Fritzbox und OPNsense

P-F-S · 7 September 2024

So Leute,

wieder mal ist euer Rat gefragt :-D

Wie ihr wisst hab ich mir nen 2 Meter Serverschrank gegönnt xD
Warum? -> Tolles Spielzeug :-D

Aber darum gehts nicht.
Aktuell in dem Schrank sind jetzt:
TrueNas
Unraid
OPNsense
24 Port Gigabit-Switch ( HP Aruba )

Das "Kunststück" liegt aktuell darin, dass ich das Ding nicht im selben Netz habe wie meine ganzen anderen Fritzboxen die hier aktuell für den Internetzugriff vorhanden sind.
Denn letzten Endes soll alles über eben jene "neue" Netz laufen.

Das Netz sieht derzeit so aus:

Fritzbox 7530 ( "noch" nicht am DSL-Anschluss )->OPNsense->Switch-> Rest ( also Unraid, TrueNas und die Fritzboxen die ich nur als Access-Points nutzen will von denen dann per LAN/WLAN die Clients, Fernseher usw drankommen )

Soweit so gut :-D
Gehe ich per LAN direkt an den Switch komm ich aufs GUI von OPNsense, Switch, TrueNas, Unraid drauf. Das ist schonmal gut. Hab gestern mal 2 verschiedene Fritzboxen per LAN an den Switch angeschlossen und konfiguriert -> Läuft auch einwandfrei.

Jetzt ist die Frage bei der ich mir nicht ganz schlüssig bin: Wie mache ich das mit der Fritzbox 7530 die vor OPNsense hängt und nur als Modem dienen soll?

Aktuell hängt die per LAN1 an der ersten Port1 (als WAN) der Netzwerkkarte von OPNsense. Port2 der Karte in OPNsense ist LAN und geht in den Switch.
OPNsense und somit der LAN-Port ( also Port2 der 10Gbit-Karte ) hat die IP 192.168.1.1
Der Switch hat die IP 192.168.1.2
DHCP ist so eingestellt, dass die Nummern von 192.168.1.101-192.168.1.199 frei vergeben werden. TrueNas, Unraid haben ne feste IP die nicht im DHCP-Adressbereich liegt ( Unraid z.B die 192.168.1.200 ) und das funktioniert einwandfrei. Schließ ich was neues am Switch an bekommt das auch einwandfrei und schnell ne IP von OPNsense.

Jetzt kommt aber der Teil bei dem ich noch aufm Schlauch stehe:
Schließe ich meinen Laptop ( testweise ) am LAN2 der 7530 an, kann ich zwar die Fritte erreichen, den Rest des Netzes aber nicht. Scheint also, als würde Sie keine IP bekommen. In OPNsense kann ich die 7530 ebenso nicht finden.

Der WAN Port von OPNsense ist als PPPoe ( also IPV4-Typ ) eingestellt und die Daten (Name+Passwort) von Vodafone sind eingetragen ( komischerweise muss ich den Provider nicht angeben? ).
Beim Punkt "Point to Point" in OPNsense ist ebenso PPPoe eingestellt, mit Name+Passwort von Vodafone.

Bei der 7530 habe ich die Daten vom Provider NICHT eingetragen, bei dieser habe ich unter Zugangsdaten->Internetverbindung "Über ein externes Modem" angeklickt. Und unter Heimnetz->Mesh "Die Fritzbox ist ein Netzgerät (ip-Client) im Heimnetz eines anderen Routers"

Schließe ich nun die Fritte ans DSL an -> Kommt nichts xD
Und ich kann auch weiterhin, wenn ich am LAN2 der Fritte bin nicht auf OPNsense zugreifen oder seh die irgendwo in OPNsense.

Was meint ihr wo liegt der Fehler?

Aktiviere Börsenliga:
@tastebin @xNecromindx @RobMitchum @GuyFawkes667 @level9

tastebin · 7 September 2024

Immer wieder fantastisch was du mir zutraust.

Bei Netzwerkkram und Router bin ich aber schon laaaange raus.

RobMitchum · 7 September 2024

~~Nutze ich so nicht, aber laut Google solls wie folgt gehen:~~

Bitte, Anmelden oder Registrieren um die Links zu sehen!

