FritzBox Bridge Mode (Kabelanschluss) - Zugriff auf WebGui (Fritzbox)

[Thomas]

Hallo,

leider habe ich sehr viele Themen in verschiedenen Foren darüber gelesen, aber kein Ergebnis gefunden

LAN2 der Fritzbox ist auf Bridge Mode geschaltet und ist als WAN an der OPNsense angeschlossen. Funktioniert soweit alles gut

Wie kann ich am besten über die OPNsense so konfigurieren, dass ich auf das WebGui der Fritzbox komme.

1. Szenario (Stand so in verschiedenen Foren):
Über die WAN Schnittstelle einen separaten Anschluss der OPNsense konfigurieren und dort die beiden IP-Adressen, z.B. 192.168.178.1 und 192.168.178.2 (Fritzbox und OPNsense) verbinden. Ob das klappt, keine Ahnung. Ich glaube nicht, das ich über den Bridge Mode meine FritzBox sehe (private Adresse)!!!

2. Szenario:
LAN1 von der FritzBox an die OPNsense verbinden (ich habe noch 4 Ports frei) -> (OPT1 -> Umbenennen als MODEM_ACCESS) Dort eine IP-Range definieren und die Fritzbox dort zuweisen. Firewallregel für das MODEM_ACCESS einrichten und hoffen das ich die WebGui der Fritzbox sehe

Oder habt Ihr eine andere Lösung?

Jeden Vorschlag nehme ich gerne an

Danke und Gruß,
Thomas

[micneu]

ich würde bei bedarf ein netzwerkkabel anschließen, da es ja im bridge mode ist muss man ja nicht immer auf die webui.

[Thomas]

Meinst du Variante 2 oder direkt das Kabel vom FRITZ!Box an meinem Computer anschließen?

Ich benötige öfters den Zugang zu meiner Fritzbox. Am besten über das Tablet. Da meine Telefone und Smarthome-Geräte darüber läuft, will ich es ab und zu steuern und kontrollieren.

[micneu]

einfach bei bedarf ein netzwerkkabel an einen rechner hängen, so oft kann es doch nicht sein

[lfirewall1243]

Meinst du Variante 2 oder direkt das Kabel vom FRITZ!Box an meinem Computer anschließen?

Ich benötige öfters den Zugang zu meiner Fritzbox. Am besten über das Tablet. Da meine Telefone und Smarthome-Geräte darüber läuft, will ich es ab und zu steuern und kontrollieren.

Wenn du deine FB als Bridge Modem nutzt sollte es nicht gleichzeitig deine Smarthome Zentrale sein. Klingt für mich nach einem sehr komischen Konzept. Macht die FB das überhaupt im Bridge Modus?

[Thomas]

@lfirewall1243:

Ja, die FritzBox ist im Port 2 als Bridge Mode geschaltet. Die OPNsense bekommt eine separate öffentliche IP.
Die FritzBox ist keine Smarthome Zentrale. Aber einige Komponenten laufen noch über die Fritz.Box. Die Komponenten werden in Zukunft ausgewechselt. Aber nicht alles kann ich auswechseln, wie z.B. den Fritz DECT Repeater.

Das neue Apple HomeKit Smarthome Zentrale läuft auf einen separaten VLAN mit der OPNsense.


@micneu
Ich brauche es nicht dauerhaft, aber schon mal öfters. Ich brauche es eher für die Telefonie. Die Telefone laufen alle über die FritzBox (DECT, ISDN und iOS). Ich nutze mein iPhone auch für die Telefonie über die FritzBox. Ab und zu verwalte ich dort mein Telefonbuch und Sperrliste. Ich wollte ungern ständig in den Keller rennen, mein Notebook anzuschließen um dort die Verwaltung zu machen.

Deshalb war ja die Frage, ob ich mit Szenario 2 am besten aufgehoben bin und den Zugang für gewisse Geräte beschränke.

Was spricht dagegen?

Danke und Gruß,
Thomas

[lfirewall1243]

Achsoo okay! Also das einfachste und stabilste wird sein ein extra Kabel von der OPNsense an die FB.

Hört die überhaupt mit der WebUI auf dem Bridged Port? Schließ doch mal ein Rechner direkt an und gib ihm die Adresse 192.168.178.2 und schau ob du auf die FB kommst

[Thomas]

Das habe ich noch nicht probiert. Muss ich am WE testen (Bridge Mode -> WebGUI).
Ich denke eher nicht

Werde ich dann mal hier berichten

LAN1 vom Fritz auf einem freien Port über OPNsense fände ich natürlich eleganter. Da nur der LAN2 an der FritzBox den Bridge Mode aktiv ist. Die restlichen LANs sind normal.

[lfirewall1243]

LAN1 vom Fritz auf einem freien Port über OPNsense fände ich natürlich eleganter. Da nur der LAN2 an der FritzBox den Bridge Mode aktiv ist. Die restlichen LANs sind normal.

Klar das geht auch und wäre wahrscheinlich am einfachsten ist ja nur anschließen sowie Regeln und OutboundNAT konfigurieren.

Bei der anderen Lösung könntest du der OPNsense eine Virtuelle IP geben und würdest dir einen Port sparen.

