1

Frage

2

Antwort

3

Lösung

Firewall (OPNsense) hinter FritzBox 6690 Cable betreiben
martinpt
Smart-Analyzer
Smart-Analyzer

Hallo in die Community,

ich habe seit gestern einen Vodafone Cable Business Anschluss und möchte nun meine Firewall (OPNsense) mit dem Anschluss zusammenbringen.
UPDATE: Ich wohne in Niedersachsen, somit kann ich den Bridge Modus der FritzBox 6690 von Vodafone nicht aktivieren.


Bisher hatte ich einen VDSL-Anschluss mit einem separat gekauften VDSL-Modem von Vigor an der OPNsense im Einsatz.
[Telefonbuchse] ---- [VDSL-Modem] ---- [Firewall mit pppoe Interface und den DSL-Einwahldaten]

Ich bin hier in der Community auf folgenden Beitrag gestoßen und würde dies gerne auch so umsetzen:
https://forum.vodafone.de/t5/Ger%C3%A4te/OpnSense-hinter-FritzBox-mit-statischer-IP/td-p/3053726

Laut der Hotline habe ich auch eine feste IP-Adresse. Ich konnte allerdings nicht in Erfahrung bringen, ob ich tatsächlich auch ein kleines Subnetz ala 90.x.x.x/30 erhalten habe und der OPNsense wie in dem Beitrag oben die zweite öffentliche IP-Adresse vergeben kann.

Zudem kann ich in der FritzBox 6690 nicht den Exposed-Host auf einen LAN-Port konfigurieren, sondern explizit nur auf eine IP-Adresse im LAN Subnetz der Fritzbox (im Standard also z.B. auf die 192.168.178.2).

In diesem Setup komme ich jedoch in eine Doppel-NAT Situation:

[Kabelanschluss] ---- [Fritzbox als IP-Router und Einwahlknoten] ---- 192.168.178.0/24 ----[OPNsense (192.168.178.2)] ---- lokale Netze in 10.0.0.0/8-er Subnetzen.

Wenn ich das Outbound-NAT auf der OPNsense deaktiviere und eine statische default Route zur Fritzbox einrichte, erhalte ich ein sehr unzuverlässiges Verhalten und im Log der OPNsense kommen Verbindungsanfragen über die Fritzbox an, welche die stateful inspection der OPNsense mal einem gültigen TCP-Verbindungsaufbau aus den 10.0.0.0-er Netzen zuordnen kann und in anderen Fällen wieder nicht. Ich bekomme also immer wieder Verbindungsabbrüche, aber nicht durchgehend.
Bei diesem Setup hat mich auch überrascht, dass die Fritzbox überhaupt das Outbound-NAT für meine 10.0.0.0er Source Adressen durchführt.

 

Nun die Gretchen-Frage: Wir betreibt ihr eine eigene Firewall hinter einer Fritzbox 6690 Cable, wenn es anscheinend kein gesondert geroutetes öffentliches Netzwerk gibt?

Vielen Dank für eure Ideen und Input

6 Antworten 6
reneromann
SuperUser
SuperUser

Entweder du schaltest auf der opnSense NAT ein - dann darf aber die Fritte KEINE Routen auf das 10.x.x.x enthalten -ODER- du schaltest auf der opnSense NAT aus, dann MUSS die Fritte aber Routen auf das 10.x.x.x enthalten.

Das Problem könnte eher daran liegen, dass m.W. Vodafone für die Telefonie ebenfalls 10.x.x.x-Adressen einsetzt, die du über die Oberfläche der Fritte nicht sehen kannst -- mich würde es nicht wundern, wenn diese dir hier deine Idee verhageln.

Davon abgesehen brauchst du keine statische Default-Route auf der opnSense - das wird über das Gateway direkt geregelt.

ich würde die Fritzbox gegen ein Kabelmodem (TC4400) tauschen 

Mahalo
Daten-Fan
Daten-Fan

@RobertP

sorry, dass ich hier so reingrätsche aber ich sehe du empfiehlst das TC4400-EU, welches ich noch rumliegen habe und gern an einem neuen CableMax-Anschluss nutzen würde (Vertrag noch nicht abgeschlossen).

Ist keine aktuelle Firmware drauf aber die würde ich von Werner aufspielen lassen. Kann ich damit bedenkenlos dann den Vertrag abschließen (ohne Fritzbox)?

Vor ein paar Jahren war das noch ein Kopfzerbrechen mit dem Gerät aber ich würde mich freuen es wieder nutzen zu können.

 

Grüße

Mahalo

peter12_
Giga-Genie
Giga-Genie

Hi,

 

wen eine aktuelle Firmware mind. SR70.12.42 installiert ist, spricht nichts gegen das TC4400. Läuft bei mir unauffällig schon seit nun 3,5 Jahren.

 

Grüße

GigaZuhause 250 Kabel mit Technicolor TC4400-EU/Arris TM3402B
Tuxtom007
Netzwerkforscher
Netzwerkforscher

"Wir betreibt ihr eine eigene Firewall hinter einer Fritzbox 6690 Cable, wenn es anscheinend kein gesondert geroutetes öffentliches Netzwerk gibt?" - ich hab das Glück hier in NRW den BridgeModus der FritzBox 6591. nutzen zu können und dahinter dann die OPNSense zu betreiben.
Outbound-NAT steht bei mir auf "Hybrid outbound NAT rule generation"

Die OPNSense macht alles andere,  DHCP, DNS, usw., die Fritzbox läuft nur noch als Modem und Telefonanlage, Zugang zu WebGUI der Fritzbox läuft über ein extra VLAN für Telefonie, worin dann auch der LAN-Port 1 der FritzBox hängt, worüber ist auf die WebGUI kommen und VoIP-Telefon connectet sind.

Allerdings kämpfe ich gerade mit IPv6, das funktioniert größtenteils so wie es soll ( für die Clients im Netz ) aber auf der OPNSense selber nicht, da Vodafone scheinbar ( ich kanns nicht sauber verifizieren ) der OPNSense über den BridgeModus sowohl eine /128 Adresse, wie auch ein /64 Netz zuweist  + dem /59 Prefix-Delegation und das /64 Netz auf dem Interface ist eigentlich witzlos und macht Probleme.

Da ich mein Festnetztelefone eigentlich nicht mehr benötige, überlege ich schon länge Telefonkomfort zu kündigen und auch auc ein Technicolor-Modem zu wechseln.  Ich werde das demnächst auf jeden Fall bestellen

 




reneromann
SuperUser
SuperUser

Das /64-Netz auf dem Interface ist das Netz, über das dein Router von außen erreicht werden kann -- und genau DAS Netz braucht es dringend, weil sonst gar kein IPv6 funktioniert. Die delegierten Präfixe werden von außen von VF immer an den Router in dem /64-"Transfernetz" geschickt, der dann seinerseits die Verteilung vornimmt.