Zugriff auf Fritzbox im Bridge Mode

[carpi2001]

Hallo zusammen,

ich habe Probleme bei folgendem Setup:

Meine Fritzbox läuft im Bridgemode und meine OPNsense Firewall dahinter bekommt eine eigene öffentliche IP Adresse, soweit so gut, doppeltes NAT bin ich damit schon mal los. 

Jetzt möchte ich aber gerne vom LAN auf meine Fritzbox zugreifen, ohne die öffentliche IP zu verwenden. Die Fritzbox Fon App braucht das zum Beispiel.

Fritzbox IP: 192.168.178.1
OPNsense IP: 192.168.1.1

Eigentlich wollte ich die Fritzbox quasi als "Exposed Host" vom LAN aus zugänglich machen. Dem WAN Interface habe ich eine virtuelle IP (192.168.178.4) gegeben. Nun habe ich alle erdenklichen Varianten an statischen Routen, Port Forwarding, 1:1 NAT etc. durch, bringe das aber einfach nicht zum laufen.

Kann mir jemand helfen?

Viele Grüße
Bernd

[micneu]

ich bin mir nicht sicher, bekommst du überhaupt noch eine lokale ip auf der fritzbox im bridgemode?

[carpi2001]

In der Fritzbox Oberfläche wird sie auf jeden Fall angezeigt.

[carpi2001]

Gerade nochmal verifiziert: Wenn ich an der Fritzbox WLAN aktiviere, bekomme ich eine Adresse im .178 Netz und kann dann auch auf die Fritzbox zugreifen.

[micneu]

hast du mal zum testen die anderen switchports von der fritzbox probiert, ich glaube damals bei mir war es der port 1 auf dem ich das wan ip bekommen habe

[carpi2001]

Ich habe nur Port 4 in den Bridge Mode geschaltet. Mein Problem ist aber nicht, dass die OPNsense keine WAN IP bekommen, das klappt wunderbar.

Mein Problem ist der Zugriff aus meinem LAN 192.168.1.0/24 zur Fritzbox (192.168.178.1). Hier müsste die OPNsense den Zugriff auf 192.168.178.1 über das WAN Interface zur Fritzbox schicken.

[Monviech (Cedrik)]

Hallo carpi2001,

ich habe zu diesem Thema vor ein paar Tagen ein Tutorial auf Englisch geschrieben.

https://forum.opnsense.org/index.php?topic=20644.0

Da wird auch behandelt wie man das Fritzbox Interface im LAN erreichen kann. Falls du noch Fragen hast helfe ich dir gerne weiter.

Ich nutze selber eine dieser neuen Fritzboxen im "quasi" Bridge Modus an einer Opnsense.

[carpi2001]

Hallo Cedrik,

danke für Deine Antwort und das umfassende Tutorial.

Ich habe keinen Business Anschluss und damit auch keine statischen IPs, vielleicht macht das aber nichts...

Außerdem verbindest Du die Fritzbox mit zwei Anschlüssen in verschiedenen Netzen (WAN und CONF). Meine OPNsense ist Hardware und hätte auch noch einen Netzwerkport frei, meine Fritzbox steht aber in einem anderen Stockwerk und da muss ich erst schauen, ob ich ein zweites freies Netzwerkkabel verfügbar habe.
Werde das in den nächsten Tagen aber ausprobieren! Ich denke, wenn ich das hinbekomme, sollte die statische Route in der Fritzbox ausreichend sein, um kommunizieren zu können.

Viele Grüße
Bernd

[Monviech (Cedrik)]

Hallo Bernd,

bei mir geht die Fritzbox so mit einem Kabel über mein Stockwerk:

Fritzbox        Netgear Switch UG                 Netgear Switch EG                          OPNSENSE
LAN1  <->     LAN1 (ACCESS VLAN 10)         LAN1 (ACCESS VLAN 10)    <->     Fritzbox CONF
LAN2   <->    LAN2 (ACCESS VLAN 20)         LAN2 (ACCESS VLAN 20)    <->     WAN
                    LAN3 (TRUNK 1,10,20)    <->  LAN3 (TRUNK 1,10,20)

[carpi2001]

Hallo Cedrik,

stimmt, mit VLANs könnte ich das auch machen, habe Ubiquiti Switches.
Wohler würde ich mich aber mit einer physikalischen Trennung fühlen...

Viele Grüße
Bernd

[schnipp]

Ich habe nur Port 4 in den Bridge Mode geschaltet. Mein Problem ist aber nicht, dass die OPNsense keine WAN IP bekommen, das klappt wunderbar.

Mein Problem ist der Zugriff aus meinem LAN 192.168.1.0/24 zur Fritzbox (192.168.178.1). Hier müsste die OPNsense den Zugriff auf 192.168.178.1 über das WAN Interface zur Fritzbox schicken.

