hast du allerdings die 6490 als Router mit NAT am laufen....

Genau das gibt mir kein Internet.
Si, Si. Du hast einen Kabelanbieter mit Fester IP (V4?) dann brauchst du zwingend eine sog. Rourterkaskade weil dir der Priovider mit seiner (6490 (Router)) an dessen LAN Ports dir di Öffentlichen Ports anbietet. VOIP (deine registrierten Rufnummern) kippt er dort auch raus. Ein Gastnetz oder GastWLAN gibt es dann zwangsläufuig auch nicht.

Bitte teile uns mit was dein ISP dir gegeben hat an IPs.

Erst wenn du deine (ISP ?) 6490 richtig angepappt und deine WAN Seite sauber geht kannst du mit der PFSense weitermachen. Du darfst auch deinen Rechner mit den Öffentlichen IPs füttern und an der 6490 Pappen. Geht auch wenn die 6490 im Bridge Modus läuft.

Gruß,
Peter
transocean
transocean 22.08.2017 aktualisiert um 20:59:21 Uhr
Goto Top
Moin,

beim UM Business Anschluss hast Du kein internes Netz ala 192.168.178.1 oder so. Die FB fungiert lediglich als Kabelmodem.
Deshalb solltest Du genau das tun, was ChriBro Dir bereits geraten hat.

Gruß

Uwe

Edit: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Spitzbube
Spitzbube 22.08.2017 um 21:03:09 Uhr
Goto Top
Hi,

nach dem zunächst alles lief bis auf das WanGW hab ich mich an das Thema VPN einnwahl gemacht. Vieles versucht nichts ging

Bis ich auf den Eintrag gestoßen bin: VPN mit iPhone an pfSense hinter FritzBox

Hab das dann abgeleitet von der Privaten IP auf mein Netz.

also so wie ich das verstanden habe, stehen mir 5 Feste IP Adressen zu, die ich 5 Geräten anhand der Mac Adresse zuweisen kann.

Die IP Aufteilung von UM is nicht = .1 .2 .3 usw. sondern .23 .33 .49 .54 .238 über diese kann ich verfügen und ja es gibt ne .1 welche jedoch UM vorbehalten ist.

Ergo die erste Adresse is die xxx.x.xx.23 diese kann ich über das Kundencenter anhand der MAC Adresse fix zuweisen. Einmal Neustart der Fritzbox und diese wird vom ISP zugewiesen.

Also wäre doch für die Pfsense die .23 die Upstream GW Adresse und die .33 die WAN Adresse. LAN behält somit die .10.1 als LAN GW

Nur wenn ich das richtig verstehe muss ich unter WAN kein static zuweisen, da er dies eh schon vom ISP über die MAC zugewiesen bekommt. Somit war für mich die WAN seither dynamisch und nichts weiter konfiguriert.

Die erste öffentliche wäre die .23 und is der Fritzbox zugewiesen. Die zweite öffentliche .33 is noch frei die kann ich der pfsense zuweisen.

Dann sollte das aussehen siehe Screenshot, jedoch bekomme ich da kein Internet.
wan1
Spitzbube
Spitzbube 22.08.2017 um 21:26:34 Uhr
Goto Top
@peter

Nein hab da nichts mitgerechnet. Da die IPs auch unterschiedlich sind.


Vom ISP oder selbst beschafft? Die vom ISP ist etwas anders Konfiguriert und kannst du selbst so nicht Konfigurieren.

Nein die ist vom ISP. Wie ich jedoch gelesen habe ist diese sogenannte Bridge Funktion nicht bei allen Kunden verfügbar mit einer ausnahme auch nur für Kunden in BW.

Bitte erkläre dein Bridge Modus der Fritte wenn die doch VOIP und gar ein GastWLAN bzw. GastNetz (per Port 4) machen kann? Der ISP sagt zwar Bridge, aber es ist Routing, nur Bridge hört sich besser an. Das VOIP kannst du dort nicht deaktivieren und musst somit damit Leben das dieses Fritte eben die Rufnummern hält. Dieser Mischmodus von Bridge und Routing machen die damit du eine Feste (oder auch mehrere IPs) bekommst bzw. du hinter der 6490 noch deine PFSense hängst und dort die IPs zuordnest welche der ISP dir gegeben hat.

Warum soll das nicht gehen. Mir hat man das so erklärt: Der Brigde Mode dient nur dazu die Fritte als Modem zu nutzen und den Datenverkehr auf LAN 2 oder irgend einem definierten Port weiterzuleiten. Da es mit VOIP Schwierigkeiten gab, haben sie so vermute ich die VOIP nicht mit durchgeschleift und das WLAN auch dort gelassen. Geht jedenfalls bei mir. Da meine Geräte sich aber in nem anderen Subnetz geschützt dahiner verbinden sollen, lass ich das WLAN der Fritte an und nutze dies nur als Gästewlan. So kommt keiner der Gäste rein und trozdem haben diese dann WLAN. VOIP ist mit einem DECT telefon nicht relevant klar kann man sich die Mühe machen das durchzuschleifen aber für das was ich telefoniere reicht das zunächst!
ChriBo
ChriBo 22.08.2017 um 21:58:33 Uhr
Goto Top
Hi,
du hast den Beitrag als gelöst markiert. Ist dem wirklich so ?
die Netzmaske /32 lt. deinen Screenshots ist verkehrt.
bei den von dir genannten Adressen .23 .33 .49 .54 .238 +.1 für das GW muß die Netmask /24 sein

CH
Spitzbube
Spitzbube 22.08.2017 um 22:06:09 Uhr
Goto Top
nein das war ein versehen hab aber nix gefunden zum rückgänig machen face-smile

Kannst mir da bitte in der Praxis helfen, wo da nun genau was rein kommt bei der pfsense?
Pjordorf
Pjordorf 22.08.2017 aktualisiert um 22:42:14 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
auch nur für Kunden in BW.
OK. Hab noch keinen Unity Media Business mit 5 Öffentlich nutzbare IPs in BW hinter einer 6490 gemacht.

Die 6490 ist deine oder wurde diese vom ISP gestellt? (Die gestellte 6490 hat ein paar andere Einstellungen als deine eigene und kannst du nicht selbst einstellen, auch UM stellt die nicht ein)- Eine getsellte 6490 verhält sich ein bisserl anders als eine von dir gestellte 6490. Bei deinem Tarif empfehle ich dager dir eine 6490 geben zu lassen und dir dahinter deine eigene Infrastruktur aufzubauen. Also - eigene oder ISP 6490?

Warum soll das nicht gehen.
Weil dein ISP (Unity Media) es eben so macht, obs dir passt oder nicht. Die geben vor was am DOCSIS 3.0 Port passiert.

Der Brigde Mode dient nur dazu die Fritte als Modem zu nutzen und den Datenverkehr auf LAN 2 oder irgend einem definierten Port weiterzuleiten.
An der Fritte kannst du nicht pro Port oder per Port IPs zuweosen. Das ist ein einfacher Switch und jeder Port ist gleich, ausser du Routest und machst NAT, dann kann Port 4 für GastLAN genutzt werden. Punkt.

