Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Tipps gesucht - Pfsense hinter Fritz 6490 Cable und VLANs

Mitglied: fruppy

fruppy (Level 1) - Jetzt verbinden

26.03.2020 um 22:25 Uhr, 425 Aufrufe, 11 Kommentare

Hallo zusammen,

ich plane mein Heimnetz umzustellen wie auf der beigefügten Grafik:

annotation 2020-03-26 215942 - Klicke auf das Bild, um es zu vergrößern

- FritzBox Cable zum Internet (Ex-Unitymedia Vodafone NRW, mit echter IPv4-Adresse+IPv6 - als Zusatzoption am Anschluss extra gebucht)
- Pfsense als Router auf einer APU mit 3 Ports
- Dahinter weitere Fritzbox im Routermodus (mit Repeater über LAN-Brücker für Mesh-Netz - läuft prima mit 1a Netzabdeckung + "Roaming")
- VLAN-Switch noch nicht angeschafft, aktuell noch ein normaler Switch 8-Port
- Synology als Heimserver, auf welchem mehrere Docker-Container laufen (macvlan noch nicht eingerichtet, aber das geht wohl recht problemlos)
- Jede Menge weitere Netzwerkclients

Leider hänge ich nach schon ausführlicher Lektüre vieler Tutorials fest und bekomme es nicht zuende eingerichtet.

Was ich schon hinbekommen habe:
- Pfsense, die alles über's VPN schickt
- Fritzbox-Pfsense-Fritzbox Kaskade mit Doppel-NAT
- Fritzbox Bridge-Modus freischalten (war vorher im "versteckt" und musste freigeschaltet werden)

Was noch nicht läuft:
- VLANs auf der pfsense
- pfsense mit Traffic eines VLAN über VPN und anderes VLAN direkt ins Netz
- Fritz-Box im Bridge Modus: die Fritzbox scheint sich die IPs zu schnappen und/oder die pfsense bekomme ich nicht richtig eingerichtet

Ich bin offen für Modifikationen des Set-ups, andere Hardware/Software (ich weiß, Fritzbox... aber das Mesh funktioniert so schön und ich hatte sie schon) oder auch pfsense gegen eine andere Firewall auswechseln (OPNsense, Sophos), sonstige Vorschläge. Einfaches Handling und Wartung ist mir auch Geld Wert. Vielleicht Unify? Firewalla Gold ? (leider erst im Juli erhältlich). Normalerweise gelingt es mir, mich auch in komplexere Materie einzulesen, aber hier komme ich mit meiner zur Verfügung stehenden Zeit leider schon länger nicht weiter.

Wenn ihr Tipps habt, entweder in Form von konkreten Konfigurationsvorschlägen, oder Links auf Tutorials, bin ich sehr dankbar.

Danke schon jetzt,
Frank
Mitglied: aqui
26.03.2020, aktualisiert um 23:18 Uhr
Das hiesige VLAN Tutorial beantwortet alle deine Fragen dazu:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

Was in solchen Kaskaden zu beachten ist mit einem NAT Router beschreibt dieses Tutorial:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

Solange du die Finger von Unify lässt ist an dem Konzept gar nichts auszusetzen und du hast alles genau richtig gemacht.
Firewall zu tauschen ist natürlich Quatsch, denn die anderen machen ja auch nix anderes !
Alles gut also !

(P.S.: Habt ihr euch bei der Erstellung des Threads abgesprochen ?:
https://administrator.de/content/detail.php?id=561107&token=689 )
Bitte warten ..
Mitglied: fruppy
26.03.2020 um 23:24 Uhr
Hi Aqui,

Danke für die Links! Was meinst Du mit Finger von Unify lassen? Sieht mir nach einer sehr komfortablen Sache aus, wenn man die paar hundert Euro investiert.

Mit dem anderen Thread hab ich tatsächlich nichts zu tun, aber sehr nah dran!

