Fritzbox 7520 als Modem mit pfsense und PPPoE muss durch LAN getunnelt werden

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
I

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich stehe gerade leider etwas auf dem Schlauch wie ich mein Netzwerk bei mir Zuhause am besten konfiguriere.

Ich musste von Vodafone (Unitymedia) zu 1&1 wechseln, also von Kabelinternet zu DSL wechseln, da Vodafone Upstream Probleme nicht gelöst bekommen hat und ich ständig Paket Loss hatte. Jedenfalls ist jetzt aber die TAE Dose am anderen Ende des Raums als vorher die Kabeldose. Von dort zu meinem pfsense Server liegt aber bereits ein Netzwerkkabel , weil dort das TV, etc. steht. Meine Konfiguration sieht also so aus:

Code: 
TAE --- FB 7520 --- Netgear GS108Ev3 (Switch) --- Unifi Switch 8 --- pfsense

Wobei eben die Switches derzeit im LAN sind und ich überlege, ob es möglich ist die Verbindung zwischen dem WAN Interface und der FB 7520 durch die Switches zu tunneln. Als Grundidee wollte ich die Anleitung aus diesem Thread nehmen:

Fritzbox 7412 als Modem an Opnsense (andere Idee)

Jetzt sind mir einige Dinge dabei nicht klar. In dem Thread steht, dass die FB das VLAN Tagging übernimmt, wie genau berücksichtige ich das bei der Konfiguration von pfsense? Lege ich ein VLAN mit gleicher ID an, weise es dem WAN Interface zu und stelle PPPoE ein?

Wie genau tunnel ich die Verbindung zwischen pfsense und der FB am besten? Doppeltes VLAN Tagging (Q-in-Q)? Das wäre problematisch, da der Unifi Switch anscheinend kein Q-in-Q unterstützt. Ansonsten habe ich noch zwei Netgear GS305E zur Verfügung, die ich mit einbinden könne und die ebenfalls VLAN unterstützen.

Ansonsten könnte ich auch einfach die FB ins LAN mit einer statischen IP ins Netzwerk einbinden und dann mit pfsense die PPPoE Verbindung aufbauen, oder=? Nur bin ich mir nicht sicher, wie ich dann das pfsense WAN Interface konfigurieren muss und ob das eine sichere Lösung ist.

Aktuell benutze ich übergangsweise doppeltes NAT. Ich habe einen Netgear GS305E Switch mit ins LAN eingebunden. Den WAN Netzwerk Port von pfsense an einen Port vom Switch angeschlossen und versuche mit folgender VLAN Konfiguration die Verbindung zu tunneln:

GS305E

1659774278506.png

GS108Ev3

1659774349222.png
Vollbild(er) gemäß Boardregeln als Vorschau eingebunden by stoney

In Port 1 der beiden Switches steckt das Netzwerkkabel, welches die Unterhaltungselektronik mit dem pfsense Server verbindet. An Port 2 des GS108Ev3 ist die FB angeschlossen und an Port 3 des GS305E der WAN Port von pfsense. Ich benutze nicht 8802.1Q VLAN, sondern Port-based VLAN von Netgear.

Ich hoffe jemand kann mir helfen den Knoten in meinem Kopf zu lösen. :)

Grüße
Sebastian
 
Zuletzt bearbeitet von einem Moderator:
Ich halte es für keine gute Idee, wenn auch logisch getrennt, den WAN Traffic einmal durchs lokale Netz zu schleusen.
 
Das verstehe ich, aber ich werde hier noch maximal 0,5 bis 0,75 Jahre wohnen und dafür würde ich ungern noch ein separates Kabel quer durch den Raum ziehen.
 