Da es mit VOIP Schwierigkeiten gab, haben sie so vermute ich die VOIP nicht mit durchgeschleift und das WLAN auch dort gelassen.
VOIP macht die Fritte (ISP Fritte) sehr wohl bei Business Tarif und auch mit 5 IPs. Da ist die Fritte dann deine Telefonanlage. dazu muss die zwingend Routing machen weil sonst kein VOIP gehen würde. Ist halt nunmal so.Und WLAN geht dann auch nicht weil die Fritte das dann nicht kann. Ist auch halt so. Und wenn du die als Router betreibst, bekommst du halt die feste IP nicht. Unterscheide was du willst - Pest oder Cholera. ist aber halt so. Auch Unity Media kann nicht Zaubern und bei denen kocht wasser auch bei 100 ° C, so wie bei dir auch.

klar kann man sich die Mühe machen das durchzuschleifen aber für das was ich telefoniere reicht das zunächst!
Klar geht VOIP, nur die Öfentlichen Rufnummern bleiben bei der Fritte in Verwaltung, hast also nur Frittennebenstellen dann als VOIP teilnehmer.

Aber wie du schon gesagt hast, in BW ist es evtl. alles anders. Fragt sich ob du als Bestandskundes dort zählst oder als Kunde der nach dem 06.06.2017 Kunde dort ist oder Feste IPs danach bezogen hat. Da wird nochmals unterschieden. Daher sprech mit denen und lass dir die Fritte einrichten. Geräte dahinter fassen die sowieso nicht an. Und bedenke: aDSL/vDSL/xDSL/sDSL ungleich DOCSIS. Melde ein Störung und lass jemand von denen kommen der dir auch deren ? Fritte einrichtet. Alles dahinter ist deine Baustelle.

Du hast IPs erhalten welche im 4ten Octet eine .23 oder .33 oder .49 oder 54 und eine.238 haben. Was bitte soll das für eine Subnetzmaske sein und was bitte ist die .1? Das wäre normal eine /24, somit ein 255.255.255.000 oder auch 253 nutzbare von 255 IPs. Du nutzt 5 IPs, und es werden 247 verschwendet? Aber auch das kann in BW ganz anders sein. Oder ists ein IPV6? Rechne selbst nach https://www.heise.de/netze/tools/netzwerkrechner/

Gruß,
Peter
Pjordorf
Pjordorf 22.08.2017 um 22:47:25 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
nein das war ein versehen hab aber nix gefunden zum rückgänig machen face-smile
Dann bearbeite deine Frage und du wirst sehen da ist was zum Klicken was den grünen Balken verblassen lässt face-smile

Kannst mir da bitte in der Praxis helfen, wo da nun genau was rein kommt bei der pfsense?
Du brauchst dazu für dein WAN Interface dessen IP, das GW, die Subnetzmaske (CCIDR), NS usw.

Gruß,
Peter
Spitzbube
Spitzbube 23.08.2017 um 07:04:41 Uhr
Goto Top
Moin,

Stimmt da war was. Hatte das vor einiger Zeit schon mal vor, die Pfsense zu konfigurieren. Dabei hab ich auch meine ich rausgefunden dass man da nicht alle ips wahllos zu ordnen kann sondern wie du schon schreibst einige davon broadcast und so weiter sind. Das is mir auch erst am späten Abend eingefallen.

Werd nach der Arbeit mal da anrufen und mir das erklären lassen welche ips für welchen Zweck bestimmt sind. Seit die Firma nach Köln umgezogen ist hat der Kundenservice massiv abgenommen.

Fakt ist, dass das die Fritte von denen ist und VoIP an der FB anliegt und ich auch weiter WLAN nutzen kann ob ich das Teil nun auf einen bestimmten LAN Port in den Bridge Modus versetzt habe oder nicht.

Für mich ist es einerseits gut, da man sich trotz anderem Netz mal eben mit WLAN aufschalten kann ohne jetzt hier eine MyFRITZ! Freigabe einrichten zu müssen. Gleiches für VoIP da brauch ich auch nur das Dect einschalten und die Geräte zuweisen ohne großen Aufwand an der pfsense wo ich mir ein weiteres Stück Hardware hinter der Firewall ggf. spare.
aqui
aqui 23.08.2017 aktualisiert um 10:48:15 Uhr
Goto Top
Eingerichtet ist soweit mal die Fritzbox
Das ist aber keine Modem Einrichtung wie du sie beschreibst sondern deine FritzBox rennt als stinknormale Router Kaskade mit der Firewall, richtig ?
Zeigt auch schon deine VoIP Einrichtuing darauf was im reinen Modem Betrieb nicht möglich wäre.
Damit hast du dann aber keine Chance die restlichen öffentlichen IPs als Virtual IPs zu nutzen und sie auf Endgeräte in die DMZ zu mappen wie du es eigentlich willst.
Das geht nur wenn die FB als reines Modem läuft. Das kannst du dann daran sehen, das du eine direkte Provider IP am WAN Port der pfSense hast (IP Adress Übersicht der Interfaces).
Letztlich willst du das ja aber nicht durch die bequeme Nutzung der im Router integrierten VoIP Funktion. Dann musst du aber mit der Routerkaskade, doppeltem NAT und dem Brachliegen der anderen öffentlichen IPs leben, das sollte dir dann klar sein.
Alles Nähere dazu auch im hiesigen Tutorial im Kapitel Internet Anbindung:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Spitzbube
Spitzbube 23.08.2017 um 11:24:37 Uhr
Goto Top
Du wirst lachen: Hab gerade in deinem Beitrag gelesen face-smile

Das ist aber keine Modem Einrichtung wie du sie beschreibst sondern deine FritzBox rennt als stinknormale Router Kaskade mit der Firewall, richtig ?

ja genau so. ich sagte nur dass es so komfortabel ist momentan. Wie du schon richtig schreibst wäre mir ein reines Modem only auch lieber aber selbst beim Anschluss durch den Techniker ist ihm keins eingefallen, was 450 MBit hat und docsis 3.1 kann. Sonst wäre diese blöde Fritzbox längst rausgeflogen.

Die IP Adressen sind:

217.8.51.23

217.8.51.33

217.8.51.49

217.8.51.54

217.8.51.238

Gut sicherlich hab ich keinen Schmerz die telefonie hinter die Pfsense zu setzen und das Gästewlan auch dort anzusiedeln. Nur hatte ich mich halt gefragt, ob das unbedingt sein muss wenns so etwas komfortabler geht. Das kann man sich aber sicherlich als einen ToDo Punkt vorbehalten, wenn mal alles soweit läuft. Bin darauf jetzt in Zeiten von Smartphone und Co. nicht wirklich angewiesen.

Nun sind ja bei der Fritzbox die Pics deiner Anleitung etwas veraltet und mit der 6490 UM wird das so auch sicherlich nicht so ohne weiteres gehen.

Hast du mir vllt. eine Empfehlung für ein reines Modem?
Spitzbube
Spitzbube 23.08.2017 um 22:22:38 Uhr
Goto Top
Nach meinem Anruf beim Kundenservice von UM musste ich mir jetzt sagen lassen, dass man einem die Daten nicht nennen kann, dies jedoch mit der Umstellung auf RIP zum Wunschtermin genannt werden kann. Lächerlich! Dann wurde ich noch als alter Bridge Kunde abgetan.

