Dec 17, 2015, updated at 15:03:33 (UTC)

7512

PfSense mit APU 1D4 und Vigor 130 - Verwaltungsoberfläche des Vigor soll erreichbar bleiben

Hallo liebe Administratoren.

Ich bin im Thema Netzwerke nur mittelmässig informiert.

Ich würde gerne unseren Telekom-VDSL Anschluss (Magenta-M) mit einer pfsense absichern.

Mir geht es bei meiner Frage um einen möglichst sinnvollen Anschluss des Modems an die Pfsense die auf einer APU 1D4 laufen soll.

Die Einwahl soll über pfsense laufen.

Das Modem (Router im Modemmodus) hat eine Verwaltungsoberfläche die man über die IP 192.168.1.1 erreichen kann, pppoe wird ja wohl über vlan7 an das Modem geleitet.

Der Switch und anderes läuft an der Verwaltungsoberfläche ja auch in diesem IP-Bereich 192.168.1.x (VLAN 1).

Meine Frage ist: Kann ich das Modem untagged (VLAN1) an den auf den Switch legen um weiterhin auf die Oberfläche zugreifen zu können und das vlan tagged (VLAN 7) sowohl an das Modem als auch an den WAN-Port (pfsense) legen ?
Besteht dann ein zusätzliches Sicherheitsrisiko weil die Verbinung ja vor der Firewall liegen würde oder funktioniert das überhaupt (Loop)?

LG

Ignatia

Please also mark the comments that contributed to the solution of the article

Content-Key: 291153

Url: https://administrator.de/contentid/291153

Printed on: April 20, 2024 at 02:04 o'clock

21 Comments

Latest comment

Hallo,

wenn dein Router einen wirklichen Modem-Modus besitzt, dann besitzt es keine IP Adresse mehr.
Die Zugangsdaten werden dann einfach auf der PfSense eingetragen und gut ist.

Normalerweise gehst du vom Modem -> Pfsense -> Switch -> LAN

Hier ein ähnlicher Thread:
Draytek Vigor 130 als Modem an Vodafone VDSL Anschluss betreiben (DSLAM von der Telekom)

Gruß

Moin,

vielleicht ist dieser Artikel hilfreich: http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html

Gruß

Uwe

Zitat von @transocean:
vielleicht ist dieser Artikel hilfreich: http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html

Danke, aber leider hilft der Artikel mir nicht, zum einen ist der Artikel von 2008 und zudem betrifft er leider auch nicht das Modem Vigor 130.

Die Konfiguration des Modems bereitet mir leider im Moment den meisten Kummer, was sicher an meinem mangelndem Wissen hängt.

Diese zwei Links haben mir leider auch nur mäßig geholfen. Heise und port123.de

Edit: Hier noch ein Link von Draytek - Problem: Die meisten Anleitungen die ich gefunden habe gehen davon aus das der Router die Verbindung herstellt.

Zitat von @michi1983:
wenn dein Router einen wirklichen Modem-Modus besitzt, dann besitzt es keine IP Adresse mehr.
Die Zugangsdaten werden dann einfach auf der PfSense eingetragen und gut ist.

Normalerweise gehst du vom Modem -> Pfsense -> Switch -> LAN

Das habe ich mir zwar auch schon gedacht, würde es aber praktisch finden weiterhin die Verwaltungsoberfläche zu nutzen.

Es ist möglich das ich bisher die Einstellungen am Modem(Router) falsch gesetzt habe aber bisher ist der immer noch unter der IP zu erreichen.

Wenn ich das Modem direkt an den WAN-Anschluss der pfsense anschließe kommt bisher aber auch kein Link zustande (Modem > pfsense)

An den Telekom-Anschluß möchte ich das erst anschliessen, wenn die Konfiguration passt.

Wenn ich das Modem direkt an den WAN-Anschluss der pfsense anschließe kommt bisher aber auch kein Link zustande (Modem > pfsense)

Vergessen die Option PPPoE Passthrough für LAN Clients zu aktivieren und die PPPoE Config auf dem Vigor leer machen.
Und wenn der Vigor das VDSL taggen soll und nicht die pfSense, dies in den Settings des Vigor unter General auf TAG 7 taggen. Hier gilt entweder oder also es dürfen nicht beide taggen sondern nur einer von beiden, am einfachsten du setzt das VLAN-Tag 7 am Vigor.

Gruß grexit

Hallo,

nimm Dir einen kleinen Switch und dann schließe dort den Vigor 130 an und auch die pfSense
und den PC von dem aus die Konfiguration vorgenommen wird an.

In der Regel wird im Vigor 130 nur der "Bridge Modus" oder "Modem Mode" eingestellt
und gut ist es. Dann kommt der Vigor 130 an den WAN Port der pfSense ran und man
nimmt nur noch Einstellungen an der pfSense vor.

