Netgate SG-1000 microFirewall

Author Topic: [HowTo] Pfsense an Wilhelm.tel FTTH mit Fritzbox 7490 dahinter (DualStack)  (Read 1166 times)

0 Members and 1 Guest are viewing this topic.

Offline Dirk_Platt

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Nachdem nun mit der aktuellen Version offenbar vieles stabiler läuft, hier mal ein Update meiner aktuellen Einstellungen:

-- Angepasst für pfSense Version 2.4.2-RELEASE-p1 --

Hallo zusammen,

nachdem es mich doch einige Tage gekostet hat, meinen (ehemaligen Zwangs-)Router Fritzbox 7490 des Anbieters Wilhelm.tel als reines VOIP-Gerät "in die zweite Reihe zu verbannen", möchte ich meine nun offenbar funktionierende Konfiguration mit Euch teilen und hoffe, dass es jemandem nützt :)

Mein Aufbau ist derzeit:

ISP <--(Glasfaser)--> Genexis Medienkonverter(/Modem)? <--(Ethernet)--> WAN-PFsense-LAN <--(Ethernet)--> Clients (über Switch)

Mein Anschluss ist (schon seit geraumer Zeit) als "echtes" DualStack konfiguriert. Die nötige Konfiguration an einem (heute meist üblichen) DS-Lite Anschluss könnte vom hier beschriebenen abweichen!

Die vom Provider bereitgestellte Fritzbox läuft als reine "VOIP-Telefonanlage" im IP-Client Modus im LAN, wie alle anderen Clients auch.

Dazu waren folgende Einstellungen nötig:

1) in der Fritzbox:

unter "Internet / Zugangsdaten / Internetzugang" ist ein neuer Eintrag (heisst bei mir "Pfsense") einzurichten mit den aktivierten Einstellungen "Anschluß an externes Modem oder Router" und "Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)".

Diese Einstellung deaktiviert den ansonsten aktiven DHCP-Server der Fritzbox komplett, was ich in Ordnung finde.

Etwas problematischer könnte für manchen sein, dass man an der so konfigurierten Box offenbar keine IPV6-Einstellungen ändern kann (die Box versucht, vermutlich vorkonfiguriert, eine IPV6-Adresse über PPPoE zu bekommen, was dann hinter dem Pfsense-Router scheitern. Da ich die Box nur noch zum Telefonieren nutze, stört mich aber nicht, dass die Fritzbox so nur eine IPV4-Adresse hat.

==> inzwischen habe ich die Providerbox durch eine eigene FB7590 ersetzt, damit geht auch IPv6 <==

2) in Pfsense (ich nutze die aktuelle 2.4.2-RELEASE-p1 (amd64) Version):

WAN Konfiguration:
- "IPv4 Configuration Type": PPPoE
- "IPv6 Configuration Type": DHCP6
- In "DHCP6 Client Configuration" sind ausgewählt:
  - "Use IPv4 connectivity as parent interface"
  - als "DHCPv6 Prefix Delegation size": 56
  - "Send IPv6 prefix hint"

- In "PPPoE Configuration" sind eingetragen:
  - Username und Passwort des eigenen PPPoE Zuganges (von Willhelm.tel erfragen)
  - Periodic Reset "Custom" mit Wunschzeit (bei mir um 4:30h)

- Unter "Reserved Networks":
  - "Block private networks and loopback addresses" aktiv
  - "Block bogon networks" aktiv

LAN Konfiguration:
- "IPv4 Configuration Type": Static IPv4
- "IPv6 Configuration Type": Track Interface
- Unter "Static IPv4 Configuration":
  - "IPv4 Address": eine 192.168.x.y/24 Adresse nach Wunsch
  - "IPv4 Upstream gateway": None
- Unter "Track IPv6 Interface":
  - "IPv6 Interface": WAN
  - "IPv6 Prefix ID": ein (Hex-)Wert nach Wunsch zwischen 0 und ff (weitere LAN-Interfaces bekommen jeweils eine eigene Pfefix ID!)

Um die VOIP-Verbindung in der Fritzbox stabil zu halten, habe ich:

1) für die Fritzbox unter "Services / DHCP Server / LAN" ein statisches IP-Mapping zugewiesen (aus dem gewählten 192.168.x Netz). Dazu habe ich vorher unter "Status / DHCP Leases" die MAC-Adresse der Fritzbox ermittelt und nach dem Eintrag des statischen Mappings die Fritzbox einmal durchgestartet.
2) unter "Firewall / NAT / Outbound" Mappings für das Interface WAN für die Quelle "<Statische IP der Fritzbox>/32" und den Port 5060 (sowie in einem zweiten Mapping für die Portrange 7078:7109) und das Ziel "Any" mit den gleichen Ports angelegt und dabei (wichtig!) unter "Translation" das Häkchen bei "Static Port" gesetzt.

Mit diesen Einstellungen bleibt die VOIP-Verbindung auch nach dem nächtlichen Reconnect bei mir stabil online ("registriert") ohne, dass ich dafür irgendwelche Portweiterleitungen "von Außen nach innen" einrichten musste.

Wichtig ist dabei aber vermutlich, daß in der Fritzbox die Einstellung "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" (zu finden unter "Telefonie / Eigene Rufnummern / Anschlusseinstellungen / Verbindungseinstellungen ändern" aktiviert ist und auf "alle 30 Sek." steht. Soweit ich weiß, ist das aber bei den Wilhelm.tel Boxen Default.

Für die Verwendung der IPV6-Adressen der Clients habe ich keinen DHCPv6-Server in der Pfsense konfiguriert, sondern lediglich unter "Services / DHCPv6 Server & RA / LAN / Router Advertisements" den "Router-Mode" auf "Unmanaged" gestellt, um die Clients zur Stateless Autoconfiguration (SLAAC) zu motivieren.

Mit den bisher beschriebenen Einstellungen habe ich eine funktionierende IPv4/IPv6 Konfiguration meines LANs hinbekommen.

==> dieser Abschnitt stimmt so anscheinend nicht mehr, die Pfsense läuft derzeit ohne diese Tricks stabil <==

==>Allerdings hatte ich danach immer noch das Problem, daß die Pfsense nach einer nicht ganz genau zu ==>bestimmenden Zeit offenbar nicht mehr in der Lage war irgendwelchen IPv6-Traffic ins Internet zu routen. ==>1-2 Stunden funktionierte alles, danach funktionierte zum Beispiel ein "Diagnostics / traceroute" mit IPv6 ==>auf das Ziel "ipv6.google.com" nicht mehr.
==>
==>Dieses Problem könnte spezifisch an dem Provider Wilhelm.tel liegen, der offenbar nicht ohne fortlaufende ==>Router-Solicitations erneute Router-Advertisements versendet - Keine Ahnung, ob er das eigentlich müsste. ==>Per Trial und Error habe ich aber für mich herausgefunden, daß das "rc.newwanipv6"-Script auf der ==>Pfsense, welche anscheinend beim Reconnect der PPPoE-Verbindung abschließend aufgerufen wird, dieses ==>Problem lösen kann, wenn man es regelmäßig wiederholt.
==>
==>Daher habe ich letztlich mit dem cron-Package alle "*/15"-Minuten einen Aufruf von /etc/rc.newwanipv6 ==>eingeplant. Wahrscheinlich tut das viel zu viel - es löst aber bei mir das beschriebene Problem.
==> Ende des obsoleten Teils <==

Mit den genannten Maßnahmen habe ich letztlich mein Ziel erreicht, die Fritzbox vom direkten Aufbau der Internetverbindung abzulösen und in die "zweite Reihe" zu verbannen, wo sie nur noch Telefonanlage spielt.

Nicht verschweigen, will ich den "Nachteil" dass ich damit auch auf dein eingebauten Switch und jegliches WLAN in der Fritzbox verzichte. Das ebenfalls so nicht funktionierende Fritzbox-Gastnetz habe ich aber inzwischen durch ein separates Netz an der OPT1-Schnittstelle und ein paar WLAN-APs ersetzt.


Ich hoffe meine Konfiguration kann irgendwem helfen und grüße die Community :)

Dirk Platt

P.S.: Ich möchte ausdrücklich betonen, dass die geschliderten Massnahmen nur meinem (beschränkten) Netzverständnis und einer gehörigen Portion "Google-Recherche + Trial und Error" entstammen. Wahrscheinlich kann man einiger anders/besser machen. Auf jeden Fall funktioniert die beschriebene Konfiguration bei mir nun wunschgemäß :). Kommentare und Verbesserungsvorschläge sind natürlich willkommen.
« Last Edit: March 05, 2018, 01:56:15 pm by Dirk_Platt »

Offline jankkm

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Moin Dirk,
ich hab ähnliches vor und bin gerade über deinen Beitrag gestolpert. Klingt alles sehr gut und ziemlich so, wie ich es auch realisieren möchte, nur verstehe ich nicht ganz, was für ein Modem du da verwendest. Unter dem Namen Genexis Medienkonverter finde ich nicht so recht ein Produkt zu kaufen. Oder ist das der Abschlusspunkt von Wilhelm.Tel?
Würd mich über nen Hinweis freuen!
VG Jan

Offline Dirk_Platt

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Richtig, der Genexis Medienkonverter ist der graue Kasten vvom Wilhelm.tel, der das Glasfaserkabel auf Ethernet umsetzt.

Gruß, Dirk

Offline jankkm

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Danke für die Rückmeldung!
Ich wohne in einem Mehrfamilienhaus und bei mir stecke ich die Fritz Box in die TAE-Dose um ans Internet zu kommen. Kann ich so den RJ45-Stecker, der in die Fritz Box geht einfach in mein pfsense-System stecken und eine PPPoE-Verbindung aufbauen?

Offline RAYs3T

  • Newbie
  • *
  • Posts: 2
  • Karma: +1/-0
    • View Profile
Wenn du deinen Anschluss üver vDSL beziehst, kann ich dir dieses Modem empfehlen: http://www.allnet.de/de/allnet-brand/produkte/alle-produkte/p/allnet-all-mc115vdsl2-vdsl2-100-mbit-mini-modem-masterslave/.

Du kannst dort sowohl den RJ11 (?) Stecker einstecken, als auch die Adern der Dose direkt, so wie ich.


Damit betreibe ich bei mir auch PFSense und bin bisher super zufrieden. Das ganze läuft schon seit über 1,5 Jahren.


Offline SD_456

  • Newbie
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Wenn du deinen Anschluss üver vDSL beziehst, kann ich dir dieses Modem empfehlen: http://www.allnet.de/de/allnet-brand/produkte/alle-produkte/p/allnet-all-mc115vdsl2-vdsl2-100-mbit-mini-modem-masterslave/.

Du kannst dort sowohl den RJ11 (?) Stecker einstecken, als auch die Adern der Dose direkt, so wie ich.


Damit betreibe ich bei mir auch PFSense und bin bisher super zufrieden. Das ganze läuft schon seit über 1,5 Jahren.



Genau das habe ich gesucht. Ich habe in meiner Fritzbox ausm Keller ein RJ-45 Kabel, über welches sich scheinbar die Internetverbindung aufbaut. Ich will die Fritzbox aber loswerden und mein Plan ist es hinterm Modem eine pfsense zu betreiben.

Ich bin mir aber nicht sicher, wenn ich mir das Modem kaufen sollte wie ich das anschließe oder konfiguriere. Was hast du rechte angeschlossen? Die beiden abisolierten Kabel?

