Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Statische Route zu pfsense hinter fritzbox

Mitglied: Anazhir

Anazhir (Level 1) - Jetzt verbinden

11.08.2020 um 18:44 Uhr, 454 Aufrufe, 21 Kommentare

Guten Tag,

Ich möchte eine Verbindung zwischen dem Netzwerk der FritzBox und der Pfsense herstellen. Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen. Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren? An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.
Bilder zu Aufbau und statischer Route findet ihr im Anhang.

Eckdaten:
LAN IP Fritze: 192.168.178.1
WAN IP pfSense: 192.168.178.254
LAN IP pfsense: 192.168.1.1

Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.

Ich würde mich über eine hilfreiche Antwort freuen.

LG Anazhir

PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.
home network - Klicke auf das Bild, um es zu vergrößern
statische route - Klicke auf das Bild, um es zu vergrößern
Mitglied: Lochkartenstanzer
11.08.2020 um 18:58 Uhr
Zitat von Anazhir:

Guten Tag,

Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen.

Warum machst Du die pfsense zum exposed host?

Du weißt schon, daß das eine von dem anderen völlig unabhängig ist und Du keinen exposed host brauchst um in den LANs hinter der Fritte Verbindungen aufzubauen?

Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren?

Vermutlich hast Du entweder die Windows-Firewall außer acht gelassen oder das NAT auf der pfsense nicht abgeschaltet.

An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.

Was meinst Du damit genau?


Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.

Dann hast Du das NAT auf der pfsense nciht abgeschaltet, daß per default aktiv ist.

PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.

Das ist aber nicht zielführend. Manchmal kann man besseren Rat geben, wenn man die ursprüngliche Intention kennt. "Ich will das so" führt meisten zu falschen "Lösungen".

lks
Bitte warten ..
Mitglied: Anazhir
11.08.2020, aktualisiert um 19:46 Uhr
Danke für die Antwort.
Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.
Ich möchte 2 verschiedene Netze, da ich aktuell nur eine physische Netzwerkkarte an dem Server besitze (in Zukunft soll da aufgerüstet werden). Um physische Geräte in das Netz zu hängen bräuchte ich ja auch eine physische Netzwerkkarte... Es geht darum den ganzen Traffic auf meinen Webserver und meine Gameserver mit einer pfSense zu steuern (Ich bastle gerne). Ich hänge die pfSense hinter die Fritzbox, da die pfSense als virtuelle Maschine aufgesetzt wurde (ich möchte ein physiches Gerät).

LG Anazhir
Bitte warten ..
Mitglied: farddwalling
LÖSUNG 11.08.2020 um 19:58 Uhr
Auf der pfsense die Firewall Rules auch auf das WAN Interface konfiguriert?
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 11.08.2020 um 20:53 Uhr
Zitat von Anazhir:

Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.

Dann mußt Du halt das NAT durch entsprechende Regeln für das Frittennetz, das am WAN-Port der pfsense hängt ausschalten.

Aber Du kannst generell auch das NAT an der pfsense auschalten, weil die Fritte schon das NAT macht.

lks
Bitte warten ..
Mitglied: Anazhir
11.08.2020 um 21:21 Uhr
alles klar danke
Bitte warten ..
Mitglied: aqui
12.08.2020 um 08:39 Uhr
Ansonsten steht wie immer HIER alles was du zu dem Thema Kaskade wissen musst:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Bitte warten ..
Mitglied: Anazhir
15.08.2020, aktualisiert um 18:45 Uhr
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any
[Anhang]
anmerkung 2020-08-15 184356 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Lochkartenstanzer
15.08.2020 um 18:57 Uhr
Zitat von Anazhir:

Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any

Wozu hast Du dann überhaupt eine pfsense.

