PFsense -> Vigor167

Guten Abend in die Runde,

erfolgreich habe ich meine PFsense eingerichtet und heute das DSL-Modem Vigor167 installiert.

Meine PFsense ist im Netz 192.168.178.0 und der Vigor im Netz 192.168.1.0 (Login-IP: 192.168.1.1).

Nun benötige ich ein Routing zwischen den beiden Netzen, damit ich aus dem LAN auf das DSL-Modem zugreifen kann. Leider finde ich hier keinen Anfang, wie ich das bewerkstelligen kann.

Ich möchte nicht einfach in der PFsense oder im Vigor167 Einstellungen vornehmen, bis es funktioniert. Aus Sicherheitsgründen möchte ich schon verstehen, was warum eingestellt wird.

Der Vigor167 ist als reines Modem installiert, kein Router.

Habt ihr Tipps oder vielleicht sogar eine Anleitung, wie man hier beginnt?

Die PFsense hat die Version 2.7.2 und der Vigor167 Version V5.2.5 (beide auf der neuesten Version).

Schönen Abend,
der Opa

Hallo Opa,

das Vigor 167 hat nicht ohne Grund zwei LAN-Ports. Einer wird mit dem WAN der pfsense verbunden (das ist bei dir schon der Fall). Den anderen kannst du zur Konfiguration des Vigor nutzen. Das ist so, weil das Vigor als Modem ja am WAN keine IP-Adresse hat. Die bekommt vom ISP ja die pfsense.
Wenn also deine pfsense im LAN das Netz 192.168.178.0/24 hat, dann muss das Vigor aus eben diesem Netz eine IPv4-Adresse bekommen (z.B. 192.168.178.2) und dann verbindest du den zweiten Port des Vigor per LAN-Kabel mit dem Switch am LAN der pfsense.

Nein, brauchst kein Routing. Du brauchst für das Vigor eine statische IPv4-Adresse im aus dem LAN der pfsense, aus einem Bereich den die pfsense nicht per DHCP zuteilt.

2 Likes

Hallo The-Eagle,

man das war ja echt ein XXL Express Support ! Besten Dank Dir, ich bin auf der GUI angekommen.

Beste Grüße
Opa

Man kann aber auch das webgui vom vigor über den wan Port erreichbar machen, dafür Brauch man kein extra LAN Anschluss am 2. Port, hab das mit der opnsense auch so gemacht, bei mir wird mit pppoe die Verbindung aufgebaut, da hat der wan Port ja keine IP zugewiesen, einfach den wan Port ein /30 zuweisen und die passende outbound regel anlegen und schon kommt man auch über den wan Port auf das vigor webgui

Geht auch. Aber wenn man dann will, dass das Vigor 167 auch Datum und Uhrzeit mit einem Zeitserver synchronisieren kann, wegen logs, oder 2FA, dann wird es mehr bedürfen als nur einer passenden Outbound-Regel. Denn die Zeit kann kann das Vigor 167 im Modem-Mode nicht über WAN synchronisieren. Das geht nur über einen Zeitserver im LAN.

Ist doch keine große Sache, einfach den ntp Server von der Sense auf dem Gateway vom /30 lauschen lassen und diese Dan im vigor eintragen

geht bei mir nicht. pfsense läuft als VM. Daher ist der Host und nicht pfsense-VM die Instanz, die Systemzeit stellen kann. Zeitserver ist daher tatsächlich im LAN, nicht die pfsense.

Also ob VM oder auf Metall, bei der opnsense kann man immer ein ntp Server laufen lassen

Services → NTP → Settings → NTP Server Configuration → Enable NTP Server
Dort findet sich folgender Hinweis:

You may need to disable NTP if pfSense is running in a virtual machine and the host is responsible for the clock.

Genau das ist bei mir der Fall. Da steht zwar nicht, dass man es disablen muss, aber es wird angeraten. Und es ist ja auch kein Hexenwerk einen ohnehin vorhandenen Debian Server im LAN zum Zeitserver zu machen, von dem sich dann alle anderen die Zeit holen. Auch das Modem und die pfsense.

Hallo, ich habe mir ein VLAN gebaut.
Damit komme ich auf den Vigor - allerdings habe ich eine LAN Regel bauen müssen.
Finde ich persönlich auch gut. Generell ist der Vigor so nicht erreichbar, sei den ich mache die Regel frei.

