Protectli FW4C - Netzwerkumbau

Moinsen,
na klar, mach das so, wie DU es benötigst! Ob du nun auf einem Interface VLANs anlegst, oder (wie @Tommes) verschiedene Interfaces mit eigenem Adressbereich nutzt oder alles einfach in ein einziges Netzsegment legst...deine Entscheidung.
Später anpassen kannst (und wirst, so meine Erfahrung) du immer noch nach Bedarf. Und ja: VLANs machen vor allem Sinn mit einem switch, der das kann...günstiger Tipp: TP Links...für den einfachen Nutzen ausreichend und nicht teuer (zB. https://www.amazon.de/TP-Link-TL-SG...ea-ae51-5f7143f12b01&pd_rd_i=B00N0OHEMA&psc=1).
 
Moinsen,
eben erst gelesen: wenn du im "Transfernetz" zwischen Vodafonebox (LAN Interface) und pfsense (WAN Interface) nur 4 IPs erlaubst (du hast von einem /30er Netz geschrieben), dann wird es eng bzw. dürfen nicht allzu viele Gäste WLAN nutzen. ;)
https://www.heise.de/netze/tools/netzwerkrechner/
Da bleiben dann ja nur 2 Adressen für hosts...
Ich persönlich würde da ganz stumpf ein "normales" /24er belassen, wenn ich es neben "Transfer" noch für andere Dinge nutzen würde (Gast WLAN zB).
 
Moinsen,
andererseits: wenn die Box das sauber trennt, dann hast du eben das Transfer LAN mit Platz für 2 hosts, was ja reichen würde. Das GAST-WLAN läuft ja in einem anderen IP Bereich (der zumindest unter der Fritzbox nicht anzupassen ist)...war also eher ein Denkfehler meinerseits... :unsure: :rolleyes: 🤦‍♂️
 
Ich würd da gar kein großes Theater drum machen, sondern einfach das normale 24'er Netz der Fritzbox inkl. DHCP so lassen, wie es ist. Ich habe einzig den IP-Adressbereich von 192.168.178.0/24 auf 172.16.8.0/24 geändert. Was soll da schon groß passieren?
 
Moinsen,
echt? Gibt es kein eigenes Gast (W)LAN auf der Box? Na dann...sind allerdings die Gäste im "Transfernetz" zwischen Box und pfsense WAN.
Ich dachte es läuft wie bei der Fritzbox: ein LAN und ein separates Gast-LAN, je mit WLAN Option. Getrennte Netzwerke, das Gast LAN kann nicht verändert werden (nur AN oder AUS).
Und den Fehler willst du sicher nicht umsetzen :D (Klugschei$§" Modus aus)...
 
Moin,
hmmm...
the other schrieb:
Und den Fehler willst du sicher nicht umsetzen
Zum Vergrößern anklicken....
Welchen meiner bestimmt vielen Fehler meinst du genau?
the other schrieb:
ein LAN und ein separates Gast-LAN, je mit WLAN Option. Getrennte Netzwerke, das Gast LAN kann nicht verändert werden (nur AN oder AUS).
Zum Vergrößern anklicken....
Schau hier:
1693244281902.png
Eine eigene SSID. Hat aber nie wirklich funktioniert, daher habe ich es nicht eingerichtet.
Aber eben noch einmal versucht, es gab ja einige FW-Updates inzwischen.
Was soll ich sagen?
Das gast-Wlan verteilt IP-Adressen nach eigenem Gutdünken aus einem nicht durch mich konfigurierbaren Bereich.
Somit könnte ich tatsächlich ein Gast-Wlan und ein Transitnetz betreiben.
Manchmal hilft es, wenn man drüber spricht.
 
Moinsen,
Fidibus schrieb:
Manchmal hilft es, wenn man drüber spricht.
Zum Vergrößern anklicken....
meiner bescheidenen Meinung nach eigentlich sogar immer ;)
Na, dann sollte es ja klappen. Du kannst ja mal beobachten, ob es immer derselbe IP Bereich ist, der im Gast WLAN der VF Box her hält (vermute ich mal). WAN der pfsense macht ja im default eh alles zu, daher ist das auch in Ordnung.

Ich meinte keinen aktuell auch gemachten Fehler deinerseits, ich bezog mich auf deine Aussage
Fidibus schrieb:
was also zur Folge hat, dass ich den Fehler nicht hätte umsetzen können.
Zum Vergrößern anklicken....
und war da (um die Uhrzeit an Werktagen bei mir manchmal der Fall) am Rumalbern bzgl. wer will schon Fehler umsetzen...nicht weiter drüber nachdenken, der normale Wahnsinn am Montag Abend eben. :D
 
Mal ein aktueller Stand:
Ich habe den DHCP-Server auf dem pfsense aktiviert, es scheint auch alles zu funktionieren.
Das Gateway in den DHCP-Client-Werten zeigt natürlich noch auf die VF-Box.
Der nächste Step wird dann wohl die Netztrennung sein, pfsense als Fiewall <-> Transitnetz dann VF-Box/Internet.
Interessant ist für mich, dass in meinem Netz tatsächlich sehr viel IPv6 aktiv ist, so dass ich mir nicht 100% sicher bin, dass alles rein über v4 läuft.
 