Die Dame schickte mir eine Anleitung welche exakt den Weg beschreibt, wie man auf Bridge umstellt und eine Portweiterleitung einrichtet. Das wird dann als großes Update verkauft face-smile

Hab jetzt mal das WAN GW konfiguriert und somit sollte das auch passen oder was meint Ihr?
wan2
Pjordorf
Pjordorf 23.08.2017 um 23:15:42 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
oder was meint Ihr?
Warum? Geht es nicht? oder warum fragst du?
Welche von deinen dir genannten IPs kannst nur du wissen, ebenso welche Netzwerkmaske das sein soll /24 oder eine /30 /32. genauso ist es mit der GW adresse und was die DNS sind. Du hast diese Information. Oder glaubst du tatsächlich das UM dir 255 IPs gibt wobei 247 verschwendet sind wenn du nur eine einzige IP mit dein Business Paket oder auch nur 5 IPs nutzen kannst. Wenn man dir sagt "Folge den grünen pfeile, nicht den roten" aber du verschweigst das du Farbenblind bist, kann dir keiner weiterhelfen. Du möchtest Hilfe, kannst aber kaum eine gestellte Frage korrekt beantworten. Die Fragen dienen nicht unserer Belustigung, sondern dir Helfen zu können. Wenn du die Fragen nicht verstehst, sag es. Nicht jeder kann eine Rolls-Royce Trent 895-17 Triebwerk mit 413,4 kN Schubleistung korrekt zusammenbauen, Einstellen, Warten und Reparieren, auch wenn er öfters auf einer Flugschau war/ist.

Hier weiss immer noch keiner was du denn jetzt dort von UM hast, wir sind immer noch eher am Vermuten als am Wissen. Und wenn du meinst das UM dir jetzt blöd kommt, bedenke solange der Auftrag nicht ausgeführt ist kann die tatsächlich n ichts dazu sagen weil die daten einfach noch nicht vorliegen. Sollte dein auftrag aber schon durchgeführt sein ists was anderes, aber wenn die dir sagt du gehörst zu den kunden die schon vor dem 06.06.2017 eine feste IP hattest ... Sprich mit UM face-smile

Und nur wenn du deine eigene Ärmelkanalbrücke betreibst kann/darf man Brückenkunde zu dir sagenface-smile

Beispiel eines UM Business mit Fester IP in NRW (Aktiv am rennen mit einer weiteren 7490 hinter der UM 6490 und Portforwarding für eine WebCam, aber nur von einer bestimmten IP aus dem Internet (Go 1984 zwecks Aufzeichnung) zugänglich - Feste IP welche aubruft).

112.97.108.232 Subnet-Adresse (so bei UM genannt und sollte reichen). daraus ergibt sich folgendes
112.97.108.233 Gateway IP
112.97.108.234 Nutzbare IP
112.97.108.235 Broadcast Adresse
Und dort werden also auch tatsächlich diese Daten in der nachgeschalteten 7490 an LAN1 (Internet per anderen Router....) eingetragen. Vertrag ist noch frisch, von 03/2017

Du kannst auch dein Windows PC dort per LAN dran stecken, DHCP aus und die IPs die dir genannt wurden (IP, GW, DNS usw.) dort am LAN eitippeln. Dann sollte Internet gehen, aber bedenke, der PC ist dann mit nackten Ar... direkt aus dem Internet angreifbar.

Dein Problem ist also nicht die PFSense.

Gruß,
Peter
108012
108012 24.08.2017 um 06:13:33 Uhr
Goto Top
Hallo,

lese hier nun schon den ein oder anderen Artikel mit aber werde noch nicht ganz schlau, wie die Pfsense in meinem
Fall richtig eingerichtet wird.
- Also es gibt da drei gängige Möglichkeiten man benutzt die AVM FB als Router und hat weiter VOIP und WLAN
und dahinter die pfSense. Alles was mittels VPN erreicht werden soll ist dann hinter der AVM FB aber vor der pfSense!
- Die AVM FB wird zum reinen Modem in dem man sie in den Bridge Modus versetzt und dahinter werden dann die
PPPoE Daten und die statischen IP Adressen direkt eingetragen und dort steht dann alles was aus dem Internet
via VPN erreichbar sein soll im LAN, wenn es auch so aus dem Internet erreichbar sein soll, also FTP, Web oder mail
Server dann wäre hier eine DMZ zu bevorzugen.
- Last but not least kann man die AVM FB auch "aufbohren" indem man einfach Ports und IP Adressen weiterleitet
und dann wieder an der pfSense das VPN terminiert. Also dort keine Ports öffnet und etwas "verbiegt"!

Ziel: Meine Server bzw. NAS Geräte sollen später mal in die DMZ und über VPN angesprochen werden können.
Also entweder man packt in die DMZ Geräte rein die aus dem Internet erreichbar sein sollen oder aber man greift
mittels VPN von unterwegs drauf zu und braucht die DMZ nicht wirklich. Ich würde die Methode mit dem VPN
immer bevorzugen wollen.

Was steht mir zur Verfügung:
Zunächst mal ein Business Anschluss von Unitymedia mit 5 festen IPv4 Adressen, welche ich wenn möglich verwenden möchte.
Klär mal bitte ab wie viele und welche IP Adressen man dort für Server und/oder VPN benutzen kann.

1x Fritzbox Cabel 6490
1x Pfsense mit 3 Lan Ports.
Ok

Eingerichtet ist soweit mal die Fritzbox welche 1 der 5 festen IP Adressen zu geordnet hat und sich im Bridge Modus
befindet (Voip, Gastwlan) und über Lan 2 weiter an die Pfsense weiterleitet
Das ist alles Quatsch!
- Warum soll die AVM FB die statische IP Adresse bekommen? Das soll doch die pfSense Firewall machen, oder?
- Entweder man hat wie Peter es schoin richtig angemerkt hat die AVM FB im Bridged Modus und dann hat sie keine
IP Adresse und auch VOIP und WLAN sollten nicht mehr funktionisfähig sein, oder aber die AVM FB ist immer noch
als Router unterwegs und man leitet einfach Ports und Protokolle weiter an die pfSense die dann aber die IP Adresse(n)
eingetragen bekommt.

Sowie die UDP Ports 500 und 4500 und das ESP welches auf die IP 192.168.10.20 zeigen
Warum nicht hinter die AVM FB als Router und dann mittels VPN Fernzugang oder iOS oder Android App schnell von außen
via VPN auf das NAS zugreifen? Warum die DMZ hinter der DMZ Zone aufsetzen? Warum alles auf die pfSense leiten?

Mach am besten was Du willst aber ich würde den Luxus der AVM Apps nicht missen wollen und dann die pfSense zur
Absicherung des internen Netzwerkes (LAN) benutzen wollen.

Fritzbox statisch per MAC vom Provider zugewiesen: xxx.xx.xx.23
Man kann auch dem WAN Interface in der pfSense eine MAC Adresse zuweisen bzw. dort eine Fakeadresse hinterlegen!

IP Netz 192.168.178.1 des Fritzbox Netzes
IP der Pfsense 192.168.178.20 im Fritzbox Netz
Das netz zwischen den beiden Geräten ist schon eine DMZ Zone!