Nun läuft der Vigor perfekt und man muss ja nichts mehr machen.

Beste Grüße
OPA

Das Vigor 167 läuft eh perfekt. Braucht kaum Beachtung. Mir war der Anschluss ans LAN wichtig wegen Zeitsynchronisation. Über WAN kann das Vigor 167 im Modem-Mode keine Zeit synchronisieren. Will man aber Cron-Jobs (Configuration → Objects → Schedule) anlegen, dann braucht das Vigor die korrekte Uhrzeit und die kann es nur über NTP aus dem LAN ziehen. Das gilt auch wenn man 2FA nutzen will, statt nur Username und Passwort.

das ist nicht korrekt, mit der richtigen Konfiguration funktioniert es, ich habe auch nur eine WAN Leitung zum Vigor und bei mir funktioniert die Zeit Synchronisation, genau so wie SNMP.

Das ist sehr wohl korrekt. Du mixt hier unzulässigerweise Begriffe, bezw. trennst die nicht korrekt. Das WAN ist NICHT das WAN-Interface !!!

Wen ich WAN sage, dann meine ich auch WAN = Wide Area Network. Und aus dem WAN kann ein Vogor 167 im Modem-Modus keine Zeit syncen, Das was du da vorschlägst ist nur ein anderer WEG ins LAN der pfsense am hinter dem Modem. Du schlägst eine Lösung vor, die über das Kabel zwischen Vigor und WAN-Interface der pfsense dahinter funktioniert.

Dass das geht kann habe ich in meinem von dir kritisierten Post nicht bestritten. Das Problem das ich aufgezeigt habe besteht aber in @Opas_Linux Lösung:

Wenn diese Regel (wie die genau aussieht weiß ich nicht) nur dann aktiviert wird, wenn @Opas_Linux selbst auf das Vigor zugreifen will, dann kann darüber das Vigor keine Zeit syncen und auch kein SNMP nutzen. Die Regel wäre ja fast immer inaktiv.

Fakt ist dass man im Vigor im Modemmodus kein DHCP nutzen kann um um Zeitserver-Pools wie de.pool.ntp.org zu erreichen. Theoretisch, also falls das geht, hab ich nicht getestet, könnte man mit einer Route 0.0.0.0/0 eine WAN-IP-Adresse eine Zeitservers im Vigor eintragen. Aber das ist sicher nicht sinnvoll, denn was wenn diese Adresse sich ändert oder der Server ausfällt. Also muss man sinniger Weise die IP-Adresse eines Zeitservers im LAN hinter der sense eintragen. Den kann man wenigstens selbst neu starten wenn der mal ausfällt.
Der ist dann aber eben per Definition im LAN und nicht im WAN, auch dann nicht wenn man um den zu erreichen das Kabel zwischen Vigor und WAN-Interface der sense nutzt.

Und Leuten wir dir, die offenbar nach dem Prinzip leben warum einfach, wenn es auch kompliziert geht dürfen natürlich gern auf den Cent-Artikel zweites Patch-Kabel 25cm Länge verzichten und stattdessen lieber Firewall-Regeln, etc. konfigurieren, um eben die 50 Cent fürs Patch-Kabel zu sparen.

das ist korrekt, das es von der WAN Seite TAE Dose → Vigor nicht funktioniert, ich dachte das ist klar weil sich dieser Thread darauf bezieht PFsense → Vigor, man kann natürlich auch unnötig ein zusätzliches LAN Kabel benutzen, kostet ja nicht viel, und vermutlich hat ja auch jeder neben seinem Modem direkt die Sense oder ein switch stehen und nicht einen weg vom Vigor zur sense von 20 Meter.

ich wollte nur ein 2. Lösungsansatz bieten, und keine Diskussion auslösen, jeder kann es natürlich so lösen wie es für ihm am besten ist.

Ja, natürlich gibt es mehrere Lösungswege. Aber für das Zeitserverproblem nützt ein Lösungsweg nix, der meist nicht aktiv ist und nur dann aktiviert wird, wenn der Admin mal auf sein Vigor zugreifen will. Hat man (wie ich) 2FA aktiviert dann ist bei spätestens zwei Minuten Abweichung zwischen Zeit des Clients (meist ein Smartphone) der den Code generiert und Zeit des Vigor Schluss, weil die TOTP- Codes nicht mehr passen. Man kommt nicht mehr rein in sein Vigor und guckt dumm.