[Thomas]

Ah OK, danke für den Tipp.

Ich schaue mal, ob ich es über den Bridge Mode hinbekomme.

---
Wegen Szenario2:
Brauche ich wirklich ein Outbound NAT? Weil auf der FritzBox hätte ich die Adresse 192.168.178.1 und auf der OPNsense hätte ich auf den separaten Port die IP 192.168.178.2 vergeben. Oder mache ich ein Denkfehler Dachte ich mach mir ein zweites MGMT_Modem Interface und greife dort so zu, wie auf meinen gemanagten Switch auf dem MGMT_Interface.

Danke

[lfirewall1243]

Ah OK, danke für den Tipp.

Ich schaue mal, ob ich es über den Bridge Mode hinbekomme.

---
Wegen Szenario2:
Brauche ich wirklich ein Outbound NAT? Weil auf der FritzBox hätte ich die Adresse 192.168.178.1 und auf der OPNsense hätte ich auf den separaten Port die IP 192.168.178.2 vergeben. Oder mache ich ein Denkfehler Dachte ich mach mir ein zweites MGMT_Modem Interface und greife dort so zu, wie auf meinen gemanagten Switch auf dem MGMT_Interface.

Danke

Ja da die Pakete aus deinem LAN sonst mit der LAN IP deines Clients an der FB ankommen.
Die kennt das Netz nicht und weiß nicht wohin damit. Alternativ kannst du natürlich eine Route in der FB hinterlegen

[Thomas]

Super, vielen Dank für die Info

[micneu]

@lfirewall1243:

Ja, die FritzBox ist im Port 2 als Bridge Mode geschaltet. Die OPNsense bekommt eine separate öffentliche IP.
Die FritzBox ist keine Smarthome Zentrale. Aber einige Komponenten laufen noch über die Fritz.Box. Die Komponenten werden in Zukunft ausgewechselt. Aber nicht alles kann ich auswechseln, wie z.B. den Fritz DECT Repeater.

Das neue Apple HomeKit Smarthome Zentrale läuft auf einen separaten VLAN mit der OPNsense.


@micneu
Ich brauche es nicht dauerhaft, aber schon mal öfters. Ich brauche es eher für die Telefonie. Die Telefone laufen alle über die FritzBox (DECT, ISDN und iOS). Ich nutze mein iPhone auch für die Telefonie über die FritzBox. Ab und zu verwalte ich dort mein Telefonbuch und Sperrliste. Ich wollte ungern ständig in den Keller rennen, mein Notebook anzuschließen um dort die Verwaltung zu machen.

Deshalb war ja die Frage, ob ich mit Szenario 2 am besten aufgehoben bin und den Zugang für gewisse Geräte beschränke.

Was spricht dagegen?

Danke und Gruß,
Thomas

ich hatte bei mir immer den aufbau so das ich ein doofes modem hatte für die internet einwahl und eine fritzbox für die telefonier, an der fritzbox war auch wlan NICHT aktiv, ist ja nur telefonanlage. jetzt mit meinem neuen provider brauche ich kein modem mehr, habe trotzdem die fritzbox als telefonanlage.

[Thomas]

@lfirewall1243

"Hört die überhaupt mit der WebUI auf dem Bridged Port? Schließ doch mal ein Rechner direkt an und gib ihm die Adresse 192.168.178.2 und schau ob du auf die FB kommst"

Ich konnte es heute mal testen, wegen Bridge Mode. Wenn ich den Bridge Mode (Fritzbox LAN2) mit meinem Notebook direkt verbinde, erreiche ich die WebGui nicht.

Die Lösung ist ein separates LAN (OPNsense -> MODEM_ACCESS_PORT und FritzBox -> LAN1) und eine Regel mit Outbound NAT zur Fritzbox erstellen. Mit der Route über die Fritzbox lief es leider nicht

WebGui erreiche ich, allerdings kann ich DVB-C und Telefon (iPhone / iPad) über AVM nicht nutzen, da sie natürlich mit der Adresse 192.168.178.2 auf der Fritzbox ankommen. Suche noch nach einer Lösung.
 

[lfirewall1243]

@lfirewall1243

"Hört die überhaupt mit der WebUI auf dem Bridged Port? Schließ doch mal ein Rechner direkt an und gib ihm die Adresse 192.168.178.2 und schau ob du auf die FB kommst"

Ich konnte es heute mal testen, wegen Bridge Mode. Wenn ich den Bridge Mode (Fritzbox LAN2) mit meinem Notebook direkt verbinde, erreiche ich die WebGui nicht.

Die Lösung ist ein separates LAN (OPNsense -> MODEM_ACCESS_PORT und FritzBox -> LAN1) und eine Regel mit Outbound NAT zur Fritzbox erstellen. Mit der Route über die Fritzbox lief es leider nicht

WebGui erreiche ich, allerdings kann ich DVB-C und Telefon (iPhone / iPad) über AVM nicht nutzen, da sie natürlich mit der Adresse 192.168.178.2 auf der Fritzbox ankommen. Suche noch nach einer Lösung.

Dann lass das mit dem Outbound NAT und lege in der FB eine Route an

Alles fürs LAN Netzwerk geht an den Management Port deiner OPNsense. Funktioniert bei mir auch