Dein Netzwerkdesign steht auf dem Kopf. Deine Heimnetzgeräte im WLAN verbinden sich mutmaßlich mit der FritzBox. Deine Server (auch den mit Zugriff aus dem Internet) willst du ins LAN der pfsense stellen. Dort ist er nicht separiert, weder von anderen Geräten im LAN der pfsense noch von Geräten im WLAN der Fritte.
Habe jetzt keine Lust die die Grundlagen zu erklären. Das kann selbst Gemini:
Ein sicheres Netzwerkdesign hinter einer Firewall
Netzwerksegmentierung, um die Ausbreitung von Bedrohungen zu verhindern (Lateral Movement). Das Ziel ist es, das Netzwerk in kleinere, kontrollierbare Zonen zu unterteilen, statt ein flaches, ungeschütztes internes Netz zu betreiben.
Kernkomponenten eines sicheren Designs:
DMZ (Demilitarisierte Zone): Ein isolierter Bereich zwischen dem Internet (WAN) und dem internen Netzwerk (LAN), in dem öffentlich zugängliche Server (Web-, Mail-Server) platziert werden.
Interne Netzwerktrennung (VLANs): Das interne Netz sollte in verschiedene VLANs (z. B. für Verwaltung, Arbeitsplätze, IoT-Geräte) unterteilt werden.
Firewall-Zonen-Design: Jedes Netzwerksegment (DMZ, LAN, WLAN) ist eine eigene Zone mit spezifischen „Default-Deny“-Regeln (alles blockieren, was nicht explizit erlaubt ist).
Best Practices für das Design:
Zonen-Modellierung: Das interne Netzwerk (Trusted) wird vom Internet (Untrusted) durch eine oder mehrere Firewalls getrennt.
Verwendung von DMZ: Dienste, die von außen erreichbar sein müssen, gehören in die DMZ, niemals direkt in das interne Netzwerk.
VLAN-Terminierung: Die Terminierung und das Routing der VLANs erfolgen idealerweise auf der Firewall oder auf einem Layer-3-Switch, der eng mit der Firewall zusammenarbeitet.
Least Privilege Prinzip: Regeln sollten so konfiguriert sein, dass nur absolut notwendiger Datenverkehr zwischen den Zonen erlaubt ist.
Proxy-Cache / Sicherheits-Appliances: Diese können hinter der Firewall platziert werden, um den Durchsatz zu optimieren, sollten aber nicht die Firewall-Funktion ersetzen.
ich hatte gehoft hier im Forum Hilfestellung zur Pfsense und IPv64, speziel hier zum Prefix update für IPv6 zu bekommen.
Anscheinend übersteigt es nicht nur mein Verständnis hierrüber.
Meine “chaotische” und “exotische” Installation, eine Pfsense hinter einer Fritzbox zu betreiben scheint alle Grenzen zu sprengen und auf Unverständniss zu stoßen.
Ich habe hier schon sooo viele Screenshots gepostet von meiner Konfiguration und hierzu noch kein Feedback erhalten ob die Einstellung richtig oder falsch ist, ob ich einen “Hacken” vergessen oder zuviel gesetzt habe. Ob ich einen Schreibfehler oder einen Eintrag vergessen habe.
Ich bin hier im Forum, weil ich DynDNS auf IPv64.net einrichten wollte, von den meisten Einstellung evtl. selbst keine Ahnung habe und erst seit einem knappen Jahr installiert habe.
Durch die Videos von Dennis, die sehr gut sind bin ich zu IPv64 gekommen. Nur wenn etwas nicht so klappt wie es sein sollte sind solche Aussagen wenig hilfreich.
oder
oder
oder
So genug davon.
Bei einem IPv4 DynDNS update ist es egal wie oft der PC im Netzwerk geroutet wird und welche IP er inter besitzt, er bekommt bei einer Anfrage z.B. bei “wieistmeineip.de” immer die IP die der Provider der ersten Schnittstelle, dem Gerät das sich beim Provider einloggt angegeben.
