Unitymedia Firewall hinter FB 6490 und die richtigen IP Settings / Umstellung auf RIP FW 6.75

[Spitzbube1984]

Moin,

mich beschäftigt das Thema mit den statischen IPs gerade ziemlich.

Habe von UM einen Business Tarif mit 5 festen IP Adressen und einer Fritzbox 6490 und komme aus BW

Ziel ist es hinter der Fritzbox eine Pfsense Firewall zu betreiben. Diese soll wie die Fritzbox einer dieser statischen IPs erhalten um sich mit VPN (IPSec oder OpenVPN) von Mobilen Endgeräten wie iPhone und iPad einwählen zu können, um sich auf diversen Servern per RDP aufzuschalten.

Allerdings begreife ich nicht, welche der Adressen die Gateway, Netzadresse, Broadcast ist und welche ich effektiv nutzen kann.

Der Fritzbox kann ich übers Service Center eine feste IP anhand der Mac zu ordnen. Nach einem Neustart nimmt er diese .23 ohne Probleme an. Auch der Firewall kann ich dynamisch die zweite der 5 IP Adressen zuweisen und diese wird ebenfalls ohne Probleme angezogen. Die Fritzbox ist im Bridge-Mode auf LAN 2 mit der Firewall verbunden. Kompliziert wird es nun, wenn man nun versucht dem WAN Port der Firewall eine statische IP Adresse .33 und eine IPv4 Upstream Adresse zu vergeben. Das müsste doch eigentlich die Gateway Adresse der Fritzbox .23 rein. Was sozusagen die feste IP Adresse wäre die ich der Fritzbox zu geordnet habe, oder? Mit dem /30 Netz hats auch nicht geklappt. Ich konnte die Statische IP zwar der Pfsense zuweisen aber nicht mit /29 oder /30 sondern nur mit /24 und der Upstream Adresse .1

Nach dem das Ganze mit der .23 für die Fritz .33 / 24 für den WAN Port der Pfsense und die .1 für das Upstream Gateway

Nach 5 Anrufen und beim Kundenservice UM habe ich 3 unterschiedliche Aussagen gehört. 2 Haben beim Nachfragen des Kollegen einfach aufgelegt. Die restlichen 3 anderen haben mir zweimal zum Umstellen von Bridge auf Rip geraten verbunden mit dem Update auf OS 6.75

Normalerweise müsste doch ein sauberes Routing trotz Bridge möglich sein. Und ja den Exposed Host hatte ich bereits aktiviert, jedoch kann ich nicht sagen, ob das nun was zerstört hat oder nicht und so einfach gratis ne neue fritte abstauben is glaube ich nicht so einfach möglich.

Also weiß ich nun nicht, was mir das Update auf RIP und Fw 6.75 bringt oder ob es mir Möglichkeiten verbessert oder komplett verbaut. Habt Ihr hier Erfahrung bzw. kann mir jemand bei der Einrichtung helfen?

 

[tq1199]

Habe von UM einen Business Tarif mit 5 festen IP Adressen und einer Fritzbox 6490 und komme aus BW

Allerdings begreife ich nicht, welche der Adressen die Gateway, Netzadresse, Broadcast ist und welche ich effektiv nutzen kann.

Hat UM dir die Netmask nicht mitgeteilt? Denn mit einer der IP-Adressen + Netmask, könntest Du z. B. mit ipcalc, das Gateway (HostMin) und die Broadcast-Adresse anzeigen lassen. Z. B.:

<i>
</i>:~$ ipcalc --nocolor 192.168.178.0/29
Address: 192.168.178.0 11000000.10101000.10110010.00000 000
Netmask: 255.255.255.248 = 29 11111111.11111111.11111111.11111 000
Wildcard: 0.0.0.7 00000000.00000000.00000000.00000 111
=>
Network: 192.168.178.0/29 11000000.10101000.10110010.00000 000
HostMin: 192.168.178.1 11000000.10101000.10110010.00000 001
HostMax: 192.168.178.6 11000000.10101000.10110010.00000 110
Broadcast: 192.168.178.7 11000000.10101000.10110010.00000 111
Hosts/Net: 6 Class C, Private Internet

 

[addicted]

Ich dachte, die machen es entweder über DHCP und die Eintragung der MAC-Adresse oder über das geroutete Subnetz für statische Konfiguration. Im letzten Fall sollten einem alle Daten inkl. des Gateways mitgeteilt werden.