Könnt Ihr mir bitte dabei helfen, dass Ganze richtig zu konfigurieren? Das wäre wirklich top!!!!
Wriklich Top wäre hier wenn Du uns erst einmal erzählst was Du nun genau vor hast!
Welche der drei Methoden möchtest Du denn benutzen!? Und dann kann man Dir auch wirklich zielgerichtet helfen.

Gruß
Dobby
Spitzbube
Spitzbube 24.08.2017 um 13:23:31 Uhr
Goto Top
@peter

Der Auftrag is schon seit letztem Jahr ausgeführt. Hatte wegen Beruf und Umzug nur nie wirklich Zeit das alles zu konfigurieren. Also wie die Dame richtig sagte, bin ich ein "alter Bridge Kunde" face-smile

Was mich belustigt hat, war die Aussage, dass man die Umstellung auf RIP als neues großes tolles Feature beworben hat.

Das Gateway ist online. WAN und Lan funktionieren soweit auch. Was noch nicht geht ist der Ping auf die Pfsense. Das Packet apinger ist installiert und die Firewallfreigabe für ICPM ist auch gemacht.

Konfiguration Fritzbox:

Webinterface 192.168.178.1

DHCP an

IP Range 192.168.178.20 - 192.168.178.200

Bridgemode ist aktiviert an Lan 2

Bei UM hab ich nun die Mac Adresse der Fritzbox der 217.8.51.23 zugewiesen.

Freigaben sind UDP 500 und 4500 und ESP für IPSec auf die Pfsense welche von der Fritzbox die 192.168.178.20 bekommen hat. Diese IP ist dem Gerät zugewiesen (Diesem Gerät immer die gleiche IP zuweisen)

Konfiguration Pfsense:

Die Pfsense hat seit gestern Abend nun die 217.8.51.33 / 24 am WAN Port welche ebenfalls im Mail Service Center mit der Mac Adresse des WAN Ports der Pfsense verbunden ist.

Um zu prüfen, ob die Zuordnung der 217.8.51.33 /24 von Unity Media funktioniert, habe ich den WAN Port der Pfsense zunächst dynamisch konfiguriert. Dort wurde sofort die statische IP 217.8.51.33 dem WAN Port der Pfsense zugeordnet. Sollte also funktionieren.

Dann habe ich den WAN Port der Pfsense auf statische IP umgestellt. Die 217.8.51.33 / 24 als IP eingetragen und dann die mir von Unity Media genannte WAN Gateway Adresse 217.8.51.1 /24 eingetragen. Das WAN Gateway war dann nach einem Neustart auch online.

Dem LAN Port der Firewall hab ich als Interface IP die 192.168.10.1 zugewiesen. DHPC läuft auch auf der Firewall.

Das Packet apinger hab ich noch installiert. Der Ping auf die Fritzbox 217.8.51.23 klappt. Der Ping auf die Pfsense 217.8.51.33 klappt nicht.

Hab dann eine ICMP Rule zulassen erstellt jedoch bekomme ich die Firewall über ne mobile App aus dem Mobilfunknetz nicht gepingt.

Mehr kann ich bis dato noch nicht sagen. Werde heute abend nochmals anrufen und nach den Daten für die IP fragen. Was fehlt den deiner Meinung nach noch. Ich kann das nicht einschätzen, da ich diesbezüglich total unerfahren bin.

Was echt mal toll wäre, ist ein kleines How To, was Ihr also "Profis" als Standard Einrichtung empfiehlt. Welche Pakete, welche Rules etc. So wäre mal gewährleistet, dass niemand mit offenen Scheunentoren rumläuft und ein gewisses Grundpacket an die Hand bekommt. Weil wie Ihr schon richtig erkannt habt, kaufen kann man viel aber das Teil später einrichten und zu administrieren ist was ganz anderes.

@108012

- Die AVM FB wird zum reinen Modem in dem man sie in den Bridge Modus versetzt und dahinter werden dann die
PPPoE Daten und die statischen IP Adressen direkt eingetragen und dort steht dann alles was aus dem Internet
via VPN erreichbar sein soll im LAN, wenn es auch so aus dem Internet erreichbar sein soll, also FTP, Web oder mail
Server dann wäre hier eine DMZ zu bevorzugen.


Würde auch deine 2. Variante bevorzugen. PPPoE Daten sind mir jedoch nicht bekannt. Das kenne ich nur vom DSL.

Das ist alles Quatsch!
- Warum soll die AVM FB die statische IP Adresse bekommen? Das soll doch die pfSense Firewall machen, oder?
- Entweder man hat wie Peter es schoin richtig angemerkt hat die AVM FB im Bridged Modus und dann hat sie keine
IP Adresse und auch VOIP und WLAN sollten nicht mehr funktionisfähig sein, oder aber die AVM FB ist immer noch
als Router unterwegs und man leitet einfach Ports und Protokolle weiter an die pfSense die dann aber die IP Adresse(n)
eingetragen bekommt


Ich kann dir die Einstellungen zeigen. Es ist schon etwas komisch, da gebe ich euch reicht. Es ist jedoch fakt, dass die FB dies so praktiziert. Bridge ist eingestellt auf Lan 2 und nur da. Trotzdem kann ich mich jeder Zeit mit meinem Macbook mit dem FB WLAN verbinden und bin und kann Internet surfen. Gleiches gilt für meine Telefonie. Mein DECT Gigaset lässt sich ganz normal via Dect anmelden und nutzen.

Konfiguriere ich das ganze jetzt um. Lasse den Bridge Mode deaktiviert und aktiviere in den Freigaben nur den Exposed Host, dann geht auch kein WLAN und kein VOIP mehr gleiches gilt für die IPv4 Route Funktion.

Also entweder man packt in die DMZ Geräte rein die aus dem Internet erreichbar sein sollen oder aber man greift
mittels VPN von unterwegs drauf zu und braucht die DMZ nicht wirklich. Ich würde die Methode mit dem VPN
immer bevorzugen wollen.


Gut das mit der DMZ hatte ich für Geräte wie einen Exchange Server irgend wann mal vorgesehen. Ein NAS soll künftig auch mal zugriff aufs Internet bekommen. Wichtig ist mir, dass die Server, Clients etc per Wake over Internet aufwachen ich mich per VPN ins Netz einwählen kann um mich dann mit ner RDP zu verbinden. Die Pfsense soll noch nen WLAN Chip mit Magnet Antenne bekommen. Als Konfigurtations-WLAN und Bastelspaß. So is mal der Plan. Man kann dort ja dort sehr vieles anstellen, entdecken usw.
Pjordorf
Pjordorf 24.08.2017 aktualisiert um 13:54:50 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Was mich belustigt hat, war die Aussage, dass man die Umstellung auf RIP als neues großes tolles Feature beworben hat.
Lerne zwischen Verkaufsargumente und Techische Funktionen und deren Realisierbarkeit zu unterscheiden


IP Range 192.168.178.20 - 192.168.178.200
Wirst du dort jemals wirklich 180 Clients dran hängen haben? Mach ein 192.168.178.100 - 192.168.178.105 raus und die Leasedauer uaf 3, 6 12 , 24 Stunden. das reicht.

Bridgemode ist aktiviert an Lan 2
Geht über jeden der 4 LAN Ports der Fritte (oder habe ich etwas nicht mitbekommen?).