Bei IPv6 sieht es etwas anders aus. Das erste Gerät nach dem Provider bekommt von diesem ein Präfix und verteilt es im Heimnetzwerk. In meinem Fall die Fritzbox. (2001:16b8:ae0e:e800:: / 56)
!!! Jetzt zu meiner Konfiguration !!!
Im Heimnetz verteilt die FB dann das Präfix (2001:16b8:ae0e:e800:: / 64)
Die Pfsense hinter der Fritzbox bildet aus diesem Präfix ihre IPv6 Adresse auf dem WAN Interface (2001:16b8:ae0e:e800:xxxx:xxx:xxx:1).
Hier in der Konfiguration der WAN Schnittstelle hat mich The_eagle darauf aufmerksam gemacht, dass ich abweichend von der Hilfe-Zeile der Pfsense
Laut Translater:
"Der Wert in diesem Feld ist die vom DHCPv6-Server zugewiesene Präfixlänge. Diese wird normalerweise vom Internetdienstanbieter (ISP) festgelegt."
Das währe ja in meinem Fall /64, nur einen Wert zwischen 56+1=57 und 64-1 Eintragen sollte.
Aus diesen Eintellungen bildet dann die FB einen Delegierten Präfix (2001:16b8:ae0e:e880:: /57)
Die LAN Schittstelle hat zu diesem Zeitpunkt noch keine IPv6 Adresse.
Erst durch die Konfiguration: “IPv6 Configuration Type: track Interface” und die Zuordnung zur WAN Schnittstelle “IPv6 Interface: WAN” kann auch die LAN Schnittstelle eine öffentlich IPv6 Adresse beziehen.
Diese IPv6 Adress wird jetzt NICHTmehr aus dem “Heimnetzwerk”-Präfix gebildet sondern aus dem “Delegiert” ten Präfix. in diesem Fall die “2001:16b8:ae0e:e880:xxxx:xxxx:xxxx:2”.
Und somit besitzt auch das LAN Interface eine öffentliche IPv6 Adresse.
Jetzt ist es leicht für jeden Rechner hinter der Pfsense eine öffentliche IPv6 zu verteilen. z.B. 2001:16b8:ae0e:e880:xxxx:xxxx:xxxx:3 usw.
Bekommt jetzt das erste Geräte, z.B. meine FB, eine neue IPv6 Adresse ändert sich auch der Präfix. Diese Änderung reicht die FB über das “Heimnetz” Präfix an die Pfsense an das WAN interface weiter. Das WAN Interface bildet daraus wieder das “Delegiert” te Präfix, welches auch wieder den Präfix des LAN interfaces ändert.
Und jetzt kann mir leider keiner erklären warum der DynDNS Updater nicht in der Lage ist, diese Änderung zu erkennen und an IPv64 weiter zu leiten.
Die Hoffnung auf Hilfe kann nur erfüllt werden, wenn der die Fragen stellende auch vernünftig mitwirkt. Von einer vernünftigen Mitwirkung kann man bei dir nicht sprechen. Warum nicht?
Von mir an dich gestellte Anfragen zu Informationen werden teilweise gar nicht, teilweise nur nach mehrfacher Nachfrage und mitunter dann auch immer nur unvollständig geliefert.
Ein Beispiel dazu war die Bitte um ZEITGLEICHE Infos zu Status → Interfaces der pfsense UND den „Verwendeten IPv6-Präfixe“ der Fritte.
Hinweise auf Einstellungsoptionen, die du prüfen sollt werden vollständig ignoriert. Zumindest habe ich dazu keinerlei Feedback erhalten
Ein Beispiel dazu ist mein Hinweis auf Änderung des Check IP Mode’s. Bisher seh’ ich da keine Mitarbeit in dem Punkt bei dir.
ist NICHT das Hauptproblem, sondern die mangelnde Segmentierung. Erklärung hab ich dir via Gmini geliefert. Zudem habe ich dir ebenfalls erklärt warum die FritzBox die IPv4-Adresse aktualisieren sollte und nicht die pfsense. Erklärungen liest du entweder nicht, verstehst sie nicht oder ignorierst sie schlicht.
