10
PFSense Firewall DHCP Blocken
Hallo liebe Admins,
ich habe folgendes Szenario:
Internet(Statische IP) -> Fritzbox (192.168.100.254) -> Firewall(192.168.100.253) -> Server(192.168.100.1, DHCP Server 192.168.100.10-240)
Nun möchte ich das die Fritzbox einen eigenen kleinen Bereich mit DHCP Verwalten kann (192.168.100.240-250).
Dieser DHCP Bereich soll aber von der Firewall geblockt und nicht in das LAN Netz weitergereicht werden. (damit sich die zwei DHCP´s nicht in die quere kommen.
Hat jemand sowas schonmal konfiguriert? oder wüsste wie ich dazu vorgehen muss?
Viele Grüße
Philipp
ich habe folgendes Szenario:
Internet(Statische IP) -> Fritzbox (192.168.100.254) -> Firewall(192.168.100.253) -> Server(192.168.100.1, DHCP Server 192.168.100.10-240)
Nun möchte ich das die Fritzbox einen eigenen kleinen Bereich mit DHCP Verwalten kann (192.168.100.240-250).
Dieser DHCP Bereich soll aber von der Firewall geblockt und nicht in das LAN Netz weitergereicht werden. (damit sich die zwei DHCP´s nicht in die quere kommen.
Hat jemand sowas schonmal konfiguriert? oder wüsste wie ich dazu vorgehen muss?
Viele Grüße
Philipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 268576
Url: https://administrator.de/contentid/268576
Printed on: April 25, 2024 at 01:04 o'clock
10 Comments
Latest comment
Moin,
wenn ich das richtig sehe, willst Du zwei DHCP in ein und dem selben Netzwerkbereich verwenden.
Das wird nicht funktionieren.
Gruß,
Uwe
wenn ich das richtig sehe, willst Du zwei DHCP in ein und dem selben Netzwerkbereich verwenden.
Das wird nicht funktionieren.
Gruß,
Uwe
Das mit den zwei Netzen ist leider nicht möglich, da meine VPN User dann nicht mehr auf mein 192.168.100.1 Server zugreifen können. Und der DHCP von der Fritz wird benötigt damit das VPN auch die DNS Anfragen auflösen kann.
Moin,
Ich gehe mal davon aus das dein VPN-Responder die Fritzbox ist ?
Warum macht das nicht die PFSense bei dir ?
Gruß jodel32
Zitat von @Philipp.S:
Das mit den zwei Netzen ist leider nicht möglich, da meine VPN User dann nicht mehr auf mein 192.168.100.1 Server zugreifen können.
das ist Unsinn, du kannst sehr wohl zwei Netze mit unterschiedlichen Subnets betreiben wenn du eine entsprechenden statische Routen auf der Fritzbox und bei den VPN Clients in der Config hinterlegst !Das mit den zwei Netzen ist leider nicht möglich, da meine VPN User dann nicht mehr auf mein 192.168.100.1 Server zugreifen können.
Und der DHCP von der Fritz wird benötigt damit das VPN auch die DNS Anfragen auflösen kann.
Ebenfalls nicht nötig, lässt sich in der Client-VPN-Config eintragen.Ich gehe mal davon aus das dein VPN-Responder die Fritzbox ist ?
Warum macht das nicht die PFSense bei dir ?
Gruß jodel32
Was Du da vorhast, geht mit der PFSense ganz wunderbar, wenn Du die FB davor als reines Modem laufen lässt.
So wie Du das möchtest, wird das jedenfalls nix. Wenn schon eine Routerkaskade, dann auch richtig.
Variante 2 in diesem Tutorial wäre die deinige. Kopplung von 2 Routern am DSL Port
Gruß,
Uwe
So wie Du das möchtest, wird das jedenfalls nix. Wenn schon eine Routerkaskade, dann auch richtig.
Variante 2 in diesem Tutorial wäre die deinige. Kopplung von 2 Routern am DSL Port
Gruß,
Uwe
Hallo,
Server 192.168.5.1 DHCP Server 192.168.5.10-240
Also ich denke so etwas haben wir hier alle zwei Wochen einmal und es ist immer wieder
das selbe Trauerspiel. Bei eine Dual Homed Firewall oder DMZ sollte alles was man via VPN
erreichen möchte hinter dem ersten Router bzw. hinter der ersten Firewall platzieren! Und nicht
hinter der zweiten!!! Die soll ja eigentlich das LAN abschotten wo keiner rein soll.
Ich würde den Server hinter die AVM FB packen wollen und dort alles fest vergeben wollen
und dahinter dann die pfSense den DHCP Server aktivieren, denn von dort aus kann man ja
auf die DMZ gut zugreifen.