Sorry, sehe gerade - du brauchst die Box zum Modem degradiert.

Ich vermute, du willst die "Fritzbox" vor deiner OPNSense Installation nicht als zusätzliche NAT Firewall laufen haben. Bei einer OPENWRT Software konnte man eine interne IP auch als "DMZ" konfigurieren. Sprich: Es geht alles an das angegebene Gerät, was keine vorangegangenen eigenen Routing-Regeln hatte. Das Subnetz dieser Kiste war somit "weg" und alles von außen ging an die innenliegende konfigurierte (statische) IP.

Auch eine theoretische Möglichkeit:

Bitte, Anmelden oder Registrieren um die Links zu sehen!

... AVM hat die reine Modemfunktion scheinbar bewusst abgestellt. Ob das dein Provider "kann" bzw. unterstützt - keine Ahnung.

P-F-S · 7 September 2024

@tastebin : Du baust gefühlt jede Woche irgendeine Konsole zum Raumschiff um xD
Da traut man halt viel zu haha

@RobMitchum : Ja richtig, ich möchte die Fritzbox nicht als zweite Firewall, die soll nur durchreichen.
Das mit dem PPPoe Passthrough habe ich auch schon gesehen, aber kann ich da denn in der OPNsense die gleichen Daten angeben wie bei der Fritzbox?

Andernfalls gäbe es noch die Möglichkeit, die Fritzbox "normal" zu nutzen. WLAN an der Fritte auszustellen und ne statische Route in der Fritzbox von 192.168.178.1 auf 192.168.1.1 zu leiten oder? Allerdings habe ich dan da ja wieder doppeltes NAT.

Weitere Möglichkeit:
Wie schwer ist es nen anderes Betriebssystem auf die Fritte zu packen um das Ding als Bridge zu nutzen? :-D

RobMitchum · 7 September 2024

AFAIK gar nicht. Das fand ich damals bei OPENWRT und meinem ehemaligen ASUS Router gut - DMZ einrichten, was automatisch alles von außen nach innen geroutet hatte und alles, was von "innen" kam wurde "ans Netz" durchgereicht. Somit hattest du das NAT quasi per Wildcard gebrückt.

Edit: Hintergrund - ich hab in meinem Sportverein (am Ende der Welt DSL-technisch) ein vereins-WLAN samt Funkmodem administrieren dürfen. Die Fritzbox ist nicht für sowas gemacht, nicht ansatzweise. Entsprechend war die Konfiguration dieser Box.

P-F-S · 7 September 2024

Hmm... klingt ja nicht sooo optimal.
Was wäre denn ne "gut" und "günstige" Alternative?

Hab jetzt mal ein bisschen rumgeschaut und es "gab" wohl mal die Möglichkeit die Konfigurationsdatei der Fritte zu ändern weil das mit dem "Bridge" Modus wohl auch nur "hidden" ist. Die Checksum lässt sich dann über nen Rechner im Internet ändern. Soweit so gut, aaaaaber -> Die Fritte zeigts trotzdem leider nicht an.

Das mit OpenWRT sieht interessant aus, aber wenn ich das richtig verstehe, läuft das auch nur in Form einer "Schwesterbox"!? Also die 7530 müsste Hauptbox sein, und zb eine weitere 75xx als OpenWRT dahinter? Das würde ja auch nicht soooooo viel Sinn machen xD
Macht das ganze ja nur noch komplizierter.
Oder kann ich auf die 7530 OpenWRT "klatschen"?

Ansonsten wärs ja noch das einfachste die Fritzbox einfach "laufen" lassen wir normal. WLAN ausschalten ( damit nur die Fritzboxen/AC-Points hinter OPNsense für WLAN fungieren ) und ne statische Route zum 192.168.1.1 einrichten.

Die Frage ist dann natürlich ob ich mein Plex ( Unraid ) und TrueNas auch von außen erreichbar sind. Ich müsste ja dann OPNsense in der Fritte zum Exposed-Host machen, oder? Dann gilt die Firewall ja für die OPNsense und allem was dahinter ist nicht oder? Sondern lediglich die Firewall des OPNsense für alles was dahinter ist. Sehe ich das richtig?