Die Pfsense hat seit gestern Abend nun die 217.8.51.33 / 24
Die /24 ist Falsch vermutlich muss dort eine /30 oder /29 hin. Du musst in deine Unterlagen schauen was die dir verkauft haben. Nur du hast dazu Zugang. oder nutze das UM Kundencenter, da steht es auch.

Das Packet apinger hab ich noch installiert
Wo? Auf den Rechner? Blödsinn. Ein Ping reicht.

Der Ping auf die Pfsense 217.8.51.33 klappt nicht.
Wunder dich nicht wenn du ICMP dort gesperrt hast, nicht Antworten soll und wenn dioch, deine /24 an der PFSense ist schlichtweg Falsch.

Was echt mal toll wäre, ist ein kleines How To
Das Howto entseht nachdem man alle Information zusammengetragen hat und daraus dann diese eine bestimmte Konfiguration ableiten kann. Und ein bischen Grundlagenwissen braucht es auch, notfalls ein telefon und zuhötren und Verstehen.

Welche Pakete, welche Rules etc.
Kommt alles drauf an was du denn tun willst und was du brauchst. Zum Surfen alleine reicht DNS und Port 80 (http) und Port 443 (https) ausgehend vollkommen aus. Jetzt finde noch raus welche dieser Ports TCP / UDP oder beides braucht.

So wäre mal gewährleistet, dass niemand mit offenen Scheunentoren rumläuft und ein gewisses Grundpacket an die Hand bekommt. Weil wie Ihr schon richtig erkannt habt, kaufen kann man viel aber das Teil später einrichten und zu administrieren ist was ganz anderes.
Erstmal geht nichts weil alles dicht. Mache nur Regeln für das was du brauchst oder willst. Alles andere bleibt dicht. Eine Home Firewall z.B. FritzBox ist anderes eingestellt. die lässt ausgehend erstmal alles zu. Warum? Weil sonst keiner das dingens Kaufen würde weil kaum einer weiß wo was eingestellt wird. Scheunentor - ist aber im Konsumerbereich nicht anders machbar. Wäre so wie du kaufst dir ein Smartphone und ohne spezieller Konfiguration geht noch nicht mal das Telefonieren. kaufst du das dann?

Hier geht es nicht um Sicherheit, hier ist der Umsatz die Treibende Kraft. Bei einer z.B. PFSense, Sophos, Juniper, Mikrotik usw. ist es anders. Gewerblich halt, wo Sicherheit an erster Stelle steht.

Gruß,
Peter
Spitzbube
Spitzbube 24.08.2017 um 19:24:29 Uhr
Goto Top
Die /24 ist Falsch vermutlich muss dort eine /30 oder /29 hin. Du musst in deine Unterlagen schauen was die dir verkauft haben. Nur du hast dazu Zugang. oder nutze das UM Kundencenter, da steht es auch.

Ich habe dazu überhaupt keine Unterlagen. Auch im Kundencenter steht überhaupt nix drin. Glaubst ich erzähl dir hier irgend einen Schwachsinn? Ich habe lediglich die 5 IP Adressen bekommen von denen ich 2 bisher über die Mac Adresse zugeordnet habe.

Die eine Dame erzählt was von das Gateway sei die 217.8.51.1 der andere Kollege sagt wenn Ihre IP 217.8.51.33 ist dann müssen sie + 1 rechnen, das ist das Gateway und ausgehend von 217.8.51.33 +2 dass ist dann Ihre IP.

Was ich nicht begreife: Wozu soll ich dem WAN diese Static zuordnen, wenn doch der WAN Port eh die MAC hinterlegt im Mailkundencenter dynamisch die IP richtig zuordnet?

Wozu soll die Konfiguration des IPv4 Upstreamgateways erforderlich sein. Manche sagen, dass ist nur erforderlich, wenn man mehrere WANs also Multiwan betreibt und dort definiert welcher Wan Port welches Gateway nutzt.

Wunder dich nicht wenn du ICMP dort gesperrt hast, nicht Antworten soll und wenn dioch, deine /24 an der PFSense ist schlichtweg Falsch.

Wer behauptet den, dass ich den gesperrt hab? Ich sagte ich habe eine Rule definiert, welches das ICMP zulässt also allow.
Spitzbube
Spitzbube 24.08.2017 aktualisiert um 22:09:44 Uhr
Goto Top
Hab eben nochmals getestet:

Also die 217.8.51.33 /29 mit GW 217.8.51.1 funktioniert nicht

Auch die 217.8.51.33 /30 mit GW 217.8.51.1
funktioniert auch nicht

Einzig die 217.8.51.33/24 mit GW 217.8.51.1
funktioniert sofort.

Würde es was bringen wenn ich an der Fritzbox einen exposed Host bzw. eine IPv4 Route definiere welche direkt auf die fritzbox geht?

Irgendwas muss die Box ja haben warum das nicht sauber geroutet wird.

Jedenfalls geht der Ping nun auf die 217.8.51.33
transocean
transocean 27.08.2017 aktualisiert um 11:37:15 Uhr
Goto Top
Moin nochmal,

wenn Du wirklich einen UM Business Anschluss hast, brauchst Du an der FB nicht zu basteln. Die fungiert eigentlich nur als Modem und Telefonanlage. Aus eben diesem Grunde wirst Du von UM auch darauf hingewiesen, dass es zwingend erforderlich ist, hinter der FB eine separate FW oder einen Router zu betreiben. Es wäre mal interessant zu wissen, wie die Dir zugewiesenen 5 IP's und die dazugehörige Subnetzmaske wirklich aussehen.
Ich habe hier an meinem UM Business Anschluss eine /29er Netzmaske. Von meinem 5er Block habe ich eine IP fest an den WAN Port meiner FW gebunden. Die anderen vier sind als virtuelle IP's ebenfalls an den WAN Port geklöppelt. Diese Konfig fahre ich seit nunmehr fünf Jahren ohne nennenswerte Probleme. Von den einigen Ausfällen auf Seiten von UM mal abgesehen. Unter den von mir eingesetzten FW's war auch die PFSense.

Gruß und einen schönen Sonntag

Uwe
Spitzbube
Spitzbube 27.08.2017 um 13:33:21 Uhr
Goto Top
Hallo Uwe,

ich wurde gestern von den IP Adressen nochmals umgestellt. Unity Media unterscheidet da zwischen Bridge und Rip Kunde. Nun bin ich ein Rip Kunde. Durch die Umstellung erhielt ich auch 5 andere IP Adressen durch welche ich die Gateway Adresse erfahren habe.

Basteln naja musst halt die Bridge noch aktivieren und die Protfreigaben fürs VPN machen aber ansonsten ist das denke ich richtig konfiguriert.

Die Fritzbox bekommt automatisch die erste IP also .42 was auch das Gateway war, was UM mir angegeben hat. An der Pfsense hab ich die .43 statisch vergeben und dem der Upstream Gateway Adresse die .42 der Fritzbox zugewiesen.

Die Firewall braucht halt ne weile, um das ganze Routing zu erkennen und Internet an die Clients zu verteilen. Aber nach ner weile und einem Reboot gehts dann.
Pjordorf
Pjordorf 27.08.2017 um 18:32:46 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
ich wurde gestern von den IP Adressen nochmals umgestellt. Unity Media unterscheidet da zwischen Bridge und Rip Kunde.
Was bitte ist ein RIP Kunde? Ein toter Kunde?