An den Telekom-Anschluß möchte ich das erst anschliessen, wenn die Konfiguration passt.

Wenn man die pfSense konfiguriert gibt es Passagen die einen aktiven und funktionieren Internetanschluss
voraussetzen und/oder begünstigen und es gibt einfach keinen nennenswerten Grund die pfSense erst zu
konfigurieren und dann an das Internet anzuschließen. Bei einem MikroTik Router wo man die
default "Konfiguration" des Router löscht ist das schon etwas anderes.

Gruß
Dobby

Ich bin im Thema Netzwerke nur mittelmässig informiert.

Keine gute Voraussetzung... Zeigt schon die Verwendung der D4 Hardware. Rausgeschmissenes Geld, denn die D hätte vollkommen gereicht.

Die Lösung ist aber kinderleicht: Du musst nur die FW Regeln der FW entsprechend anpassen um das zu erreichen. Das ist mit 3 Mausklicks erledigt.
Allerdings ist das Unterfanegen technischer Blödsinn und sicher deiner Unkenntniss zur Netzwerk Technik entsprungen...
Der Vigor arbeitet ja nur als passives Modem in einer Bridged Konfiguration wie oben schon mehrfach beschrieben.
Es ist also aktiv mit keinem einzigen Bit am IP Paket Forwarding beteiligt und quasi nur ein dummer Medienwandler. Er wird je gewollt gerade NICHT als Router davor eingesetzt um hier die Performance zu wahren.
Folglich gibt es keinerlei Optionen die sinnvoll wären zu managen. In so fern ist eine IP oder GUI Erreichbarkeit eigentlich sinnfrei.
Details dazu findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Zitat von @aqui:
Keine gute Voraussetzung... Zeigt schon die Verwendung der D4 Hardware. Rausgeschmissenes Geld, denn die D hätte vollkommen gereicht.

Das kann gut sein, kommt davon wenn man zuviel im Internet liest

Letztendlich bin ich durch eure Beiträge überhaupt auf dieses Thema und diese Kombination gekommen ... Das Stichwort Sicherheit ist mir wichtig und ich bin mir auch noch nicht sicher ob ich das damit wirklich erreichen kann oder ob ich das ganze durch meine mangelnden Kenntnisse nicht sogar schlechter mache als bisher. Es ist schlicht eine neue Welt für mich. Ob das eine oder andere gereicht hätte, kann ich daher noch nicht entscheiden.

Eure Beiträge und Artikel sind gut, dafür auch allen vielen Dank, aber denkt bitte daran, dass nicht alle die sich für dieses Thema Interessieren auch Spezialisten sind.

Es ist also aktiv mit keinem einzigen Bit am IP Paket Forwarding beteiligt und quasi nur ein dummer Medienwandler. Er wird je gewollt gerade NICHT als Router davor eingesetzt um hier die Performance zu wahren.
Folglich gibt es keinerlei Optionen die sinnvoll wären zu managen. In so fern ist eine IP oder GUI Erreichbarkeit eigentlich sinnfrei.

Dann werde ich deinem Rat folgen und das sein lassen, wenn ich dich richtig verstehe wäre es grundsätzlich möglich!?

Die IP behält das Modem aber ??

Spielt diese IP dann eine Rolle, also in dem Sinne muß diese dann in einem anderen Bereich liegen als die bekannten?

Ich frage, weil die pfsense ja als Standard die gleiche IP nutzt wie das Modem/Router (192.168.1.1) oder spielt das am WAN-Anschluß keine Rolle?

Sorry für die vielen Fragen aber ich würde im Vorfeld schon gerne sicher sein und denke das ich auch später sicher andere Fragen dazu haben werde.

Zitat von @108012:
Wenn man die pfSense konfiguriert gibt es Passagen die einen aktiven und funktionieren Internetanschluss
voraussetzen und/oder begünstigen und es gibt einfach keinen nennenswerten Grund die pfSense erst zu
konfigurieren und dann an das Internet anzuschließen. Bei einem MikroTik Router wo man die
default "Konfiguration" des Router löscht ist das schon etwas anderes.

Danke für diesen Hinweis, der Grund dafür ist nur das ich möglichst schnell ohne lange Unterbrechung die telefonische Erreichbarkeit halten möchte, zudem kann ich ja dann keine Fragen mehr stellen

Zitat von @122990:
Vergessen die Option PPPoE Passthrough für LAN Clients zu aktivieren und die PPPoE Config auf dem Vigor leer machen.

PPPoE/PPPoA Clien ist aktiviert und PPPoE Passthrough ist das Häkchen bei > For wired LAN wenn du das meinst?
Der Hinweis unter dem Feld besagt das der Router dann als Modem agiert.

Das VLAN Tagging bei VDSL nicht vergessen wie oben schon geschrieben .. ohne das läuft nichts ...

