OPNsense Forum

Hallo, OPNsense Community!

Eine Anfängerfrage habe ich und bitte um Nachsicht, wenn ich etwas Offensichtliches übersehe oder Fachtermini falsch benutze: Ich habe OPNsense auf einem Mini-PC/Firewall mit 4 LAN/Ethernet-Ports installiert. Am WAN-Port des Mini-PC ist ein DSL-Modem (Zyxel VMG1312-B Serie im Bridge Modus, 3 freie Ethernet-Ports) angesteckt. Ich kann nun das GUI über meinen WIN10 PC erreichen. Andere Webseiten kann ich  nicht aufrufen, da noch keine Zugangsdaten (Telekom DSL, kein Glasfaser) hinterlegt sind. Der weitere Plan sieht vor, meine Fritzbox 7490 weiter zu nutzen. Über die Fritzbox laufen DECT-Telefonie (VoIP), DECT-Heizkörperthermostate, integrierter Anrufbeantworter und Faxfunktion (mittels Fritzfax-App). Diese Funktionen möchte ich gerne weiter nutzen. (Die Fritzbox müsste aber nicht unbedingt hinter der Firewall sein.) Über D-LAN sollen noch ein Drucker vom durch die Firewall geschützten PC erreichbar sein. Daneben gibt es noch einen weiteren Windows-PC im Netzwerk, der den Drucker erreichen können, aber nicht unbedingt hinter der Firewall sein muss. Ich habe eine Zeichnung angehängt. Meine Frage ist, wie werden die weiteren Netzwerkkomponenten eingebunden? Wo trage ich dann die DSL-Zugangsdaten ein, um ins Internet zu gelangen? Schon einmal vielen Dank für's Lesen, Hein aus Kiel

Zugangsdaten in das Gerät, das die PPPoE-Verbindung aufbauen soll. Also wahrscheinlich OPNsense. Es gibt aber auch DSL-Modems, die im Bridge-Mode die PPPoE-Verbindung selbst aufbauen können. Kommt darauf an.

Falls die beiden PCs und der Drucker im selben LAN sein sollen: Die Fritzbox als Switch verwenden. Einen Port mit OPNsense verbinden und an die übrigen drei die PCs und den Drucker anschließen. Wichtig nur, in der Fritzbox alle Routing- / NAT- / Firewall-Funktion zu deaktivieren.

Grüße
Maurice

Okay, dann versuche ich das mal herauszufinden, ob mein Zyxel Modem das kann. Falls nicht, wo wäre das in der OPNsense-Konfiguration einzutragen?

Beste Grüße
Hein

https://docs.opnsense.org/manual/interfaces.html?highlight=pppoe
https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Hallo,


ich habe das gleiche Modem in Benutzung.
Die Zugangsdaten sollten in die OPNsense, da das Zyxel-Modem nur als reines Modem (ohne PPPoE) oder als Router (mit PPPoE und mit NAT) funktioniert.

Mach noch ein Firmware-Update auf dem Zyxel und wenn du es einfach haben willst, dann lade die Konfig-datei "Netzumstellung". Dabei wird am LAN-Port4 des Zyxel-Modems der VLAN7-Tag automatich gesetzt und das muss nicht die OPNsene machen. Damit hast du die freie Wahl, ob du WAN-seitig VLAN machen wilsst oder nicht.

Telekom hilft Zyxel-VMG1312-B30A:
https://www.telekom.de/hilfe/geraete-zubehoer/router/zyxel/vmg1312-b30a?samChecked=true


VG

Danke für den Link und die Empfehlungen. Mit VLAN kenne ich mich noch weniger aus. Hoffe erst einmal, es ohne hinzubekommen. VG

Hallo zusammen!

Die Links und Hinweise haben mir sehr geholfen. Vielen Dank dafür! Ich habe die Zugangsdaten in OPNsense hinterlegt und kann jetzt an dem direkt angeschlossenen Haupt-PC ins Internet. Der Mini-PC den ich als Firewall einsetze hat 4 Ethernet-Ports, die mit LAN1 bis LAN4 gekennzeichnet sind. LAN3 ist jetzt mein WAN, dort steckt das Zyxel-Modem dran. LAN4 ist die Buchse für meinen Haupt-PC. LAN1 und LAN2 habe ich unter Schnittstellen konfiguriert: statisches IPv4, kein IPv6. Leider kann ich das an LAN1 angeschlossene Gerät über die definierte IP-Adresse nicht aufrufen. Ich vermute jetzt, dass die IP-Adresse, die ich definiert habe, für die Schnittstelle gilt, nicht aber für das Netzwerkgerät. Wenn das richtig ist, wie finde ich dann die per DHCP diesem Gerät automatisch zugewiesene IP-Adresse heraus? Wenn ich total auf dem Holzweg bin, klärt mich bitte auf. Ich hänge hier schon ein paar Stunden fest..