lks
Bitte warten ..
Mitglied: Anazhir
15.08.2020 um 19:14 Uhr
Mein WAN net ist nicht öffentlich. Mein WAN net ist der private Adressbereich meiner fritzbox. Ich habe eine pfSense, weil es mich interessiert und weil man mehr Möglichkeiten, als mit einer fritzbox hat.
Bitte warten ..
Mitglied: farddwalling
15.08.2020 um 19:27 Uhr
Aber lernen tust du dann ja nix, wenn du eh ne * Regel setzt.
Bitte warten ..
Mitglied: Anazhir
15.08.2020 um 22:27 Uhr
Heißt das alle Portfreigaben werden hinfällig? Ich dachte diese Regel (Source WAN net) Bezieht sich nur auf den privaten Adressbereich der Fritzbox.
Bitte warten ..
Mitglied: farddwalling
15.08.2020 um 22:38 Uhr
Mh naja prinzipiell schon. Aber die Fritzbox macht ja ein NAT so das eh immer Anfragen von der kommen. Die pfsense wird ja nie direkt externen Datenverkehr sehen.
So würde ich das jetzt interpretieren.
Bitte warten ..
Mitglied: Anazhir
15.08.2020 um 23:26 Uhr
Ich habe das WAN Interface der pfSense als exposed Host in der FritzBox eingerichtet. Sonst wurde keine Freigabe auf der Fritze gesetzt. Somit geht der komplette WAN Traffic automatisch an den exposed Host. So wird der WAN Traffic der Fritzbox über die pfsense gehandelt. Dann geht noch eine Route in das Fritze-Netz.
Bitte warten ..
Mitglied: aqui
16.08.2020, aktualisiert um 17:52 Uhr
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Das ist natürlich Quatsch und öffnet fahrlässigerweise die Firewall. Die Default Regel macht das schon völlig ohne zutun.
Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
wan - Klicke auf das Bild, um es zu vergrößern
Das hiesige pfSense Tutorial weisst ebenfalls explizit daraufhin:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
Bitte warten ..
Mitglied: Anazhir
17.08.2020, aktualisiert um 14:07 Uhr
Zitat von aqui:

Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Das ist natürlich Quatsch und öffnet fahrlässigerweise die Firewall. Die Default Regel macht das schon völlig ohne zutun.
Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
wan - Klicke auf das Bild, um es zu vergrößern
Das hiesige pfSense Tutorial weisst ebenfalls explizit daraufhin:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...
Das hatte ich bereits deaktiviert und es brachte keine Lösung. Außerdem weiß ich nicht warum diese Regel "fahrlässig" die Firewall öffnet. Ich aktiviere ja nur den Zugang aus dem WAN net und nicht von einer beliebigen WAN Adresse. Mein WAN net ist ja das private Network der FritzBox 192.168.178.0
Bitte warten ..
Mitglied: aqui
17.08.2020, aktualisiert um 15:43 Uhr
Das hatte ich bereits deaktiviert und es brachte keine Lösung.
Dann hast du sinnloserweise an der NAT Konfig rumgefummelt und die Default Konfig "verschlimmbessert".
Man muss dort in einer Kaskadenkonfig wie deiner kein bischen konfigurieren, denn das macht die Default Konfig alles von sich aus allein.
Gut wenn du nur aus dem Koppelnetz (FritzBox LAN auf pfSense WAN) das Konfig GUI der pfSense erreichen willst ist das natürlich OK und dann auch notwendig so eine Regel einzufügen.
Normalerweise sollten sich aber niemals Clients in dem Koppelnetz befinden. Das zeigt schon das dein netzwerk Design nicht das Beste ist...aber egal.
Fahrlässig ist dann nur das du den Port auf any und Destination any gesetzt hast, denn damit hast du Tür und Tor geöffnet zumal davor die FritzBox mit dem Exposted Host ALLES auf den WAN Port freigibt.

Sinnvoll wäre gewesen das wenigstens rein auf das Konfig GUI einzuschränken also:
Source: WAN_net
Destination: WAN IP_address
Port: TCP 80, 443

Kollege @Lochkartenstanzer hat ansonsten Recht wenn er dann nach der Sinnhaftigkeit einer Firewall fragt wenn man eh alles ala Scheunentor freigibt.
Bitte warten ..
Mitglied: Anazhir
17.08.2020 um 20:59 Uhr
Ich verstehe. Das heißt aktuell wird einfach gar nichts bei mir geblockt. Ich habe es jetzt wie folgt eingestellt. Zwar weiterhin Port any aber explizit nur aus dem Netzwerk der Fritzbox in das LAN netz der virtuellen Maschinen.:
anmerkung 2020-08-17 205832 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
18.08.2020 um 09:20 Uhr
Das ist völlig sinnfrei was du jetzt gemacht hast. Der Alias WAN_NET bezeichnet ja nichts anderes als das Netzwerk was am WAN Port anliegt. Bei dir also 192.168.178.0 /24
Du hast jetzt sinnloserweise nur den Alias durch die IP Netzwerkadresse ersetzt was ja aber im Endeffekt exakt das gleiche ist.
Völlig überflüssig also da nur kosmetisch.
Der Knackpunt sind die Ports, denn diese bestimmen die Dienste die auf die Firewall zugreifen dürfen.
Es bleibt also dabei das es rein nur für den GUI Konfig Zugriff dies dann auf die HTTP(S) TCP Ports limitiert wird. Sprich:
Source: WAN_net, Port: any
Destination: WAN IP_address, Port: TCP 80, 443