RobMitchum · 7 September 2024

Vermute "ja", aber sowas hab ich noch nicht selbst gemacht. Du routest alles an deine Firewall, die Firewall ist dann quasi deine intelligente NAT.

OPENWRT ging z.B. auf ASUS und anderen Plattformen, aber noch nie (AFAIK) auf aktuellen Fritzboxen. Siehe

Bitte, Anmelden oder Registrieren um die Links zu sehen!

AVMs 76er Serie ist nicht dabei.

P-F-S · 7 September 2024

Ok also OpenWRT erstmal beiseite wenns nicht auf Fritte läuft. Schade. So langsam gehen mir Fritzboxen aufn Sack xD
Allein schon wenn ich jetzt sehe wie schnell und zuverlässig die Clients über OPNsense ne IP bekommen... Bei den Fritzboxen ist das nen Glücksspiel. Der zeigt mir da teils die wildestens Sachen im Mesh an.

Werd das gleich mal mit dem Exposed Host versuchen. Bin echt gespannt.

P-F-S · 7 September 2024

Okay. Habs jetzt so gelöst indem ich die 7530 einmal eingerichtet hab ( ganz normal ) und ans DSL geklemmt habe. LAN1 der 7530 hängt am WAN von OPNsense.
Hab dann in OPNsense den WAN-Port konfiguriert ( IP über DHCP erhalten ), ihm in der 7530 ne feste IP gegeben und über die ipv4 Routing-Tabelle ne feste IP verpasst und OPNsense als Exposed Host eingerichtet.

Erstmal ist das WLAN in der 7530 jetzt an damit ich nach und nach alle Geräte umstellen kann. Das WLAN Netz hinter OPNsense ist ja noch im Aufbau, bisher ist da nur ein AC-Point aktiv, der einzige im Haus der zu dem ne Verbindung hat ist mein Laptop. Durch das Routing hat mein Laptop nun Zugriff aufs Internet, auf alle meine Server und auch auf die HauptFritte ( 7530 ).

Alle anderen die noch im Netz der 7530 sind können nicht auf die Server zugreifen ( was sie eigentlich eh nicht müssen muhahaha xD ), kommt aber nach und nach mit der Umstellung.
Morgen also paar Fritzboxen und Fritz Repeater als Access-Points aufhängen, WLAN auf der 7530 deaktivieren und fertig

level9 · 7 September 2024

@P-F-S-
Da ich einen ORC-Scheinwerfer gen Himmel scheinen sah... und man mir so signalisierte, man benötige die gebündelte Kraft der wilden Horde...
... warf ich einen Blick in den Thread... ...und bin dann doch froh, dass Du schon eine Lösung für Dich gefunden hast

Auch Dir danke ich für das Vertrauen, dass ich hier eine Hilfe hätte gewesen sein können...
Dazu möchte ich anmerken: Ich bin auch sehr froh, dass wir hier auch noch viele deutlich fähigere Mannen an Board haben, wie mich

Ich war mit der Fragestellung nämlich schon gut am Hadern, dachte spontan erst an ein DHCP-Problem... aber, lassen wirs spekulieren, Du hast ja eine Lösung.

Danke an die Crew

xNecromindx · 8 September 2024

Kleiner Komfort-Tip zum warm werden:
Lass all die Geräte auf DHCP laufen und vergebe in OPNsense Static-Leases für die jeweiligen Geräte.
Das hat den schönen Charm, dass du einfach nur durch umkonfigurieren der Netzstruktur an der Firewall für alle Geräte wirksame Einstellungen vornehmen kannst, ohne alle Geräte einzeln angehen zu müssen.

Das ergibt zwar beim ersten Blick nich so wirklich sinn, bzw. "geht es ja auch anders", aber langfristig ist es die bessere Strategie bei der Netzwerkerrichtung.

Ähm, wenn ich das nun richtig verstanden habe, liegt der Fehler grundlegend wohl schon da, zu verstehen, wie das funktioniert

Wenn die FB als Modem läuft und der OPNsense zuspielt, ist natürlich an dem Ding selbst nix mehr los mit Internet. Das Teil läuft ja nur noch als Modem.
Alles was da noch funktionieren dürfte, wäre das einloggen in deren Webinterface um diese Konfiguration ggf. mal rückgängig machen zu können.