Durch die Umstellung erhielt ich auch 5 andere IP Adressen durch welche ich die Gateway Adresse erfahren habe.
Das Gateway kannst du dir selbst ausrechen falls es nicht ausdrücklich auf der UM Kundenloginseite steht. Und auch die SubNetzmaske kannst du dir selbst ausrechen. Hier ein beispiel aus NRW wo z.B. 1 (Eine) Feste P zugeteilt wurde. rate mal was dort die nutzbare IP ist?
um ip-adressen
PS. Die ersten 3 Oktett sind alle gleich.

Die Fritzbox bekommt automatisch die erste IP also .42 was auch das Gateway war, was UM mir angegeben hat.
Wenn in BW wirklich alles anders ist, kann das evtl sein, zumal du ja ein R.I.P. Kunde bistface-smile. Nachvollziehen kannes hier keiner, da alle Relevanten Information fehlen. Wenn ich 42 sage, meine ich jetzt das du ein Er, eine Sie oder ein Es bist oder ich einfach die Ultimative Antwort meine face-smile

An der Pfsense hab ich die .43 statisch vergeben
Du musst schon die nehmen welche man dir gegeben hat, da kannst du aus den verschiedenen IPs nicht irgendeine nehmen.

Die Firewall braucht halt ne weile, um das ganze Routing zu erkennen und Internet an die Clients zu verteilen.
Eher wieder Blödsinn. Der DOCSIS )Kabelmodem) braucht schon ein paar Sekunden das ist richtig bis er dann sagt "Ich habe fertig gemacht". Internet LED darf leuchten

Aber nach ner weile und einem Reboot gehts dann.
Sicher das da jedesmal nachdem der Online ist ein Reboot machen musst? Kein Wunder das du kein Internet hast face-smile

Gruß,
Peter
Spitzbube
Spitzbube 28.08.2017 um 05:45:44 Uhr
Goto Top
Sicher das da jedesmal nachdem der Online ist ein Reboot machen musst? Kein Wunder das du kein Internet hast

Was du immer für Sachen annimmst oder glaubst zu wissen face-smile Ich habe definiv Internet. und das wird auch durch die Firewall geroutet.

Das Gateway kannst du dir selbst ausrechen falls es nicht ausdrücklich auf der UM Kundenloginseite steht. Und auch die SubNetzmaske kannst du dir selbst ausrechen. Hier ein beispiel aus NRW wo z.B. 1 (Eine) Feste P zugeteilt wurde. rate mal was dort die nutzbare IP ist?

Was mir auffällt: Der Screen aus deinem Kundencenter, den hab ich so schon mal nicht. Werde dann auf ne andere Seite weitergeleitet. Kann es sein, dass man irgendwo dein Experten Modus noch deaktivieren muss.
kc
Pjordorf
Pjordorf 28.08.2017 um 11:21:06 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Was mir auffällt: Der Screen aus deinem Kundencenter, den hab ich so schon mal nicht. Werde dann auf ne andere Seite weitergeleitet. Kann es sein, dass man irgendwo dein Experten Modus noch deaktivieren muss.
Welchen Expertenmodus? Auf der UM Seite kann man nur durchklickern, um mehr als eine Überschrift zu sehen wirst du schon die Maus benutzen müssen, oder aber du hast als Kunde aus BW eben eine andere Seite und Einstellungen. Ich habe noch keine Seite eines BW Kunden gesehen.

https://www.unitymedia.de/benutzerkonto/login/zugangsdaten/
Meine Produkte
Internet
Runter scrollen bis "WifiSpot-Einstellungen und Optionen Internet" und dort ganz rechts auf dern Richtungszeiger nach Unten Klicken
Dann Lesen und weiterscrollen und bei "IP-Adressen und PTR Name (Expertenmodus)" ebenfalls auf den Pfeil nach unten Klickern

Huch, da steht tatsächlich das Wort Expertenmodus face-smile

Gruß,
Peter
Spitzbube
Spitzbube 28.08.2017 um 14:55:48 Uhr
Goto Top
Hier nochmals ein genauer Screenshot. Aber ich denke das ist so nicht zielführen. Es ist gut möglich, dass durch die Umstellung am Sa. die IP Adressen und Daten noch nicht nachgepflegt wurden.

Werde mich aber heute Abend gleich nochmals drum bemühen, da ich mir nicht vorstellen kann, dass die extra für BW ein anderes Kundencenter bauen. Würde ja in sofern keinen Sinn machen. Hättest mal lieber den letzten Screenshot aufmerksam angeschaut, dann wäre dir aufgefallen, dass das genau die gleiche Stelle im Kundencenter ist die du mir beschrieben hast. Man kann jedoch den Zugriff auf das Kundencenter für andere Leute freigeben in dem man als Organisator bzw. Admin ist und dort in den Einstellungen Subuser anlegen kann.

Du siehst also: Ich habe die IP Informationen nicht verbummelt, mitteilen will ich diese euch nur äußerst ungern, aber was bleibt mir anderes übrig als auf das zu vertrauen, was man dann gesagt bekommt.

Zu den IP Adressen: Es is doch ### egal wie die lauten. 5 Adressen 3 Oktette . Hauptsache das Octett stimmt und ist bei allen gleich.

Die wie gesagt, die .42 ist wohl das Gateway wie man mir sagte und wird der Fritzbox zugewiesen. .43 is dem WAN Port der Pfsense statisch zugewiesen das Upstream Gateway wäre auch die .42 also fir Fritzbox. Internet läuft. Selbst nach ersten Einrichtungssteps des VPNs kommen schon UDP Pakete 4500 und 500 an nur kein ESP. Die IP Adresse des iPhones ist klar in den mit geschnittenen Logs zu erkennen.

Also warum soll kein Internet funktionieren? Wie kommst du darauf oder wer sagt das? Was mir jedoch aufgefallen ist, dass die Pfsense bei den meisten Konfigs im gleichen Subnetz hängt wie die Fritzbox.
kc
aqui
aqui 28.08.2017 um 15:06:16 Uhr
Goto Top
Bist du dir sicher das das der richtige Screenshot ist ??
Das sieht eher aus wie eine Angeboitsseite für IP Features ??
Spitzbube
Spitzbube 28.08.2017 um 15:31:16 Uhr
Goto Top
Ich verstehe deine Frage nicht. Worauf willst du hinaus? Macht Ihr das mit Absicht? face-smile

Das ist genau die Seite, welche Pjordorf hier nennt.

https://www.unitymedia.de/benutzerkonto/login/zugangsdaten/
Meine Produkte
Internet
Runter scrollen bis "WifiSpot-Einstellungen und Optionen Internet" und dort ganz rechts auf dern Richtungszeiger nach Unten Klicken

Nur sieht es farblich anders aus. Erkennst aber auch am Ersten Satz in beiden Screenshots. Vielmehr frage ich mich, warum das ESP nicht durchgeht vom VPN.
Pjordorf
Pjordorf 28.08.2017 um 16:58:48 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Es ist gut möglich, dass durch die Umstellung am Sa. die IP Adressen und Daten noch nicht nachgepflegt wurden.
Das ist durchaus möglich.

da ich mir nicht vorstellen kann, dass die extra für BW ein anderes Kundencenter bauen.
Ist doch heute kein Problem. Du bekommst sogar je nach genutzen Browser andere Kost vorgesetzt. Einmal z.B. mit einen IE oder einen Apple Safari/Firefox diese Seite aufrufen. https://www.microsoft.com/de-de/software-download/windows10
und dann einmal mit Firefox der ein Apple spielt (general.useragent.override mit "Mozilla/5.0 (iPad; U; CPU OS 3_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B334b Safari/531.21.10" nutzen). dann hasz du eine werbsite aber 2 verschiendene Endergebnisse.
win10download ie
win10download non ie

aufgefallen
Du dort 5 IPs stehen hast plu 3 Zu Administartion. Also ein /29 Netz. Sagt dir auch https://mxtoolbox.com/subnetcalculator.aspx

Man kann jedoch den Zugriff auf das Kundencenter für andere Leute freigeben
Wie viele Leute nutze4n den bei dir das Kundencenter? Hier nur der Inhaber.

mitteilen will ich diese euch nur äußerst ungern, aber was bleibt mir anderes übrig als auf das zu vertrauen, was man dann gesagt bekommt.
Darfst auch gerne die ersten 3 Oktetten verschleien. Die sind ja sowieso gleich.

Zu den IP Adressen: Es is doch ### egal wie die lauten. 5 Adressen 3 Oktette .
5 IP Adressen und 3 Oktetten ist wie ein Steak und frisches Gras.hat nicht wirklich die gleiche Aussage.

Hauptsache das Octett stimmt und ist bei allen gleich.
Es gibt es auch anders und funktioniert trotzdem face-smile

Die wie gesagt, die .42 ist wohl
Es steht dort. Nicht Vermuten. Notfalls nachrechnen, ist kein geheimniss IPs auszurechnen.


wird der Fritzbox zugewiesen.
Wird in der ersten FB zum Kabel überhaupt etwas ausser telefonie eingetragen?

Was mir jedoch aufgefallen ist, dass die Pfsense bei den meisten Konfigs im gleichen Subnetz hängt wie die Fritzbox.
Die FB hat kein Netz noch ein Subnetz. Die ist als Bridge. Deine PFSense hat an der WAN Schnittstelle eben die Daten von UM.

Gruß,
Peter
Spitzbube
Spitzbube 30.08.2017 um 05:53:55 Uhr
Goto Top
Das dürfte es beantworten:

Wo kann ich Informationen zu meinen statischen IP-Adressen einsehen, wenn ich z.B. das Schreiben von Unitymedia Business mit den Angaben verlegt habe?

Im Kundencenter sind die Informationen zu Ihren Produkten, z.B. zu Ihren statischen IP-Adressen, einsehbar.

Dieser Service gilt nur für NRW und Hessen. Kunden in Baden-Württemberg nutzen bitte das Mail Service Center.
Spitzbube
Spitzbube 30.08.2017 um 12:39:30 Uhr
Goto Top
Um dem Rätselraten ein Ende zu bereiten, hab ich gestern einen Brief von Unity Media erhalten, in den meine IP Adress Daten drinstehen.

Hier die IP Adressen (Die ersten 3 Oktette sind immer gleich und /29)

Subnetz: .40

Netzwerkadresse. 41

Gatewayadresse der Fritzbox .42

Konfiguriert ist nun folgenes:

Fritzbox erhält automatisch die .42 von Unity Media. Die Fritzvbox selbst habe ich auf Exposed Host umkonfiguriert. Somit sollten alle anfragen durchkommen. Seither ging der Ping nicht auf die Pfsense wahrscheinlich weil die Fritte das ICPM nicht automatisch durchlässt und man dafür keine Portfreigabe schalten kann auf der FB. Mit der Konfiguration geht nun auch der Ping der Pfsense. Geräte im Netz der FB haben halt jetzt die IPs 192.168.178.20-200 aber die lassen sich auch noch kleiner ziehen.

Dem WAN Port der Pfsense habe ich jetzt statisch die .43 zugewiesen und als Default GW die .42 also die Gatewayadresse der Fritzbox zugewiesen.

Dem LAN Port der Pfsense habe ich die 192.168.10.1 gegeben.

Sollte doch so richtig sein oder?
ip adressen
Pjordorf
Pjordorf 30.08.2017 um 12:55:59 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Hier die IP Adressen (Die ersten 3 Oktette sind immer gleich und /29)
Also eine /29 oder ein (SNM) 255.255.255.248 Netz (insgesamt 8 IPs)

Die Fritzvbox selbst habe ich auf Exposed Host umkonfiguriert.
Warum Routet die wenn es doch eine Bridge sein soll? Betreiber die so wie UM das vorgesehen hat (Eine Bridge die zwar tatsächlich routet - aber du dies nicht siehst)

Somit sollten alle anfragen durchkommen.
Im Bridge Modus gehen alle Anfragen von alleine durch und kommen an deiner PFSense an.

Seither ging der Ping nicht auf die Pfsense wahrscheinlich weil die Fritte das ICPM nicht automatisch durchlässt
Blödsinn

und man dafür keine Portfreigabe schalten kann auf der FB.
Wird auch nicht gebraucht bzw. benötigt.

Mit der Konfiguration geht nun auch der Ping der Pfsense. Geräte im Netz der FB haben halt jetzt die IPs 192.168.178.20-200
Damit macht deine Fritte eindeutig keine Bridge. Die Fritte muss aber im Bridge Modus laufen, so wie von UM vorgesehn. Im Bridge Modus gibt es kein NAT und somit auch kein Privates netz hinter der Fritte, deshalb sollst und musst du ja einen Eigenen NAT Router (deine PFSense) stellen.

Dem LAN Port der Pfsense habe ich die 192.168.10.1 gegeben.
Wenn du das so haben willst, es ist dein Privates LAN, nur solltest du nicht zwingend ein 192.168.0.0/24 nehmen wenn du VPN machen willst. Die chance das deine VPN partner selbst ein 0er Netz haben ist gross.

Gruß,
Peter
Spitzbube
Spitzbube 30.08.2017 um 16:22:28 Uhr
Goto Top
Also eine /29 oder ein (SNM) 255.255.255.248 Netz (insgesamt 8 IPs)

Netmask: 255.255.255.248 = 29 11111111.11111111.11111111.11111 000

Die / 29 ist die Suffix und das andere 255.255.255.248 die Netzmaske. Was das selbe für mich ist.

langsam geht mit deine Wortglauberei mächtig aufn Zeiger face-smile und bringt mich hier nicht die Bohne weiter. Du hast die Informationen bekommen, ohne die DU hier nicht arbeiten kannst um was geht's dir hier eigentlich?

Warum Routet die wenn es doch eine Bridge sein soll? Betreiber die so wie UM das vorgesehen hat (Eine Bridge die zwar tatsächlich routet - aber du dies nicht siehst)

Dann gibt die FB das halt weiter. Wie man es nennt ist es dir nicht recht! Ob man ein Auto nun Car, Kraftfahrzeug, Kfz oder Fortbewegungsmittel nennt is doch schnuppe. Ich kenne eine !"WEITERLEITUNG"! in ein anderes Subnetz als Routing.