Das es bei dir möglicherweise gravierende Mängel bei den Grundkenntnissen gibt, erkennt man dann an Fragen wie dieser von dir:
Ernsthaft? Die Update-URL beginnt womit? Mit einem https://. Du fragst nun also ernsthaft welchen Port https verwendet? Für die korrekte Antwort erhält jeder fragende Kandidat hier 443 Punkte. Wissen die Kandidaten auch noch ob dabei das TCP oder UDP Protokoll anwendung findet gibt es weitere 443 Punkte.
Stimmt, leider aber zumeist von wenig aussagekräftigen Infos, wie dem Dashboard der sense.
Die du aber leider auch nicht verstanden hast. Wie sonst hättest du behaupten können, dass man laut Dennis Video zu IPv6-Präfix-Update die Endung &ipv6prefix=auto&onlyprefix an der Update-URL NICHT benötigen würde.
Ich hatte dir genau dazu lange zuvor dazu bereits folgendes als Lektüre mitgegeben:
Dort wird genau das erklärt. Haste auch nicht gelesen oder nicht verstanden. Ansonsten hättest du anhand der Erläuterungen im verlinkten Beitrag des OPNsense-Wiki’s verstanden wieso und weshalb dort die /57 hin gehört und das Problem mit der Anforderung eines /64-Präfixes hätte nicht noch mehrer Tage fortbestanden. Und wenn du kein Englisch kannst, dann nutze DeepL oder vergleichbares. Vieles von Bedeutung in der IT ist nun mal englischsprachig verfasst.
Richtig! Arbeite strukturiert mit, Befolge die Bitten um Infos, die man dir mitgibt oder Hinweise auf Änderungen der Config und gib dazu Feedback oder man wird dir hier nicht helfen können.
Noch ein Nachtrag:
An deinem vergleichsweise kleinen Problem sitzen wir jetzt seit dem 24. Feb. und kommen wegen deiner nicht angemessenen Mitwirkung nicht weiter, Denn soweit ich das gemäß der bisherigen (aber eben mangelhaften) Infos von dir beurteilen kann aktualisiert deine pfsense den IPv6-Präfix des LAN’s. Was nicht klappt ist nur die Verarbeitung der Rückmeldung, dass das Update auch erfolgreich war. Lösungsvorschläge dazu wurden von mir auch bereits geliefert. DIe setzt du nur nicht um, weil sie dir nicht passen.
Warum fragst du das? Die Antwort kennst du bereits. Sie ergibt sich aus meiner Antwort auf folgende Frage von dir:
Ein reines NAS (welches nur aus dem LAN und WLAN erreichbar sein soll) gehört ins LAN. Ein als Web-Server genutztes NAS (genau wie jeder andere aus dem Internet erreichbare Server) in die DMZ. Geräte im LAN sind niemals direkt aus dem Internet erreichbar. Wenn, dann nur indirekt über den Umweg VPN.
WOW → du lieferst selbst eine Steilvorlage für meine Argumente, warum man sein LAN segmentieren sollte. Scheint so, als hättest du im LAN IoT-Geräte die gerne nach China „telefonieren“ wollen. Du vermutest die könnten Daten versenden. Zur Hölle, warum sind die dann im LAN und nicht in einem weiteren separaten Netzwerksegment für IoT?
Wenn du dein LAN partout nicht segementieren willst, dann hättest du dir die Kosten, Zeit und Mühe für Installation und Konfiguration der pfsense auch gleich ganz sparen können. Ein unsegementiertes LAN hast du bereits hinter der FritzBox.
Ich bin wircklich sehr froh das du mir hilfst und ich nehme auch deine Kritiken an und ernst!
Das ich diesen Hinweis zur Segmentierung angenommen habe, müßte doch aus meiner Ausführung, wie ich nach meinem Verständnis, die Zuordnung der IPv6 Adresse zum LAN Interface beschrieben habe.
Mit der Frage, welchen Port für das DynDNS Update verwendet wird habe ich mir, ganz klar ein Eigentor geschossen. Genervt, Panic, Frust weil es einfach nicht funktionieren will, kommt alles zusammen.