VG
Hein

Läuft denn überhaupt ein DHCP Server auf diesem Interface? Das sieht Du im Web-UI, Du kannst aber auch probeweise deinen PC an den Port anschließen. Und die Regeln auf dem Interface nicht vergessen.

Ich bin überfragt. Wo sehe ich das mit dem DHCP-Server?  :-[ Ich bin ganz neu in diesem Business und tappe herum wie ein Maulwurf bei Hochwasser...  ;)

Das findest Du! Wenn nicht, dann bist Du mit einer Hardwarefirewall eh nicht gut beraten. Die sind tatsächlich in erster Linie für echte Businesses.

> Wenn nicht, dann bist Du mit einer Hardwarefirewall eh nicht gut beraten. Die sind tatsächlich in erster Linie für echte Businesses.

Das ist bezogen auf die Fragestellung ja nicht unbedingt hilfreich! Das hat auch nichts mit "HW Firewall" zu tun.

> Ich bin überfragt. Wo sehe ich das mit dem DHCP-Server

Der versteckt sich unter "Services" / "DHCPv4" / <Interface> und kann für jedes Interface einzeln aktiviert oder deaktiviert werden. Für das Standard-LAN Interface ist der DHCP von Haus aus an. Definiert man zusätzliche Interfaces (opt1, ...) muss das alles für diese Interfaces erstmal noch eingestellt werden. Ob DHCP benötigt wird, ob DNS darauf erreichbar ist, welcher IP-Bereich verwendet wird, etc. etc.

>  Ich vermute jetzt, dass die IP-Adresse, die ich definiert habe, für die Schnittstelle gilt, nicht aber für das Netzwerkgerät.

Natürlich, denn die Firewall hat mit deinen Geräten im ersten Schritt erstmal gar nichts zu tun, außer dass sie für die konfigurierten Netze (bspw. LAN) das Gateway ist und Dienste wie DHCP, DNS und Co. bereitstellt. Darum braucht sie natürlich eine Adresse in dem Netz dass sie bedient über das andere Geräte sie erreichen können. Klassisch ist das meistens die .1 oder .254 in normalen /24er Netzen aber je nach lokalen Gegebenheiten kann das auch abweichen.

Du definierst also auf dem Interface nicht die Adresse irgendeines Rechners sondern der Firewall und das Netz dass diese dort verwaltet. Es darf also auch nicht das gleiche Subnetz mehrfach verwendet werden nur mit anderen Adressen. Beispiel: LAN auf 192.168.1.1/24 und OPT1 auf 192.168.1.15/24 konfigurieren bringt nichts und wird nicht funktionieren, denn das ist logisch das gleiche Netz (192.168.1.0-255) und es dürfen nicht zwei unterschiedliche Interfaces das gleiche Netz bedienen, da ansonsten das Gerät nicht weiß, wohin es die Pakete jetzt schicken soll.

Wenn du hier mehrere Geräte einfach im gleichen Netz zusammenschalten willst, nimm lieber einen normalen Switch und schließe den dann an das LAN (ich vermute LAN4 wo dein PC sitzt) an, dann erhältst du wahrscheinlich eher das was dir gerade vorschwebt.

> Wenn das richtig ist, wie finde ich dann die per DHCP diesem Gerät automatisch zugewiesene IP-Adresse heraus?

Wenn auf der Schnittstelle DHCP läuft, dann siehst du vergebene Adressen unter Services / DHCP / Leases.

Danke @JeGr, für die ausführliche, verständliche - und nachsichtige - Antwort. Das hilft mir sehr weiter und mein Verständnis für die Zusammenhänge nimmt allmählich zu.

