Konfiguration für Zugriff auf FritzBox

Started by Technikte, May 30, 2021, 02:02:13 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 30, 2021, 02:02:13 PM Last Edit: May 30, 2021, 02:05:54 PM by technikte
Hallo,
da ich irgendwie auf dem Schlauch stehe, hoffe ich das mir jemand weiterhelfen kann. Ich möchte aus dem LAN meiner OPNSense Firewall auf das Webinterface der davorliegenden FB zugreifen welche über ein seperates Interface angeschlossen ist.

Mir kam zuerst eine statische Route oder so in den Kopf, weiß aber auch nicht wirklich weiter im Moment.

Ein Diagramm ist im Anhang zu finden. Falls etwas nicht genau genug beschrieben ist probiere ich dies nachzubessern.

Vielen Dank im voraus schonmal.  ;)
May 30, 2021, 04:32:18 PM #1 Last Edit: May 30, 2021, 04:38:18 PM by mrk45k
Warum eigentlich "WAN2"? Ist das auch als gateway deklariert?
Hat die FB auf Lan 5 einen anderen IPAdressbereich wie auf den anderen Ports?

Zu deinem Problem:
Route sollte gehen zzgl. Interface Rules.

Aber mal eine Frage. Warum macht man das was du da vorhast?
May 30, 2021, 05:18:13 PM #2
Moin technikte,

Wie ist Deine WAN-Schnittstelle konfiguriert?

Die IP Adresse, die Du genannt hast suggeriert, dass Du diese von Provider per PPPoE bekommen hast.

Bei mir (siehe beigefügter Netzplan) will ich "durch" meine OPNsense vom meinem PC auf des DSL-Modem zugreifen. Mein Konfiguration im Details sieht so aus:

  • Das DSL-Modem hat ein feste IP-Adresse: 192.168.A.1
  • Auf der OPNsense habe ich ein PPPoE Device eingerichtet, welches die Netzwerkschnittstelle "zum DSL-Modem" (nennen wir diese Schnittstelle igb0, kann auch eth0, em0 oder ähnlich heißen) nutzt. Dort wird die IP-Adresse von meinem ISP per DHCP vergeben, mein öffentliche IP-Adresse
  • Zusätzlich habe ich auf dieser Schnittstelle (igb0) eine statische IP-Adresse vergeben: 192.168.A.222
  • Damit mein DSL-Modem mit einem Namen ansprechbar ist, habe ich OPNsense auch einen statischen DHCP-Eintrag konfiguriert: 192.168.A.1 -> dsl-modem

Jetzt kann ich von meinem LAN aus über den Namen dsl-modem auf das WebUI von meinem DSL-Modem zugreifen.

Zusammenfassend: Auf dem einem Kabel zwischen DSL-Modem und DSL-Modem laufen zwei Protokolle friedlich nebeneinander: PPPoE und IP

Gruß
Thomas
Don't forget to [applaud] those offering time and brainpower to help you!
May 31, 2021, 08:01:44 AM #3 Last Edit: May 31, 2021, 08:59:04 AM by technikte
Quote from: mrk45k on May 30, 2021, 04:32:18 PM
Warum eigentlich "WAN2"? Ist das auch als gateway deklariert?
Hat die FB auf Lan 5 einen anderen IPAdressbereich wie auf den anderen Ports?

Zu deinem Problem:
Route sollte gehen zzgl. Interface Rules.

Aber mal eine Frage. Warum macht man das was du da vorhast?

Der LAN5 Anschluss ist ein sogenannter Bridge Port bei AVM also das heißt direkt nur mit dem DOCIS Modem verbunden..kein interner Router/Firewall/NAT der FB dazwischen.

Ja, ich habe auf dem Interface auch die Fritzbox (192.168.x.1) als Gateway, welche im Normalfall eigentlich nicht genutzt werden soll weil sozusagen als backup wan Verbindung.
Zu meinem Vorhaben..Ich möchte aus dem LAN auf das Webinterface der FB zugreifen um zB die Modemwerte zu sehen usw.

Quote from: thogru on May 30, 2021, 05:18:13 PM
Moin technikte,

Wie ist Deine WAN-Schnittstelle konfiguriert?

Die IP Adresse, die Du genannt hast suggeriert, dass Du diese von Provider per PPPoE bekommen hast.

