21
Statische Route zu pfsense hinter fritzbox
Guten Tag,
Ich möchte eine Verbindung zwischen dem Netzwerk der FritzBox und der Pfsense herstellen. Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen. Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren? An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.
Bilder zu Aufbau und statischer Route findet ihr im Anhang.
Eckdaten:
LAN IP Fritze: 192.168.178.1
WAN IP pfSense: 192.168.178.254
LAN IP pfsense: 192.168.1.1
Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.
Ich würde mich über eine hilfreiche Antwort freuen.
LG Anazhir
PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.
Ich möchte eine Verbindung zwischen dem Netzwerk der FritzBox und der Pfsense herstellen. Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen. Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren? An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.
Bilder zu Aufbau und statischer Route findet ihr im Anhang.
Eckdaten:
LAN IP Fritze: 192.168.178.1
WAN IP pfSense: 192.168.178.254
LAN IP pfsense: 192.168.1.1
Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.
Ich würde mich über eine hilfreiche Antwort freuen.
LG Anazhir
PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 595238
Url: https://administrator.de/contentid/595238
Ausgedruckt am: 17.11.2024 um 07:11 Uhr
21 Kommentare
Neuester Kommentar
Zitat von @Anazhir:
Guten Tag,
Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen.
Guten Tag,
Ich habe dazu auf der Fritze eine statische Route zum pfSense Netz erstellt und die pfsense als einzige Freigabe mit exposed Host versehen, jedoch kann ich nicht auf Geräte aus dem anderen Netz zugreifen.
Warum machst Du die pfsense zum exposed host?
Du weißt schon, daß das eine von dem anderen völlig unabhängig ist und Du keinen exposed host brauchst um in den LANs hinter der Fritte Verbindungen aufzubauen?
Dazu Was mache ich falsch? Muss ich hierzu gewisse NAT Rules auf der pfSense konfigurieren?
Vermutlich hast Du entweder die Windows-Firewall außer acht gelassen oder das NAT auf der pfsense nicht abgeschaltet.
An einem Site to Site mit gleicher Remoteadresse und Subnet bin ich gescheitert.
Was meinst Du damit genau?
Ein Ping aus dem pfsense LAN in das fritze LAN ist möglich, nur nicht umgekehrt.
Dann hast Du das NAT auf der pfsense nciht abgeschaltet, daß per default aktiv ist.
PS: Fragen wie: "Wieso willst du eine pfSense hinter eine fritze packen?", oder "Warum legst du nicht alle Geräte in ein Netz?" kann man sich sparen. Ich möchte es einfach so.
Das ist aber nicht zielführend. Manchmal kann man besseren Rat geben, wenn man die ursprüngliche Intention kennt. "Ich will das so" führt meisten zu falschen "Lösungen".
lks
Danke für die Antwort.
Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.
Ich möchte 2 verschiedene Netze, da ich aktuell nur eine physische Netzwerkkarte an dem Server besitze (in Zukunft soll da aufgerüstet werden). Um physische Geräte in das Netz zu hängen bräuchte ich ja auch eine physische Netzwerkkarte... Es geht darum den ganzen Traffic auf meinen Webserver und meine Gameserver mit einer pfSense zu steuern (Ich bastle gerne). Ich hänge die pfSense hinter die Fritzbox, da die pfSense als virtuelle Maschine aufgesetzt wurde (ich möchte ein physiches Gerät).
LG Anazhir
Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.
Ich möchte 2 verschiedene Netze, da ich aktuell nur eine physische Netzwerkkarte an dem Server besitze (in Zukunft soll da aufgerüstet werden). Um physische Geräte in das Netz zu hängen bräuchte ich ja auch eine physische Netzwerkkarte... Es geht darum den ganzen Traffic auf meinen Webserver und meine Gameserver mit einer pfSense zu steuern (Ich bastle gerne). Ich hänge die pfSense hinter die Fritzbox, da die pfSense als virtuelle Maschine aufgesetzt wurde (ich möchte ein physiches Gerät).
LG Anazhir
Auf der pfsense die Firewall Rules auch auf das WAN Interface konfiguriert?