Danke auch an @Bob.Dig, das war wahrscheinlich motivierend gemeint. Ein "echtes Business" betreibe ich schon, aber keines, das die Kosten für eine HW-Firewall inkl. Servicedienstleistungen tragen würde. ;-)

Ich tüftle dann gleich mal weiter!
LG

Update zu meinem Problem:

Der DHCP-Server läuft auf dem Standard-LAN Interface. Ich hatte an den anderen Schnittstellen falsche IP-Adressen und Adressbereiche definiert und versucht, die Firewall wie einen Netzwerk-Switch zu verwenden.  ::)

Das Gerät, das ich im Ursprungspost nicht aufrufen konnte, habe ich jetzt wieder an die Fritzbox geklemmt (wie vor der Installation der OPNsense). Leider kann ich es im Fritzbox-Heimnetz-Mesh immer noch nicht sehen. Kann es sein, dass das daran liegt, dass in diesem Netzwerkgerät eine feste IP-Adresse eingetragen ist, die von dem Adressbereich der Fritzbox abweicht?

Soll ich mir nun einen Netzwerk-Switch besorgen oder kann die Fritzbox dazu dienen?

Schönen Abend allen,

Hein

also, ich habe mir nicht mehr alles durchgelesen, aber ich würde ganz einfach:
modem <--> sense <--> lan (z.b. switch) wenn du telefinie benötigst würde ich eine  fritz im clientmodus nehmen und da voip einrichten. ganz simpel
ähnlich ist mein setup, nur das ich kein modem brache da ich glas habe
alles was aus dem lan erreichbar sein soll kommt an den switch der sense (am besten einen managed Layer 2)
wenn du noch auf ideen kommst mit gästelan oder was auch immer

Okay, Switch ist der Weg. Danke für den Plan, ich habe das gleiche Fritzbox-Modell. Mal sehen, wie weit ich damit komme.

VG

Hallo, hilfreiche Geister!

Ich kann berichten, dass ich alles soweit hinbekommen habe. Vielen Dank für die Hilfe! Ich habe mir einen Switch besorgt, die Fritzbox im Client-Modus ist jetzt nur noch für das kabelgebundene Festnetztelefon, Anrufbeantworter und die DECT-Geräte (Telefone und Thermostate) und gelegentliches (Gast-)WLAN zuständig. Alles andere läuft über die OPNsense und den Switch.

Leider funktioniert die IP-Telefonie nur halb: Sowohl bei aus- als auch bei eingehenden Gesprächen klappt zwar scheinbar der Verbindungsaufbau, aber man hört (sich) nicht und nach 10 sec. bricht die Verbindung ab. Ich bin bis zu diesem Ergebnis dieser Anleitung https://www.mg-sky.de/2018/05/11/voip-mit-einer-firtzbox-7490-hinter-opnsense/ (https://www.mg-sky.de/2018/05/11/voip-mit-einer-firtzbox-7490-hinter-opnsense/) gefolgt.

Einen schönen Abend!

zu voip sind im forum unzählige themen. nutze einfach die forum suche. ich hatte bei mir damals nur eine outbound nat regel erstellt. mehr nicht

Hallo,

heute kann ich berichten, dass mich micneu's Hinweis mit den NAT-Regeln hier im Forum auf unten stehenden Post geführt hat. Damit klappt jetzt die VoIP von meiner Fritzbox 7490 (Telekom DSL-Anschluss) hinter der OPNsense tadellos.

Ganz herzlichen Dank an alle und ein schönes Wochenende!

Hein

Quote from: BlaCKJaCK on April 24, 2020, 09:32:26 AM

Moin,

du hast zwar jetzt ein funktionierendes Setup, aber angesichts der aktuellen Energiesituation kannst du den Aufbau auch nochmal überdenken. Du verlierst dadurch keine Funktionen, die du im ersten Beitrag geschrieben hast.

Folgendes Szenario wäre dann anzuwenden:


Telefondose <-> Fritzbox <-> Port1/WAN OPNsense <-> Port2/PC1, Port3/PC2, Port3/Drucker

Vorteile:
- Man kann die Statistiken der DSL-Leitung in der Fritzbox anzeigen lassen (Zyxel ist da nicht so auskunftsfreudig)
- Du kannst das Zyxel-Modem und auch den extra Switch weg lassen, was Strom spart.
- Da die Fritzbox dann immer laufen kann, steht auch immer Smart-Home und VoIP zur Verfügung.
- Wenn kein PC oder Drucker benötigt wird, kannst du dann sogar auch die OPNsense mit ausschalten, sofern das praktikabel ist.
- Du hättest auch gleichzeitig noch immer einen Accesspoint für mobile devices laufen.
- Du würdest auch vom PC1/PC2 auf das Web-Interface der Fritte kommen.