Deine Konfiguration ergibt aber keinen Sinn:
Wenn die FB nun Modem sein soll, dann benutzt sie nicht die Internetverbindung eines anderen Routers. Sie ist Modem!
Die macht mit Internet gar nichts mehr, außer die Daten auf die Leitung modulieren und das am Netzwerkanschluss per PPPoE verfügbar machen. Dazu muss sie aber auch so eingestellt werden.

Oder reden wir hier von zwei unterschiedlichen Geräten und mir ist das im Text entgangen!?
Weil der Punkt ist, die kann nicht gleichzeitig PPPoE Modem sein und gleichzeitg auch noch die Internetverbindung von einem anderen Router nutzen. Am WAN Port der OPNsense kann die sich nicht ins Netzwerk hängen. Das ist ja der Sinn der Firewall, die blockiert Verbindungen von "außen" (WAN Port) in das LAN (wo dein DHCP läuft und die Sense das Gateway ist). Man kann das in den Rules zwar öffnen, aber das wäre ja deppert.
Warum soll das Modem zusätzlich noch Router spielen und sich bei der Sense als Client anmelden!? Ergibt überhaupt gar keinen Sinn.

Edit:
Und nachdem ich noch das dazwischen verfolgt habe: Nein, auf die FB kann man meines Wissen keine andere Routingsoftware installieren. Es gab mal eine Extension "Freez", aber die scheint auch schon lange tot zu sein.
Wie sich wohl zeigt, kann die FB (ich habe das ja schon einmal in einem anderen Thread vermutet) gar nicht als reinen Modem arbeiten.
Aber offenbar kann man da herumtricksten:

Bitte, Anmelden oder Registrieren um die Links zu sehen!

Der Beitrag ist 5 Jahre alt, das kann durch Firmwareupdates längt "unterbunden" worden sein.

Aber ganz ehrlich: Warum mit diesem Scheißkasten abmühen? Schau dir mal die Draytek Modems/Router an:

Bitte, Anmelden oder Registrieren um die Links zu sehen!

Die Vigor's (166 oder 167) sind recht preiswert aber deutlich professionellere Geräte, die auch PPPoE können, als auch eine Funktion, die die TrueDMZ nennen. Dabei macht das Modem die Einwahl selbst und spiegelt den kompletten Traffic an die genannte MAC rüber, die dann der WAN Port der Sense ist. Fertig ist die Laube.
Wie du dann die Fritbox so eintichtest, dass sie noch Telefon in Verbindung mit der Sense macht, kann ich dir sagen (habe ist just diese Woche eingerichtet), sowie, wie man über die Firewall hinweg weiter in der Webinterface des Modems kommt. Auch das geht nämlich in Sense recht gut.

P-F-S · 8 September 2024

Hmm... keine schlechte Idee. Lass ich mir mal durch den Kopf gehen

Naaaa das war jetzt aber böse xD

Daaaas wusste ich

War mir schon klar ^^

Das war ja auch der Plan

Wusste ich

Aber letzten Endes ist es wohl so, dass die Fritzboxen ( zumindest die 75xxer ) es nicht zulassen, dass man sie nur als Modem nutzt

Ja genau da liegt ja das Problem xD
Die 75xxer lassen sich ( leider ) nicht mehr als reines Modem nutzen.

Wenn dir was entgangen ist nehm ich die Schuld auf mich, kann mir manchmal selber nicht folgen xD

Ich weis, deswegen hatte ich ja alle PPPoE Daten in OPNsense eingetragen und nicht in der 7530

Ich weis

Deswegen ist sie ja "vor" OPNsense. Also: DSL-Buchse-->7530-->OPNsense-->Switch-->Rest

Sooooo doof bin ich auch nicht haha xD

Sagte @RobMitchum auch schon

Schade eigentlich

Bei den alten geht das wohl. Also zumindest über die 74xxer hab ich das gelesen, aber bei den gehts halt nur bis 100Mbit :-/

Ja gibt bestimmt Mittel und wege, hatte ja auch bisschen mit der Config rumgespielt, aber hängt wohl ne Menge dran.