Bei mir (siehe beigefügter Netzplan) will ich "durch" meine OPNsense vom meinem PC auf des DSL-Modem zugreifen. Mein Konfiguration im Details sieht so aus:

  • Das DSL-Modem hat ein feste IP-Adresse: 192.168.A.1
  • Auf der OPNsense habe ich ein PPPoE Device eingerichtet, welches die Netzwerkschnittstelle "zum DSL-Modem" (nennen wir diese Schnittstelle igb0, kann auch eth0, em0 oder ähnlich heißen) nutzt. Dort wird die IP-Adresse von meinem ISP per DHCP vergeben, mein öffentliche IP-Adresse
  • Zusätzlich habe ich auf dieser Schnittstelle (igb0) eine statische IP-Adresse vergeben: 192.168.A.222
  • Damit mein DSL-Modem mit einem Namen ansprechbar ist, habe ich OPNsense auch einen statischen DHCP-Eintrag konfiguriert: 192.168.A.1 -> dsl-modem

Zusammenfassend: Auf dem einem Kabel zwischen DSL-Modem und DSL-Modem laufen zwei Protokolle friedlich nebeneinander: PPPoE und IP

Die WAN Schnittstelle  der opnsense box bekommt per DHCP vom ISP eine öffentliche Adresse + präfix, also zum Glück ohne solche Geschichten wie PPPoE.
Ich bekomme also auch 2 öffentliche v4/v6 Adressen/Präfixe vom ISP, nämlich einmal die Fritzbox selbst per DHCP und die opns Firewall per DHCP.
Die Fritzbox hat auf dem LAN4 eine feste IP + auf dem WAN2 einen festen DHCP lease.


So richtig sehe ich noch nicht durch wie ich das konfigurieren müsste und schon gar nicht mit dem "extra" Interface zur Verbindung.
Kann mir jemand ein Beispiel zeigen wie solch eine Route aussehen müsste damit ich aus dem LAN über WAN2 eine Verbindung bekomme.



EDIT: Ein paar Änderungen.. LAN4 Fritzbox ist erreichbar per 192.168.178.1 und am WAN2 ein  fester DHCP lease mit der IP 192.168.178.244

Ein Ping von der Firewall von WAN2 auf die 192.168.178.1 funktioniert (siehe Screenshot) aber aus dem LAN heraus der eigene Host das Ziel nicht erreichbar ist ? (siehe Screenshot)

Die Verbindung um 192.168.178.1 zu erreichen müsste ja über WAN2 gehen, wie kann man das den Geräten im LAN mitteilen bzw. umbiegen damit das klappt ?
May 31, 2021, 01:07:07 PM #4
Hi technikte,

So wie ich das verstehe, benötigst Du keine statische Route. Deine OPNsense muss nur die Erlaubnis bekommen, Pakete aus dem LAN zur Fritzbox zu schicken.

Ich konnte Deine IP-Adresse in Deinem LAN nicht finden. Ich nehme hier einfach an, das Dein PC die IP-Adresse 192.168.5.28 hat und im Netz 192.168.5.0/24 (Dein LAN) hängt.

Im Grundsatz musst Du ein Regel mit folgenden Merkmalen einbauen:

  • Anhängen ans Interface WAN2
  • PASS
  • Source-IP Dein LAN (192.168.5.0/24). Oder nur Dein PC (192.168.5.28) im LAN?
  • Destination-IP: Deine Fritzbox (192.168.178.1)
  • Destination-Port: der Port Deiner Fritzbox, wahrscheinlich 80 (HTTP) oder HTTPS

Mit obiger Regel würde nur der HTTP bzw. HTTPS Zugriff funktionieren. Für ping müsstest Du noch IMCP Pakete erlauben (neue Regel).

Während Deiner Tests, kannst Du das Logging für die neue Regel aktivieren.

Gruß
Thomas

PS: Eigentlich müsste das Ganze auch mit nur einem Kabel funktionieren...
Don't forget to [applaud] those offering time and brainpower to help you!
May 31, 2021, 01:43:03 PM #5
@technikte

Kurze Frage vorweg: Ist das eine Provider 6660 oder eine selbstgekaufte? Denn eigentlich hieß es von AVM, dass Bridge nicht mehr unterstützt wird (weil das u.a. die Provider nicht wollen und man sich so IPs "ergaunern" kann). Daher wundert mich das auch mit LAN5 weil das nirgends offiziell dokumentiert ist? Würde mich interessieren, weil ggf. selbst betroffen wenn Update der Hardware (aktuell ist meine 6591 noch für Bridging freigeschaltet).

Ansonsten: Du musst nur sicherstellen, dass der Traffic an 192.168.1.1 (müsste die FB sein?) aus deinem LAN rausgelassen wird, dass der WAN2 NIC auf der Sense auch ohne "RFC1918 Block private IPs" konfiguriert ist und dass dein Outbound NAT korrekt konfiguriert ist (also Outbound NAT für dein LAN_net via WAN2 nach 192.168.1.1), da die Box sonst nichts zurück schicken kann, weil sie dein LAN nicht kennt.

