zahni
Goto Top

VPN an Routerkaskade FritzBox 7490 und pfsense

Hallo, folgender Aufbau:

ISP --> FritzBox ----> WAN Port PFsense
LAN PFsense ---> Switch ----> Clients

Die Fritzbox übernimmt die Einwahl, weil am S0-Port noch eine ISDN Anlage hängt. Sicher nicht die Top-Lösung.

Die IP-Vergabe am WAN-Port ist statisch, @aqui hatte in einem anderen Thread mal geschrieben, dass das bezüglich PortForwarding und VPN Vorteile aufweist, da durch die fehlende "Dynamik" sich nichts ändern kann und damit auch keine Anfragen ins Leere laufen. So, und um VPN geht es jetzt auch, würde gerne von außen auf das Netz zugreifen.

a) DynDNS und VPN IPSEC in FB eingerichtet, bei Einwahl z.B. über iPhone kommt die Verbindung auch zustande, kann man ja in der GUI der FB und am iPhone sehen. Nur geht es von da nicht weiter, sprich ein Zugriff auf das lokale Netzwerk ist nicht möglich.

Was muss jetzt noch eingerichtet werden, Forwarding von UDP-Ports 500 und 4500 sowie ESP auf die PFsense wird ja nicht reichen, oder? Mir ist auch nicht klar, ob auf der pfsense VPN auch noch eingerichtet werden muss, nach meinem Verständnis müsste die FB ja alle eigehenden Anfragen durchreichen und die pfsense je nach Firewall-Rules sozusagen "durchwinken" oder eben blocken.

Content-ID: 328891

Url: https://administrator.de/forum/vpn-an-routerkaskade-fritzbox-7490-und-pfsense-328891.html

Ausgedruckt am: 19.12.2024 um 18:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 08.02.2017 aktualisiert um 21:01:00 Uhr
Goto Top
Moin,

habs hier beim mir seid dem Wochenende am laufen. Mein Fritzbox läuft im Bridge-Mode und (die ADSL) Einwahl in meinem Fall läuft über meine PfSense.

Die Fritzbox habe ich als TK Lösung laufen und zusätzlich ist diese über Outbound NAT noch erreichbar worüber auch SIP Teilnehmer registrierbar sind.

Somit ist bei deinem Vorhaben keine Routerkaskade von Nöten.

Wenn du möchtest kann ich dir genauer erläutern wie ich dies zusammengebaut habe.
Nebenbei noch, selbst im Bridge-Mode ist der S0 außern vor wie ich gemerkt habe. Zumindest bei einer 7390. Desweiteren empfiehlt sich den Bridge-Mode nicht direkt zu aktivieren, sonder die Box dumm hochlaufen zu lassen und die Einwahl nicht zu konfigurieren. In der Konfig ist diese dann im Bridge-Mode und die ganze Nummer kann über die FW laufen.

Gruß Spirit
zahni
zahni 08.02.2017 um 21:12:56 Uhr
Goto Top
Hi Spirit,
wie macht dann die pfsense die Einwahl, externes Modem?
Spirit-of-Eli
Spirit-of-Eli 08.02.2017 aktualisiert um 21:24:35 Uhr
Goto Top
Die PfSense hängt mit einem Port auf LAN1 der Fritzbox und das Main Internface dort ist auf PPPoE konfiguriert. Dort Login für die Leitung eintragen. Was hast du denn für ne Internet Anbindung?

Um dann noch auf die Box zu kommen musst du ein weiteres Interface auf den Port hängen und dieses in das gleiche Subnetz wie die Box legen.
Outbound NAT in den Addressbereich der Box und es fluppt.
zahni
zahni 08.02.2017 um 22:35:03 Uhr
Goto Top
Wenn die VPN Verbindung zur Fritzbox steht, bekomme ich eine IP-Adresse aus dem LAN-IP der Fritzbox, das ist natürlich ein anderer Adressbereich als am LAN-Interface der pfsense, damit komme ich natürlich nicht in mein lokales Netzwerk. Müsste ich dann doch VPN an der pfsense konfigurieren?
Spirit-of-Eli
Spirit-of-Eli 08.02.2017 aktualisiert um 22:43:18 Uhr
Goto Top
Brauchst du das LAN von Fritte? Wenn nicht bau es wie ich es beschrieben habe.

Ansonsten wie du schon erkannt hast die Ports für IPSec-VPN per Portforwarding an die PfSense.
Angenommen die FW ist korrekt für IPSec konfiguriert funktioniert dies dann. Davon hast bisher nichts geschrieben.
zahni
zahni 08.02.2017 um 22:49:05 Uhr
Goto Top
Ja sorry, bin jetzt auf deine Lösung garnicht eingegangen, weil ich es mal mit meiner bestehenden Konfig probieren wollte. An der Pfsense habe ich im VPN Menü noch garnichts konfiguriert, weil ich keinen Plan habe was dort zu tun ist.
Spirit-of-Eli
Spirit-of-Eli 08.02.2017 um 22:57:21 Uhr
Goto Top
Okay drehen wir das jetzt mal auf links. Du hast also den VPN Server der Fritte konfiguriert?
Dann ist es ja auch logisch das du nicht zur PfSense ins Netz kommst. Dort hast ja die FW Funktion bzw NAT.
Grob musst du da durch oder verlagerst den ganze Server eben in die PfSense.