Frank
Bitte warten ..
Mitglied: aqui
26.03.2020, aktualisiert um 23:29 Uhr
Nein, das ist ein Irrtum. Proprietäre Software zum managen und überall benötigst du einen proprietären Controller und landet damit in einem Vendor Lock. Gruseliges Konfig CLI. Kann man nur dringenst von abraten.
Nebenbei ist das ein WLAN Hersteller mit entsprechend wenig KnowHow im Switch und Router Umfeld. Im Gegensatz zu den WLAN Produkten sind Router und Switch zugekaufte OEM Billigware mit entsprechender Performance die nur umgelabelt ist also nichtmal was Eigenes von denen.
Das können andere wie Mikrotik, TP-Link, Cisco, Zyxel, NetGear und die anderen üblichen Verdächtigen im Billigsegement weitaus besser.
Bitte warten ..
Mitglied: IT-Prof
27.03.2020, aktualisiert 28.03.2020
Mikrotik, TP-Link, Cisco, Zyxel, NetGear setzen ebenfalls auf prioritäre Ökosysteme.

Das grundlegende Know How basiert auf Vyatta und der Code der mit den ASICS und SOCs von den OEMs kommt ist auch der selbe, wie der des teuersten Switches der Welt. Die CLI ist Industriestandard.

Die Switches sind Non-Blocking, heißt die Summe der Frontside-Ports ist nicht größer als die Forwarding-Leistung der Backbone.

Warum er immer wieder diese Märchen erzählt und warum niemand das merkt oder sich daran stört, dass ist bemerkenswert. Ich gehe davon aus, dass zu dem ausgedachten Teil du e gehörige Portion vorsätzliches Unwahrheit sagen kommt.
Bitte warten ..
Mitglied: scriptorius
27.03.2020, aktualisiert 28.03.2020
Warum er immer wieder diese Märchen erzählt und warum niemand das merkt oder sich daran stört, dass ist bemerkenswert. Ich gehe davon aus,
dass zu dem ausgedachten Teil du e gehörige Portion vorsätzliches Unwahrheit sagen kommt.

Ich finde solche Aussagen unfassbar und keinesfalls hinnehmbar.
Das sind rein persönliche Angriffe und tragen nichts zur Sache bei.

Ein bestes Beispiel für kulturelle Verrohung unserer Gesellschaft.
Und keiner stört sich daran.
Bitte warten ..
Mitglied: IT-Prof
27.03.2020, aktualisiert 28.03.2020
Hinnehmbar findest Du, dass Ratssuchende mit einer zur Obsession gewordenen Märchenkampagne, jedes Mal beleidigt werden? Wenn das so ist, dann weiß ich nicht es mit Dir nicht stimmt.

Niemanden ist geholfen, wenn man den Lug und Trug, in einem Forum wie dieses freien Lauf lässt.

Wenn es etwas zur Sache beitragen würde und nur ein Teilen der Wahrheit entspricht, geschenkt.
Bitte warten ..
Mitglied: scriptorius
27.03.2020 um 18:25 Uhr
Bleib einfach sachlich und halte Dich an die Regeln des öffentlichen Forums hier.
Deine persönliche Meinung hinsichtlich der Teilnehmer (incl. Deiner Bewertung meiner Person) kannst Du von mir aus in Dein Tagebuch schreiben.
Bitte warten ..
Mitglied: fruppy
27.03.2020 um 21:11 Uhr
Danke für die inhaltlichen Beiträge und bleibt doch alle freundlich miteinander. Vielleicht schlägt die Quarantäne dem einen oder anderen auf's Gemüt ...
Bitte warten ..
Mitglied: fruppy
28.03.2020, aktualisiert um 12:56 Uhr
Aqui, ganz vielen Dank für die Hinweise, das ist wirklich klasse.

Ich werde jetzt den pfsense-Weg weiter verfolgen und fühle mich darin bestätigt. Ich denke die pfsense ist einfach unstrittig das stabilste Set-up.

Ubiquiti hatte ich nur im Sinn um evtl. später auch mal VLAN-zuordnung auf WLANs zu machen, das probiere ich vielleicht später, aktuell bin ich mit dem Fritz-WLAN hoch zufrieden.

Um das Set-up umzusetzen will ich meine fehlenden Netwerkkenntnisse in der pfsense erstmal ergänzen. Ich habe mich bis jetzt bei der (funktionierenden) Konfiguration mit Tutorials durchgebracht, muss aber besser verstehen, was ich da eigentlich umgesetzt habe, bevor ich beginne, noch die VLANs draufzusetzen.

Das gilt besonders für die NAT Regeln. Leider bin ich da noch ganz am Anfang!

Vielleicht kannst Du mir helfen, wie ich diese auto-generierten NAT Regeln und um OpenVPN ergänzten Regeln richtig deute?

Meine Fritzbox Cable (siehe Diagramm oben) hat 192.168.0.1/24 als Adressbereich,
meine Fritzbox für's WLAN 192.168.1.1/24 (und die pfsense selbst ist 192.168.1.2).

nat_pfsense - Klicke auf das Bild, um es zu vergrößern
- Aller Traffic vom localhost/pfsense selbst (127.0.0.1/24) und dessen ipv6 (::1/128) equivalent, sowie mein lokaler LAN-Netzbereich (192.168.1.0/24) geht wird raus aufs WAN; wenn ich die Regeln aufklicke, sehe ich: von Source nach any, Translation "interface address".
- Ich habe noch die ganzen Auto-Generierten "ISAKMP" Regeln zusätzlich drin. Diese gleichen den anderen, außer dass als Destination port 500 angegeben ist und "translation static". Wenn ich es richtig verstehe, sind diese Regeln für IPSec-VPN Passthrough autogeneriert worden, was ich nicht nutze. Ich habe sie testweise gelöscht und alles ist noch fine, das werde ich wohl so lassen. Aber verstehen will ich trotzdem, warum waren sie überhaupt nötig, für jemanden der IPSec nutzt? Warum schickt nicht die jeweilige allgemeine "Schwesterregel" sowieso alle Ports weiter? Bedeutet es, dass alle Ports, außer 500 ggf. übersetzt würden wenn das WAN-Interface z.B. Portmapping erfordert? Müsste ich bei Nutzung eines OpenVPN Servers hinter der pfsense (nicht der pfsense-integrierte OpenVPN-Server) hier analog die 1194 so konfigurieren?
- Weiter habe ich für die OpenVPN-Outbound Verbindung alle NAT-Regeln dupliziert. Warum ist es so, dass pfsense nun allen Traffic über mein Outbound-OpenVPN schickt (das ist korrekt so gewünscht und funktioniert auch), obwohl die regulären NAT-Regeln noch unberührt daneben stehen?

Bei den Firewall-Regeln habe ich das hier eingestellt:

firewall_lan_pfsense - Klicke auf das Bild, um es zu vergrößern

1. Regel bewirkt, dass ich immer auf's pfsense admin GUI komme, war default
2. blockt Bogon-netze, war default
3./4. erlaubt LAN-Traffic nach draußen (alles)
5. soll mir erlauben, von innerhalb des Netzwerks 192.168.1.x noch auf die Admin-Seite der Fritz Box Cable (192.168.0.1, am WAN der pfsense) zu kommen. Funktioniert, bin aber nicht sicher, ob das so elegant und sauber ist.

firewall_wan_pfsense - Klicke auf das Bild, um es zu vergrößern

1. blockt Bogon-netze, war default
2. Erlaubt mir, vom Netz der Fritz Box Cable ins lokale Netz zukommen (Admin-Interfaces). Funktioniert, hoffe das ist technisch so auch sauber. Dazu habe ich außerdem ein 1:1 im NAT eingerichtet:

nat11_pfsense - Klicke auf das Bild, um es zu vergrößern

Vermutlich eine Menge "dumme" Fragen, ich will es aber vollständig verstehen. Auch nach Recherche finde ich nicht alle Antworten bzw. möchte sicher gehen, dass ich es auch korrekt interpretiert und eingestellt habe.
Bitte warten ..
Mitglied: Frank
28.03.2020 um 12:01 Uhr
@IT-Prof

  • Ich habe die Teile deiner Kommentare entfernt, die gegen unsere Diskussionsregeln verstoßen!
  • Zu behaupten das jemand lügt, kann man am Besten beweisen, wenn man die angebliche Lüge aufdeckt. Mehr als Beschimpfungen habe ich hier aber nicht gefunden. Das ist unprofessionell.
  • Wenn dich was an der Aussage von @aqui stört diskutiere es auf sachlicher Ebene, dann wirst du schnell feststellen, was an deiner Behauptung richtig oder falsch ist. Am Besten ihr macht dazu einen neuen Beitrag (Challenge) auf und zeigt was ihr zu dem Thema könnt und wo das Problem liegt.

Beschimpfungen und Beleidigungen etc. lasse ich hier aber nicht zu.

Gruß
Frank
Webmaster
Bitte warten ..
Mitglied: IT-Prof
28.03.2020 um 13:20 Uhr
Dann werde ich meine Kritik etwas subtiler formulieren und auf den Tag warten, bis ein Mod oder Admin das Trollen unterbindet.
Bitte warten ..
Ähnliche Inhalte
ISDN & Analoganschlüsse
Neue Fritzbox FRITZ!Box 6490 Cable ISDN
gelöst Frage von LuciusCastusISDN & Analoganschlüsse26 Kommentare

Hallo Leute ich hoffe Ihr könnte mir helfen. Die alte Fritzbox (7270 V2) spinnt leider, nun habe ich im ...

Netzwerkmanagement

Fritz!Box 6490 Cable source IP based routing

gelöst Frage von ketanest112Netzwerkmanagement8 Kommentare

Hallo liebe Administrator.de Community, ich hab mal wieder ne Frage. Ist es möglich, mit der Fritz!Box 6490 Cable (ist ...

LAN, WAN, Wireless

Fritz Box 6490 DHCP Adressvergabe dauert sehr lange

Frage von AtredisLAN, WAN, Wireless6 Kommentare

Hallo. Ich habe ein Problem in einem Netzwerk. Seit längerer Zeit benötigt da beziehen der Automatischen IP über DHCP ...

Router & Routing

Fritz!Box 6490 Cable hängt in Dauerreboot Schleife

gelöst Frage von ketanest112Router & Routing5 Kommentare

Hallo liebe Community, jetzt wende ich mich mal an euch. Vielleicht habt ihr ja einen Tipp. Mein Setup zuhause ...

Neue Wissensbeiträge
Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 8 StundenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Instant Messaging

Die Kommunikations-App Zoom kommt aus der Kritik so schnell nicht mehr raus

Information von Frank vor 9 StundenInstant Messaging4 Kommentare

Ich würde Zoom ja gerne nutzen (das Featureset ist ziemlich gut) aber irgendwie hinterlassen die ganzen Nachrichten einen faden ...

Off Topic
Die Känguru-Chroniken - ab April im Streaming
Information von Frank vor 1 TagOff Topic2 Kommentare

Die Corona-Krise hat auch die Kinos zum Stillstand gebracht. Daher gehen einige Verleiher neue Wege und stellen ihre Filme ...

Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Information von System-Fehler vor 2 TagenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Heiß diskutierte Inhalte
Batch & Shell
Alle Dateien eines Typs in Unterordnern in ein anderes Verzeichnis kopieren, aber so, dass sie in einem einzigen Unterverzeichnis liegen
Frage von Julia1989Batch & Shell17 Kommentare

Hallo, ich habe folgendes Problem: Ich habe viele *.php dateien, diese liegen in jeweils verschiedenen Unternordnern also C:\PfadZumOberverzeichnis\{A bis ...

Internet Domänen
Subdomain auf subdomain bzw. dyndns mit port weiterleiten?
Frage von DynlaraBartisInternet Domänen15 Kommentare

hey ich habe einen server bei mir mit proxmox auf diesem habe ich vm´s im heimnetz habe ich eine ...

Windows 10
Über Remotedesktopverbindung erkennen, ob Monitor angeschaltet ist
Frage von Tomac84Windows 1013 Kommentare

Hallo Zusammen, Auf Grund der Krise arbeite ich vom Home Office aus. Ich melde mich per Remotedesktopverbindung an meinen ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWussteOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...