Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

Started by maze-m, September 04, 2024, 11:05:45 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
September 04, 2024, 11:05:45 PM
Hallo zusammen!

Ich hoffe, es gibt hier den einen oder Anderen User, welcher - so wie ich - einen Kabelanschluss hat und mir sagen kann, wie ich am einfachsten von meinem momentanen Doppel-NAT:

Internet --> Router (Fritbox Cable) --> OPNSense (momentan noch zum Spielen und nicht "Live") --> LAN-Geraffel

....hin zur Kombi:

Internet --> Cable-Modem --> OPNSense (dann "Live")--> LAN-Geraffel

komme?

Im moment läuft alles mit der Fritzbox gepaart mit der OPNSense ziemlich gut, allerdings habe ich z.B. Probleme, mich mit meinem Arbeitsplatz-Rechner in unser Firmen-VPN zu verbinden, siehe hierzu https://forum.opnsense.org/index.php?topic=38892.0

Ich habe mir halt überlegt, meine Fritzbox durch ein https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html zu ersetzen.

Allerdings muss dann meine Sense ja auch das gesammte Routing machen und ich weiß nicht, was ich dann dafür noch einstellen muss.

Kann mir diesbezüglich jemand behilflich sein?

Zum Telefonieren nutze ich den Fritzbox im übrigen nicht :).....
September 05, 2024, 10:43:53 AM #1
Quote from: maze-m on September 04, 2024, 11:05:45 PM
Ich habe mir halt überlegt, meine Fritzbox durch ein https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html zu ersetzen.
Moin,

FritzboxCabel:  deine eigene oder Mietgerät von Vodafone ?

bevor du versuchst, an ein Kabelmodem zu kommen, was eh kaum lieferbar ist, würde ich lieber versuchen, den Bridgemodus freischalten zu lassen ( wenn Mietgerät von Vodafone ) oder es selber zu machen ( bei eigener Box )
Die Chance steht 50:50 das es funktioniert, das ist immer noch besser als ein Kabelmodeln, wobei das Ariss eh die schlechtere Wahl ist.
Das TC4400-EU Kabel-Modem ist die bessere Wahl, aber auch kaum zu bekommen, zu dem viel zu teuer.
September 05, 2024, 03:25:24 PM #2
Moin,
Quote
FritzboxCabel:  deine eigene oder Mietgerät von Vodafone ?

Bei der Fritzbox handelt es sich um ein Mietgerät, welche ich allerdings für Lau gemietet habe, da ich nen Business-Vertrag habe. Würde die als "Backup" auch erstmal behalten, da ich in der Vergangenheit leider sehr viele (über 10) Techniker-Einsätze hatte, weil ich immerzu Probleme hatte.

Quote
bevor du versuchst, an ein Kabelmodem zu kommen, was eh kaum lieferbar ist, würde ich lieber versuchen, den Bridgemodus freischalten zu lassen ( wenn Mietgerät von Vodafone ) oder es selber zu machen ( bei eigener Box )
Die Chance steht 50:50 das es funktioniert, das ist immer noch besser als ein Kabelmodeln, wobei das Ariss eh die schlechtere Wahl ist.
Das TC4400-EU Kabel-Modem ist die bessere Wahl, aber auch kaum zu bekommen, zu dem viel zu teuer.

Bezüglich dem Bridgemodus habe ich schon bei Vodafone nachgefragt, aber das ist zumindest nicht bei der Fritzbox gewollt.
Die TC4400 habe ich zumindest bei Werner Electronic - siehe meinen Link - angefragt, aber die gibt's leider so nicht mehr.
Mir wurde halt als Nachfolgeprodukt die Arris-Modem empfohlen.

Ein paar Fragen hätten ich noch:


  • Was muss denn auf der OPNSense noch umgestellt werden, wenn ich die Fritzbox als Router "rausnehme" und die OPNSense dann das komplette Routing übernimmt?