Bei der übersichtlichen Zeitspanne ist ein vorkonfektioniertes Kabel an der Wand entlang doch durchaus auszuhalten ;)
 
im0nKeY schrieb:
Ansonsten könnte ich auch einfach die FB ins LAN mit einer statischen IP ins Netzwerk einbinden und dann mit pfsense die PPPoE Verbindung aufbauen, oder=? Nur bin ich mir nicht sicher, wie ich dann das pfsense WAN Interface konfigurieren muss und ob das eine sichere Lösung ist.
Zum Vergrößern anklicken....
PPPoE im LAN funktioniert völlig problemlos und ist komplett sicher. Die anderen LAN-Stationen sehen nichts vom PPPoE-Tunnel nichts, der wird direkt zum Ziel geswitcht. 802.11q wird nicht benötigt. Es sind nur ein paar Dinge dabei zu beachten:

Dein PPPoE-Relay darf nur (!) PPPoE ins WAN weiterleiten, nicht das komplette LAN-Interface brücken. Damit sind die meisten einfachen DSL-Modems raus, aber gegen ein vernünftiges PPPoE-Relay (z. B. OpenWrt-Basis) spricht gar nichts.

Dein PPPoE-Relay sollte PPPoE-Pakete nur von der Station annehmen, die das auch PPPoE nutzen darf. Das ist aber nur in Multiuser-Umgebungen interessant, wo mehrere PPPoE-Sessions möglich wären.

Wenn der PPPoE-Router nicht in der Lage ist, PPPoE auf dem LAN-Interface zu sprechen, kann man das WAN-Interface einfach mit einem zweiten Switchport im LAN verbinden. Das echte WAN-Interface ist bei PPPoE eh ein virtuelles PPP-Interface und kein Ethernet.
 
Wechseler schrieb:
Dein PPPoE-Relay darf nur (!) PPPoE ins WAN weiterleiten, nicht das komplette LAN-Interface brücken. Damit sind die meisten einfachen DSL-Modems raus, aber gegen ein vernünftiges PPPoE-Relay (z. B. OpenWrt-Basis) spricht gar nichts.
Zum Vergrößern anklicken....
Das gibt es in der Übersicht bislang aber nicht. Die Fritzbox ist dafür ebenfalls nicht geeignet.

Entweder braucht es ein solches Relay, oder der PPPOE Strom muss über ein separates VLAN geführt werden. Das müssen komplett die Switches übernehmen, die Fritzbox ist dir dabei keine Hilfe. Der Port am GS108Ev3 zur FB muss allein (!) in ein separates VLAN, welches du auf der anderen Seite am WAN Port der pfsense wieder auskoppelst, ebenfalls auf einem dedizierten Port nur für dieses VLAN (!).
 
Ich habe selbst mal so ein Setup eingesetzt mit folgender Hardware:

Zunächst ein SpeedTouch-Modemrouter von Thomson, der ein echtes PPPoE-Relay eingebaut hatte. Dort konnte sogar definiert werden, welche LAN-Station PPPoE-Einwahlen machen darf. Das Relay hat sich dann mit den gelieferten Credentials selbst (!) beim Provider eingewählt und den Traffic durchgetunnelt.

Danach einen Zyxel-VDSL-Modemrouter immerhin mit "PPPoE-Passthrough": Auch hier wurde nur PPPoE weitergeleitet, den Bridge-Modus ("Modem-Modus") habe ich nie benutzt. Die Fritzbox 7520 kann das ebenfalls, als DSL-Modem (Bridge) ist m. W. keine Fritzbox einsetzbar.

Die andere Seite war immer ein OpenWrt-Ethernet-Wi-Fi-Router, der als DHCP/DNS und Default-Router den Traffic aus dem LAN entgegennahm und per PPPoE an den Modem-Router weitergesandt hat. Das öffentliche Internet begann am PPP-Interface im OpenWrt-Router und die Firewall kam damit problemlos zurecht, der Rest war getunnelt.

Es stimmt aber, daß wenn man auf der DSL DHCP einsetzen muß (gibt's in DL meines Wissens nicht) oder ein Kabelmodem hat (wo DHCP verwendet werden muß), kommt man VLAN nicht herum. Aber PPPoE ist schon ein Tunnelprotokoll, da braucht es keinen weiteren Tunnel im Tunnel. Man muß nur aufpassen, daß man nicht versehentlich das LAN aufs WAN (DSL-Interface) brückt.
 