Das dachte ich mir auch

Schau ich mir mal an

Daaazu schreib ich im nächsten Beitrag was xD Muss die Kleine hinlegen xD

xNecromindx · 9 September 2024

Schau dir by the way übrigens mal das CrowdSec Plugin an.
Spiel damit seit 2 Tagen ein wenig herum und habe es für gut befunden

xNecromindx · 11 September 2024

Kleiner aber wichtiger Nachtrag für CrowdSec:
Unbedingt die Standard-Whitelist per Shell installieren (geht nur per Shell): cscli parsers install crowdsecurity/whitelists

Hatte es mir doch glatt vor ner Stunde den Domänen-Controller (Intranet) wegen angeblichem Port-Scan auf die Ban-Liste gesetzt.
Uncool, ging DNS nicht mehr.

Ansonsten gehts gut. Bei mir versucht sich grad ein Russe auszutoben und wird den ganzen Tag schon von CrowdSec mit temporären 2 Stunden Bans belegt.
Mal sehen wann er aufgibt

P-F-S · 12 Oktober 2024

Na hat der Russe mittlerweile aufgegeben? :-D

Bisher läuft bei mir OPNsense echt gut... wobei ich mir einmal doch dezent das Netzwerk gechrasht hab weil ich bei der VPN irgendwo im Interface was falsches angeklickt hatte xD
Aber ok... nächsten Tag in Ruhe den Fehler gefunden. Mittlerweile auch die 7530 mit ner 7590 ausgetauscht weil die 7530 wohl max 250mbits kann, die 7590 die 300. Merk da jetzt nicht wirklich nen unterschied, im Speedtests machts aber dann tatsächlich 20mbits mehr... also egal xD

Hab mittlerweile ( Ausmusterung bei der Arbeit ) ne Sophos Firewall bekommen... eine Sophos SG 135 rev 2 um genau zu sein. Niedliches kleines 1He Ding, passend für 19" Zoll. Irgendwo in der Config muss man da wohl nur eine Zeile ändern um die als Privat ohne Lizenz nutzen zu können. Muss den Artikel nochmal raussuchen.

Als Hauptfirewall macht die aber glaube weniger Sinn als OPNsense. Von der Konfiguration zwar übersichtlicher und alles bisschen einfacher. Aber letztlich hat die "nur" nen DualCore ( glaub nen Celeron ) und 8Gb DDR3. Da ist meine OPNsense mit 10400t mit 6c/12t und 32Gb DDR4 doch ein bisschen stärker. Im Normalbetrieb denke ich zwar nicht, dass man da nen Unterschied merkt weil die CPU Auslastung bei OPNsense = max 1% ist xD
Aber sobald mal Deep Inspection usw eingerichtet ist und Plugins drauf laufen ist die OPNsense doch deutlich besser. Zumal die Sophos "nur" 1Gbit kann, die OPNsense aber 10... "noch limitiert zwar der Switch", aber 10Gbit Switche sind ja auch immer erschwinglicher.

Aber jetzt dann zur eigentlichen Frage:
Machts Sinn die Sophos einzubauen?
Evtl nen zweites VLAN, dann die Sophos als Firewall vor dem zweiten VLAN... wäre vllt für Home-Assistent ( Projekt nächstes Jahr ) nicht uninteressant oder?

xNecromindx · 12 Oktober 2024

Der Russe hat es tatsächlich über mehrere Tage versucht. Mittlerweile aber aufgegeben.

Aber zur eigentlichen Frage:
Keine Ahnung wofür man die Sophos nehmen soll. Ich weiß die ist im Unternehmensumfeld oft vertreten, aber mit keiner anderen hab ich da so oft irgendwelche Probleme.
Zumal OPNsense einfach viel vielseitiger ist, was Plugins angeht. Das kannst bei Sophos vergessen.
Und seperate VLANs kannst genau so in der OPNsense einrichten.
Was anderes als sinnlos Strom verbrauchen sehe ich da für das Teil nicht als Einsatzzweck. Weil die OPNsense das eben auch alles kann und eben auch noch viel besser. Vor allem weil sie als Hauptrouter viel besser alles für sich verwalten kann.