Gruß
Dobby
Internet(Statische IP) -> Fritzbox (192.168.100.254) -> Firewall(192.168.100.253) ->
Server(192.168.100.1, DHCP Server 192.168.100.10-240)
Internet statische IP -> AVM FB 192.168.100.254 -> pfSense 192.168.100.253 am WAN ->Server(192.168.100.1, DHCP Server 192.168.100.10-240)
Server 192.168.5.1 DHCP Server 192.168.5.10-240
Nun möchte ich das die Fritzbox einen eigenen kleinen Bereich mit DHCP Verwalten kann
(192.168.100.240-250).
Und wofür soll dieser sein?(192.168.100.240-250).
Also ich denke so etwas haben wir hier alle zwei Wochen einmal und es ist immer wieder
das selbe Trauerspiel. Bei eine Dual Homed Firewall oder DMZ sollte alles was man via VPN
erreichen möchte hinter dem ersten Router bzw. hinter der ersten Firewall platzieren! Und nicht
hinter der zweiten!!! Die soll ja eigentlich das LAN abschotten wo keiner rein soll.
Ich würde den Server hinter die AVM FB packen wollen und dort alles fest vergeben wollen
und dahinter dann die pfSense den DHCP Server aktivieren, denn von dort aus kann man ja
auf die DMZ gut zugreifen.
Gruß
Dobby
Was Du da vorhast, geht mit der PFSense ganz wunderbar, wenn Du die FB davor
als reines Modem laufen lässt.
Ohh ohh ohh, dann ist es ja auch keine Routerkaskade mehr, oder?als reines Modem laufen lässt.
So wie Du das möchtest, wird das jedenfalls nix.
Zumindest nicht wenn man die Geräte alle so stehen lässt.Wenn schon eine Routerkaskade, dann auch richtig.
Das sehe ich auch so und dann steht alles was via VPNerreicht werden soll auch hinter dem ersten Router und nicht
hinter dem zweiten.
Gruß
Dobby
Das mit den zwei Netzen ist leider nicht möglich, da meine VPN User dann nicht mehr auf mein 192.168.100.1 Server zugreifen können.
Ziemlicher Unsinn und auch technisch schlicht falsch. Vermutlich ist dein problem das du es aus welchem Grund auch immer nicht konfigurieren konntest ?!Gerade mit einer pfSense Firewall die du ja vermutlich einsetzt ist so ein Szenario problemlos möglich und kinderleicht zu konfigurieren.
Arbeitet die Firewall transparent in deinem schon recht merkwürdigen Konstrukt oben ?
Normal macht man sowas mit 2 IP Segmenten.
1
Moin Dobby,
Das sehe ich auch so und dann steht alles was via VPN
erreicht werden soll auch hinter dem ersten Router und nicht
hinter dem zweiten.
Stimmt. Aber wenn er schon eine Pfense einsetzt, kann er sich je nach Art der eingesetzten Hardware LAN und DMZ konfigurieren, mit getrennten IP Bereichen
und sauberer VPN Konfiguration. Da braucht er doch die FB nicht mehr, falls er noch ein Modem vom ISP hat, an das er die PFsense klöppeln kann.
Gruß,
Uwe
Das sehe ich auch so und dann steht alles was via VPN
erreicht werden soll auch hinter dem ersten Router und nicht
hinter dem zweiten.
Stimmt. Aber wenn er schon eine Pfense einsetzt, kann er sich je nach Art der eingesetzten Hardware LAN und DMZ konfigurieren, mit getrennten IP Bereichen
und sauberer VPN Konfiguration. Da braucht er doch die FB nicht mehr, falls er noch ein Modem vom ISP hat, an das er die PFsense klöppeln kann.
Gruß,
Uwe
Hi,
Dann funktioniert das auch als Routerkaskade mit 2 Subnetzen sogar mit 2x DHCP problemlos.
Für die Verbindung zur pfSense die IP auf der FB fest vergeben, Portforwarding auf der Fritte für den VPN auf der pfSense und schon läuft das.
Sollte die Fritte VPN machen, dürfte das für die Verbindung ins 2. Subnetz an der pfSense auch nicht zum Problem werden.
Gruß orcape
Da braucht er doch die FB nicht mehr, falls er noch ein Modem vom ISP hat, an das er die PFsense klöppeln kann.
...und wenn die FB ein Zwangsrouter vom Provider ist, der die Fritte als TK-Anlage nutzt.Dann funktioniert das auch als Routerkaskade mit 2 Subnetzen sogar mit 2x DHCP problemlos.
Für die Verbindung zur pfSense die IP auf der FB fest vergeben, Portforwarding auf der Fritte für den VPN auf der pfSense und schon läuft das.
Sollte die Fritte VPN machen, dürfte das für die Verbindung ins 2. Subnetz an der pfSense auch nicht zum Problem werden.
Gruß orcape
Fazit: Der TO sollte also besser rnochmal seine Hausaufgaben beim Netz Design machen und das dringenst überarbeiten, damit hat sich dann auch gleichzeitig der Thread hier gelöst !
1