 

[tq1199]

... oder über das geroutete Subnetz für statische Konfiguration. Im letzten Fall sollten einem alle Daten inkl. des Gateways mitgeteilt werden.

BTW: Ich habe auch einen Business-Tarif (seit 2013) in BaWü mit statischer (d. h. ohne DHCP) IP-Adresse. Für diese statische IP-Adresse musste ich UM, die MAC-Adresse des Gerätes das ich am Bridge-Anschluss (nicht Bridge-Mode) betreiben/verwenden will, (im Vorfeld) mitteilen. Erst nach Mitteilung der MAC-Adresse, habe ich von UM alle Daten inkl. des Gateways und der netmask (schriftlich, d. h. nicht im Kundencenter) bekommen. Ein Gerät mit anderer MAC-Adresse kann am Bridge-Anschluss meiner FB (die im Router-Modus geblieben ist), nicht verwendet werden.

Aber es kann auch sein, dass UM auch für BaWü die Vorgehensweise betr. statische IP-Adresse(n) inzwischen geändert hat.

 

[johnripper]

Ja mit jeder Tarifänderung oder Neuprovisonierug ist das Vorgehen auch in BW wie NRW/HE inkl. RIP und FW 6.75.

Gesendet von meinem SM-G935F mit Tapatalk

 

[Spitzbube1984]

Sorry für die späte Antwort, aber ich habe etwas Abstand zu diesem Thema gebraucht!

Bin etwas genervt von der Thematik und brauche Leute, die sich richtig gut damit auskennen!

Die IPs hat mit Untiy Media nun erfolgreich mitgeteilt. Gleich zwei Schreiben gingen an mich raus. Eins mit einer komplett anderen IP und das zweite mit der richtigen IP- Range :smile:

Seit ich diese Umstellung Bridge auf Rip ist bei mir folgendes der Fall:

- Die IP Adressen habe ich per Telefon bekommen, dadruch erhielt ich komplett neue Adressen und ein eigenes Subnet. Mit Netzmaske,Gateway, Broadcastadresse, meinen 5 IPs zur freien Verwendung und den Primären und Sekundären DNS soweit so gut.

- Seit der Umstellung auf FW 6.75 ist es wohl nicht mehr nötig, die MAC Adresse der Geräte, welche eine feste IP Zuordnung haben im !! MAILSERVICECENTER !! einzutragen. Dort ist garkein Menüpunkt für IP Adressen mehr vorhanden. Bis Dato nutzte ich auch noch die FW 6.50 und war noch ein Bridge Kunde. Dort wurden mir noch die IPs Angezeigt und ich konnte nach mühsammen ausrechnen der MAC diese dort eintragen. Der MAC Adress Rechner auf der Seite ist scheins nur für die Fritzbox 6360 gedacht, wie man mir sagte :wand:

Ich bin jetzt also ein RIP Kunde und wohl schon für TOT erklärt? Hab jetzt 2 Themen jeweils bei adminstrator.de und im Pfsense Forum gestartet und keiner hatte Bock und oder konnte / wollte sich dem Thema annehmen. In diesen Foren angefragt und 100 unterschiedliche Aussagen gehört und keiner glaubte mir, dass das WLAN trotzdem aktiv bleibt und LAN1 mit DHCP auch funktioniert. Nein, da wurde drauf rumgeritten, warum ich meine IP Adressen im Kundencenter nicht sehe und nur der LINK zu den FAQs drinsteht, was wohl nur in NRW oder Hessen aktuell der Fall sein soll. Nicht in BW! Wieder ein anderer meinte, dass das wie Werbung für IP Adressen aussehe und fragte mich, ob ich den sicher sei überhaupt welche gebucht zu haben! :zerstör: :zerstör: :zerstör: :zerstör: Ja, ich habe 5 IP Adressen im Tarif gebucht. Diese gabs gratis auf Wunsch dazu!