  • Kann ich die Fritzbox ggf. im Störfall wieder anstöpseln, um "erstmal wieder ins Internet zu kommen"? Oder muss dafür bei Vodafone auch noch eine Umstellung "zurück" wieder stattfinden?

  • Was könnt ihr mir ggf. für Alternativen zum Arris- bzw. TC4400 Modem empfehlen? Ich hab gesehen, dass es im

September 05, 2024, 04:58:07 PM #3 Last Edit: September 05, 2024, 05:00:09 PM by mooh
Welches Problem soll den überhaupt gelöst werden? Soll die Fritzbox einfach nur raus, soll doppeltes NAT vermieden werden, oder noch was anderes?

Doppeltes NAT kann man einfach dadurch vermeiden, dass man NAT auf der OPNsense abschaltet. Dann muss man noch ein Transfernetzwerk zwischen der Fritzbox und der OPNsense einrichten, das nicht mit den Netzen hinter der OPNsense kollidiert und bei der Fritzbox die OPNsense als Router für diese eintragen.
September 05, 2024, 11:38:59 PM #4
Quote
Welches Problem soll den überhaupt gelöst werden? Soll die Fritzbox einfach nur raus, soll doppeltes NAT vermieden werden, oder noch was anderes?

Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.
Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418)...

Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.

Quote
Doppeltes NAT kann man einfach dadurch vermeiden, dass man NAT auf der OPNsense abschaltet. Dann muss man noch ein Transfernetzwerk zwischen der Fritzbox und der OPNsense einrichten, das nicht mit den Netzen hinter der OPNsense kollidiert und bei der Fritzbox die OPNsense als Router für diese eintragen.

Ich glaube, das mit dem Transfernetz habe ich zur Zeit schon so eingerichtet:
("Glaube" daher, weil ich nicht weiß, was du mit "Transfernetz" meinst!? )

Quote
              INTERNET
                  |
_________|_______________
|       Router (Fritzbox Cable)  | 
'--------------+-----------------------'
                  |
        WAN  | IP: 192.168.0.2 / 2a02:810d:bb40:877:a236:9fff:fe06:aff8
                  |
      .---------+---------------------------------------------.
      |  OPNsense                                               |
      '--------+------------------------------------|----------'
                 |                                           |
        LAN  | 192.168.1.1/24      MGMT | LAN 192.168.0.3
                 |
      .--------+----------------------.
      | LAN-Switch (8 Port)     |
      '--------+----------------------'
                 |
       --------+--------------------.
      | LAN-Switch (24 Port) |
      '--------+---------------------'   
       ...-----+------... (insgesamt 3 x 8 Port Switche in den einzelnen Etagen)
      ...------|------.... (an jeden 8 Port Switch jeweils eine AP angeschlossen)


Ich hatte am Outbound-NAT aber auch schon auf "Manual", "Hybrid" und auf "Automatic" gestellt, jedoch hat das leider auch nichts bei meinen Einwahlproblemen ins VPN geholfen :/....
September 06, 2024, 01:39:37 PM #5
Quote from: maze-m on September 05, 2024, 03:25:24 PM
Bezüglich dem Bridgemodus habe ich schon bei Vodafone nachgefragt, aber das ist zumindest nicht bei der Fritzbox gewollt.
Die Vodafone-Hotline ist unter aller Kanone - ich habe hier in NRW eine FB6591 von Vodafone und bin Privatkunden und hab keine Probleme gehabt, die Fritzbox von Vodafone mit aktivierten BridgeModus zu bekommen.
September 06, 2024, 02:20:27 PM #6
Quote
Die Vodafone-Hotline ist unter aller Kanone - ich habe hier in NRW eine FB6591 von Vodafone und bin Privatkunden und hab keine Probleme gehabt, die Fritzbox von Vodafone mit aktivierten BridgeModus zu bekommen.

Ja genau, bei der Vodafone-Hotline hab ich die Aussage bekommen, dass sie ihre Fritzbox(en) nicht mehr in den Bridge Modus schalten. Ich habe zur Zeit eine FB6690.

