OPNsense Forum
International Forums => German - Deutsch => Topic started by: Meditux on September 22, 2018, 02:36:33 pm
-
Hallo Leute,
ich betreibe folgende Konfiguration:
Eine Fritzbox 7490 die Internet und Telefonie bereitstellt. Die FB hat im LAN die IP 192.168.20.254.
DHCP, WLAN und NAS sind an der FB deaktiviert. Ich nutzte die FB nur für Einwahl ins Internet, Telefonie via DECT und DDNS.
Die FB leitet alles via Exposed Host an die 192.168.20.253 welches die WAN IP der OPNsense darstellt. Als Gateway ist in der OPNsense die 192.168.20.254 eingetragen. Alles funktioniert super es gibt keinerlei Probleme.
Ich bin durch Zufall auf folgenden Betrag gestoßen habe etwas mit der Konfiguration gespielt:
https://forum.opnsense.org/index.php?topic=8541.msg37906#msg37906
Zitat:
Eine (weitere) Firewall ist aber kein 08/15 DHCP Client. Und es ist durchaus richtig, dass es aus verschiedenen Gründen - auch der Diagnose(!) - Sinn macht, eben kein DHCP zu machen, sondern eine feste IP vergeben. ABER: Bei der FB NICHT .254 nutzen, da die FB das gern intern für ihren Quatsch mit FritzNAS und dem ganzen anderen Home Gerümpel Kram nutzt. die .2 oder eine andere IP, die nicht im DHCP Bereich liegt sind sicherer.
Ansonsten ist exposed Host kein Muss, macht aber Sinn. Ist aber auf keinen Fall der Grund, warum es nicht funktioniert.
Der Hinweis an der FB nicht die .254 zu nutzen hat mich stutzig gemacht und ich habe die IP Konfiguration mal wie folgt geändert:
FB LAN = 192.168.20.253 Exposed Host an die 192.168.20.254
OPNsense WAN = 192.168.20.254 GW 192.168.20.253
Das Ganze funktioniert wie gehabt, nur sehe ich auf einmal im Live View der Firewall von OPNsense den ankommenden Trafik von WAN nur noch maskiert.
Sobald ich die ursprüngliche Konfiguration wieder herstelle sehe ich den WAN-Trafik wieder unmaskiert.
Als Quelle wird wieder die echte abgehende externe IP des anfragenden Host dargestellt.
Beispiel: Quelle Ziel
wan Sep 22 14:03:50 211.139.149.3:55450 192.168.20.253:1433 tcp USER_RULE: Block GeoIP
wan Sep 22 14:03:51 92.248.174.34:56776 192.168.20.253:23 tcp USER_RULE: Block GeoIP
Ich kann mir dieses Verhalten im Moment nicht erklären aber vielleicht kann mir jemand von euch auf die Sprünge helfen! Ich möchte es gerne verstehen! Für mich stellt es sich momentan so dar, dass nur wenn die Fritzbox die .254 hält und der Exposed Host auf die .253 geht der Trafik WAN-seitig unmaskiert ankommt!
Über eine Rückmeldung würde ich mich freuen!
Gruß Meditux
-
Warum erlaubst du der OPNsense-FW nicht, direkt PPPoE über die FritzBox zu machen (PPPoE-Passthrough)?
Dann benötigst du den ganzen "Exposed Host" Kram nicht.
-
Danke für die Anregung,
aber mein ISP unterstütz kein PPPoE-Passthrough, des weiteren lauft auf der Fritzbox auch VOIP. Wenn das bestellte vDSL-Modem eintrifft, wandert die FB hinter die OPNsense.
-
Hi Meditux,
ich habe den gleichen Aufbau bei mir, allerdings mit anderen IPs (FB .1, OPNsense .5). Pakete von Extern enthalten in der LiveView als Quelle die externe IP. So muss es auch sein im Routingbetrieb.
Die .254 nutzt die Fritte selbst als Notfalladresse für den Fall das man sich mal "rauskonfiguriert" hat. Sie ist also sowohl unter der in der Oberfläche konfigurierten Adresse (z.B. 192.168.178.1) als auch unter der .254 erreichbar.
Wenn Du die .254 nun zusätzlich auf den WAN Adapter der OPNsense packst, und als "Exposed Host" in der Fritte konfigurierst, wird das höchstwarscheinlich der Grund für das seltsame Verhalten sein. Einmal hast Du dann eine doppelt vergebene IP, und zum zweiten leitest Du dier Pakete sozusagen von der Fritte an sich selbst weiter.
Warum die Pakete in der OPNsense dann aber als maskierte Pakete ankommen, kann ich Dir nicht erklären. Welche Adresse wird denn als Source angezeigt? Die .253, also die offizielle Adresse der Fritte?
Gruß
Jas Man
-
Kurze Anmerkung vorweg: die "Report to moderator" ist keine Klingel um unbezahlten Support zu bekommen! Ich weiß ja nicht, wie das bei euch läuft, aber wenn ich eine Mail schreibe, dann klingle ich auch nicht ein paar Minuten später Sturm am Telefon und frage "Na na na? Hast dus schon gelesen? Und was sagst du? Na!?" Da das Ganze auch noch an Globale Mods und Admins geht - lasst es einfach. Ihr wollt schließlich auch nicht ständig die Leute belästigen, die euch später helfen sollen.