Die Einzige Aussage, mit der ich nach der Forenschlacht was anfangen kann ist diese hier:

Exposed Host kann nur Portbasierte IP Protokolle so forwarden und macht das auch nur für die Ports die der Router nicht selber benötigt oder die die anderweitige Port Forwarding Regeln haben. Portlose Protokolle springen da über die Klinge.
Hier ist der Forwarding Umfang also beschränkt.

Bridging agiert auf Layer 2, dem sind Protokolle, Ports und Adressen Latte ist letztlich also umfassender, hat aber den gravierenden Nachteil das es nur in gebridgten Netzen funktioniert und nicht über Router Grenzen also IP Netz übergreifend.

Ich schließe aus den o. g. Aussagen zum Exposed Host und dem Bridge Mode:

- Exposed Host lässt mein ESP Protokoll unter den Tisch fallen, da dieses keine Portnummer besitzt = nicht Portbasierend?! VPN Einwahl funktioniert somit nicht!

- Bridge Mode dann also auch nicht, da sich meine Firewall mit der 2. statischen IP in nem anderen Subnetz befindet bzw. die Clients die hinter der Firewall in nem anderen Subnetz (192.168.10.0 /24 als die Fritzbox mit 192.168.178.0 /24) sitzen?

Nun bin ich verwirrt. UM rät mir zur Einrichtug des Exposed Hosts wieder Andere bei Administrator.de sagen das muss Birdge konfiguriert sein und dann gibts kein WLAN mehr und LAN geht auch nicht mehr und alle Anfragen werden jetzt an LAN 2 geschickt.

Heute wieder etwas Zeit gehabt an dem Thema rumzuporbieren. Was mir seither nicht bewusst war bzw. liege ich da falsch, wenn ich meine, dass der Brigde Modus bereits ab Werk an der Fritzbox aktiviert ist? Jedenfalls machts der Pfsense wohl nichts aus. Hab die Pfsense zunächst an der Fritzbox an LAN 2 als 192.168.178.2 mit interner IP hängen. Das funktionierte mit dem Internet auch klasse, da das Auto Nat der Pfsense das LAN zu WAN und WAN zu LAN per Autorule übersetzte, jedoch fand ich es merkwürg, dass er trotzdem noch diese 192.168.178.2 hatte, obwohl am WAN Interface der Pfsense eine der statischen IPs .42 mit Gateway .41 vergeben wurde.

Nach einem Werksreset der Fritzbox stellte ich fest, dass die Pfsense mit der .41 auch erkannt wurde. Muss ich jetzt nochmals gesondert den Bridge Mode aktivieren oder nicht oder doch den Exposed Host ? Ich blick da echt nicht mehr durch. Muss jetzt die Firewall im gleichen Netzwerk sein wie die Fritzbox und außerhalb des DHCP Bereichs der Fritzbox oder nicht, damit der Bridge Mode bzw. das VPN IPSec funktioniert?

Im Grunde funktioniert meine Internetverbindung, um jedoch die Fehler beim Aufbau der VPN Verbindung auszuschließen und eine Verbindung zum IPSec Server aufzubauen muss das Grundgerüst stimmen! D.h. wenn die Fritzbox nicht richtig konfiguriert ist, bringt mir ne richtige Konfig der Firewall rein gar nichts. Da wird nie ne erfolgreiche einwahl stattfinden.

Hab hier und da auch mal andere Beiträge gelesen: https://www.unitymediaforum.de/viewtopic.php?f=90&t=34928&hilit=rip&start=150 und diesen hier https://www.unitymediaforum.de/viewtopic.php?p=378054#p378054

Habe soweit das VPN auf meiner Firewall nach dieser Aneleitung hier konfiguriert, leider komme ich nicht weiter, da immer wieder die Halb Offenen Verbindungen geschlossen werden.

Vllt. findet sich jemand, der das selbe Poroblem hat oder sich auskennt. Wäre nett, wenn ihr mich bei meinem Vorhaben unterstützt :super:

Ich helfe euch gerne mit Screenshots aus einfach fragen!

Grüße
Der Spitzbube

 

[Andreas1969]

Hab die Pfsense zunächst an der Fritzbox an LAN 2 als 192.168.178.2 mit interner IP hängen.

Ist da nicht der Fehler :kratz:
LAN 2-4 sollten doch von UM werksseitig schon als Bridge konfiguriert sein.
Da lassen sich doch dann nur die statischen IP4-Adressen nutzen.
Exposed Host dürfte an LAN 2-4 überhaupt keine Wirkung zeigen, bzw. da auch nichts beeinflussen, macht ja auch keinen Sinn bei den Bridge Ports.

 

[addicted]

Wenn Du die öffentlichen IPs direkt an der pfSense hast, kannst Du da auch ESP machen.
Dann kann Dir die FB total egal sein. Ob da jetzt WLAN oder Telefonie läuft, spielt doch keine Rolle für die VPN Verbindung?

Bitte fokussiere Dich (in einem Post) mal auf ein Problem, was wir erstmal lösen. Schrittweise kommen wir dann weiter. Ich zumindest habe keine Lust, so einen Textwald auseinanderzunehmen und dann in sieben Quoteblöcken zu antworten. Vorallem, weil Du zwischendurch noch irgendwelche anderen Foren disst. Wer macht sowas denn? Wie redest Du denn dann woanders über uns?

 

[Andreas1969]

Vllt. findet sich jemand, der das selbe Poroblem hat

Hier gibt es auch User, bei denen das mit statischer IP nicht funktioniert:
https://www.unitymediaforum.de/viewtopic.php?f=90&t=35678

 

[Spitzbube1984]

Sorry, dass ist nicht normal nicht meine Art. Jedoch, beschäftigt mich das Thema schon lange und da es keiner bisher verstanden hat, warum trotz Bridge W-LAN Voip und LAN 1 trotzdem funktionieren melde ich mich jetzt hier. Nun hab ich mal ne Information mit der ich was anfangen kann: Die Fritzbox ist von Werk aus schon im Bridge Modus mit LAN2 -LAN4, das höre ich heute echt zum ersten Mal. Da waren die Aussagen von der Business Hotline aber auch nicht Hilfreich sondern schicken dich schon mal in die falsche Richtung. Eben so wie diese Anleitung. Zu Bridge und Exposed Host. Wenn die Fritte Werksseitig schon so konfiguriert ist, dann hab ich ja nichts weiter zutun.

Also die IST Situation:

Umstellung von Bridge auf Rip ist erfolgt.

Die IP Adressen habe ich erhalten:

Netzadresse: 78.94.190.40

GW: XX.XX.XXX.41 /29 Fritzbox

IP1: XX.XX.XXX.42 /29 Pfsense

IP2: XX.XX.XXX.43

IP3: XX.XX.XXX.44

IP4: XX.XX.XXX.45

IP5: XX.XX.XXX.46

Primärer DNS: 80.69.100.174

Sekundärer DNS: 80.69.100.198

Sub Netzmaske 255.255.255.248

Fritzbox mit FW: 6.75 bekommt automatisch die XX.XX.XXX.41 von UM zugewiesen. Nach dem Werksreset hab ich nur das Dect eingeschalten und 1 Mobilteil konfiguriert sowie die Ports fürs IPSec freigeschlten. Die Pfsense ist am LAN2 der Fritzbox angeschlossen und bekommt die XX.XX.XXX.42 IP automatisch zugewiesen.

Freigaben für die Pfsense an der Fritzbox:

UDP 500 und 4500

TCP 10000

und ESP

Das sollte doch zunächst mal seitens der Fritzbox richtig konfiguriert sein, oder?

 

[Andreas1969]

Freigaben für die Pfsense an der Fritzbox:

UDP 500 und 4500

TCP 10000

und ESP

Das sollte doch garnicht nötig sein, da die Pfsense doch eine eigene IPV4 hat und da kein NAT gemacht wird.

 

[Spitzbube1984]

Aber die Fritzbox hat doch auch ne Firewall durch die der Traffic muss, oder ist das mit dem Bridge Mode hinfällig und die Ports müssen nicht freigeschalten werden, also muss das NAT an der Pfsense aus? Wie bitte soll dann das Subnet der Clients 192.168.10.0 /24 hinter der Pfsense bitte ins Internet kommen? Bei jedem Bearbeiten der Interfaces trägt die Pfsense automatisch die NAT Einträge ein.

Nochmal:

Das Waninterface der Pfsense ist statisch mit der XX.XX.XXX.42 /29 konfiguriert und hat als IPv4 Upstream Gateway (WAN Gateway) die XX.XX.XXX.41 der Fritzbox eingetragen, das Laninterface der Pfsense hat die Staitsche IP 192.168.10.1/ 24 eingetragen. Das LAN Gateway ist ebenfalls die 192.168.10.1

 

[Andreas1969]

Aber die Fritzbox hat doch auch ne Firewall durch die der Traffic muss, oder ist das mit dem Bridge Mode hinfällig und die Ports müssen nicht freigeschalten werden

Genau so ist es, mit dem Bridge Mode ist das hinfällig.

 

[Spitzbube1984]

Okay, dann ist das klar und verständlich. Die Ports sind schon gelöscht. Danke für diese verständliche Aussage. Kannst du noch was zum NAT und zur Pfsense sagen?

 

[Andreas1969]

Zu der Pfsense kann ich nichts sagen, hab selbst keine.
Da gibt es aber andere hier im Forum.

 

[Spitzbube1984]

Okay, dann sage ich schon mal vielen Dank an alle für eure Hilfe und man sieht sich bestimmt im ein oder anderen Thema wieder :super:

 

[tq1199]

GW: XX.XX.XXX.41 /29 Fritzbox

Hast Du manuell deiner FritzBox diese IP-Adresse XX.XX.XXX.41 /29, zugewiesen?

 

[Spitzbube1984]

Nee, die wurde der Fritzbox automatisch von Unity Media vergeben!

 

[tq1199]

... automatisch von Unity Media vergeben!

Wie hast Du das festgestellt bzw. geprüft?

EDIT:

Mach mal auf deiner Pfsense ein

<i>
</i>arp -av

oder ein:

<i>
</i>ip n s

und mit der dort angezeigten MAC-Adresse, ein "MAC address lookup". BTW: Diese MAC-Adresse solltest Du auch in der aktuellen support-Datei deiner FritzBox finden.

 

[addicted]

An der Fritzbox musst Du nix einstellen für IPsec.
Die pfSense macht NAT, natürlich. Aber die Fritzbox eben nicht. Deshalb brauchst Du in der Fritzbox keine Ports freigeben.

Du baust das VPN jetzt einfach mit der .42 auf.

Deine Clients im LAN haben die pfSense als Gateway (vmtl. 192.168.10.1), nicht die Fritzbox.
Sieh die Fritzbox einfach als "Router beim Provider" an, mit dem Du nichts zu tun hast.

 

[Spitzbube1984]

An der Fritzbox musst Du nix einstellen für IPsec.
Die pfSense macht NAT, natürlich. Aber die Fritzbox eben nicht. Deshalb brauchst Du in der Fritzbox keine Ports freigeben.

Du baust das VPN jetzt einfach mit der .42 auf.

Deine Clients im LAN haben die pfSense als Gateway (vmtl. 192.168.10.1), nicht die Fritzbox.
Sieh die Fritzbox einfach als "Router beim Provider" an, mit dem Du nichts zu tun hast.

ja, wer behauptet den was anderes. Das WAN Interface hat die Fritzbox als Gw.

@tq1199 Festgestellt hab ich das durch betrachten der Fritzbox übersicht. Ich versteh den Sinn dahinter nicht? Was soll das beweisen?

 

[addicted]

Was konkret ist dann noch das Problem?

 

[Spitzbube1984]

Frage ich mich auch? Threat is schon länmgst gelöst

 

[tq1199]

Ich versteh den Sinn dahinter nicht?

Naja, ein Provider hat andere Möglichkeiten ein Gateway zu "schützen", ... was ja jetzt bei deiner FritzBox, die als Gateway für die statischen IPv4-Adressen fungiert, evtl. nicht der Fall sein wird.

 

[tomcatcw]

Hallo Zusammen,

nach langem Suchen und Recherchieren im Netz bin ich endlich auf diesen Thread gestoßen. Somit schalte ich mich hiermit mal drauf mit meiner Problematik, da ich es als prima Ergänzung sehe.