Fertisch
Wie gesagt: In das Koppelnetz zwischen FritzBox und pfSense gehören normalerweise niemals Endgeräte so das diese Regel gar nicht existieren sollte.
Es stellt sich dann wirklich die Frage der Siunnhaftigkeit einer Firewall...aber egal !
Bitte warten ..
Mitglied: Anazhir
18.08.2020, aktualisiert um 14:37 Uhr
Wie gesagt die Firewall betreibe ich aus Lernzwecken.
Ich möchte irgendwann für das LAN Netz der pfsense einen physischen Netzwerkadapter haben, dann erübrigt sich das. Mein Gedanke war: Die Fritzbox schleust alles auf die pfsense durch, wenn für die pfsense exposed Host gesetzt ist.

Verstehe ich das also richtig:
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Wan Fritze -> LAN Fritze -> WAN pfsense (Port any) -> LAN pfsense
Bitte warten ..
Mitglied: aqui
18.08.2020 um 15:29 Uhr
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Nein !
Du hast schon recht, sie ist nur aus dem WAN Koppelnetz offen. Alles andere ist geblockt !
Nicht optimal, kann man aber mit leben.
Bitte warten ..
Mitglied: Anazhir
18.08.2020 um 15:56 Uhr
Okay vielen Dank. Ich werde es in ferner Zukunft ändern und das Transfernetz nicht mehr nutzen.
LG
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerke
Statisch routen Vlan Switch
gelöst Frage von decehakanNetzwerke7 Kommentare

Hallo Zusammen, zur Lernzwecken beschäftigte ich mich mit statisches Routen und hab dazu eine einfach Frage. Ich hab hier ...

Router & Routing
Routing Frage, statisch?
gelöst Frage von DerInteressierteRouter & Routing12 Kommentare

Ich bin was dieses Problem angeht blutiger Laie und bitte alle Profis um Antwort und Lösung. Ich verwende 2 ...

Netzwerke

Statisch - Dynamisches Netzwerk für Internetzugriff

Frage von seirex1234Netzwerke5 Kommentare

Hallo, mein Problem ist etwas schwieriger zu erklären. Es geht um ein Lokales Netzwerk. Anhand einer Skizze habe ich ...

Neue Wissensbeiträge
Microsoft
Manage USB Devices on Windows Hosts
Ticker von Dani vor 1 StundeMicrosoft1 Kommentar

Raven is a Miniature Schnauzer that doesn’t like small critters in the yard unless they can fly. This gives ...

Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 3 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 3 TagenVirtualisierung1 Kommentar

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 3 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Heiß diskutierte Inhalte
Backup
Gesicherter Backupserver gesucht
solved Question by lcer00Backup17 Comments

Hallo zusammen, ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: DerWoWusste Danke für den Link ...

Windows Server
Win Server2016 Datacenter Installation Frage
Question by UschadeWindows Server15 Comments

Hallo vereehrte Kolleginnen und Kollegen, Ich versuche einen Win Server2016 Datacenter zu installieren. Das Blech ist ein Fujitsu Primergy ...

Routers & Routing
VPN Performance verbessern
Question by JseidiRouters & Routing15 Comments

Hallo zusammen, Ich benötige einmal ein paar Tips von euch. Die Ausgangssitustion ist wie folgt: Standort 1: VDSL100 mit ...

Windows Server
Hochstufen zum DC aufgrund Replikationsproblemen nicht möglich
Question by FlinxitWindows Server9 Comments

Hallo, Wir haben ein Netzwerk übernommen, in welchem ein DC momentan aktiv ist, ein weiterer im AD angegebener DC ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN