PFsense zwischen ISP Router und LAN/Mesh Router?

Hallo zusammen,

ich möchte mir eine Pfsense ins Netzwerk integrieren.
Nun ist das bei mir nicht ganz einfach.
Ich lebe in Spanien und habe einen Glasfaser Anschluss.
Vom ISP habe ich einen IMHO spartanischen Huawei GF router.
Zugangsdaten bekommt man hier nicht. Verweigern die ISPs wegen Support Bedarf.
Dafür bekommt man bereits 2 Gbit synchron ab 15€ / Monat.

Nun habe ich wegen dem Problem eine Fritzbox4060 hinter dem Huawei und nutze das Mesh mit mehreren Fritz 6000er Repeatern im eigenen Netz.

Die 4060 ist ein Spezialmodel für genau solche Fälle und hat kein eigenes Modem.
Das funktioniert soweit 1A.

Der Huawei wird quasi nur als stumpfes Modem genutzt.
CGNAT haben wir leider auch. Ich brauche aber kein VPN bzw. Remotezugriff.

Nun möchte ich die Pfsense auf dedizierter Hardware nutzen, also nicht als Container oder so.
Alter Z390, I7-8700k, 512gb nvme, 16 Gb Ram steht dafür zur Verfügung.
2X 2.5Gbit Nics sind zusätzlich eingebaut.

Die Pfsense soll ZWISCHEN
den Huawei ISP Router, der sein eigenes Netz hat und den 4060 Router.

Huawei Netz 192.168.18.0
Fritz Netz 192.168.178.0

Das Netz sieht momentan so aus:
WAN ONT → Huawei (192.168.18.0) → Fritz 4060 → LAN/MESH (192.168.178.90)

Ich arbeite mich gerade erst durch die Zero to Hero PFSense video Serie bei YT, hier nochmal Großes Danke an den Dennis,

wollte aber erst einmal die Experten hier fragen, ob meine Idee so überhaupt umsetzbar ist. Doppeltes NAT nehme ich zwangsweise in Kauf.

Und falls das Ganze soweit machbar ist, wo sind die Knackpunkte?

Also Huawei bleibt wie er ist, Pfsense bekommt per DHCP oder statisch eine IP im Huawei Netz und genauso im Fritznetz. Da die Fritz nun nicht mehr direkt mit dem Huawei verbunden ist, muss ich da etwas ändern? Eventuell routen einrichten?

Wie sieht es mit den gateways aus?
Für das LAN/Mesh bleibt die Fritz (192.168.178.1) das Standardgateway.

Reicht es, daß die PFSense eine IP im Fritz Netz hat oder muß man da mehr konfigurieren?

Saludos y Gracias

Mike

Klar muss man mehr konfigurieren.

Wie viele NATs willst du denn noch haben? Also eine Fritte als weiterer Router hinter einer pfsense ist dich total sinnbefreit. Wozu soll das gut sein?

Du musst die FB hinter die pfSense wenn überhaupt per WAN-Port anschließen. Aber wie @The_eagle schon sagt, ist es sinnlos 3 Router hintereinander zu schalten.
Aber gehen tut sowas natürlich.

So wie sich @beefeater das denkt sammelt er NAT’s geradezu.

1. NAT = CGNAT
2. NAT = Huawei GF router → pfsense WAN
3. NAT = pfsense WAN → pfsense LAN
4. NAT = pfsense LAN → Fritte

Wozu soll das gut sein?

Meine ich ja auch.

Bla Bla für 20 Zeichen.

War mir klar das du das verstanden hast. Wollte es nur noch mal verdeutlichen, was das praktisch bedeutet, damit es alle (vor allem @beefeater) auch verstehen.

Bei so etwas sind doch Probleme über Probleme bei der Konfiguration vor programmiert, insbesondere wenn man dann doch mal ein Wiregurad-VPN oder ähnliches nutzen will.

Und wenn man eher wenig Ahnung hat…

Ich würde das ja auch gerne anders umsetzen.
Aber es sind nunmal die Startbedingungen.

CGNAT ist Fakt.
Huawei muss bleiben, weil keine Anmeldedaten vom ISP.
Habs mehrfach versucht welche zu bekommen. Und dann scheitert es wohlmöglich noch an den verschiedenen GF Anschluß Standards.

Ich mag mein Fritz Mesh.
Ich bin damit sehr zufrieden und das ist auch recht groß ausgebaut.

VPN bzw. jedweder Externer Zugriff ist unerwünscht und unnötig.
Telefonie nutze ich auch nicht.

Wie sähe eure Lösung aus ?

Saludos Mike

Also geht es dir nur darum die Fritte als WLAN-AP zu nutzen? Wenn ja liest du FRITZ!Box für Betrieb mit anderem Router einrichten, speziell „1 FRITZ!Box als IP-Client einrichten (empfohlen)“

Ja, WLAN Mesh Master. Das soll die Fritzbox halt bleiben.

Ich verstehe, dass Doppeltes bzw. mehrfaches NAT Probleme machen „kann“. Bei peer to per und online games etc. Aber das alles benutze ich nicht.
Ich surfe und lade im usenet. Thats it. Ich habe ja schon doppeltes NAT und seit 2 Jahren null Probleme damit.

Die Umstellung der Fritz von eigenem LAN auf IP Client des ISP Routers würde mein Mesh zerstören bzw. ich müsste alles umkonfigurieren.
Die 4060 ist ja momentan über ihren WAN port mit dem huawei verbunden.
Und der Huawei ist ein Krampf.

Selbst wenn ich nun das Fritz LAN auflöse und in das Huawei LAN integriere, als IP Client, spare ich mir 1 NAT. Aber was nutzt mir dann die PFsense hinter der Fritz? Oder wo soll PFsense dann hin?

Die PFsense möchte ich aus Neugier in Betrieb nehmen und nicht alles Aufgebaute damit über den Haufen werfen…
Möchte lediglich mehr Sicherheit und den Traffic monitoren bzw. steuern.

Das mag für die Profis gaga sein, aber lernen gehört eben auch zum Hobby.
Mehr ist das bei mir nicht.

Saludos Mike

Wieso sollte die Fritte eine IP des ISP Routers bekommen? Du verstehst glaube ich gar nicht wie eine Firewall (wie pfsense/OPNsense) funktioniert!

Nur das WAN-Interface der Firewall bekäme eine IP des ISP-Routers. sonst kein Gerät! Im LAN/WLAN der Firewall werden andere, selbst definierte IP-Adressen vergeben. Was du da vergibst bleibt dir überlassen, solange es sich um Private IP-Adressen der Klassen A, B oder C (10/8, 172.16/12 oder 192.168/16) handelt.

Du kannst doch zum Testen der pfSense die einfach mit in dein FB-Netz hängen. Die muss ja nicht eine Aufgabe haben.

Besser neben die Fritte ans WAN des Routers vom ISP. Sollte der nur einen Port haben, einfach einen Switch dazwischen. Da offensichtlich eh keine Portweiterleitunge vohanden sind, kann so die pfsense parallel zur Fritte am WAN hängen und alles so konfiguriert werden, wie es später real auch laufen würde.

Oder so.

Bla Bla für 20 Zeichen.

hmm, okay, eventuell habe ich mich unglücklich ausgedrückt oder du kennst die 4060 nicht. Da ist das etwas anders.

Zum Firewall Verständnis. Ich war sogar mal ACE (Astaro Certified Engineer, heute sophos) Das ist aber 17 Jahre her und so eine Konstellation gab es damals bei uns nicht. Da kam die Astaro UTM direkt ans WAN mit public ip und gut wars.

ok, ich häng die pfsense einfach mal ins Fritz LAN und neben die Fritz
und spiele damit.
Wie ich das routing hinbekomme sehe ich dann …

Danke erstmal für eure Geduld

Saludos Mike

Nein, bloß nicht! Nicht an den HUAWEI und ins LAN! Das gibt nur Probleme.

Nein, nur direkt am Huawei oder nur im Fritz LAN…
soweit klar

Das was ich dir vorgeschlagen hatte (Link zu AVM oben) war speziell für die 4060. Und die von mir vorgeschlagene Vorgehensweise „1 FRITZ!Box als IP-Client einrichten (empfohlen)“ wird genau so von AVM empfohlen, wenn man eine 4060 hinter einem anderen Router/einer Firewall betriebt. Das "(empfohlen)“ stamm nicht von mir sondern von AVM. Also diesbezüglich ist nix speziell anders als bei den anderen Fritten wie 7590 für die das auch genau so von AVM empfohlen wird.

Zu deinen Bedenken hinsichtlich geänderter IPv4-Adresse:

wie ich bereits ausführte kannst du die frei unter den von mir genannten Vorgaben vergeben. Bisher hat deine Fritte eine IPv4-Adresse aus dem 192.168.178.0/24-Netz. Dann gibst du eben genau jenem lokalen Netzwerksegment der pfsense, in dass du die Fritte hängen willst, ebenfalls Adressen aus 192.168.178.0/24. Hat die Fritte bisher die 192.168.178.1, dann kann die pfsense ja meinetwegen fix die 192.168.178.2 bekommen. Dann würde sich nix seitens der Adressen der Fritte ändern. So einfach wäre das zu lösen.

Ok, die Texte von AVM kenne ich.
Jedoch ist die normale vorgehensweise eine andere.

Man klemmt die 4060 out of the box an den WAN port des ISP routers.
Automatisch bekommt die Fritz dann eine IP vom ISP Router, bei mir im x.x.18.0 Netz. In der Fritz GUI ist dann aber unter „Internetzugang über“ nicht IP Client, sondern „Kabelmodem oder Internetrouter“ aktiv.

Und die Fritz baut ihr eigenes LAN mit DHCP Server, WLAN, Gastnetz etc etc.

Das mit den PFsense IPs war von Anfang an mein Plan.
Den WAN Port der PFsense mit der IP 192.168.18.2 an den Huawei.
Den anderen LAN Port der PFsense mit der 192.168.178.2 ins Fritz LAN.

Und dann soll die PFsense jeden Traffic zwischen den Netzen filtern.

Ich taste mich da mal rein.

Saludos Mike

Das funktioniert so nicht! Dann hast du zwei Wege über die Traffic fließen könnte. Das knallt nur! Und du kannst an den WAN-Port des ISP-Routers nicht noch eine FB hängen. Da ist ja das WAN dran.