Wechseler schrieb:
Aber PPPoE ist schon ein Tunnelprotokoll, da braucht es keinen weiteren Tunnel im Tunnel.
Zum Vergrößern anklicken....
Hilft einem aber nicht, denn es wird auf Layer 2 transparent übertragen. Wenn man LAN und WAN vorm DSL Modem nicht sauber trennt, dann passieren Sachen wie diese:
www.heise.de

Wenn der Nachbar heimlich mitsurft

Durch einen Konfigurationsfehler kann ein DSL-Provider die Anschlüsse mehrere Kunden so zusammenschalten, dass sie sich gegenseitig auf die Festplatten schauen können.
www.heise.de www.heise.de

Das war zwar auf eine Fehlkonfiguration des Anbieters zurückzuführen, dennoch würde ich das Risiko nicht eingehen. Denn bis in die Infrastruktur des Anbieters kommen die Pakete aus dem Heimnetz, darüber sollte man sich klar sein.
 
frank_m24 schrieb:
Das war zwar auf eine Fehlkonfiguration des Anbieters zurückzuführen
Zum Vergrößern anklicken....
Das ist primär eine Fehlkonfiguration des Kunden: Anschluß eines ungeeigneten DSL-Modems ans LAN mit dem Resultat der LAN-WAN-Brücke. Mit einem ordentlichen PPPoE-Setup passiert das aber erst gar nicht. Bei einer Fritzbox 7520 ist dieses Fehlerbild von vornherein unmöglich. Die Fritzbox-Firmware unterstützt keine LAN-WAN-Brücke, sehr zum Unmut vieler, die das gerne hätten, es geht nur PPPoE-Passthrough.
 
Wir hatten solche Szenarien auch hier im Forum, auch mit Fritzboxen. Ganz so sicher scheint das mit dem PPPOE Passthrough also nicht zu sein.
 
Ich habe gar keine Mails zu weiteren Antworten hier nach den ersten Beiden bekommen und deshalb die Diskussion hier nicht bemerkt. Entschuldigt bitte.

Jedenfalls hab ich nun letztendlich ein weitere Netzwerkkabel zwischen dem WAN-Port von pfSense und der FB gelegt. Auch wenn ich die Befürchtungen bezügliches des Tunnelns über VLAN ebenfalls nicht geteilt habe. So ist es aber auf jetzt einfacher.

Trotzdem bekomme ich es nicht hin. :(

Wie bereits berichtet halt ich mich an diesen Thread:

Fritzbox 7412 als Modem an Opnsense (andere Idee)

Dort steht, dass ich die IP des WAN-Ports von pfSense in der FB an diversen Stellen als DNS Server eintragen soll:

  • Internet --> Zugangsdaten --> DNS-Server
    • Option "Andere DNSv4-Server verwenden" auswählen
    • DNS-Server: IP-Adresse WAN-Interface der OpnSense
  • IP-Adressen Heimnetz
    • IP-Adresse und DHCP-Bereich entsprechend Subnetz des WAN-Interfaces der OpnSense konfigurieren
    • Lokaler DNS-Server: IP-Adresse WAN-Interfaces der OpnSense oder IP-Adresse der Fritzbox
  • Statische IPv4-Routingtabelle
    • Default-Route erstellen (Netzwerk: 0.0.0.0, Subnetzmaske: 0.0.0.0, Gateway: IP-Adresse WAN-Interfaces der OpnSense)
Zum Vergrößern anklicken....

Leider wird mir dort zu wenig auf die Konfiguration von pfSense bzw. OPNsense eingegangen. Ich kann natürlich das WAN Interface als PPPoE konfigurieren.

1660173797032.png
1660173873207.png
1660173885365.png

Die Verbindung wird aufgebaut, aber DNS funktioniert nicht. Ich vermute mal, eben wegen dieser Einstellungen in der FB. Gebe ich einen anderen DNS Server an als pfSense selber (z.B. 8.8.8.8) funktioniert alles richtig. pfSense selber "google.de" auflösen, nur wenn pfSense im LAN als DNS Server benutzt wird, dann funktioniert die Namensauflösung nicht.

Habe schon die Befürchtung, dass was mit meinem pfSense nicht in Ordnung ist und angefangen OPNsense aufzusetzen.

Gruß
Sebastian
 
Was läuft denn jetzt pfsense oder opnsense?

Der Beitrag, den du zitierst, geht davon aus, dass die FritzBox weitere Funktionen (WLAN) als nur ein reines DSL Modem übernimmt, deshalb die zusätzlichen Einstellungen.
Ist das bei dir der Fall?
 
chrsto schrieb:
Was läuft denn jetzt pfsense oder opnsense?
Zum Vergrößern anklicken....

Gleichzeitig nichts, bisher habe ich immer pfSense benutz und um Fehler auszuschließen, habe ich nun OPNsense parallel auf ner anderen VM eingerichtet. Zum testen kann ich jetzt dazwischen umschalten.

chrsto schrieb:
Der Beitrag, den du zitierst, geht davon aus, dass die FritzBox weitere Funktionen (WLAN) als nur ein reines DSL Modem übernimmt, deshalb die zusätzlichen Einstellungen.
Ist das bei dir der Fall?
Zum Vergrößern anklicken....

Ja, die DECT Basis Funktion würde ich gerne weiter nutzen.
 
Sofern dir in der VM keine dedizierten Netzwerkkarten zur Verfügung stehen, du auf virtuelle Adapter setzt und du darüber hinaus die "Dienste" des Modems (FritzBox) im LAN weiter nutzen möchtest hättest du dir in diesem Fall das zusätzliche LAN Kabel sparen und über die Switche gehen können. Mir stellt sich hier tatsächlich die Frage, was der Vorteil eines solch komplexen und unübersichtlichem Setup sein soll.

Ich würde als erstes die FritzBox komplett zum Modem degradieren (ist dort der DHCP aus?) und dann *sense einrichten. Dann schauen, dass die Clients ins Netz kommen (läuft DHCP/DNS? "Feste" Netzwerkeinstellungen bei den Clients? Welche?). Erst danach würde ich mich um weitere Funktionen in der FritzBox kümmern.

Oben wurde ein eigenständiges Modem ansprochen. Vielleicht ist das die sinnvollere Option, auch schon im Hinblick auf die neue Wohnung.
 
chrsto schrieb:
Sofern dir in der VM keine dedizierten Netzwerkkarten zur Verfügung stehen, du auf virtuelle Adapter setzt...
Zum Vergrößern anklicken....

Der pfSense VM stehen 6 LAN Ports zur Verfügung.

chrsto schrieb:
...und du darüber hinaus die "Dienste" des Modems (FritzBox) im LAN weiter nutzen möchtest hättest du dir in diesem Fall das zusätzliche LAN Kabel sparen und über die Switche gehen können.
Zum Vergrößern anklicken....

Naja, das war doch dein Vorschlag. o_O

chrsto schrieb:
Bei der übersichtlichen Zeitspanne ist ein vorkonfektioniertes Kabel an der Wand entlang doch durchaus auszuhalten ;)
Zum Vergrößern anklicken....

chrsto schrieb:
Mir stellt sich hier tatsächlich die Frage, was der Vorteil eines solch komplexen und unübersichtlichem Setup sein soll.
Zum Vergrößern anklicken....

Also eigentlich ist das gar nicht so kompliziert. Meine Ursprungsidee war ja einfach die Verbindung zur FB via VLAN über mein LAN zu tunneln, um mir das Kabel zu sparen. Das muss ich auch nur machen, weil die TAE Dose nun am anderen Ende des Raums ist. Um nicht mehrere Geräte zu installieren, wollte ich die DECT Funktion der FB weiter nutzen, aber ansonsten sollte Sie ein Modem sein. Auf die Idee sind ja auch anscheinend schon andere gekommen, so ungewöhnlich kann es dann auch nicht sein.

chrsto schrieb:
Ich würde als erstes die FritzBox komplett zum Modem degradieren (ist dort der DHCP aus?) und dann *sense einrichten. Dann schauen, dass die Clients ins Netz kommen (läuft DHCP/DNS? "Feste" Netzwerkeinstellungen bei den Clients? Welche?). Erst danach würde ich mich um weitere Funktionen in der FritzBox kümmern.

Oben wurde ein eigenständiges Modem ansprochen. Vielleicht ist das die sinnvollere Option, auch schon im Hinblick auf die neue Wohnung.
Zum Vergrößern anklicken....

Wie dem auch sei, ich wollte das ja auch wirklich nur Übergangsweise machen. Nun habe ich aber ein dediziertes Kabel zwischen pfSense und FB verlegt. Das VLAN-Tunnel Thema hat sich also erledigt. Ansonsten gebe ich dir natürlich nicht unrecht. Schöner ist es mit einem dediziertem Modem. Schön finde ich es auch nicht, die FB mit falschen Zugangsdaten partiell zu einem Modem zu degradieren.