Bitte schreib mir kurz, warum du alles mit der Fritte machen willst? Den DynDNS Client der Fritte musst du nutzen, alles andere ist bei der Kaskade ja durch die FW möglcih abzudecken.
zahni
zahni 08.02.2017 um 23:09:06 Uhr
Goto Top
Also, FB macht mir die VDS-Einwahl und am S0-Port hängt eine ISDN Anlage.
Frotzbox selbst hängt am WAN der PFsense und die wiederum über ihr LAN an einem Switch und versorgt alle Clients per DHCP.
Außerdem noch 3 VLANS im Einsatz, um die sich die PFsense kümmert.
Und jetzt kam eben der Wunsch nach VPN, den ich jetzt auf der FritzBox eingerichtet habe.
Spirit-of-Eli
Spirit-of-Eli 08.02.2017 aktualisiert um 23:21:32 Uhr
Goto Top
Gut, also an der Fritte hängt nur die TK, dann hau das Ding in den Bride-Mode.

Für den S0 braucht die auch noch nicht mal ne Konfig. Also Dumm machen und den WAN Port der PfSense für die Einwahl ins Inet konfigurieren. Dann DynDNS der FW einrichten. Zum Schluss machst dich damit schlau, wie du IPSec VPN einrichtest.
Wobei ich gerade zu faul zum suchen bin ist, ob du für IPSec DynDNS nutzen kannst. Sicherheitsbedingt ist es ein NoGo!

Z.b hiermit: https://forum.pfsense.org/index.php?topic=47106.0

Gibt allerdings bestimmt auch hier im Forum Guides.
Damit musst dich auseinander setzen. Ne Kaskade bringt dir wie du merkst nur mehr Probleme und ist in der Theorie sogar langsamer.


Ich wollte schon darauf verweisen das @aqui hier bestimmt vorbei schaut.
Nun denn: IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
zahni
zahni 08.02.2017 um 23:49:11 Uhr
Goto Top
Erstmal vielen Dank für Deine Hilfe!!
Werde mich gleich mal einlesen.
orcape
orcape 09.02.2017 um 08:46:11 Uhr
Goto Top
Hi zahni,
nur mal so am Rande, zum Thema pppoE-Passthrough....
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Die einfachste Lösung ist doch, auf der Fritte ein Portforwarding für Port 500, 4500 sowie ESP erlauben und VPN dort deaktivieren. Anschliessend dann VPN einfach auf der pfSense terminieren. Die Routerkaskade stellt doch kaum noch ein Problem dar und es lassen sich weiter alle Funktionen der Box problemlos nutzen.
Gruss orcape
zahni
zahni 09.02.2017 um 09:11:00 Uhr
Goto Top
Hallo orcape,

das hört sich doch mal gut an.
Portforwarding habe ich gemacht.


Zitat von @orcape:

Anschliessend dann VPN einfach auf der pfSense terminieren.

terminieren = VPN auf pfSense einrichten?!

Und technisch würde das bedeuteten, dass der Aufbau des VPN-Tunnels von der FritzBox an die pfSense weitergereicht wird, daher das Portforwarding?

Grüße
orcape
orcape 09.02.2017 um 10:02:48 Uhr
Goto Top
Und technisch würde das bedeuteten, dass der Aufbau des VPN-Tunnels von der FritzBox an die pfSense weitergereicht wird, daher das Portforwarding?
Natürlich gehört der VPN auf die pfSense, deshalb ja auch das Portforwarding auf der Fritte. Eine 7490 als reines Modem zu nutzen, würde deren Funktionsumfang erheblich einschränken.
Im übrigen sind die Nachteile des doppelten NAT bei heutigen DSL-Geschwindigkeiten kaum noch von Bedeutung.
Ich habe das bei mir ähnlich laufen. Kleiner Nebeneffekt, Netz der Fritte ist gleichzeitig Netz für Gäste und TV, welches in meinem LAN nichts verloren hat.
Gruss orcape
Spirit-of-Eli
Spirit-of-Eli 09.02.2017 aktualisiert um 10:18:17 Uhr
Goto Top
@orcape genau das ist eben nicht der Fall. Darauf will ich doch die ganze Zeit hinaus.
Wenn man die Fritzbox dumm hochlaufen lässt sind alle Funktionen noch vorhanden.
Du hast natürlich Recht damit wenn die Bridge-Mode Funktionalität der Box aus dem Menü heraus aktiviert wird. Dann würde man ein weiteres Interfaces mit der Box verbinden müssen da dann tatsächlich die Box nicht mehr über den Port LAN1 erreichbar wäre.

Stichwort Telefonie: Ich kann aus dem Netz der PfSense meine SIP-Teilnehmer an der Fritzbox registrieren und darüber Telefonieren.
Ich denke das ist als Beweis der Funktionalität ein gutes Stichwort. Dies erfordert dann allerdings die Konfiguration des siproxd da sonst keine Sprachverbindung zu Stande kommt.

(getestet mit FB 3270 und nun 7390 / Release 5.54 und 6.51)