Daher ist halt meine Überlegung, mir ein Kabelmodem zuzulegen....
September 06, 2024, 02:58:20 PM #7
also wenn es nur um VPN geht...
hast du denn probiert direkt an der Fritzbox? oder am Gäste Port (4)
Hast du strukturiertes LAN? warum nicht die Fritze zb Gast Port(Wlan) in ein separates Vlan packen?

Also ich habe eine 6591 mit Brigde (selbst freigeschaltet) und nutze sowohl Opnsense als Router direkt
und Fritzboxes Lan und Gäste Lan(Wlan) zb für mein Firmen Notebook(VPN) und Virtuelle Maschinen und diverse IoT's.
September 06, 2024, 11:45:31 PM #8
Quote from: Zapad on September 06, 2024, 02:58:20 PM
also wenn es nur um VPN geht...
hast du denn probiert direkt an der Fritzbox? oder am Gäste Port (4)
Hast du strukturiertes LAN? warum nicht die Fritze zb Gast Port(Wlan) in ein separates Vlan packen?

Also ich habe eine 6591 mit Brigde (selbst freigeschaltet) und nutze sowohl Opnsense als Router direkt
und Fritzboxes Lan und Gäste Lan(Wlan) zb für mein Firmen Notebook(VPN) und Virtuelle Maschinen und diverse IoT's.

Danke dir zunächst für die Erklärung!

Das VPN selber funktoniert ja direkt über die Fitzbox, das ist nicht das Problem....
Meine Firma verwendet jedoch als VPN-Client ein 'Checkpoint Mobile' und der scheint auf OSI-Layer 3 zu arbeiten, auf welchem die OPNSense anscheinend auch arbeitet.

@meyergru hatte dazu in meinem verlinkten Post folgendes geschrieben:

Quote
Offenbar nutzt Checkpoint IPSEC.
Dabei werden spezielle ISAKMP Pakete ausgetauscht, die direkt auf OSI-Layer 3 arbeiten, d.h. Vermittlungsschicht unterhalb von TCP und UDP. Da OpnSense normalerweise IPSEC selbst behandelt, gibt es offenbar automatische pf-Regeln, die diesen Traffic "abfangen", so dass er nicht zu Deinen Clients durchkommt.

Die Aussage kann ich auch bestätigen, da ich so gar nichts im Live View von der OPNSense sehe, sobald ich versuche, mich mit dem VPN meiner Firma / meines Arbeitgebers zu verbinden....

So wie ich's verstanden habe, brauch ich - um das ganze überhaupt zum Laufen zu bekommen - eine direkte Verbindung der OPNSense an einem Kabelmodem, um das Doppel-NAT weg zu bekommen....
September 07, 2024, 09:13:22 AM #9
Quote from: maze-m on September 06, 2024, 02:20:27 PM
Ja genau, bei der Vodafone-Hotline hab ich die Aussage bekommen, dass sie ihre Fritzbox(en) nicht mehr in den Bridge Modus schalten. Ich habe zur Zeit eine FB6690.

Daher ist halt meine Überlegung, mir ein Kabelmodem zuzulegen....
Das ist echt eine Deletaten-Laden - da erzähl jeder was anderes.
Arbeitskollege von mir hat genau das vor ein paar Wochen noch problemlos bekommen - das ist doch für Vodafone kein Nachteil, die sind nur stur und dämlich und wollen mit Gewalt ihre eigenen Schrott-Geräte an den Mann bringen ( Vodafone Station, weil die kann BridgeModus )
September 07, 2024, 09:20:50 AM #10
Biste denn mal nach Handbuch vorgegangen?
An deinem Business Anschluss sollte es ja feste IP geben

Seite 20 Punkt 6.4

https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120.pdf

FritzBox 6660 BridgeMode 2,5GBit Port > L3 Omada switch
September 07, 2024, 12:05:26 PM #11
@maze-m

schaust du in NAT>ausgehend, eventuell sind die automatischen Regeln für isakmp Port 500
im weg?
mach manuell und eigene regeln und probier.
September 07, 2024, 11:04:52 PM #12
Quote from: Wolke68 on September 07, 2024, 09:20:50 AM
Biste denn mal nach Handbuch vorgegangen?
An deinem Business Anschluss sollte es ja feste IP geben

Seite 20 Punkt 6.4

https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120.pdf

Hi!