Moinsen,
was genau meinst du mit
Fidibus schrieb:
Gateway in den DHCP-Client-Werten
Zum Vergrößern anklicken....
?
Unter Services > dhcp server auf der pfsense musst du keine Angaben zu dem Gateway machen...
Unter System > Routing sind die Angaben zum Gateway einzutragen, das sollte dann bei deinem Setting die IP der Vodafonebox sein, denn die ist ja der eigentliche Internetrouter.
Je nachdem in welchem (VFbox oder pfsense) LAN das Gerät dann ist:
im VFbox LAN wird als Gateway auf den Clients die Fritz IP erscheinen, im pfsense LAN sollte da die LAN IP der pfsense erscheinen (die dann ja weiter ins VFbox LAN routet nämlich direkt zur Box, die das dann weiter routet ins öffentliche Netzwerk...(grob gesagt)
 
Moinsen,
anderes Thema:
wenn du auf den CLients / im Netzwerk IPv4 und v6 aktiviert hast, dann nutzen die Geräte in der Regel im default auch erst IPv6 und fallen nur auf v4 zurück, wenn ersteres nicht geht.
Daher vermutlich die von dir beobachtete IPv6 Aktivität.

Du musst im internen Netz (anfangs) nicht zwingend IPv6 nutzen. Auch mit dslite kann das LAN weiter nur mit IPv4 betrieben werden. Wenn du dann allerdings später auf Geräte von außen zugreifen willst, dann sieht das anders aus (denn du hast ja keine öffentliche v4 > CGNAT und mit v6 sind die Verbindungen end-to-end...also keine Portweiterleitung mehr, das Gerät wird direkt angesprochen).
 
Mom...ich muss deinen Beitrag erst einmal sortieren:
the other schrieb:
Unter Services > dhcp server auf der pfsense musst du keine Angaben zu dem Gateway machen...
Zum Vergrößern anklicken....
Nach meinem Verständnis nach doch. Die pfsens hängt aktuell wie ein Client im Netz.
Der Übergang zum Internet erfolgt aktuell an der Vodafonebox, die somit das default Gateway für mein Heimnetz stellt. Wenn also pfsens mit eine anderen IP als Client im Netz den DHCP-Dienst übernimmt, sollte doch das richtige Gateway übermittelt werden. Ohne Eintrag würde - so hatte ich die Doku verstanden - die jeweilige Interface-IP des pfsense verwendet. Jedenfalls funktioniert es soweit erst mal.
the other schrieb:
Unter System > Routing sind die Angaben zum Gateway einzutragen, das sollte dann bei deinem Setting die IP der Vodafonebox sein, denn die ist ja der eigentliche Internetrouter.
Zum Vergrößern anklicken....
Schaue ich mir mal an, das Routing hatte ich so im Plan, wenn WAN und LAN scharf geschaltet sind, dass das die default Route ist.
Wenn ich deine beiden Hinweise jetzt lese, würde, wenn ich es so einrichte, die pfsense einen internen Router spielen und alles dann per eingetragener Route an die VF-Box senden. ?
the other schrieb:
Fritz IP
Zum Vergrößern anklicken....
Ich habe gar kein Fritz-Gerät.
the other schrieb:
Unter System > Routing sind die Angaben zum Gateway einzutragen, das sollte dann bei deinem Setting die IP der Vodafonebox sein, denn die ist ja der eigentliche Internetrouter.
Zum Vergrößern anklicken....
Jo, klar, jetzt verstehe ich, warum du das so schreibst.
the other schrieb:
Je nachdem in welchem (VFbox oder pfsense) LAN das Gerät dann ist:
Zum Vergrößern anklicken....
Ich habe nur ein LAN - das ist der Trick für einen relativ einfachen Komplettumbau meines Netzes.
Fidibus schrieb:
Der nächste Step wird dann wohl die Netztrennung sein, pfsense als Fiewall <-> Transitnetz dann VF-Box/Internet.
Zum Vergrößern anklicken....
Ich habe jetzt DHCP in meinem (einzigen LAN). In diesem habe ich schon ein komplett neues WLAN aufgebaut, das funktioniert.
Gast-WLAN ist separiert, läuft und bleibt auf der VF-Box.
Die Tage (wenn ich alleine im Netz fuhrwerken kann) passiert dann genau das, was du oben meinst.
Pfsens hostet dann das LAN komplett mit Gateway, WAN der pfsense wird dann mit LAN der VF-Box verbunden.
Routing wird in pfsense gesetzt, wenn nicht default.
FW wird auf Durchzug geschaltet.
Dann werde ich mit der FW den Traffic analysieren und entsprechende Regeln vor den Durchzug setzen.
Je nach match ziehe ich dann die Schlinge zu, bis ich den Durchzug disable.
 
the other schrieb:
Wenn du dann allerdings später auf Geräte von außen zugreifen willst, dann sieht das anders aus
Zum Vergrößern anklicken....
Jo, das wird noch ein heisses Thema.
Ich frage mal blöd - ich kann auf der VF-Box nur dediziert den DHCP-IPv4 abschalten.
Muss ich nun davon ausgehen, dass meine Geräte noch von der VF-Box DHCP IPv6 Adressen beziehen?
 
Moinsen,
ja, hier ist die pfsense als 2. Router aktiv. Daher die Verwirrung... ;)
Und das Design hier ist dann genau wie oben beschrieben. :) Sogar mit Doppel NAT 😱
Sorry, das mit der Fritz IP war ein Verschreiber. Nicht dran stören.

Wenn du nur v4 auf der VF Box deaktivieren kannst, dann gehe ich davon aus, dass v6 weiterhin aktiv bleibt. Ist eigentlich immer eine getrennte Einstellung. Du kannst es ja irgendwann mal einfach mal probieren: v4 kurz mal deaktivieren, auf den Clients nachschauen, ob sie weiter v6 Adressen erhalten (also mehr als nur die linklocale). :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 80 (Mitglieder: 7, Gäste: 73)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.552
Beiträge
46.596
Mitglieder
4.185
Neuestes Mitglied
harrygrey

Teilen

Zurück
Oben