So wäre das Vorgehen:

- Die Fritzbox baut die PPPoE-Verbindung ins Internet auf, hat somit auch die Zugangsdaten gespeichert.
- Zwischen Fritte und OPNsense wird ein Transfernetz eingerichtet, zum Beispiel Fritzbox hat intern die 192.168.178.1/24 und die OPNsense mit dem WAN-Anschluss die 192.168.178.2/24 (jeweils beide als feste IPs). Die OPNsense bekommt dann auf dem WAN-Anschluss die 192.168.178.1 als Gateway und DNS-Server eingetragen.
- In der Fritzbox wird dann die IP der OPNsense 192.168.172.2 als Exposed Host eingetragen. Das hat zur Folge, dass die Frotzbox stumpf jeden Traffic an die OPNsense weiter leitet. Somit sind keine Portforwardings notwendig. Die Fritzbox leitet nur die Protokolle nicht weiter, die sie selbst auf dem DSL-Anschluss nutzt (also VoIP wird nicht zur OPNsense geleitet, etc.).

In der OPNsense kann dann trotzdem gefiltert werden, welche Geräte intern miteinander kommunizieren dürfen.

Es gibt in dem Szenario noch ein paar andere, technische Vorteile, die bei dir aber nicht unbedingt zum Tragen kommen:
- PPPoE könnte nicht für CARP genutzt werden
- PPPoE wird auf der OPNsense immer nur mit einem Thread berechnet, weil das darunter liegende FreeBSD nicht mit zwei oder mehr Kernen PPPoE handeln kann. Das kann, je nachdem auch zum Bottleneck werden

@Layer8: sorry dann kannst du genauso empfehlen "wenn du stromsparen willst lass die sense weg und nutze nur die fritzbox". ich sehe es so wenn ich mir den strom nicht für eine sensee nicht leisten kann sollte man das thema sense einfach lassen. und willst du mir wirklich erzählen das du immer deine sense ein und aus machst, wozu setzt du dann eine sense ein?

Mal ganz abgesehen davon, dass z.B. die kleinen Deciso-Appliances 20W oder weniger verbraten.

Holla, ich wollte hier keine Gefühle verletzen. Wo ist denn euer Problem? Selbst wenn die Sense in dem von mir geschilderten Szenario durchläuft, kann er sich in jedem Fall den Switch und das Zyxel-Modem sparen.

Aus OPs erstem Beitrag geht außerdem hervor, dass er zwei PCs und einen Drucker hat, die er trennen will. Er schreibt explizit, dass die Fritte nicht zwingend hinter der Sense laufen muss. Also wo widerspricht denn mein Vorschlag jetzt den Anforderungen?

Ziemlich sicher darf angenommen werden, dass OP die Geräte an der Fritte durchgehend nutzen will (IoT-/Smart-/ VoIP-Devices). Dafür brauchts echt keine Sense, denn das macht die Fritzbox bestens und sicher noch dazu, vor allem wenn das alles AVM-Endgeräte sind. Die Sense vor die Fritte zu schalten, nur dass hier mit aller Gewalt eine Sense davor ist und ständig durchrennt, bringt in dem Szenario keinen Mehrwert. Mir fällt grad nicht ein was die Sense machen soll, dass da ein wirklicher Vorteil entsteht.

Selbst wenn man noch berücksichtigt, dass die Fritte noch Accesspoint für Smartphones spielt, ist das für die meisten Anwender völlig ausreichend und setzt nicht zwingend eine Sense dazwischen voraus. Das macht erst dann Sinn, wenn man Traffic von den Smartdevices irgendwie filtern will oder sonstige Sachen auf der Sense macht, die mit der Fritte nicht gehen.

Es darf auch angenommen werden, dass die zwei PCs und der Drucker nicht ständig laufen. Daher kann auch die Sense im von mir skizzierten Szenaio abgeschalten werden sobald die drei Endgeräte aus sind, aber es ist kein muss. OP ging es darum, die PCs und den Drucker zu filtern und das geht mit meinem Vorschlag ohne Probleme. Egal ob man die Sense aus schaltet wenn sie nicht benötigt wird oder sie einfach durchläuft.