Ja, eine feste IP-Addresse habe ich in der Tat :)! Aber das hat ja nichts mit meinem Problem vom Verbinden des VPNs in mein Firmennetz zu tun :)....
September 07, 2024, 11:10:34 PM #13
Quote from: Zapad on September 07, 2024, 12:05:26 PM
@maze-m

schaust du in NAT>ausgehend, eventuell sind die automatischen Regeln für isakmp Port 500
im weg?
mach manuell und eigene regeln und probier.

Danke dir, das habe ich allerdings auch schon eingerichtet. Nen Screenshot von der Manuellen Regel hab ich als Attachment in den Anhang gepackt.

Ich bekomme bei Verbindungsaufbau jedoch trotzdem eine Fehlermeldung und die Verbindung lässt sich nicht herstellen (siehe zweites Attachment 'Fehlermeldung_Checkpoint_Mobile_Client.jpg')

Ich weiß so langsam nicht mehr, was ich ausser eines eigenen Modems und dem "rausnehmen" der Fritzbox noch machen kann....


November 13, 2024, 02:57:47 AM #14
Ich hatte genau das Problem.

Ich hatte mein eigenes Netzwerk hinter einem gemietet einfachen Router von Vodafone. Diese schwarzten Kisten. Diese war im Brige Modus. Nun hatte ich in der gleichen Anschrift, aber einen neuen Vertrag. Kosten etc. Da gab es keinen LeihRoter kostenlos. Da dachte ich mir, kaufst dir selber ne FritzBox 6690 Cable und schaltets diese so wie früher es mal ging in den Bridge Mode.

Und das ging nicht. Weder im Web war die ANleitugn so wie früher, noch die aktuellen Moedelle können das. Angeblich ist der Chip ausgebaut worden. Aber das glaube ich nicht. Naja, viele FOren und Internetseite gelesen:

ergebnis:

Ich hab es geschaft. Meine MacAdresse von der FritzBox war bereits hinterlegt. Diese hatte ich mal dem Technicker gegeben. Auch der TelefonSupport hätte diese gerne für mich hinterlegt. Doch sie war schon da. Und dann hab ich in der FritzBox einfach die ConfigDatei so geändert, dass LAN2 BrigeModus macht. Und fertig. Wenn man weiß wie, ist es BabyEinfach und in 10 Minuten fertig. Es funktioniert bereits 3 Std.
Dennoch hab ich den Eindruck, dass Vodafone das nicht will. Weil die sagten mir, dass ich die gleiche FritzBox bei dennen mieten kann. Dort würde es gehen. XD

Kann es sein, dass es nicht gewollt, aber dennoch sehr einfach möglich ist?
Ich meine, ein Modem hat ja auch eine MacAdresse. Da soll es gehen. Aber die FritzBox soll sich nicht so gegenüber Vodafone einwählen? Warum? Eventuell haben die das im Webinterface entfernt, weil man mit Vodafone zusammenarbeitet. Damit die noch mehr Geräte gemeinsam vermieten.

Weil, es geht. Und es war schon früher möglich. Es wurde lediglich die WebUI dafür ausgeblendet.

Auf jeden Fall. Es geht. Ich bin gespannt. =D

Warum ich das mache? Weil mein Netzwerk dahinter bereits fertig ist.

Es geht. Ich hab es hinbekommen. Dies wollte ich mir euch experten teilen. =D
Print
Go Up Pages1 2
User actions