anazhir
Goto Top

Statische Route zu pfsense hinter fritzbox

Guten Tag,

Ich möchte eine Verbindung zwischen dem Netzwerk der FritzBox und der Pfsense herstellen. Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen. Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren? An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.
Bilder zu Aufbau und statischer Route findet ihr im Anhang.

Eckdaten:
LAN IP Fritze: 192.168.178.1
WAN IP pfSense: 192.168.178.254
LAN IP pfsense: 192.168.1.1

Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.

Ich würde mich über eine hilfreiche Antwort freuen.

LG Anazhir

PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.
home network
statische route

Content-ID: 595238

Url: https://administrator.de/contentid/595238

Ausgedruckt am: 19.12.2024 um 14:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 11.08.2020 um 18:58:51 Uhr
Goto Top
Zitat von @Anazhir:

Guten Tag,

Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen.

Warum machst Du die pfsense zum exposed host?

Du weißt schon, daß das eine von dem anderen völlig unabhängig ist und Du keinen exposed host brauchst um in den LANs hinter der Fritte Verbindungen aufzubauen?

Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren?

Vermutlich hast Du entweder die Windows-Firewall außer acht gelassen oder das NAT auf der pfsense nicht abgeschaltet.

An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.

Was meinst Du damit genau?


Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.

Dann hast Du das NAT auf der pfsense nciht abgeschaltet, daß per default aktiv ist.

PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.

Das ist aber nicht zielführend. Manchmal kann man besseren Rat geben, wenn man die ursprüngliche Intention kennt. "Ich will das so" führt meisten zu falschen "Lösungen".

lks
Anazhir
Anazhir 11.08.2020 aktualisiert um 19:46:37 Uhr
Goto Top
Danke für die Antwort.
Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.
Ich möchte 2 verschiedene Netze, da ich aktuell nur eine physische Netzwerkkarte an dem Server besitze (in Zukunft soll da aufgerüstet werden). Um physische Geräte in das Netz zu hängen bräuchte ich ja auch eine physische Netzwerkkarte... Es geht darum den ganzen Traffic auf meinen Webserver und meine Gameserver mit einer pfSense zu steuern (Ich bastle gerne). Ich hänge die pfSense hinter die Fritzbox, da die pfSense als virtuelle Maschine aufgesetzt wurde (ich möchte ein physiches Gerät).

LG Anazhir
farddwalling
Lösung farddwalling 11.08.2020 um 19:58:26 Uhr
Goto Top
Auf der pfsense die Firewall Rules auch auf das WAN Interface konfiguriert?
Lochkartenstanzer
Lösung Lochkartenstanzer 11.08.2020 um 20:53:37 Uhr
Goto Top
Zitat von @Anazhir:

Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.

Dann mußt Du halt das NAT durch entsprechende Regeln für das Frittennetz, das am WAN-Port der pfsense hängt ausschalten.

Aber Du kannst generell auch das NAT an der pfsense auschalten, weil die Fritte schon das NAT macht.

lks
Anazhir
Anazhir 11.08.2020 um 21:21:21 Uhr
Goto Top
alles klar danke
aqui
aqui 12.08.2020 um 08:39:36 Uhr
Goto Top
Ansonsten steht wie immer HIER alles was du zu dem Thema Kaskade wissen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Anazhir
Anazhir 15.08.2020 aktualisiert um 18:45:21 Uhr
Goto Top
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any
[Anhang]
anmerkung 2020-08-15 184356
Lochkartenstanzer
Lochkartenstanzer 15.08.2020 um 18:57:35 Uhr
Goto Top
Zitat von @Anazhir:

Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any

Wozu hast Du dann überhaupt eine pfsense. face-smile

lks
Anazhir
Anazhir 15.08.2020 um 19:14:39 Uhr
Goto Top
Mein WAN net ist nicht öffentlich. Mein WAN net ist der private Adressbereich meiner fritzbox. Ich habe eine pfSense, weil es mich interessiert und weil man mehr Möglichkeiten, als mit einer fritzbox hat.
farddwalling
farddwalling 15.08.2020 um 19:27:05 Uhr
Goto Top
Aber lernen tust du dann ja nix, wenn du eh ne * Regel setzt.
Anazhir
Anazhir 15.08.2020 um 22:27:00 Uhr
Goto Top
Heißt das alle Portfreigaben werden hinfällig? Ich dachte diese Regel (Source WAN net) Bezieht sich nur auf den privaten Adressbereich der Fritzbox.
farddwalling
farddwalling 15.08.2020 um 22:38:19 Uhr
Goto Top
Mh naja prinzipiell schon. Aber die Fritzbox macht ja ein NAT so das eh immer Anfragen von der kommen. Die pfsense wird ja nie direkt externen Datenverkehr sehen.
So würde ich das jetzt interpretieren.
Anazhir
Anazhir 15.08.2020 um 23:26:33 Uhr
Goto Top
Ich habe das WAN Interface der pfSense als exposed Host in der FritzBox eingerichtet. Sonst wurde keine Freigabe auf der Fritze gesetzt. Somit geht der komplette WAN Traffic automatisch an den exposed Host. So wird der WAN Traffic der Fritzbox über die pfsense gehandelt. Dann geht noch eine Route in das Fritze-Netz.
aqui
aqui 16.08.2020 aktualisiert um 17:52:33 Uhr
Goto Top
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Das ist natürlich Quatsch und öffnet fahrlässigerweise die Firewall. Die Default Regel macht das schon völlig ohne zutun.
Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
wan
Das hiesige pfSense Tutorial weisst ebenfalls explizit daraufhin:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Anazhir
Anazhir 17.08.2020 aktualisiert um 14:07:19 Uhr
Goto Top
Zitat von @aqui:

Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Das ist natürlich Quatsch und öffnet fahrlässigerweise die Firewall. Die Default Regel macht das schon völlig ohne zutun.
Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
wan
Das hiesige pfSense Tutorial weisst ebenfalls explizit daraufhin:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das hatte ich bereits deaktiviert und es brachte keine Lösung. Außerdem weiß ich nicht warum diese Regel "fahrlässig" die Firewall öffnet. Ich aktiviere ja nur den Zugang aus dem WAN net und nicht von einer beliebigen WAN Adresse. Mein WAN net ist ja das private Network der FritzBox 192.168.178.0
aqui
aqui 17.08.2020 aktualisiert um 15:43:14 Uhr
Goto Top
Das hatte ich bereits deaktiviert und es brachte keine Lösung.
Dann hast du sinnloserweise an der NAT Konfig rumgefummelt und die Default Konfig "verschlimmbessert".
Man muss dort in einer Kaskadenkonfig wie deiner kein bischen konfigurieren, denn das macht die Default Konfig alles von sich aus allein.
Gut wenn du nur aus dem Koppelnetz (FritzBox LAN auf pfSense WAN) das Konfig GUI der pfSense erreichen willst ist das natürlich OK und dann auch notwendig so eine Regel einzufügen.
Normalerweise sollten sich aber niemals Clients in dem Koppelnetz befinden. Das zeigt schon das dein netzwerk Design nicht das Beste ist...aber egal.
Fahrlässig ist dann nur das du den Port auf any und Destination any gesetzt hast, denn damit hast du Tür und Tor geöffnet zumal davor die FritzBox mit dem Exposted Host ALLES auf den WAN Port freigibt.

Sinnvoll wäre gewesen das wenigstens rein auf das Konfig GUI einzuschränken also:
Source: WAN_net
Destination: WAN IP_address
Port: TCP 80, 443

Kollege @Lochkartenstanzer hat ansonsten Recht wenn er dann nach der Sinnhaftigkeit einer Firewall fragt wenn man eh alles ala Scheunentor freigibt.
Anazhir
Anazhir 17.08.2020 um 20:59:35 Uhr
Goto Top
Ich verstehe. Das heißt aktuell wird einfach gar nichts bei mir geblockt. Ich habe es jetzt wie folgt eingestellt. Zwar weiterhin Port any aber explizit nur aus dem Netzwerk der Fritzbox in das LAN netz der virtuellen Maschinen.:
anmerkung 2020-08-17 205832
aqui
aqui 18.08.2020 um 09:20:19 Uhr
Goto Top
Das ist völlig sinnfrei was du jetzt gemacht hast. Der Alias WAN_NET bezeichnet ja nichts anderes als das Netzwerk was am WAN Port anliegt. Bei dir also 192.168.178.0 /24
Du hast jetzt sinnloserweise nur den Alias durch die IP Netzwerkadresse ersetzt was ja aber im Endeffekt exakt das gleiche ist.
Völlig überflüssig also da nur kosmetisch.
Der Knackpunt sind die Ports, denn diese bestimmen die Dienste die auf die Firewall zugreifen dürfen.
Es bleibt also dabei das es rein nur für den GUI Konfig Zugriff dies dann auf die HTTP(S) TCP Ports limitiert wird. Sprich:
Source: WAN_net, Port: any
Destination: WAN IP_address, Port: TCP 80, 443

Fertisch
Wie gesagt: In das Koppelnetz zwischen FritzBox und pfSense gehören normalerweise niemals Endgeräte so das diese Regel gar nicht existieren sollte.
Es stellt sich dann wirklich die Frage der Siunnhaftigkeit einer Firewall...aber egal !
Anazhir
Anazhir 18.08.2020 aktualisiert um 14:37:22 Uhr
Goto Top
Wie gesagt die Firewall betreibe ich aus Lernzwecken.
Ich möchte irgendwann für das LAN Netz der pfsense einen physischen Netzwerkadapter haben, dann erübrigt sich das. Mein Gedanke war: Die Fritzbox schleust alles auf die pfsense durch, wenn für die pfsense exposed Host gesetzt ist.

Verstehe ich das also richtig:
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Wan Fritze -> LAN Fritze -> WAN pfsense (Port any) -> LAN pfsense
aqui
aqui 18.08.2020 um 15:29:31 Uhr
Goto Top
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Nein !
Du hast schon recht, sie ist nur aus dem WAN Koppelnetz offen. Alles andere ist geblockt !
Nicht optimal, kann man aber mit leben.
Anazhir
Anazhir 18.08.2020 um 15:56:36 Uhr
Goto Top
Okay vielen Dank. Ich werde es in ferner Zukunft ändern und das Transfernetz nicht mehr nutzen.
LG