Gruß
Sebastian
 
im0nKeY schrieb:
Naja, das war doch dein Vorschlag. o_O
Zum Vergrößern anklicken....
Die Überschrift deines Beitrags lautet "Fritzbox 7520 als Modem mit pfsense [...]", mehr nicht. Wenn du nun noch DECT nutzen möchtest und die Box sowieso wieder ins LAN hängst, kann ich das nicht wissen.

im0nKeY schrieb:
Um nicht mehrere Geräte zu installieren, wollte ich die DECT Funktion der FB weiter nutzen,
Zum Vergrößern anklicken....
Wenn es doch eh nur übergangsweise ist, warum nicht die FritzBox als Router nutzen und den ganzen VM/VLAN/pfsense Overhead weglassen?
 
chrsto schrieb:
Die Überschrift deines Beitrags lautet "Fritzbox 7520 als Modem mit pfsense [...]", mehr nicht. Wenn du nun noch DECT nutzen möchtest und die Box sowieso wieder ins LAN hängst, kann ich das nicht wissen.
Zum Vergrößern anklicken....

DECT hat ja nichts mit dem zusätzlichen Kabel zutun. Und meine Absicht und den Aufbau hab ich in meinem ersten Thread beschrieben.

chrsto schrieb:
Wenn es doch eh nur übergangsweise ist, warum nicht die FritzBox als Router nutzen und den ganzen VM/VLAN/pfsense Overhead weglassen?
Zum Vergrößern anklicken....

Der pfSense Router existiert schon seit mehreren Jahren, wurde bisher eben nur mit Kabelinternet und einer FB genutzt 6591, die direkt neben dem Server stand, wo auch der Kabelanschluss liegt. Jetzt musste ich zu DSL wechseln, aufgrund von Upstream Paket Loss Problemen, die Vodafone nicht lösen konnte. Nun ist die TAE Dose am anderen Ende des Zimmers.

Auch wenn es nur übergangsweise ist, baue ich doch mein ganzen Netzwerk nicht wieder auf FB, wenn ich doch schon pfSense nutze.
 
Die Absicht, die Telefoniefunktion der FritzBox zu nutzen, wird mit keinem Wort erwähnt. Es sei denn, "DECT Funktion nutzen" heisst bei dir, dass du nur ein paar DECT Geräte (z.B. Smarthome) angebunden hast und gar nicht (extern) telefonieren möchtest.
 
Ja, ich habe das nicht explizit erwähnt, aber das spielt, wie gesagt, bezüglich des VLAN Tunnels ja keine Rolle.

Und ich habe auch geschrieben, dass ich die Lösung aus dem Thread versuche umzusetzen. Da geht es ja darum die DECT Funktion zu erhalten. Auch wenn ich es also nicht nochmal extra erwähnt ist es also indirekt trotzdem so.
 
im0nKeY schrieb:
Ja, ich habe das nicht explizit erwähnt, aber das spielt, wie gesagt, bezüglich des VLAN Tunnels ja keine Rolle.
Zum Vergrößern anklicken....
Ist VLAN denn noch ein Thema? Immerhin hast du ein eigenes LAN Kabel gelegt.
Ich weiß jetzt immer noch nicht, ob du telefonieren möchtest, die Box also zusätzlich noch ins LAN muss.


chrsto schrieb:
Ich würde als erstes die FritzBox komplett zum Modem degradieren (ist dort der DHCP aus?) und dann *sense einrichten. Dann schauen, dass die Clients ins Netz kommen (läuft DHCP/DNS? "Feste" Netzwerkeinstellungen bei den Clients? Welche?). Erst danach würde ich mich um weitere Funktionen in der FritzBox kümmern.
Zum Vergrößern anklicken....
Bist du schrittweise vorgegangen und hast getestet, ob deine Clients nun wieder online sind?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 602 (Mitglieder: 23, Gäste: 579)

Neueste Beiträge

Statistik des Forums

Themen
246,039
Beiträge
2,244,901
Mitglieder
373,440
Neuestes Mitglied
wmf79
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück