VPN an Routerkaskade FritzBox 7490 und pfsense
Hallo, folgender Aufbau:
ISP --> FritzBox ----> WAN Port PFsense
LAN PFsense ---> Switch ----> Clients
Die Fritzbox übernimmt die Einwahl, weil am S0-Port noch eine ISDN Anlage hängt. Sicher nicht die Top-Lösung.
Die IP-Vergabe am WAN-Port ist statisch, @aqui hatte in einem anderen Thread mal geschrieben, dass das bezüglich PortForwarding und VPN Vorteile aufweist, da durch die fehlende "Dynamik" sich nichts ändern kann und damit auch keine Anfragen ins Leere laufen. So, und um VPN geht es jetzt auch, würde gerne von außen auf das Netz zugreifen.
a) DynDNS und VPN IPSEC in FB eingerichtet, bei Einwahl z.B. über iPhone kommt die Verbindung auch zustande, kann man ja in der GUI der FB und am iPhone sehen. Nur geht es von da nicht weiter, sprich ein Zugriff auf das lokale Netzwerk ist nicht möglich.
Was muss jetzt noch eingerichtet werden, Forwarding von UDP-Ports 500 und 4500 sowie ESP auf die PFsense wird ja nicht reichen, oder? Mir ist auch nicht klar, ob auf der pfsense VPN auch noch eingerichtet werden muss, nach meinem Verständnis müsste die FB ja alle eigehenden Anfragen durchreichen und die pfsense je nach Firewall-Rules sozusagen "durchwinken" oder eben blocken.
ISP --> FritzBox ----> WAN Port PFsense
LAN PFsense ---> Switch ----> Clients
Die Fritzbox übernimmt die Einwahl, weil am S0-Port noch eine ISDN Anlage hängt. Sicher nicht die Top-Lösung.
Die IP-Vergabe am WAN-Port ist statisch, @aqui hatte in einem anderen Thread mal geschrieben, dass das bezüglich PortForwarding und VPN Vorteile aufweist, da durch die fehlende "Dynamik" sich nichts ändern kann und damit auch keine Anfragen ins Leere laufen. So, und um VPN geht es jetzt auch, würde gerne von außen auf das Netz zugreifen.
a) DynDNS und VPN IPSEC in FB eingerichtet, bei Einwahl z.B. über iPhone kommt die Verbindung auch zustande, kann man ja in der GUI der FB und am iPhone sehen. Nur geht es von da nicht weiter, sprich ein Zugriff auf das lokale Netzwerk ist nicht möglich.
Was muss jetzt noch eingerichtet werden, Forwarding von UDP-Ports 500 und 4500 sowie ESP auf die PFsense wird ja nicht reichen, oder? Mir ist auch nicht klar, ob auf der pfsense VPN auch noch eingerichtet werden muss, nach meinem Verständnis müsste die FB ja alle eigehenden Anfragen durchreichen und die pfsense je nach Firewall-Rules sozusagen "durchwinken" oder eben blocken.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328891
Url: https://administrator.de/forum/vpn-an-routerkaskade-fritzbox-7490-und-pfsense-328891.html
Ausgedruckt am: 19.12.2024 um 18:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
habs hier beim mir seid dem Wochenende am laufen. Mein Fritzbox läuft im Bridge-Mode und (die ADSL) Einwahl in meinem Fall läuft über meine PfSense.
Die Fritzbox habe ich als TK Lösung laufen und zusätzlich ist diese über Outbound NAT noch erreichbar worüber auch SIP Teilnehmer registrierbar sind.
Somit ist bei deinem Vorhaben keine Routerkaskade von Nöten.
Wenn du möchtest kann ich dir genauer erläutern wie ich dies zusammengebaut habe.
Nebenbei noch, selbst im Bridge-Mode ist der S0 außern vor wie ich gemerkt habe. Zumindest bei einer 7390. Desweiteren empfiehlt sich den Bridge-Mode nicht direkt zu aktivieren, sonder die Box dumm hochlaufen zu lassen und die Einwahl nicht zu konfigurieren. In der Konfig ist diese dann im Bridge-Mode und die ganze Nummer kann über die FW laufen.
