OPNSense direkt an FritzBox

Hallo zusammen,

der Hintergrund des Themas ist der Rausschmiss der Schulen in Baden-Württemberg durch Belwü, wobei nochmals ausdrücklich erwähnt sei, dass dies nicht von Belwü verschuldet worden ist, sondern von anderen (politischen) Digitalhelden.-

Technisch gesehen fällt damit der vorkonfigurierte Router von Belwü weg und unsere Firewall hängt direkt am Router des Providers, und das ist in „The Länd“ häufig eine FritzBox. Wenn ich das Ganze richtig verstanden habe, dann muss als erstes dafür gesorgt werden, dass kein doppeltes NAT stattfindet.
Da NAT auf der Firewall wohl bleiben soll, muss die FritzBox Änderungen erfahren. Meine bescheidenen Recherchen haben drei Möglichkeiten ergeben:

1. Bridged Modus: Das müsste der Provider freischalten, was in der Praxis aber wohl häufig nicht realisierbar ist.

2. Exposed Host: Das kann man für bestimmte Geräte, zum Beispiel die OPNSense, selbst einstellen, soll aber nicht empfehlenswert sein, da dieses Gerät dann ungeschützt von außen erreichbar ist. Für Testzwecke sei dieser Modus aber nicht schlecht.

3. Portfreigaben: Man gibt für bestimmte Geräte einzelne Ports frei und sorgt somit dafür, dass nur bestimmte Anwendungen erreichbar sind. Auch das kann man selbst in der FritzBox einstellen.

Liege ich mit diesen Überlegungen schon grundsätzlich oder teilweise richtig/falsch?
Da wir bei linuxmuster.net ja nahezu weltweit verbreitet sind, erhoffe ich mir einige Hinweise von denen, die außerhalb Baden-Württembergs die Vorzüge Belwüs ohnehin nie genießen durften, für die also die beschriebene Konstellation der Normalfall ist.

Viele Grüße

Wilfried

Mal ganz abgesehen von der eigentlichen Frage, aber ich hatte das Schulnetz hinter einer Fritzbox und das endete nicht gut. Viele Verbindungsabbrüche und seltsame Fehler. Ich hatte die FB dann irgendwann gegen einen etwas größeren „richtigen“ Router getauscht, seitdem keine Probleme mehr. Wir haben ca 700 Nutzer bedient, bei ca 300 war Maximum. Ich muss zugeben, dass die FB schon etwas älter war, aber nichtsdestotrotz, der Fehler war schwer zu finden.

Im Augenblick ist das Schulnetz auch hinter einer FritzBox, dazwischen ist aber noch der Belwü-Router. Die große Auswahl habe ich nicht, da ich ja außerdem noch einige öffentliche IPs brauche.

Hallo Wilfried,

sehe ich das richtig, dass Du mehrere IP-Adressen bekommst? Da wäre nun die Frage, wie das genau aussieht. Insbesondere die Anbindung nach außen wäre interessant. Vermutlich arbeitet die Fritzbox einfach nur als Router.

Was sagt denn der Provider, wie die FRITZ!Box konfiguriert werden soll?

Beste Grüße

Jörg

Hallo,

Woher kommt diese Info? Bridge-Modus bedeutet bei (DSL-)Routern meist, dass das Gerät nur DSL-Modem spielt und von selbst zwar die Verbindung zum DSLAM aufbaut, aber ein anderes Endgerät die PPPoE-Verbindung herstellen muss. In deinem Fall sollte das die OpnSense-Box können.

VG Buster

Hallo Jörg,

die Anleitungen von Vodafone

und AVM

beziehen sich beide primär auf Portfreigaben, wobei auf den Fall, dass eine Firewall folgt, nicht näher eingegangen wird.

Viele Grüße

Wilfried

Hallo Buster,

die Info kommt aus diversen Vodafone-Foren, wobei die Möglichkeit der Freischaltung teilweise davon abhängen soll, ob man zuvor schon Unitymediakunde war bzw. in welchem Bundesland man sich befindet - für mich etwas dubios.

Das geht wohl in die richtige Richtung, aber mir ist weder klar, wie man das auf der OPNSense umsetzen kann, noch ob der Weg mit den Portfreigaben nicht der bessere wäre.

Viele Grüße

Wilfried

Hallo Wilfried, Jörg und Buster,

ich kann hier nur einwerfen, dass unsere Schule zusammen mit zwei weiteren Schulen und weiteren städtischen Einrichtungen hinter einer FritzBox des Schulträgers hängt (VodafoneCable). Dort haben wir (wir waren die schnellsten) Portweiterleitungen auf die OPNsense bekommen. Das funktioniert völlig problemlos. Die FritzBox dürfte aber auch recht neu sein, denn wir haben diesen Aufbau erst seit knapp drei Jahren. Der Kabelanschluss von Vodafone hatte zu Beginn noch Probleme gemacht. Mehrere IP-Adressen für die verschiedenen Server hatte ich zuerst auch im Kopf, aber mit HAProxy lässt sich der Verkehr hinter der Firewall gut nach Namen sortieren.

VG
Christian

Hallo zusammen,

meine 2ct zum Thema: ich kann nicht aus schulischer Erfahrung mit Fritzboxen und Vodafone Kabel sprechen, sondern „nur“ aus privater Erfahrung mit eben diesem Setup in Verbindung mit einem Vodafone Business-Kunden-Anschluss:

Sowohl im Fall „Exposed host“ als auch bei Portweiterleitung arbeitet die FritzBox im NAT-Mode. Damit bekommt man dann zusammen mit der OPNsense ggf. doppeltes NAT. Bei mir zuhause dann mit einem Unifi UDM pro doppeltes NAT, das aber zumindest im „engangierten Privatbereich“ recht problemlos funktioniert. Das kann aber natürlich im Schulumfeld wieder anders aussehen …

Beste Grüße,
Jens

Hallo Wilfried,

vorausgesetzt du hast das Modem (egal ob das des Providers oder dein eigenes) im Bridge-Modus mit dem LAN-Port verbunden, der im OPNsense die WAN-Schnittstelle ist, gibt es zwei Varianten:

1. Bei Kabelnetzen kann es sein, dass der Provider nur DHCP ohne weitere Wählverbindung verwendet. Dann kann es sein, dass du die MAC-Adresse eines eigenen Modems erst registrieren musst, wie es Vodafone hier beschreibt
2. Bei DSL-Netzen ist PPPoE üblich. Dann kannst du im OPNsense beim WAN-Interface den IPv4 Configuration Type auf PPPoE stellen. Danach hast du Eingabemöglichkeit für die PPPoE-Zugangsdaten. Für die weitere Nutzung des Interfaces in OPNsense (Firewallregeln) sollte sich dadurch nichts ändern.

VG Buster

Ich klinke mich auch mal ein.

So wie du geschrieben hast sieht es aus als ob die Schule per Kabel angebunden ist. Da ihr ja auch OpnSense einsetzt empfehle ich hier ganz klar, dass die vom Provider bereitgestellte Box in den Bridge Modus versetzt wird. Hierbei fungiert die Box einfach nur als Modem die IP kannst du über die Weboberfläche der Box nach deinen Bedürfnissen einstellen und dann sagst du deinem Wan Interface von der PF Sense einfach nur noch diese IP und die Verbindung sollte stehen.
Zu den anderen Möglichkeiten:
Wenn du die OpnSense als Exposed host einrichtest macht das nichts. Das Teil ist eine Firewall und genau dazu da Zugriffe von Außen abzuwehren (oder gezielt durchzulassen). Du kannst die so konfigurieren, dass über die Wan Schnittstelle kein Zugriff auf die Verwaltungsoberfläche erlaubt ist und dann kann dir auch keiner von Außerhalb in deinen Einstellungen rumfuchteln. Wenn du von Außerhalb was ändern willst kannst du dich per VPN ins Netz einwählen und dann greifst du quasi von den Lan Seite darauf zu.
Bei Portfreigabe hast du doppelten Verwaltungsaufwand. Wenn du einen neuen Dienst bereitsellen willst musst du den in deiner OpnSense und auf der Fritzbox einrichten.

Beste Grüße
Der Hoches

Hallo,

der Pflegeaufwand ist neben der Funktionalität und der Sicherheit natürlich auch ein wichtiger Gesichtspunkt.
An dieser Stelle mal vielen Dank für die vielen nützlichen Hinweise. Offensichtlich gibt es mehrere Möglichkeiten und ich bin froh, dass ich den Umstieg auf den Beginn der Sommerferien verschoben habe.

Viele Grüße

Wilfried

Hallo,

Mal ganz abgesehen von der eigentlichen Frage, aber ich hatte das
Schulnetz hinter einer Fritzbox und das endete nicht gut. Viele
Verbindungsabbrüche und seltsame Fehler. Ich hatte die FB dann
irgendwann gegen einen etwas größeren „richtigen“ Router getauscht,
seitdem keine Probleme mehr. Wir haben ca 700 Nutzer bedient, bei ca 300
war Maximum. Ich muss zugeben, dass die FB schon etwas älter war, aber
nichtsdestotrotz, der Fehler war schwer zu finden.

ich kann das Bestätigen: verweise aber auf den wichtigen Hinweis „alt“.
Mittlerweile betreibe ich unser Netz seit 4 Jahren hinter einem
FeldWaldUndWiesenrouter von KabelBW (die ersten 2 Jahre davon) und seit
ca. 2 Jahren hinter einer FritzBox 6591 (Kabel) ohne die früheren
Nebenwirkungen.
Meine Erfahrung sagt also: du hast recht, das war so, ist aber
inzwischen nicht mehr so.
Ichhab da zwei Schulen dahinter mit rund 1400 Schülern und >200 Rechnern
und ein paar, auch von außen erreichbaren Server (Nextcloud, MRBS, Wiki, …)

LG

Holger

prima, danke für die Rückmeldung. Ich hab grad nicht vor Augen, welches Modell es war, aber es hatte schon ein paar Tage hinter sich. Gut zu wissen, dass die neuen besser ausgestattet sind.

Hallo,

auch ich bin gerade dabei das mit vodafon ein zu richten.
Nach über 6 Wochen rumtelefonieren hab ich es endlich geschafft (vielen
vielen Dank an Wilfried für die richtige Nummer und an die Dame von
Vodafon, die freundlich war, mir geduldig zuhörte und dann begriff, was
ich wollte und die richtigen Knöpfe drückte) von vodafon 5 IP Adressen
zu bekommen.

Die wiedersprüchlichen Angaben die Wilfried erwähnt waren mir auch schon
letztes Jahr, als meine Recherchen zum Problem begannen, aufgefallen.

Ich hab das noch nicht: deswegen kann ich nicht sagen, was es wird, weil
die an der Hotline (ich habe mit 6 Mitarbeiter*innen gesprochen: alles
sehr freundlich!) auch nicht genau wußten was da genau am Ende raus geht.
Also fabuliere ich mir das ganze jetzt aus den bisherigen INformationen
zusammen:

Info von Vodafon: man bekommt 8 IP Adressen, von denen 5 selbst nutzbar
sind.

Daraus schließe ich auf folgendes:
man bekommt einen IP ADressbereich mit 8 IPs. Von denen gehen 3 Stück
drauf für folgende Dinge:

1. Gateway
2. ? (FritzBox?)
3. BroadCast

die anderen darf ich selbst vergeben.
Also gehe ich vom Bridged Modus aus.
Damit habe ich hinter der FritzBox eine ähnliche Situation (ohne das
Portfiltern der Ciscos) wie bei BelWü.
Ich muss an jedem „Server“ folgende Dinge eintragen:

1. IP
2. Netzwerkmaske
3. Gateway
4. DNS

Damit rechne ich vorerst.
Für den NOtfall komme ich aber auch mit NAT oder Exposed Host zu recht:
dann ist eben eine OPNsense davor die das macht.

Ich gehe eh davon aus, dass ich eine der IPs für einen kleinen DSL
Router nehme, der das Routing für „DummyGeräte“ macht.
Ich hab da so eine Zeiterfassung vom der Gemeinde, das muss nur raus.
Ebenso der Rechner vom Hausmeister, den ich „vor“ dem Pädagogischen Netz
habe … und lauter so Zeug halt.

Ich muss Vodafon nur noch eine Bestätigung schicken (durch Anklicken
eines Links) … im Moment hab ich aber noch Angst davor, weil gerade ABI
ist und wenn jetzt das Internet ausfällt, dann ist hier der Teufel los …

LG

Holger

Hallo Holger, hallo Wilfried,

genau für den Fall mit mehreren IP-Adressen ist der Bridge-Mode vermutlich falsch. Dann arbeitet die Fritzbox ganz normal als DSL-Modem und Router, nur dass im internen Netz nicht 192.168.x.x genutzt wird sondern genau das 29er Netz mit den offiziellen IP-Adressen.

Von diesen 8 Adressen ist die kleinste für „das Netz“ und die größte für Broadcasts, dann noch eine für die Fritzbox als Router, bleiben 5 für Eure Server.

Langer Rede kurzer Sinn: Die Fritzbox wird „ganz normal“ konfiguriert, nur intern kein DHCP sondern das 29er Netz statisch und nach außen was immer Vodafone sagt.

Beste Grüße

Jörg

Hallo Jörg,

bleibt da nicht noch das Problem mit dem doppelten NAT?

Viele Grüße

Wilfried

Hallo Wilfried,

die Fritzbox würde dann überhaupt kein NAT machen.

Beste Grüße

Jörg

Hallo Jörg,

ich verstehe, es geht ja nur um das 29er Netz und nicht um weitere mit privaten IPs versehene Clients, für die NAT Sinn machen würde.

@Holger: Bleibt die Frage nach der Versorgung des „Hausmeisters“ und Ähnliches.

Danke für die Erläuterung und viele Grüße

Wilfried

Hallo Wilfried,

genau so ist es. Eine IP aus dem 29er Netz von Vodafone nimmst Du für die Opnsense, die anderen für Deine weiteren Server.

Ob bei diesem Modus die Firewall der Fritzbox sinnvoll verwendet werden kann, das weiß ich leider nicht. Bei der Opnsense wäre das kein Problem, Deine anderen Server müsstest Du eventuell anderweitig absichern.

Beste Grüße

Jörg