OPNsense Forum
International Forums => German - Deutsch => Topic started by: randyrandom on September 21, 2022, 01:59:07 pm
-
Hallo Zusammen,
auf Grund neue Vorraussetzungen müssen wir im Büro eine Firewall einsetzen. Natürlich opnsense :-)
Nun haben wir ein Szenario, das ich versucht habe zu umgehen, aber auf Grund von utopischen Kosten seitens Vodafone dies keine Möglichkeit ist.
Und zwar haben wir von Vodafone ein Kabelanschluß mit 1Gbit up/down. Business. Mit festen IPv4 und IPv6.
Alles soweit so gut. Mein ursprüngliches Vorhaben war, entweder ein reines Modem von Vodafone liefern zu lassen oder selbst von Draytek oder so zu kaufen und diesen zu nutzen. Daran die opnsense und hinter die opnsense die Fritzbox weil diese für Telefonie benötigt wird (SIP, telefonieren alle hier über PC/Notebook).
Nun stellt uns Vodafone jedoch Beine dazwischen, weil die für ihren eigenes Modem, bzw das Umstellen/nutzen monatlich 250€ dafür verlangen. Das dies völliger Schwachsinn ist brauch ich nicht erwähnen. Ich kam auch mit Argumenten wie gesetzliche Routerfreiheit etc pp. Brachte jedoch nichts und bekam Antworten ala: Gilt nicht für Geschäftskunden oder gilt nicht für Kabelanschlüsse.
Also könnte man nun entweder die zusätzlichen 250€/monat akzeptieren oder Anwalt einschalten.
Beides unsinnig bei dem Hintergrund das bei uns aktuell Glasfaser von der DTAG verlegt wird und wir mit denen schon ein Vertrag abgeschlossen haben, dies jedoch laut aktueller Prognose aber erst mitte nächsten Jahres aktiv wird.
Der Plan den ich nun realisieren werde, ist das ich die Fritzbox einfach so lasse wie die ist, und dahinter kommt die opnsense woran dann das restliche Netzwerk verbunden ist. In der Fritzbox werde ich dann "Exposed Host" einrichten und gut ist.
Das dies so funktioniert, weiß ich schon weil das vor 5-6 Jahren für mich privat auch schon mal gelöst habe (auch Kabel). Da nutzte ich jedoch keine SIP Clients die sich zu Fritzbox verbunden haben, sondern DECT Telefone.
Was mir nun unklar ist jedoch, wie es nun halt mit SIP Clients verhält. Wird dies weiterhin funktionieren wenn die Clients alle 192.168.178.1 drin stehen haben, oder muss ich irgendwas ändern oder Routen in opnsense diesbezüglich einrichten müssen?
Fritzbox ist standard Fritte IP Range: 192.168.178.1 - 192.168.178.255
WAN der opnsense würde ich 192.168.178.100 geben.
Und LAN 192.168.2.1 - 192.168.2.255
Generell wäre ich für "must to do"/"best practice" Tipps dankbar.
-
Eine Fritzbox kann ja wenigstens statische Routen. Daher würde ich das NAT auf der OPNsense ausschalten und auf der FB eine Route anlegen. Bzw. zwei - v4 und v6.
-
Auf der Fritzbox?
Damit die Fritte alles nach opnsense weiterleitet gehe ich jetzt mal von aus?
Danke für diesen Hinweis.
-
Ja:
192.168.2.0/255.255.255.0 --> 192.168.178.100
Dann brauchst du auf der OPNsense kein NAT mehr und es sollte auch keine Probleme mit SIP geben. Ebenso kannst du dir dann den exposed Host sparen und einfach nur gezielt die einzelnen Dienste freigeben auf der Fritzbox ...
-
Dann brauchst du auf der OPNsense kein NAT mehr und es sollte auch keine Probleme mit SIP geben. Ebenso kannst du dir dann den exposed Host sparen und einfach nur gezielt die einzelnen Dienste freigeben auf der Fritzbox ...
Alles klar. Danke.
Meinst du mit "Dienste freigeben", Ports freigeben, oder Dienste der Fritzbox wie NAS usw usf? Weil das ist eh alles ausgeschaltet.
Die Portfreigaben wollt ich alle nur bei opnsense machen (wegen mehr möglichkeit usw) und mir das zusätzliche Freigeben der Ports auf der Fritte sparen.
-
Also könnte man nun entweder die zusätzlichen 250€/monat akzeptieren oder Anwalt einschalten.
Ist das den ihr Ernst, die 250 EUR im Monat wenn du dein eigenes Modem nutzen willst - haben die einen an der Klatsche ?
Das Routerfreiheit nicht am Kabelanschluß gilt, ist Unsinn.