Im Bridge Modus gehen alle Anfragen von alleine durch und kommen an deiner PFSense an.

Das ist einfach falsch. Das was du beschreibst würde die Exposed Host Funktion machen. Beim Bridge ist immer noch die Firewall der FB aktiviert. beim Exposed Host nicht. Somit ist beim Bridge eine Portfreigabe erforderlich.

Damit macht deine Fritte eindeutig keine Bridge. Die Fritte muss aber im Bridge Modus laufen, so wie von UM vorgesehn.

Wer sagt den das UM nur ausschließlich Bridge unterstützt wenns anders auch geht? Das behauptest jetzt DU wieder face-smile Ich muss kein Bridge einstellen könnte es auch mit nem Exposed Host.

Hab mir mal die Mühe gemacht, die Anleitung von Unity Media zum Thema Exposed Host zu Posten. Diese ist gestern an mich versendet worden.

Bitte beachte, dass der Anschluss in BW ist und NRW und Hessen hier ne Ausnahme sind.

Wenn du das so haben willst, es ist dein Privates LAN, nur solltest du nicht zwingend ein 192.168.0.0/24 nehmen wenn du VPN machen willst. Die chance das deine VPN partner selbst ein 0er Netz haben ist gross.

Alternativ kann ich auch hier die 10.98.1.0 /24

wie hier beschrieben: IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Nur klappts nicht wirklich. Habe mir hier mal etwas Troubleshooting geholt. VPN mit iPhone an pfSense hinter FritzBox
anleitung bridge exposed host_2
anleitung bridge exposed host_8
anleitung bridge exposed host_6
anleitung bridge exposed host_5
anleitung bridge exposed host_3
anleitung bridge exposed host_4
anleitung bridge exposed host_7
anleitung bridge exposed host_1
Pjordorf
Lösung Pjordorf 31.08.2017 um 01:02:02 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
langsam geht mit deine Wortglauberei mächtig aufn Zeiger face-smile
Nix Wortklauberei. Routing ungleich Bridging.

um was geht's dir hier eigentlich?
Nicht ich, sondern du bekommst etwas nicht ans fliegen.

Ich kenne eine !"WEITERLEITUNG"! in ein anderes Subnetz als Routing.
Du sagst es - Routing.

Das ist einfach falsch. Das was du beschreibst würde die Exposed Host Funktion machen.
Nur das eine Bridge sich nicht wie Routing mit einen Exposed Host verhält.

Somit ist beim Bridge eine Portfreigabe erforderlich.
Wissenschaft, Raketenwissenschaft oder Hörensagen?

Wer sagt den das UM nur ausschließlich Bridge
Keiner, aber das ist bei UM abhängig deines gewählten Tarifs, deiner Gerätschaften und was hinten rauskommen soll. Ich weiß nur das bei UM in NRW, um alles im Businesstarif zu nutzen (IPv4, Feste IP, Telefonie) ist halt eine Bridge nötig, vorzugsweise die vom UM da sonst einige Schalter und Häkchen nicht gesetzt werden können obwohl beides eine 6490 ist.

Bitte beachte, dass der Anschluss in BW ist
Sag ich die ganze Zeit schon. BW kann ganz anders sein als das was ich dir von NRW zeigte / sagte.

Alternativ kann ich auch hier die 10.98.1.0 /24
Jo klar.

Nur klappts nicht wirklich.
Mach dir keine sorgen, ich bin draussen.

Gruß,
Peter
Spitzbube
Spitzbube 31.08.2017 um 07:07:54 Uhr
Goto Top
Das ist schade Peter. Mal ehrlich das Thema ist längst gelöst. Ob ich nun nen Tarif X mit 1 statischen oder Y mit 5 IP Adressen habe ist total egal ob ich Bridge oder Exposed host eingestellt hab genau so wenig wie das Modem oder nen Router. Rauskommen tut am LAN immer das selbe. Wenn nicht dann hätte ich tatsächlich fragen müssen was bei der Fritzbox los ist und was man da einstellen muss. Vielmehr hätte ich mir gewünscht, dass aus meinen unzähligen Anworten in der ich dir mit diversen Angaben über Gateway Sufix oder Netzadresse gegeben habe mal die Nachfrage von dir oder auch den anderen gekommen wäre: Was hast du den hier und da konfiguriert? Die IP trägst du hier ein den DNS dort hier kommt das Gateway rein usw. Was mich generell noch mehr enttäusch ist die Tatsache, dass diese ausführliche Art der Hilfe schon mal irgendwo in diesem Forum stattgefunden hat und da sind Leute am Start gewesen, die haben weit weniger Erfahrung mitgebracht haben als ich. Verstehe ich nicht warum man auch anderen Usern wie mir nicht auf einfache Weise helfen kann.
aqui
aqui 31.08.2017 aktualisiert um 14:55:51 Uhr
Goto Top
Ob ich nun nen Tarif X mit 1 statischen oder Y mit 5 IP Adressen habe ist total egal ob ich Bridge oder Exposed host eingestellt hab
Nein, das ist Blödsinn, da es 2 vollkommen unterschiedliche technische Verfahren sind. Laienhaft haben sie (fast) das gleiche Verhalten im Endeffekt sind aber völlig unterschiedlich, da exposed Host im Layer 3 arbeitet mit entsprechenden Nachteilen (ist nix anderes als Port Forwarding) und Bridging ist eine reine Layer 2 Angelegenheit.
Nur mal am Rande....
Rauskommen tut am LAN immer das selbe.
Nein, nicht unbedingt.
Exposed Host kann nur Portbasierte IP Protokolle so forwarden und macht das auch nur für die Ports die der Router nicht selber benötigt oder die die anderweitige Port Forwarding Regeln haben. Portlose Protokolle springen da über die Klinge.
Hier ist der Forwarding Umfang also beschränkt.
Bridging agiert auf Layer 2, dem sind Protokolle, Ports und Adressen Latte ist letztlich also umfassender, hat aber den gravierenden Nachteil das es nur in gebridgten Netzen funktioniert und nicht über Router Grenzen also IP Netz übergreifend.
Solche Banalitäten kennt man aber als Netzwerker...oder sollte es wenigstens.
Alle Sachen was in solch einem simplen Kaskaden Design zu konfigurieren ist erklären diverse Tutorials hier.
Dazu hätte es eigentlich nicht so einen Monsterthread gebraucht...aber da ja alles eh gelöst ist jetzt sind wir ja nun auch alle erlöst. face-wink
Spitzbube
Spitzbube 31.08.2017 um 15:54:59 Uhr
Goto Top
Bitte nicht vergessen. Ich bin nach wie vor Anwender kein Netzwerker, jedoch das ist mal ne Aussage mit der ich als Laie was anfangen kann, bedeutet für mich, wenn die Fritzbox in nem anderen Netz hängt bringt mir bridging rein garnix, da die Firewall in einem anderen Subenetz liegt. Wäre aber gesamt besser als der Exposed Host, ergo muss ich die Pfsense im selben Netz betreiben, wie die Fritzbox. Den DHCP auf der Fritzbox deaktivieren und Bridging an bspw. LAN 2 aktivieren.

Genauer gesagt ESP und ICMP springen über die klinge.