Ich halte die Sense für ein großartiges Stück Software, aber ich muss nicht jedem einenen Anwendungsfall aufs Auge drücken, der gar nicht gefragt war. Jedenfalls verbaut er sich mit der Konfiguration auch nicht wirklich was. In der heutigen Zeit die Möglichkeit aufzuzeigen, wie man Ressourcen sparen kann schadet jedenfalls nicht. Zumindest wenn dadurch nicht mal ein Featurecut entsteht.

Ich hab meine Sense übrigens durchlaufen. Aber ich hab auch ein wesentlich komplexeres Netzwerk zu Hause als nur zwei PCs und einen Drucker.

Im Grunde soll jeder selber entscheiden welchen Strom er verbraten will und ich will hier jetzt auch gar nicht die Moralkeule schwingen. Trotzdem verbraucht der bisherige Aufbau dauerhaft etwa 30Watt mehr als mein Alternativvorschlag:

Mein Szenario 8-10Watt:
Fritzbox dauerhaft 8-10Watt

Euer Szenario 40-45Watt:
Fritzbox dauerhaft 8-10Watt
Zyxel dauerhaft 8-10 Watt
Extra Switch dauerhaft 4-5Watt
Sense 20Watt

gut, nur ich sehe es so das man dann sich die sense echt sparen kann nund nur die fritzbox einsetzt. bei meinem setup würdee ich ein problem haben mit einer fritzbox

                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoe)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
                                                          │
┌────────────────┐   ┌────────────────┐       ╔══════════╩════════════ pfSense+ 22.05 ══╗    Stand: ─ ─ ┐
│                │   │     Switch     ├───────╣                                         ║  │
│    TrueNAS     ├───┤  USW-Flex-XG   │       ║                Intel NUC BNUC11TNHV50L00║    23.09.2022 │
│                │   │                ├────┐  ║                      LAN: 192.168.3.0/24║  │
└────────────────┘   └────────┬───────┘    │  ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
                               │            │  ║       IoT WLAN (VLAN34): 192.168.34.0/24║
                      ┌────────┴───────┐    │  ║     DynDNS über deSEC mit eigener Domain║
                      │      UBNT      │    │  ║                                   VPN's:║
                      │EdgeSwitch 8 XP │    │  ║         2 x Fritzbox (7490 & 6591) IPSec║
                      │                │    │  ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                      └───┬────────────┘    │  ║               1 x WireGuard Road Warrior║
┌────────────────┐       │                 │  ║                         (172.16.33.0/24)║
│ Fritzbox 7490  │       │                 │  ╚═════════════════════════════════════════╝
│   (Nur VoIP)   ├───────┤                 │
│                │       │               ┌─┴──────────────┐     ┌────────────────┐   ┌────────────────┐
└────────────────┘       │               │     Switch     │     │     Switch     │   │    1 x UBNT    │
┌────────────────┐       │               │  USW-Flex-XG   ├─────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│
│      UBNT      │       │               │                │     │                │   │                │
│UniFi Cloud Key ├───────┤               └───────┬────────┘     └─────────┬──────┘   └────────────────┘
│                │       │                       │  ┌────────────────┐    │          ┌────────────────┐
└────────────────┘       │                       │  │                │    │          │                │
┌────────────────┐       │                       └──┤    Clients     │    └──────────┤    Clients     │
│    2 x UBNT    │       │                          │                │               │                │
│UniFI AP AC Pro ├───────┘                          └────────────────┘               └────────────────┘
│                │
└────────────────┘


Ja, klar, ich würde mit der Fritte auch nicht weit kommen. Aber es geht ja nicht um deine oder meine Anforderungen ;-)

Und nein, mit der Fritte würde OP auch nicht weit kommen. Er will ja offensichtlich PC1, PC2 und Drucker trennen. Das geht mit der Fitte nicht, aber mit der Sense.

Die eigentliche Frage ist doch: weshalb will man 2 PCs und einen Drucker trennen?

Hi, sehr interessant Eure Diskussion und vielen Dank dafür!

Ich muss sagen, dass meine Vorstellungen, wie Netzwerk und Sicherheitsarchitektur aussehen sollen, genauso wie mein Wissen darüber, wie die Technik dahinter funktioniert, sich im Laufe dieses Theads geändert und erweitert haben. Heute würde ich sagen, dass das gesamte Netzwerk maximalen Schutz erhalten soll, d. h. PC1, PC2 und Smartphone im WLAN.