Bei Geschäftsanschlüssen weiß ich es aber nicht, aber ich würde als Firmenkunde das mal von der Bundesnetzagentur klären und mir schriftlich geben lassen, ist schließlich deren Job.
Aber ich kenne genug Firmenkunden die an z.b. Glasfaseranschlüssen ihre eigene Firewalls direkt angeschlossen haben.
Mein Tip währe, wenn dir Vodafone ne FritzBox liefert, diese in BridgeModus schalten zu lassen - wenn du Glück hast machen die das, ist aber leider Bundesland-abhängig bei Vodafone.
Dann bist du frei raus:
- BridgeModus an die OPNSense durchreichen ( LAN2 der FritzBox )
- Telefonie über die FritzBox laufen lassen und die dann für SIP-Telefon ein VLAN anlegen, das die dann auf LAN1 der FritzBox hängst.
Im BridgeModus bekommt die Fritzbox zwei IP-Adressen, die erste nimmt die sich selber für den Telefonteil, die zweite geht eben über den BridgeModus raus ans Gerät dahinter.
( So mache ich das bei mir zuhause aus, Kabelinternet von Vodafone in BridgeModus mit TelefonKomfort )
-
Ja das ist leider so.
Naja, aus der Perspektive das der Anschluß selbst schon knapp über 1000€ monatlich kostet, ist das vielleicht "noch OK".
Sicher, ich würde selbst auch mich beschweren und zu Anwalt rennen usw usf. Aber mein Chef möchte dies nicht, weil er an sich zufrieden mit denen ist. Er ist aber auch schon damit zufrieden das wir hier überhaupt was haben. Weil Kupfer der DTAG liefert gerade mal unter 10Mbit, und Vodafone war damals der einzige der hier ausbaute und extra für das Büro/Firma hier ein Kasten aufs Grundstück gebaut hat mit Technik darinne damit die 1gbit up/down überhaupt möglich ist über "Cable".
Jetzt baut aber wie erwähnt seit knapp 1 Jahr die DTAG hier FTTH aus. Und da bekommen wir den selben Anschluß für ein fünftel der Kosten.
Aber naja. Internet ist Neuland in Germany :D
-
Aber naja. Internet ist Neuland in Germany :D
Leider wahr.
Frag mal die Firmen bei uns im Gewerbegebiet am Stadtrand, die hatte lange Zeit DSL mit 16MBit, einzelne mit Glück 50MBit und Privatkunden innerhalb der STadt Kabelinternet mit 500MBit, mittlereile GBit.
Das war für einige Firmen schon Grund, sind nach anderen Standorten im Umland umzuschauen. Die Telekom hat nur Versprechungen gemacht aber mehr passierte nicht.
Dann kam die Deutsche Glasfaser hat innerhalb von 6 Wochen alle Firmen im Gewerbegebiet mit Glasfaser versorgt und alle sind happy. Mittlerweils sind sämtliche Bauernhöfe im Umland an Glasfaser angebunden.
Dann wurde die Telekom auf einmal wach - aber mehr auch nicht.
Aber ich kenne das von eine Vielzahl von Kunden meines ex-Arbeitgebers. Da waren Firmen die hat 50MBit-Leitungen, Anfragen bei der Telekom, wann Glasfaser möglich währe "in 1 bis 2 Jahren", Nachfrage bei den Stadtwerken - nach 2 Wochen lief der Anschluss. Die waren nämlich so schlau und haben bei Strassenarbeiten sämtlichen Firmen direkt Glasfaser ins Gebäude gelegt.
-
Guten Abend Zusammen,
dieses Wochenende war es soweit. Soweit funktioniert alles, wie es soll.
Die Opnsense hängt hinter der Fritzbox, hat die IP (WAN) 192.168.178.100 und auf LAN Seite 192.168.2.x
Soweit so gut. Telefonie per PC über SIP geht auch.
Portfreigaben habe ich über Exposed Hosts gelöst.
Habe nur ein Problem:
https://abload.de/img/2023-02-0501_05_25-fr66fj1.png
Diese Seite kommt, wenn man vom Netz hinter Opnsense z.b einewebsite.de aufruft (welcher hier im Netz auf nem Server liegt).
Von extern (also aus dem Internet) ist alles ok, und die Website wird aufgerufen.
Dachte erst an NAT Reflection, welches ich konfiguriert habe in opnsense, aber nichts bringt.
Weiß da einer weiter?
-
Moin
mal probiert folgende Einstellungen unter Firewall: Settings: Advanced zu setzen:
Alle Einstellungen aktivieren und testen!
Reflection for port forwards
Reflection for 1:1
Automatic outbound NAT for Reflection
Gruß Meditux
-
Danke für die Antwort.
Aber das habe ich bereits gesetzt wie beschrieben.
Ich habe es temporär nun so gelöst, das Pi-Hole die benötigten Domains nach die LAN Adressen übersetzt.