Ich habe genau die gleiche Ausgangsbasis wie Spitzbube, d.h. UM Business Anschluss mit 5 statischen IP-Adressen, der bis vor wenigen Tagen noch im Bridge Mode lief. Früher musste ich im E-Mail-Center die statischen IP MAC-Adressen zuordnen. Dies war mehr als ungünstig und funktionierte nur mit einer festen IP, da ich nur eine MAC-Adresse am WAN-Anschluss der pfSense habe. Dies war für mich nicht haltbar, sodass ich nach gefühlten 50 Telefonaten und eine Woche später von Bridge auf RIP umgestellt wurde.

Somit erhielt ich vorgestern über Telefon die Netzwerkadresse xx.xx.xx.40/29, Gateway, 5 statische IP-Adressen und DNS-Server benannt. Bis dahin alles prima. Die FB lief zu Bridge-Zeiten noch mit FW 6.50. Nach Umstellung auf RIP, Werksreset und Neustart erhielt die FB die 6.75. Ich kann es nicht mehr genau sagen, aber ich meine, dass die FB automatisch an den LAN-Ports 2-4 im Bridge-Mode eingestellt war. Hänge ich mich mit dem Notebook direkt an LAN1 der FB sehe ich das Gateway xx.xx.xx.41. Dies erscheint mir richtig.

Die pfSense hängt am LAN4 der FB. In der pfSense habe ich am WAN-Port die erste frei zur Verfügung stehende statische IP-Adresse vergeben xx.xx.xx.42 mit GW xx.xx.xx.41, die DNS-Server eingetragen. Alles prima bis dahin - ich habe Internet und bei wieistmeineip.de wird mir die .42 als IP angezeigt. Die 4 weiteren freien IP-Adressen habe ich als Virtual IP mit IP Alias und xx.xx.xx.43/29 bis .46/29 angelegt.

Da ich mehrere VLAN habe, u.a. auch eines für Gäste, habe ich dies beim Outbound-NAT einer anderen statischen IP xx.xx.xx.46 zugeordnet. Verbinde ich mich mit Gäste-WLAN ist alles prima: wieistmeineip.de zeigt mir die .46 an, während ich im normalen Netz die .42 angezeigt bekomme. Oubound läuft im Manual Mode. Alles prima, möchte man meinen.

Aber nun zu meinem eigentlichen Problem:
Bevor die Umstellung auf RIP erfolgte, löste ich den Zugriff auf mehrere Webserver hinter einer statischen IP per Reverse Proxy (Squid in der pfSense). Das klappte wunderbar. Nun ergeben sich zwei Szenarien, die ich beide bisher nicht zum Laufen bekam.

1.) Entweder ich ordne per 1:1 NAT jeder statischen IP eine interne IP der Webserver zu oder
2.) was ich bevorzugen würde: Ich lasse meinen Reverse Proxy per Squid immer noch laufen und spare somit nochmals statische IP für andere Projekte.

In beiden Fällen bekomme ich aber keinen Zugriff auf die Webseite. Pinge ich xx.xx.xx.43 (Webserver) an, erhalte ich ein Timeout. Obwohl am WAN-Port der pfSense zum Test alles auf erlaubt any/any steht. Selbst in den pfSense-Logs sehe ich nicht mal, dass mich jemand anpingt.

Somit bin ich mir aktuell überhaupt nicht sicher, wo der Fehler liegt: Bei mir mit der pfSense oder bei UM. Ich habe im Moment das Gefühl, dass der Bezug/Routing/Weiterleitung was auch immer von außen auf meine statische IP xx.xx.xx.43 nicht erfolgt. Als Ergänzung noch folgende Tatsache: Mein Webserver ist normalerweise über meine-domin.de aufrubar gewesen. Beim Webhoster habe ich die neue IP natürlich hinterlegt. Aber weder meine-domain.de noch xx.xx.xx.43 sind aufrufbar geschweige denn anpingbar.

Ich wäre euch sehr dankbar, wenn ich nach der langen Story-behind eine Lösung für mein Problem hätte. Wenn noch was unklar sein sollte, bitte fragen.

Viele Grüße
Christian