Gruß Spirit
habs hier beim mir seid dem Wochenende am laufen. Mein Fritzbox läuft im Bridge-Mode und (die ADSL) Einwahl in meinem Fall läuft über meine PfSense.
Die Fritzbox habe ich als TK Lösung laufen und zusätzlich ist diese über Outbound NAT noch erreichbar worüber auch SIP Teilnehmer registrierbar sind.
Somit ist bei deinem Vorhaben keine Routerkaskade von Nöten.
Wenn du möchtest kann ich dir genauer erläutern wie ich dies zusammengebaut habe.
Nebenbei noch, selbst im Bridge-Mode ist der S0 außern vor wie ich gemerkt habe. Zumindest bei einer 7390. Desweiteren empfiehlt sich den Bridge-Mode nicht direkt zu aktivieren, sonder die Box dumm hochlaufen zu lassen und die Einwahl nicht zu konfigurieren. In der Konfig ist diese dann im Bridge-Mode und die ganze Nummer kann über die FW laufen.
Gruß Spirit
Die PfSense hängt mit einem Port auf LAN1 der Fritzbox und das Main Internface dort ist auf PPPoE konfiguriert. Dort Login für die Leitung eintragen. Was hast du denn für ne Internet Anbindung?
Um dann noch auf die Box zu kommen musst du ein weiteres Interface auf den Port hängen und dieses in das gleiche Subnetz wie die Box legen.
Outbound NAT in den Addressbereich der Box und es fluppt.
Um dann noch auf die Box zu kommen musst du ein weiteres Interface auf den Port hängen und dieses in das gleiche Subnetz wie die Box legen.
Outbound NAT in den Addressbereich der Box und es fluppt.
Okay drehen wir das jetzt mal auf links. Du hast also den VPN Server der Fritte konfiguriert?
Dann ist es ja auch logisch das du nicht zur PfSense ins Netz kommst. Dort hast ja die FW Funktion bzw NAT.
Grob musst du da durch oder verlagerst den ganze Server eben in die PfSense.
Bitte schreib mir kurz, warum du alles mit der Fritte machen willst? Den DynDNS Client der Fritte musst du nutzen, alles andere ist bei der Kaskade ja durch die FW möglcih abzudecken.
Dann ist es ja auch logisch das du nicht zur PfSense ins Netz kommst. Dort hast ja die FW Funktion bzw NAT.
Grob musst du da durch oder verlagerst den ganze Server eben in die PfSense.
Bitte schreib mir kurz, warum du alles mit der Fritte machen willst? Den DynDNS Client der Fritte musst du nutzen, alles andere ist bei der Kaskade ja durch die FW möglcih abzudecken.
Gut, also an der Fritte hängt nur die TK, dann hau das Ding in den Bride-Mode.
Für den S0 braucht die auch noch nicht mal ne Konfig. Also Dumm machen und den WAN Port der PfSense für die Einwahl ins Inet konfigurieren. Dann DynDNS der FW einrichten. Zum Schluss machst dich damit schlau, wie du IPSec VPN einrichtest.
Wobei ich gerade zu faul zum suchen bin ist, ob du für IPSec DynDNS nutzen kannst. Sicherheitsbedingt ist es ein NoGo!
Z.b hiermit: https://forum.pfsense.org/index.php?topic=47106.0
Gibt allerdings bestimmt auch hier im Forum Guides.
Damit musst dich auseinander setzen. Ne Kaskade bringt dir wie du merkst nur mehr Probleme und ist in der Theorie sogar langsamer.
Ich wollte schon darauf verweisen das @aqui hier bestimmt vorbei schaut.
Nun denn: IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Für den S0 braucht die auch noch nicht mal ne Konfig. Also Dumm machen und den WAN Port der PfSense für die Einwahl ins Inet konfigurieren. Dann DynDNS der FW einrichten. Zum Schluss machst dich damit schlau, wie du IPSec VPN einrichtest.