Zitat von @Anazhir:
Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.
Ich habe exposed Host aktiviert, da auf den vServern ein Webserver und mehrere Gameserver laufen und der Traffic direkt an die pfSense gehen soll. Ich möchte mich von überall darauf verbinden können, deswegen ist NAT auch aktiviert.
Dann mußt Du halt das NAT durch entsprechende Regeln für das Frittennetz, das am WAN-Port der pfsense hängt ausschalten.
Aber Du kannst generell auch das NAT an der pfsense auschalten, weil die Fritte schon das NAT macht.
lks
alles klar danke
Ansonsten steht wie immer HIER alles was du zu dem Thema Kaskade wissen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any
[Anhang]
Source: WAN net
Destination: any
Port: any
[Anhang]
Zitat von @Anazhir:
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Source: WAN net
Destination: any
Port: any
Wozu hast Du dann überhaupt eine pfsense.
lks
Mein WAN net ist nicht öffentlich. Mein WAN net ist der private Adressbereich meiner fritzbox. Ich habe eine pfSense, weil es mich interessiert und weil man mehr Möglichkeiten, als mit einer fritzbox hat.
Aber lernen tust du dann ja nix, wenn du eh ne * Regel setzt.
Heißt das alle Portfreigaben werden hinfällig? Ich dachte diese Regel (Source WAN net) Bezieht sich nur auf den privaten Adressbereich der Fritzbox.
Mh naja prinzipiell schon. Aber die Fritzbox macht ja ein NAT so das eh immer Anfragen von der kommen. Die pfsense wird ja nie direkt externen Datenverkehr sehen.
So würde ich das jetzt interpretieren.
So würde ich das jetzt interpretieren.
Ich habe das WAN Interface der pfSense als exposed Host in der FritzBox eingerichtet. Sonst wurde keine Freigabe auf der Fritze gesetzt. Somit geht der komplette WAN Traffic automatisch an den exposed Host. So wird der WAN Traffic der Fritzbox über die pfsense gehandelt. Dann geht noch eine Route in das Fritze-Netz.
Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Das ist natürlich Quatsch und öffnet fahrlässigerweise die Firewall. Die Default Regel macht das schon völlig ohne zutun.Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @aqui:
Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
Das hiesige pfSense Tutorial weisst ebenfalls explizit daraufhin:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das hatte ich bereits deaktiviert und es brachte keine Lösung. Außerdem weiß ich nicht warum diese Regel "fahrlässig" die Firewall öffnet. Ich aktiviere ja nur den Zugang aus dem WAN net und nicht von einer beliebigen WAN Adresse. Mein WAN net ist ja das private Network der FritzBox 192.168.178.0Noch abschließend, falls jmd das gleiche Problem hat: Es muss diese Regel im WAN Interface gesetzt werden.
Das ist natürlich Quatsch und öffnet fahrlässigerweise die Firewall. Die Default Regel macht das schon völlig ohne zutun.Das Einzige was wichtig ist in einer kaskadenkonfiguratiuon mit einem Router davor und doppeltem NAT ist das am WAN Port der Haken entfernt wird der RFC1918 IP netze blockiert. Das Koppelnetz vom Router (hier FritzBox) ist in der Regel ja immer ein RFC 1918 Privates IP Netz !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das hatte ich bereits deaktiviert und es brachte keine Lösung.
Dann hast du sinnloserweise an der NAT Konfig rumgefummelt und die Default Konfig "verschlimmbessert".Man muss dort in einer Kaskadenkonfig wie deiner kein bischen konfigurieren, denn das macht die Default Konfig alles von sich aus allein.
Gut wenn du nur aus dem Koppelnetz (FritzBox LAN auf pfSense WAN) das Konfig GUI der pfSense erreichen willst ist das natürlich OK und dann auch notwendig so eine Regel einzufügen.
Normalerweise sollten sich aber niemals Clients in dem Koppelnetz befinden. Das zeigt schon das dein netzwerk Design nicht das Beste ist...aber egal.