Alternativ: der Fritzbox die Route für 192.168.5.0/24 beibringen und an die IP von deinem WAN2 schicken lassen.

Das WAN2 sieht mir aber in deinem Plan noch "falsch" aus, denn du schreibst die Fritze hätte 192.168.1.1 - dann solltest du via LAN4 Port auch .1.x als IP bekommen und nicht .244.x - ansonsten bist du ggf. in dem seltsamen Fritz-Gäste-Netz Gedöns und hast das auf LAN4 konfiguriert.

Ich hab das mit meiner bridgenden 6591 auch so konfiguriert:

* LAN1 in bridge mode konfiguriert -> geht an NIC1 der Sense (WAN1)
* LAN2 normal belassen, bekommt static 192.168.178.2 auf NIC2 der Sense und kann da die FB auf .178.1 erreichen
* Outbound NAT auf "no NAT" für Destination 192.168.178.1
* Route auf Fritzbox dass meine LAN Netze via 192.168.178.2 geroutet werden sollen.

Klappt. Zugriff geht dann an die Box ohne NAT und wird einfach durch Routing wieder zurückgereicht. Damit ist die Box via LAN2 greifbar wenn plötzlich mal wieder Vodafone tot ist und ich das verifizieren will indem ich auf die Box schaue. Geht auch aus jedem VLAN hinter der Sense.

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 01, 2021, 09:28:43 AM #6
@JeGr
Es handelt sich um die frei verkäufliche FB 6660 Cable und der Bridge Mode existiert eigentlich in allen Kabelboxen ist aber nur ausgeblended. Der/die Ports welche sozusgen nur zum DOCSIS Modem gehen kann man ja frei wählen daher bei mir der LAN5.
Dies ist aber relativ einfach behebar mit dem config edit..siehe https://www.vodafonekabelforum.de/viewtopic.php?p=696684#p696684 ,aber Vorraussetzung ist dann bei MAX CPE: x  mindestens eine 2 zu haben um 2 öffentliche Adressen zu erhalten. (Dies ist laut meiner Erkenntnis im VFKD Gebiet überall der Fall, wo anderes nicht die Regel!)
Dies ist überprüfbar in den erweiterten support Daten aus der Fritte.
Ps. Die Telefonie darf keine extra Internetverbindung benutzen, also den Haken rausnehmen..sonst sind ja alle Adressen verbraucht.


Der Parameter "RFC1918 Block private IPs" ist natürlich nicht angehakt gewesen die ganze Zeit über.
Ich habe in der Zwischenzeit das mit dem Zugriff anders gelöst weil die Subnetze ja gleich waren und somit die lokalen Geräte im LAN immer keinen Host gefunden haben.

Die FB hat jetzt die 172.16.0.1 und die Opnsense FW an dem Interface zur FB ein festes dhcp lease mit 172.16.0.244 bekommen. Somit kann ich ohne weitere NAT Rules (bis auf die automatisch generierten) oder andere statische Routen auf das  Webinterface der Fritzbox zu greifen.
zb. 192.168.1.35 [device] -> 192.168.1.1 [OPNsense] ~ 172.16.0.244 -> 172.16.0.1 [FritzBox]


Ein anderes Problem was mich noch beschäftigt ist das mein Downstream durch irgendwas begrenzt ist auf ca. ~100 Mbs (bei Nutzung des "LAN5" also dem Bridge Port). Diese Verringerung sehe ich mehr oder weniger nur aus dem LAN der FW heraus, speedtest mit dem plugin auf der OPNsense box selbst zeigen höhere Werte.
- An der Hardware kann es nicht liegen die ist unverändert und ich habe schon mal nahezu gigabit im DS erreicht
- das Interface steht auf 1000baseT <full-duplex>
- vor einiger Zeit habe ich die tuneables aus dem ersten Post übernommen (https://forum.opnsense.org/index.php?topic=6590.0)
Jemand eine Idee dazu ?
June 01, 2021, 04:53:26 PM #7
Hi,

Neuer thread mit passendem Betreff?

Gruß
Thomas
Don't forget to [applaud] those offering time and brainpower to help you!
June 02, 2021, 09:15:37 PM #8
Quote from: thogru on June 01, 2021, 04:53:26 PM
Hi,

Neuer thread mit passendem Betreff?

Gruß
Thomas

Wenn ich mal ausreichend Zeit finde das ordentlich zu dokumentieren dann werde ich nochmal ein neues Thema eröffnen. Für den Moment hat es ausgereicht Surricata (IPS mode zu deaktivieren) und es komplett auszuschalten + ein reboot und schwupss erreiche ich wieder ~1 Gbit/s im DS.
Print
Go Up Pages1
User actions