Das mit der Energie und dem Verzicht auf zwei der Geräte hätte ich gerne früher bedacht, jetzt habe ich alles so schön an die Wand gebohrt und chic verkabelt. Ist vielleicht doof, aber ich will das jetzt nicht schon wiederauseinander reißen.  ;-)

Vermutlich hat die Firewall bei mir wirklich nichts Ausgefallenes zu erledigen. Das einzige,  was noch nicht klappt, ist der Zugang über die Fritz!App von unterwegs und Teamviewer-Aufschaltungen von außen. Vermutlich muss ich hier noch die entsprechenden Regeln definieren?

Allen einen einigen Feiertag!

@Heikiel, wozu brauchst du die fritzapp, auf was willst du zugriefen?
meine empfehlung:
- erstelle dir ein vpn auf der sense, so hast du dann auf alle resourcen in deinem netzwerk von unterwegs zugriff

Ich will den Anrufbeantworter und die Heizkörper steuern können...

@Layer8:

Also mal von irgendwelchen hochgekochten Gefühlen abgesehen: Wo ist denn bei deinem Vorschlag:

> Telefondose <-> Fritzbox <-> Port1/WAN OPNsense <-> Port2/PC1, Port3/PC2, Port3/Drucker

bei dem ich vermute, dass die beiden PCs am Port 2/3 der Fritte und der Drucker auf 4 sollen, denn die Netztrennung? Wenn die an einem Switch (der Fritte) hängen, ist da keine Netztrennung vorhanden, von der im OP die Rede war. Damit hängen einfach alle Geräte an der Fritte gleichberechtigt nebeneinander. Da kann man jetzt zwar tumb den PCs und dem Drucker die Sense als GW geben, aber ein effektives wirkliches LAN oder mehrere LANs existieren da nicht, denn die müssten hinter der Sense sein und nicht parallel daneben.

Verstehe da nicht wie man das als "filterndes Setup" beschreiben möchte?

Cheers

Was du vermutest, ist schlicht was anderes wie es gemeint war. :)

Im ersten Beitrag steht, dass die Hardware auf der seine Sense läuft vier Netzwerkports hat. Seine Sense hätte beispielsweise dann folgende Konfig:

Port 1: WAN-Interface der Sense mit z.B. 192.168.178.0/24er Netz. Da käme dann ein beliebiger Switchport der Fritte dran.
Port 2: LAN-Port mit PC1. 192.168.10.0/24
Port 3: OPT1-Port mit PC2. 192.168.20.0/24
Port 4: OPT2-Port mit Drucker.  192.168.30.0/24

Danke :) Macht so auch gleich mehr Sinn, konnte ich so aus dem ursprünglichen Posts nicht rauslesen ;)

Klar, wenn man nur diese 3 Geräte hat und die dann so anklemmen kann (hängt vom Drucker ab, ob er das mit sich machen lässt), ist das natürlich ne Option. "Notfalls" könnte man das auch bridgen.

Aber jetzt verstehe ich die Idee dahinter :)

Das würde ich definitiv bridgen. Allein schon, damit die PCs den Drucker über den üblichen Multicast-Murks "sehen" ohne Verrenkungen auf der Firewall.

Genau das :)

May I humbly ask something else?  :-\

Ich bräuchte noch eine Regel, um mit meiner Fritz-App von außen durch die Firewall zu kommen. Wie konfiguriere ich das?

Ich habe zwischenzeitlich 6 Ports meines Switch belegt, so dass es vermutlich gar nicht ohne gegangen wäre. Am Wochenende schalte ich das ganze Gedöns inkl. Fritzbox mittels Steckerleiste aus und überlasse den AB der Telekom-Voicemail.

HG

Ohne dass irgendwo was steht, welche Ports die FritzApp nutzt, wirst du nicht weit kommen. Wenn es da nur um Zugriff auf die Box geht per HTTPS, dann sollte das leicht sein. Wenn du die Telefonie App meinst - meh. Das könnte häßlich sein ohne VPN.

Ich will natürlich auch den Firewallschutz nicht durchlöchern für die MyFritz!App und ggf. Ports öffnen, die dann ein Risiko darstellen. Komme ich denn von außen auf das Webinterface der Fritzbox (bzw. deren interne IP)? Wie müsste ich ein solches VPN einrichten?

Einfach bspw. OpenVPN Zugriff von extern konfigurieren und auf dem Telefon einrichten, das sollte dann nicht sonderlich Probleme machen.