Ich würde die also nicht verwenden. Macht irgendwie keinen Sinn.

xNecromindx · 29 Oktober 2024

Übrigens mal ein kostenloser Service für alle OPNsense Nutzer die Zenamor darauf aktiv haben:

Jetzt habe ich mich 2 Tage gewundert, warum der Steam-Shop so "komisch" aussieht. Erst habe ich gedacht, jagut, haben die grad nen Serverproblem.
Nachdem der Shop heute aber noch immer völlig verunstaltet war, habe ich da mal genauer geschaut.
Mir ist aufgefallen, das mal pauschal 90% von dem, was der Browser vom Steam-Webserver abruft einfach mit einer Zurückweisung abgebrochen wird.

Nach etwas längerem Suchen, weil da kommste ja erst einmal nicht drauf, stellte sich raus, das aus irgend einem Grund zahlreiche Steam-Domains in Zenarmor's Ad-Blocker Sperrliste stehen.
Einfach navigieren zu: Zenarmor -> Live Sessions und hinten am Ende der Liste (Zeile) bei geblockten Steam-Einträgen auf "Allow" klicken und eigentlich nur noch bestätigen. Wer Bock hat, kann noch eine Beschreibung dazu packen.

P-F-S · 10 November 2024

Das mit Zenamor muss ich mir generell mal angucken. Aber erstmal muss ich meine OPNsense mal Updaten xD
Lauf noch mit der Version 27 rum und sollte mal so langsam auf die 27.8.
Allerdings mach ich das mal wenn die Kiddies nen Tag ausm Haus sind... nur für den Fall das was schief geht und ich nachm Update die Interfaces neu einrichten muss xD

Das mit der Sophos ist schon nen gutes Argument. Bin auch immer wieder am überlegen wo ich die reinballer.... Hab schon überlegt die vor nen zweites physisches Netz zu packen...
Halt dann für Home-Assistant-Kram nächstes Jahr.. aber dann nochmal AC-Points... neee das muss nicht sein.

Netz ist grade so gut und stabil im Haus xD
7590 (ohne WLAN) vor der OPNsense. dann 2x ne 6660, 1x 7530AX, 1x 7530, 1x 7490, 3000er Repeater, 2400er Repeater und 1200er Repeater xD
Selbst im Keller hab ich im WLAN meine 150-200 Mbits xD ( von den 250 die ins Haus kommen ).
Auf der Arbeit träume ich von einer so guten WLAN-Ausleuchtung wie zuhause xD

Aber da jetzt noch AC-Points hinknallen für nen zweites physisches... ne...

Achja by the Way:
Kanns sein, dass ich viele Plugins bei OPNsense nicht angezeigt bekomme weil ich nicht auf der aktuellen Version bin?

xNecromindx · 10 November 2024

Für dich allein scheint irgendwer ja auch noch ein paar Kohlen in einem Kernkraftwerk nachzulegen, bei dem ganzen Plunder, der bei dir in der Steckdose steckt!?

Was meinst du genau?
Meines Wissen ist da nichts ausgeblendet.
Man kann aber weitere Plugin-Quellen hinzufügen.
Das macht z.B. die Zenarmor Installation, die dann SunnyValley hinzufügt.
Dann gibt es z.B. noch mimugmail, für so Sachen wie Grafana usw...

P-F-S · 11 November 2024

Ach bei 3 Kindern mach ich mir da nicht so viel Sorgen um den Stromverbrauch xD
Rechne eigentlich immer mit 1000kw pro Jahr-pro Person und da sind wir sogar meistens gut drunter :-o

Fritzbox und OPNsense

Das bersonifiziere Pöse

InventarNr. #290621

Namhafter Pirat

Das bersonifiziere Pöse

Namhafter Pirat

Das bersonifiziere Pöse

Namhafter Pirat

Das bersonifiziere Pöse

Das bersonifiziere Pöse

Pirate of the 777-Seas

Namhafter Pirat

Das bersonifiziere Pöse

Namhafter Pirat

Namhafter Pirat

Das bersonifiziere Pöse

Namhafter Pirat

Namhafter Pirat

Das bersonifiziere Pöse

Namhafter Pirat

Das bersonifiziere Pöse