Auch wenn noch nicht alle Fragen beantwortet sind, vielen Dank an alle Beteiligten.

Ich habe die Konfiguration zum Test angeschlossen. Eine Internetverbindung wird hergestellt, Webseiten lassen sich aufrufen. Den Zugriff auf die Oberfläche lass ich sein.

LG
Ignatia

Zitat von @Ignatia:
Den Zugriff auf die Oberfläche lass ich sein.

Wieso? Wenn du Zugriff auf die Weboberfläche des Vigor haben willst ist der doch schnell über ein neues OPT Interface eingerichtet ...
Accessing modem from inside firewall
OPT auf das WAN-IF legen und dem OPT Interface eine IP aus dem IP-Bereich des Vigor verpassen und eine NAT-Rule anlegen.

Den Zugriff auf das Vigor-Subnet kannst du ja dann nach Belieben auf eine IP oder ein bestimmtes Subnetz begrenzen wie du lustig bist.

Du verstehst vermutlich nicht ganz wie das mit den Interfaces funktioniert. Die PPPoE Verbindung der pfSense bekommt ja ein virtuelles Interface beim Verbindungssaufbau über PPPoE, also ist das WAN nicht fest auf eine IP verdongelt, sondern sie hat die ISP-IP dem PPPoE Adapter zugewiesen und nicht dem physischen WAN-IF.

A PPPoE WAN is actually assigned to a virtual PPPoE adapter, not the physical port. 

Gruß grexit

Super, das trifft die Sache natürlich auf den Punkt und das sogar ohne viel am switch konfigurieren zu müssen.

LG
Ignatia

Zitat von @aqui:
...
Folglich gibt es keinerlei Optionen die sinnvoll wären zu managen. In so fern ist eine IP oder GUI Erreichbarkeit eigentlich sinnfrei.

Finde ich nicht, bei meinem DSL Modem kann ich dann zumindest die DSL Geschwindigkeit und Status kontrollieren und Firmwareupdates einspielen und das ohne das ich jedesmal den Lappy umkonfigurieren muss und an den internen Switch des Modems stöpseln muss.

-teddy

Zitat von @magicteddy:
Finde ich nicht, bei meinem DSL Modem kann ich dann zumindest die DSL Geschwindigkeit und Status kontrollieren und Firmwareupdates einspielen und das ohne das ich jedesmal den Lappy umkonfigurieren muss und an den internen Switch des Modems stöpseln muss.

Hallo und vielen Dank für deine Meinung, die mich dazu bewegt hat das doch einzurichten.
Genau das war Gedanke und mit dem Link den grexit gepostet hatte war es auch kein Problem für mich das umzusetzen.

Kleine Anmerkung: Trotzdem der Router als Modem arbeitet bleiben offensichtlich viele Funktionen aktiviert (DHCP-Server um einen Dienst konkret zu nennen, aber auch andere.) Mit dem Zugriff der jetzt möglich ist kann ich jetzt nachträglich noch einiges davon deaktivieren. Ein klares Plus also für den Zugriff auf die Oberfläche.

LG

Ignatia

Mit dem Zugriff der jetzt möglich ist kann ich jetzt nachträglich noch einiges davon deaktivieren. Ein klares Plus also für den Zugriff auf die Oberfläche.

Das geht aber auch schon vorher

, aber für Debug-Zwecke sicherlich bequemer wenn man schon die Möglichkeit hat.

Zitat von @122990:
Das geht aber auch schon vorher

, aber für Debug-Zwecke sicherlich bequemer wenn man schon die Möglichkeit hat.

Das stimmt, aber wie eine der ersten Antworten angemerkt hatte, dachte ich auch, das der Vigor 130 wirklich nur als Modem arbeitet und weitere Funktionalitäten nicht mehr gegeben sind. So kann man sich täuschen.

Macht es evtl Sinn in diesem Thread weitere Einstellungen zu posten, falls jemand genau wie ich nach diesen Informationen sucht?

Zum Beispiel habe ich mich entschieden, die Netzkonfiguration pfsense > Vigor 130 wie folgt einzurichten.
Erst der Anleitung in dem Post von grexit folgen.
Ein unabhängiges Netz nur für den Zugriff auf die Oberfläche:
Netzadresse: 192.168.99.0/30
Broadcast: 192.168.99.3
Host-IPs von: 192.168.99.1/30 (pfsense)
bis: 192.168.99.2/30 (Vigor 130)

Firewall: NAT: Outbound 192.168.1.0/24 (Wenn das später alles läuft wird das evtl. eingeschränkt auf einen einzelnen Rechner) > 192.168.99.0/30
zur Zeit noch alle Ports (möchte ich gerne auch noch einschränken, da fehlt mir aber noch die Erfahrung mit pfsense).