Zugriff auf Fritzbox im Bridge Mode

[carpi2001]

@Carpi2001: Prüfe bitte zunächst in einer Direktverbindung, ob die in den Bridgemodus geschalteten Ports weiterhin die lokale IP der Fritzbox an die Schnittstelle (Port) binden, sprich ob die Fritzboxoberfläche über diesen Port weiterhin erreichbar ist. Erst wenn das Fall ist, kann man sich um die Opnsense kümmern.

Werde ich machen. Danke für den Tip.

Kann man in deiner Fritzbox nen exposed Host definieren? Die meisten geben das her. Wenn die das hergibt, dann wäre eine weitere Möglichkeit, dass du das aktivierst und über diese Anleitung nutzt:
...

Ja, das hatte ich auch so am Laufen. Damit habe ich aber dann doppeltes NAT und das ist z.B. für Online Gamen mit der Xbox einschränkend.

Mit PPPoE-Forwarding hast Du einen quasi-Bridgemodus. Hierbei terminiert die Internetverbindung direkt an der Opnsense. Weiterhin bleibt auch hier die gesamte Funktionalität der Fritzbox erhalten und wird zudem noch über die Opnsense geroutet. Das heißt, ich habe seitens der Opnsense mehr Kontrolle über die Kommunikation der Fritzbox selbst und hieran angeschlossene Clients.

PPPoE geht im Vodafone Kabelnetz m.W. leider nicht.

[schnipp]

PPPoE geht im Vodafone Kabelnetz m.W. leider nicht.

Korrekt, bei Kabelanschlüssen gibt es kein PPPoE, diese setzen auf DOCSIS.

Eigentlich solltest Du froh sein, dass es das dort kein PPPoE gibt. PPP ist ein Relikt aus alten Zeiten und nur historisch bedingt bei DSL-Anschlüssen zu finden. PPPoE eröffnet mir in Verbindung mit der Fritzbox, dass sich die Opnsense direkt mit dem Internet verbinden und ich die Funktionalität der Fritzbox weiternutzen kann.

Lieber wäre mir, DSL ohne PPPoE und dafür in der Fritzbox die DSL-Schnittstelle mit einer LAN-Schnittstelle in eine gemeinsame VLAN-Gruppe mit Tagging zu stecken. Das unterstützt das FritzOS aber leider nicht.

[Layer8]

Off-Topic:

schnipp bist du sicher, dass du tatsächlich "Exposed Host"-Funktion genutzt hast und deine zweite Firewall nicht einfach nur DHCP-Client war und die Fritzbox als Gateway genutzt hast? In dem Fall wäre nämlich 2x NAT da.

Bei der Exposed Host-Funktion bekommt der entsprechende Host alles was an die Internet-IP von der Firewall geschickt werde stumpf ohne Adressübersetzung durchgereicht. Würde man quasi die IP eines ungeschützten PCs als Exposed Host in der Fritzbox eintragen würde dieser PC ungefiltert alles ab bekommen, was auf die Internet-IP der Fritzbox geschickt wird.

So gesehen könnte man auch einfach sagen, dass die Fritzbox Portforwarding für alle Ports an diese IP-Adresse macht. Mit dem Vorteil eben, dass die Fritzbox sich um die Einwahl kümmert und dann Telefoniedienste der Fritzbox genutzt werden können (und falls es weitere brauchbare Dienste auf der Fritzbox gibt (?), stünden die auch noch zur Verfügung).

Bevor ich das wusste, hab ich mich immer davor gesträubt, ne Fritzbox zu kaufen, weil das im Bridge-Modus eigentlich rausgeschmissenes Geld ist, wenn man die im privaten Umfeld doch recht brauchbaren Hardwarefunktionen wie VoIP und DECT eh nicht mit Bridgemode nicht hätte nutzen können.

Ein Kumpel nutzt das an seinem UnityMedia Kabelanschluss so. An der Fritzbox muss er absolut nix mehr rumfrickeln, alle Firewallsachen, Serverdienstfreigaben usw. macht er nur an der sense. Das WAN-Interface der sense ist dabei lediglich als IPv4/6-Interface konfiguriert und die sense kennt dabei sogar auch immer die tatsächlich aktuelle IP-Adresse der Internetverbindung der Fritzbox, somit laufen auch alle DNS-Registrierungen auf der sense.

https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/016/hilfe_exposed_host

Aber gut... Bridgemode ist ja auch nicht zu verachten.

Zum Topic:

Ich bin gerade dabei von pfsense auf opnsense umzusteigen und dieses Thema hat mich auch beschäftogt. Ich hab es jetzt an einem DSL-Anschluss mit PPPoE so gelöst (es geht grundsätzlich, aber es fehlen noch ein paar Regeln):

Meine Sense hat 3 NICs. Eines nutze ich für WAN-Sachen (vmx0), eines für alles andere für untagged LAN und mehrere lokale Netze mit tagged VLANs (vmx1) , das dritte (vmx2) ist aktuell ungenutzt. Die NIC für WAN is so eingerichtet:

Das Modem ist im Bridge Mode an vmx0 angeschlossen. Das Modem hat die IP 192.168.0.1/24
vmx0 ist dabei device für ein PPPoE Interface.
vmx0 ist aber zusätzlich noch device für IPv4+6-Interface und hat die IP 192.168.0.254/24
vmx1 ist das interne LAN mit der IP 192.168.1.254/24


Sieht dann so aus wie im Anhang. Nur nicht verwissen lassen: Tatsächlich ist das vmx0_WAN_PPPoE_DSL-Interface das, welches fürs NAT da ist und in der Config auch als WAN betitelt ist. Das Interface welches vmx0_WAN heißt ist in der Config eigentlich ein OPTx-Interface und macht kein NAT.

Da ich erst von pfsense auf opnsense umsteige freut es mich, dass das bei opnsense prinzipiell so geschmeidig geht. Das hab ich bei der pf zwar auch schon probiert, aber das hat damals vor Jahren nicht geklappt. Da musste man irgendwelche merkwürdigen Verrenkungen mit Outbound-NAT Regeln machen oder so... genau weiß ich es nicht mehr.

Man benötigt dann halt nur noch ein paar Firewall-Regeln, dass auch tatsächlich nur das HTTP/HTTPS und ggf. noch SSH-Interface durch das WAN-Interface kommt. EIGENTLICH kann ja über das WAN-Interface nix schlimmes wenn man unterstellt, dass das Modem im Bridge-Modus sicher ist.

Woran ich aktuell scheite ist, eine Regel zu erstellen, die tatsächlich _nur_ die HTTP/HTTPS/SSH-Kommunikation zum Modem zulässt - und zwar nur wenn man von LAN oder anderen internen Netzen drauf zugreifen will. Da ich manchen internen Netzen noch "erlaube alles in andere Netze" habe, greifen meine Block-Regeln in das vmx0_WAN-Netz nämlich irgendwie nicht so recht.

Jemand n Tipp?

[schnipp]

Off-Topic:

schnipp bist du sicher, dass du tatsächlich "Exposed Host"-Funktion genutzt hast und deine zweite Firewall nicht einfach nur DHCP-Client war und die Fritzbox als Gateway genutzt hast? In dem Fall wäre nämlich 2x NAT da.

Meintest Du eventuell Carpi2001? Ich verwende nämlich kein Exposed Host.

Bei der Exposed Host-Funktion bekommt der entsprechende Host alles was an die Internet-IP von der Firewall geschickt werde stumpf ohne Adressübersetzung durchgereicht.

NAT (DNAT) kommt hier dennoch zum Einsatz, da der Exposed Host eine private IP-Adresse besitzt.

Das Modem ist im Bridge Mode an vmx0 angeschlossen. Das Modem hat die IP 192.168.0.1/24
vmx0 ist dabei device für ein PPPoE Interface.
vmx0 ist aber zusätzlich noch device für IPv4+6-Interface und hat die IP 192.168.0.254/24
vmx1 ist das interne LAN mit der IP 192.168.1.254/24

Scheint in etwa meiner Konfiguration mit PPPoE-Forwarding zu entsprechen.

Woran ich aktuell scheite ist, eine Regel zu erstellen, die tatsächlich _nur_ die HTTP/HTTPS/SSH-Kommunikation zum Modem zulässt - und zwar nur wenn man von LAN oder anderen internen Netzen drauf zugreifen will. Da ich manchen internen Netzen noch "erlaube alles in andere Netze" habe, greifen meine Block-Regeln in das vmx0_WAN-Netz nämlich irgendwie nicht so recht.

Jemand n Tipp?

Verstehe die Problematik bzw. Deine Formulierung nicht ganz. Eine explizite Regel, die die obigen Dienste auf dem Modem erlaubt, gefolgt von einer Regel auf alle Netze, die nicht dem Modem-Netz entsprechen, sollte reichen (Annahme, dass Zugriffe ohne Regel verboten sind - Default Deny).

[Layer8]

Sorry ja, hab euch verwechselt.

Mit DNAT hast du auch Recht. Gibts Protokolle, die damit Probleme machen?

Mir ist noch ein weiterer Vorteil von "Exposed Host" / DNAT eingefallen: Mit PPPoE ist meiner Recherche nach aktuell kein stabiler Failover / HighAvailability-Betrieb möglich. Dafür braucht man ein WAN-Interface mit (am besten) statischer IP.

PPPoE-Forwarding bringt imho nur was, wenn man mehrere PPPoE-Verbindungen aufbauen kann/darf. Eine für den vorgeschalteten Router (Fritzbox, um deren Hardware-Funktionen wie voip+dect zu nutzen), eine für die sense. Seit Januar 2015 ist der Aufbau von zwei Zwei PPPoE-Verbindungen bei der Telekom nicht mehr möglich. Dabei spielt es keine Rolle, ob man die zwei Verbindungen mit dem selben DSL-account aufbauen will oder vielleeicht sogar über zwei DSL-accounts verfügt. Bei welchem Provider bist du, dass das (noch) geht?


Was die Regel angeht:

Default Deny ist aktiv.

Ich hab ein Verständnisproblem/Knoten im Kopf beim Anlagen der Regel, um von internen Netzen auf SSH/HTTP/HTTPS des Modems zu kommen. Um das nochmal zu verdeutlichen, sieht mein Netz so aus:

         ISP / DSL
             :
             :
             :
      .-----+-----.
      |  Modem  |  (Bridge Mode)
      '-----+-----'
             | 192.168.0.1/24
             |
             |
             | PPPoE (vmx0_PPPoE -> sense-intern das eigentlich WAN-Interface)
             | 192.168.0.254/24 (vmx0_WAN -> sense-intern ein OPT-Interface)
      .-----+----------.   
      |  OPNsense  |
      '--+------------'   
          | 
          |    192.168.1.254/24 (vmx1_LAN untagged)3
          |    + 192.168.2.254/24 (vmx1_OPTx via VLAN)
          |    + weitere 192.168.x.254/24 interfaces als OPTx auf vmx1 via VLAN
         
vmx1_LAN (192.168.1.254/24) hat noch die Standardregeln "Default allow LAN to any rule" in IPv4- und IPv6-Variante drin. Ich hätte daher angenommen, dass ich mindestens aus diesem Netz auf 192.168.0.1 Zugreifen kann (wegen stateful firewall). Das klappt aber nicht.

Pingen des Modems von der sense geht.

Weill ich nicht weiter wusste/zum Testen hab daraufhin noch eine Regel auf vmx0_WAN hinzugefügt (hat aber auch nicht geklappt):
Pass - Int.=vmx0_WAN - out - IPv4 - Protocol any - Source "internen_Netze" - Destination "Host = 192.168.0.1" - Destination port range "HTTP_HTTPs"

interne_Netze = Aliase vom Typ Netze ; enthält internen Netze wie 192.168.1.0/24, 192.168.2.0/24, etc...
HTTP_HTTPs = Alias vom Typ Ports ; enthält Port 80 und 443

Um SSH würde ich mich kümmern, wenn HTTP/HTTPs geht.

Wo liegt mein Denkfehler?

[Layer8]

Ich glaub ich hab den Fehler gefunden.

Auf dem LAN-Interface des Zyxel DSL Modems ( VMG1312-B30A )  kann man keinen Gateway definieren. Das Modem ist nicht dafür ausgelegt, auf der internen Schnittstelle einen Gateway zu kennen. So kann natürlich kein Paket den Weg zurück in die anderen Netze finden...

Ich müsste die opnsense also doch wieder so konfigurieren wie die pfsense (ich glaub das war irgendwie über eine outbound NAT regel?). Edit: Ja, so wars, das geht... Hier gibts ne Anleitung für die Regel:
https://www.monsterli.ch/blog/netzwerk/pfsense/pfsense-zugriff-auf-das-adsl-modem-uber-pfsense/

Ein anderer Workaround wäre: Man kann bei diesem Modem die Ports des integrierten Vier-Port-Switches separieren. Heißt: Ich könnte die DSL-Bridge auf Port 1 legen, das Managementinterface vom Gerät dann in ein separates Netz auf Port 2-4. Dann müsste ich aber das Modem wiederum mit einem zweiten Kabel in ein internes Netz patchen. Viel schlimmer wäre: Ich hätte dann dieses Gerät direkt in einem der anderen Netze. Will ich nicht...

Wenn ich das richtig gesehen habe, beherrscht das Zyxel doch sowas wie Exposed Host. Wenn dem so wäre, würde ich dann doch lieber den Weg darüber gehen... Dann wäre wenigstens HA mit zwei sensen möglich.

So viele Möglichkeiten.

Oder es kommt doch noch ne Fritzbox her...

[Roger2k]

Ich hatte dazu mal meine Config gezeigt, siehe meine Beiträge dazu in diesem Thread: https://forum.opnsense.org/index.php?topic=16010.msg73405

Damit konnte ich auch auf das Webinterface meines Zyxel VMG1312-B30A zugreifen.

[schnipp]

Sorry ja, hab euch verwechselt.

Mit DNAT hast du auch Recht. Gibts Protokolle, die damit Probleme machen?

Sollte bei heutzutage verwendeten Protokollen nicht mehr der Fall sein.

Mir ist noch ein weiterer Vorteil von "Exposed Host" / DNAT eingefallen: Mit PPPoE ist meiner Recherche nach aktuell kein stabiler Failover / HighAvailability-Betrieb möglich. Dafür braucht man ein WAN-Interface mit (am besten) statischer IP.

Dafür sind die PPPoE-Szenarien tatsächlich nicht ausgelegt.

PPPoE-Forwarding bringt imho nur was, wenn man mehrere PPPoE-Verbindungen aufbauen kann/darf. Eine für den vorgeschalteten Router (Fritzbox, um deren Hardware-Funktionen wie voip+dect zu nutzen), eine für die sense. Seit Januar 2015 ist der Aufbau von zwei Zwei PPPoE-Verbindungen bei der Telekom nicht mehr möglich. Dabei spielt es keine Rolle, ob man die zwei Verbindungen mit dem selben DSL-account aufbauen will oder vielleeicht sogar über zwei DSL-accounts verfügt. Bei welchem Provider bist du, dass das (noch) geht?

Man benötigt nicht mehrere PPPoE-Verbindungen. Mein Provider ist 1&1, und ausschließlich die Opnsense baut eine PPPoE-Verbindung auf.