Wie hast Du denn ausschließlich den vierten LAN-Port in den Bridge-Modus geschaltet? Ich verwende ein ähnliches Szenrario mit einem Pseudo-Bridge-Modus, indem die Box ein PPPoE-Forwarding macht. Wichtig wäre, zunächst die Erreichbarkeit der Fritzbox-Oberfläche über den Port 4 (ohne Opnsense) zu prüfen.

[carpi2001]

Unter Internet > Zugangsdaten kann ich das konfigurieren. Siehe Screenshot

[schnipp]

Ok, Du hast eine Box für einen Kabelanschluss. Die Boxen für einen DSL-Anschluss bieten diese Option nicht, daher behelfe ich mir mit PPPoE-Forwarding.

@Carpi2001: Prüfe bitte zunächst in einer Direktverbindung, ob die in den Bridgemodus geschalteten Ports weiterhin die lokale IP der Fritzbox an die Schnittstelle (Port) binden, sprich ob die Fritzboxoberfläche über diesen Port weiterhin erreichbar ist. Erst wenn das Fall ist, kann man sich um die Opnsense kümmern.

[Layer8]

Kann man in deiner Fritzbox nen exposed Host definieren? Die meisten geben das her. Wenn die das hergibt, dann wäre eine weitere Möglichkeit, dass du das aktivierst und über diese Anleitung nutzt:
https://forum.opnsense.org/index.php?topic=13527

https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/131_DMZ-in-FRITZ-Box-einrichten/

Der Nachteil beim Modembetrieb ist halt zum einen, dass man immer das Theater hat, wie man denn auf die Bridge kommt. Der nächste Nachteil ist, dass man den recht guten Funktionsumfang von einer Fritzbox kastriert.

Nutzt man die Fritzbox als exposed host, übernimmt die Fritzbox die Anmeldung am Provider und man kann dann damit alle Funktionen der Fritzbox weiter nutzen. Das WAN-Interface ist in dem Szenario nur ein IPv4/IPv6-Client, entweder mit fester Adresse oder über DHCP im gleichen Subnetz der Fritzbox.

Nutzt man die Fritzbox als Einwahl-Device und schaltet einfach nur ohne exposed Host zu aktivieren hinter die Fritzbox, hätte man 2x NAT. Geht, ist aber für gewisse Ansprüche ziemlich unschön. H

Aktiviert man exposed Host auf der Fritzbox, macht sie quasi mit dem kompletten Traffic, der nicht für die Dienste auf der Fritzbox bestimmt ist, eine Weiterleitung an die Sense. Willst du also VoIP auf der Fritzbox nutzen, greift sich die Fritzbox nur die VoiP Daten aus dem Datenstrom.  Die Sense bekommt so sogar die externe IP mit. Da das WAN-Interface dann auch eine IP aus dem Subnetz der Fritzbox hat, kann mit einer einfachen Regel Datenverkehr auf das Webinterface der Fritzbox erlauben.

Hätte ich ne Fritzbox und kein ZyxelModem, würde ich das jedenfalls so machen. Möglicherweise gibt mein Zyxel-Modem das sogar her, aber ich trau dem Sicherheitsstandard und der Updatepolicy von dem Hersteller nicht über den Weg... außerdem hat das Teil nicht so tolle Zusatzfunktionen wie die Fritzbox.

[schnipp]

Der Nachteil beim Modembetrieb ist halt zum einen, dass man immer das Theater hat, wie man denn auf die Bridge kommt. Der nächste Nachteil ist, dass man den recht guten Funktionsumfang von einer Fritzbox kastriert.

Nutzt man die Fritzbox als exposed host, übernimmt die Fritzbox die Anmeldung am Provider und man kann dann damit alle Funktionen der Fritzbox weiter nutzen. Das WAN-Interface ist in dem Szenario nur ein IPv4/IPv6-Client, entweder mit fester Adresse oder über DHCP im gleichen Subnetz der Fritzbox.

Mit PPPoE-Forwarding hast Du einen quasi-Bridgemodus. Hierbei terminiert die Internetverbindung direkt an der Opnsense. Weiterhin bleibt auch hier die gesamte Funktionalität der Fritzbox erhalten und wird zudem noch über die Opnsense geroutet. Das heißt, ich habe seitens der Opnsense mehr Kontrolle über die Kommunikation der Fritzbox selbst und hieran angeschlossene Clients.

Man sollte sich natürlich vor Augen führen, das die Netzwerkzone, in welcher sich die Fritzbox befindet, nicht so sicher ist, wie ein dediziertes LAN hinter der Opnsense. Für Gäste oder den betrieblichen Laptop reicht es aber aus.

Ergänzung:

Hätte ich ne Fritzbox und kein ZyxelModem, würde ich das jedenfalls so machen. Möglicherweise gibt mein Zyxel-Modem das sogar her, aber ich trau dem Sicherheitsstandard und der Updatepolicy von dem Hersteller nicht über den Weg... außerdem hat das Teil nicht so tolle Zusatzfunktionen wie die Fritzbox.

Zyxel hat sich in puncto Sicherheit gerade wieder einen guten Namen gemacht