Fahrlässig ist dann nur das du den Port auf any und Destination any gesetzt hast, denn damit hast du Tür und Tor geöffnet zumal davor die FritzBox mit dem Exposted Host ALLES auf den WAN Port freigibt.
Sinnvoll wäre gewesen das wenigstens rein auf das Konfig GUI einzuschränken also:
Source: WAN_net
Destination: WAN IP_address
Port: TCP 80, 443
Kollege @Lochkartenstanzer hat ansonsten Recht wenn er dann nach der Sinnhaftigkeit einer Firewall fragt wenn man eh alles ala Scheunentor freigibt.
Ich verstehe. Das heißt aktuell wird einfach gar nichts bei mir geblockt. Ich habe es jetzt wie folgt eingestellt. Zwar weiterhin Port any aber explizit nur aus dem Netzwerk der Fritzbox in das LAN netz der virtuellen Maschinen.:
Das ist völlig sinnfrei was du jetzt gemacht hast. Der Alias WAN_NET bezeichnet ja nichts anderes als das Netzwerk was am WAN Port anliegt. Bei dir also 192.168.178.0 /24
Du hast jetzt sinnloserweise nur den Alias durch die IP Netzwerkadresse ersetzt was ja aber im Endeffekt exakt das gleiche ist.
Völlig überflüssig also da nur kosmetisch.
Der Knackpunt sind die Ports, denn diese bestimmen die Dienste die auf die Firewall zugreifen dürfen.
Es bleibt also dabei das es rein nur für den GUI Konfig Zugriff dies dann auf die HTTP(S) TCP Ports limitiert wird. Sprich:
Source: WAN_net, Port: any
Destination: WAN IP_address, Port: TCP 80, 443
Fertisch
Wie gesagt: In das Koppelnetz zwischen FritzBox und pfSense gehören normalerweise niemals Endgeräte so das diese Regel gar nicht existieren sollte.
Es stellt sich dann wirklich die Frage der Siunnhaftigkeit einer Firewall...aber egal !
Du hast jetzt sinnloserweise nur den Alias durch die IP Netzwerkadresse ersetzt was ja aber im Endeffekt exakt das gleiche ist.
Völlig überflüssig also da nur kosmetisch.
Der Knackpunt sind die Ports, denn diese bestimmen die Dienste die auf die Firewall zugreifen dürfen.
Es bleibt also dabei das es rein nur für den GUI Konfig Zugriff dies dann auf die HTTP(S) TCP Ports limitiert wird. Sprich:
Source: WAN_net, Port: any
Destination: WAN IP_address, Port: TCP 80, 443
Fertisch
Wie gesagt: In das Koppelnetz zwischen FritzBox und pfSense gehören normalerweise niemals Endgeräte so das diese Regel gar nicht existieren sollte.
Es stellt sich dann wirklich die Frage der Siunnhaftigkeit einer Firewall...aber egal !
Wie gesagt die Firewall betreibe ich aus Lernzwecken.
Ich möchte irgendwann für das LAN Netz der pfsense einen physischen Netzwerkadapter haben, dann erübrigt sich das. Mein Gedanke war: Die Fritzbox schleust alles auf die pfsense durch, wenn für die pfsense exposed Host gesetzt ist.
Verstehe ich das also richtig:
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Wan Fritze -> LAN Fritze -> WAN pfsense (Port any) -> LAN pfsense
Ich möchte irgendwann für das LAN Netz der pfsense einen physischen Netzwerkadapter haben, dann erübrigt sich das. Mein Gedanke war: Die Fritzbox schleust alles auf die pfsense durch, wenn für die pfsense exposed Host gesetzt ist.
Verstehe ich das also richtig:
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Wan Fritze -> LAN Fritze -> WAN pfsense (Port any) -> LAN pfsense
Die pfSense ist aktuell komplett offen zum WAN Traffic der Fritzbox? Also:
Nein !Du hast schon recht, sie ist nur aus dem WAN Koppelnetz offen. Alles andere ist geblockt !
Nicht optimal, kann man aber mit leben.
Okay vielen Dank. Ich werde es in ferner Zukunft ändern und das Transfernetz nicht mehr nutzen.
LG
LG