Zur Angabe welches Gerät sich nach “fern Ost” verbinden will, kann ich nur sagen, das weiß ich nicht mehr. Es war ein Zufallstreffer nach dem ich nicht gesucht hatte. IoT Geräte hab ich in meinem Haushalt noch keine und auch noch nicht wirklich einen Anwendungszweck.
Den Link zu “IPv6 hinter einer Fritzbox” hatte ich wirklich noch nicht gelesen und gebookmarkt, ich denke, weil der Beitrag in Englisch ist und ich nicht sehr gut Englisch kann.
Schußstrich hier drunter?!?
Darf ich dich trotzdem noch mit dem Problem behelligen, wenn ja, womit fangen wir an?
Im WAN, also hinter der FB und vor der Pfsense, im 172 er Netz ist lediglich eine weitere Fritzbox,
die an anderer Stelle im Haus platziert ist um eine DECT Abdeckung im Haus zu erreichen.
Diesen FB (hier mal Telefonzentrale genannt) ist im Mesh (das ich auch nicht so richtig verstehe) mit der Eingangs - FB. Auch wenn ich es nicht hundertprozentig verstehe, es funktioniert.
An sonsten sind die NAS und alle andernen Geräte im LAN.
Ich habe dir den Stand meiner Analyse und Lösungsvorschläge mitgeteilt. Kannst du umsetzen oder es lassen.
Solange von dir nichts kommt, aus dem ich schließen könnte, dass meine Analyse unzutreffend und die Lösungsvorschläge daher unpassend sind, könnte ich mich nur wiederholen.
Du hast ja noch immer nichts geändert, also nichts von den Änderungen umgesetzt, die ich dir vorgeschlagen hatte. Dann kann auch nichts besser geworden sein.
Going round in circles all the time is very boring and annoying.
Pack den Server, den du aus dem Internet erreichbar machen willst, ins LAN der Fritzbox die die Verbindung mit dem WAN herstellt. Dann ist der Server vor der pfsense und nicht in deren LAN. Dann kann alle erforderlichen DynDNS-Updates die Fritte machen, das LAN der sense ist nicht aus dem Internet erreichbar und damit halbwegs sicher und wenn du vom Internet ins LAN der sense willst nimmst du Wireguard oder OpenVPN. Dafür muss auch nur das WAN-Interface der sense erreichbar sein.
Ist beides noch immer unverändert und das obgleich du selbst am DIenstag vor EINER WOCHE in deinem Eröffnungsbeitragt folgendes fragtest:
Zudem, das konnte ich aber heute erst sehen, weil das von dir zuvor nie gezeigt wurde, weist deine Fritte alle Clients (also auch der sense) immer ULAs zu. Erst eines deiner Bilder von heute zeigt das.
ULAs sind ebenfalls private address, wie im Hinweistext zu Check IP Mode erwähnt. Entferne also auch testweise das Häkchen bei den ULA’s.
Was ich echt nicht verstehe: Dir kommt selbst der Gedanke, dass der Check IP Mode mal geändert werden könnte. Rät man dir dann an das auch mal zu tun, passiert genau nichts.
Ich hatte, wie du weiter ob schon einmal beschrieben hattest die DynDNS Clients von LAN auf WAN umgestellt, jetzt gibt es in der FB keinen Delegierten Präfix mehr, also muss LAN richtig sein.
Jetzt hab ich wieder zurück auf LAN gestellt, ist die Anzeige wieder auf “rot”
Das habe ich ganz sicher nicht gesagt, dass du die DynDNS Clients von LAN auf WAN umgestellen sollst. Ich habe was ganz anderes gesagt, nämlich dass du die Fritte die IPv4-Adresse updaten lassen sollst und deine pfsense NUR und ausschließlich den LAN Präfix !!!
Was ist nur in deinem Kopf los? Nur noch Wirrwarr?
Mach das was ich schreibe und nicht irgendwas anderes stattdessen oder such dir vor Ort bei dir einen professionellen IT-Dienstleister, der dir gegen Bezahlung umsetzt, was du dir da so ausgedacht hast !!!