Wobei ich gerade zu faul zum suchen bin ist, ob du für IPSec DynDNS nutzen kannst. Sicherheitsbedingt ist es ein NoGo!
Z.b hiermit: https://forum.pfsense.org/index.php?topic=47106.0
Gibt allerdings bestimmt auch hier im Forum Guides.
Damit musst dich auseinander setzen. Ne Kaskade bringt dir wie du merkst nur mehr Probleme und ist in der Theorie sogar langsamer.
Ich wollte schon darauf verweisen das @aqui hier bestimmt vorbei schaut.
Nun denn: IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Hi zahni,
nur mal so am Rande, zum Thema pppoE-Passthrough....
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Die einfachste Lösung ist doch, auf der Fritte ein Portforwarding für Port 500, 4500 sowie ESP erlauben und VPN dort deaktivieren. Anschliessend dann VPN einfach auf der pfSense terminieren. Die Routerkaskade stellt doch kaum noch ein Problem dar und es lassen sich weiter alle Funktionen der Box problemlos nutzen.
Gruss orcape
nur mal so am Rande, zum Thema pppoE-Passthrough....
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Die einfachste Lösung ist doch, auf der Fritte ein Portforwarding für Port 500, 4500 sowie ESP erlauben und VPN dort deaktivieren. Anschliessend dann VPN einfach auf der pfSense terminieren. Die Routerkaskade stellt doch kaum noch ein Problem dar und es lassen sich weiter alle Funktionen der Box problemlos nutzen.
Gruss orcape
Und technisch würde das bedeuteten, dass der Aufbau des VPN-Tunnels von der FritzBox an die pfSense weitergereicht wird, daher das Portforwarding?
Natürlich gehört der VPN auf die pfSense, deshalb ja auch das Portforwarding auf der Fritte. Eine 7490 als reines Modem zu nutzen, würde deren Funktionsumfang erheblich einschränken.Im übrigen sind die Nachteile des doppelten NAT bei heutigen DSL-Geschwindigkeiten kaum noch von Bedeutung.
Ich habe das bei mir ähnlich laufen. Kleiner Nebeneffekt, Netz der Fritte ist gleichzeitig Netz für Gäste und TV, welches in meinem LAN nichts verloren hat.
Gruss orcape
@orcape genau das ist eben nicht der Fall. Darauf will ich doch die ganze Zeit hinaus.
Wenn man die Fritzbox dumm hochlaufen lässt sind alle Funktionen noch vorhanden.
Du hast natürlich Recht damit wenn die Bridge-Mode Funktionalität der Box aus dem Menü heraus aktiviert wird. Dann würde man ein weiteres Interfaces mit der Box verbinden müssen da dann tatsächlich die Box nicht mehr über den Port LAN1 erreichbar wäre.
Stichwort Telefonie: Ich kann aus dem Netz der PfSense meine SIP-Teilnehmer an der Fritzbox registrieren und darüber Telefonieren.
Ich denke das ist als Beweis der Funktionalität ein gutes Stichwort. Dies erfordert dann allerdings die Konfiguration des siproxd da sonst keine Sprachverbindung zu Stande kommt.
(getestet mit FB 3270 und nun 7390 / Release 5.54 und 6.51)
Wenn man die Fritzbox dumm hochlaufen lässt sind alle Funktionen noch vorhanden.
Du hast natürlich Recht damit wenn die Bridge-Mode Funktionalität der Box aus dem Menü heraus aktiviert wird. Dann würde man ein weiteres Interfaces mit der Box verbinden müssen da dann tatsächlich die Box nicht mehr über den Port LAN1 erreichbar wäre.
Stichwort Telefonie: Ich kann aus dem Netz der PfSense meine SIP-Teilnehmer an der Fritzbox registrieren und darüber Telefonieren.
Ich denke das ist als Beweis der Funktionalität ein gutes Stichwort. Dies erfordert dann allerdings die Konfiguration des siproxd da sonst keine Sprachverbindung zu Stande kommt.
(getestet mit FB 3270 und nun 7390 / Release 5.54 und 6.51)