--
Es ist auch ein wenig merkwürdig, Zitate bzw. Kommentare aus dem Zusammenhang zu reißen. Mein Beitrag bezog sich auf das dortige Problem. Der Hinweis mit .1 oder .254 bezieht sich ebenfalls auf eine _default_! Konfiguration der Fritzbox bei DSL oder Kabel. Dabei hat die Box 192.168.178.1 - alleine das ist bei dir bereits anders, da du sie auf .20.254 konfiguriert hast.
Zudem bezog sich mein "nicht auf .254" auf die Sense _dahinter_. Warum sollte man bei einer FB nicht .1 oder .254 nehmen? Weil sie die IPs intern selbst nutzt. Wie JasMan schon geschrieben hat, ist es teils eine Notfalladresse aber auch die interne Adresse für die Fritz!NAS Funktion (und ein paar andere) auf der die Box eine zweite Adresse nutzt um von außen (extern) ggf. Dienste spezifisch erreichbar zu machen ohne damit die ganze WebUI aus Versehen verfügbar zu machen. Daher der Ratschlag, diese Adressen zu meiden, denn je nach Konfiguration - oder Update - könnten diese IPs aktiv sein/werden ohne dass man sich dessen bewusst ist und den Betrieb der Sense dahinter stören.
Zudem ist es einfacher im Falle des "Ausfalls" einer Box mit den Standardwerten zu arbeiten, da man dann die Verbindung wesentlich schneller und ohne längere Konfigurationen wieder an den Start bekommt. Da das "Transfernetz" - also das LAN der Fritzbox, das quasi WAN der Sense - im Fall der nachgeschalteten Sense eh keine wirkliche Rolle spielt (bei exposed Host Setting), sondern auch für VPN und Co oftmals nur das Sense LAN eine Rolle spielt, kann man das eigentlich auf default Einstellung von AVM lassen und ist im Fehlerfall einer Box (Tausch der Box o.ä.) dann schneller wieder online. Aus der Sicht ist mein Kommentar zu verstehen ;) Natürlich kann man alles unnötige abschalten und sichern sowie seine ganz eigenen IP Settings nutzen, dann gilt das nur noch begrenzt :)
-
Kurze Anmerkung vorweg: die "Report to moderator" ist keine Klingel um unbezahlten Support zu bekommen! Ich weiß ja nicht, wie das bei euch läuft, aber wenn ich eine Mail schreibe, dann klingle ich auch nicht ein paar Minuten später Sturm am Telefon und frage "Na na na? Hast dus schon gelesen? Und was sagst du? Na!?" Da das Ganze auch noch an Globale Mods und Admins geht - lasst es einfach. Ihr wollt schließlich auch nicht ständig die Leute belästigen, die euch später helfen sollen.
......
Klar, voll und ganz Deiner Meinung. Um eine Fehlfunktion irgendwo im Forum auszuschließen: ich habe heute Morgen öfters meinen Beitrag editiert, aber bestimmt nicht "die Klingel" gedrückt. Falls die Meldungen von heute Morgen sind, bin ich mir keiner Schuld bewusst.
-
Klar, voll und ganz Deiner Meinung. Um eine Fehlfunktion irgendwo im Forum auszuschließen: ich habe heute Morgen öfters meinen Beitrag editiert, aber bestimmt nicht "die Klingel" gedrückt. Falls die Meldungen von heute Morgen sind, bin ich mir keiner Schuld bewusst.
[/quote]
Nope keine Fehlfunktion und keine Reports von dir. Das war schon recht eindeutig in der Report Mail:
The reporter has made the following comment:
Hi JeGr, bitte bei Gelegenheit mal drüber schauen ;-)
Und nein, normalerweise bewirkt sowas das genaue Gegenteil davon. Da mir das aber bislang noch nicht untergekommen ist, gab es obige "fair warning". Ansonsten darf man mich gern via meinem Arbeitgeber anheuern, dann darf man auch Support Tickets schreiben und sich per Mail oder Telefon wünschen, dass ich irgendwo meinen Senf dazu gebe (oder was heile machen). Dann ist das auch kein Problem.
-
Hi JeG,
kurze Anmerkung vorweg: Das betätigen des Bottons "Report to moderator" habe ich direkt nach dem Auslösen bereut, also sorry, das kommt nicht mehr vor.
Die Zitate bzw. Kommentare waren ich keinster Weise wertend gemeint, es gab auf meiner Seite ein Verständnisproblem bezüglich dem Verhalten meiner Box und ich wollte einfach nur verstehen wie es dazu kommt.
Deine Aussagen im zitierten Post, sowie auch im Reply auf meinen Post sind sind für mich logisch und nachvollziehbar.
Das Thema ist mittlerweile auch vom Tisch, da ein Technicolor DGA4132 jetzt als reines Modem fungiert, die OPNsense die Einwahl macht und die FB nur noch als TK (IP-Client) herhalten muss. Fühlt sich irgendwie sauberer an ;)
Danke für deine Infos und Anregungen.
Gruß Meditux
-
Hi JasMan,
Danke für die Rückmeldung und Infos. Eine doppelt vergebene IP kann ich da nicht erkennen oder ich stehe gerade auf dem Schlauch.
Zitat :Welche Adresse wird denn als Source angezeigt? Die .253, also die offizielle Adresse der Fritte?
Ja, es wurde nur noch die .20.253 (LAN FB) angezeigt.
Das Thema ist mittlerweile auch vom Tisch, da ein Technicolor DGA4132 jetzt als reines Modem fungiert, die OPNsense die Einwahl macht und die FB nur noch als TK (IP-Client) herhalten muss.
Gruß und Dank Meditux