LAN geht sicherlich in deine pfsense, richtig?

Gruß

Offline Eike

  • Jr. Member
  • **
  • Posts: 29
  • Karma: +0/-0
    • View Profile
Moin Männer,
ich habe genau den gleiche aufbau.
ISP <--(Glasfaser)--> Genexis Medienkonverter(/Modem)? <--(Ethernet)--> WAN-PFsense-LAN <--(Ethernet)--> Clients (über Switch)

 Ich würde nur gern jetzt noch die Einwahl ins TelQuick /Wilhem Tel Netz machen lassen von der PF. Kannst du mir das auch mal posten bitte ?

Offline Dirk_Platt

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Moin Männer,
ich habe genau den gleiche aufbau.
ISP <--(Glasfaser)--> Genexis Medienkonverter(/Modem)? <--(Ethernet)--> WAN-PFsense-LAN <--(Ethernet)--> Clients (über Switch)

 Ich würde nur gern jetzt noch die Einwahl ins TelQuick /Wilhem Tel Netz machen lassen von der PF. Kannst du mir das auch mal posten bitte ?

die Einstellungen, die ich gemacht habe stehen am Anfang des Threads beschrieben (habe ich mal aktualisiert auf die aktuelle pfSense Version) - was fehlt Dir genau?

Gruß, Dirk

Offline Eike

  • Jr. Member
  • **
  • Posts: 29
  • Karma: +0/-0
    • View Profile
Moin ich bin leider totaler Anfänger was diese Firewall angeht und leider sieht es für mich so aus als wenn dort nichts passiert wenn ich auf pppoe stelle.
Sobald ich alles auf DHCP stelle (deine Einstellungen so lasse) bekomme eine ip 172.x.x.x/20 das hilft mir aber nicht. Ich bin bei Quicktel das ist ein Reseller von Wilhelm Tel.

Eike

PS: Guck mal das habe ich gerade gefunden.......hilft das ?
Ich werde gleich mal anrufen und genau fragen welchen Anschluss ich habe.

https://www.telquick.de/downloads/start/einrichtung-kundeneigener-router.html
« Last Edit: March 06, 2018, 03:33:46 am by Eike »

Offline Dirk_Platt

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Moin ich bin leider totaler Anfänger was diese Firewall angeht und leider sieht es für mich so aus als wenn dort nichts passiert wenn ich auf pppoe stelle.
Sobald ich alles auf DHCP stelle (deine Einstellungen so lasse) bekomme eine ip 172.x.x.x/20 das hilft mir aber nicht. Ich bin bei Quicktel das ist ein Reseller von Wilhelm Tel.

Eike

PS: Guck mal das habe ich gerade gefunden.......hilft das ?
Ich werde gleich mal anrufen und genau fragen welchen Anschluss ich habe.

https://www.telquick.de/downloads/start/einrichtung-kundeneigener-router.html

Der Link scheint irgendwie nicht zu funktionieren. Offenbar stellt Dir Dein Provider den Internetzugang aber doch anders als Wilhelm.tel zur Verfügung, wenn PPPoE keine IP liefert. Die 172.x.x.x/20 Adresse ist außerdem keine öffentliche IPv4 Adresse, sondern aus einem (Provider-)lokalen Subnetz geNATed...

Man könnte also sagen, dass telquick Dir keinen Zugang ins Internet schaltet, sondern nur einen Zugang in ein Providernetz mit Gateway ins öffentliche Internet.

Meine Konfiguration setzt auf einem als DualStack eingerichteten PPPoE Anschluss auf. Ist also in Deinem Fall so wohl eher nicht anwendbar.

Gruß, Dirk

Edit: Jetzt konnte ich das PDF herunterladen ... dort ist von PPPoE Einwählen die Rede. keine Ahnung, warum Du damit keine IP bekommst. Username und Passwort wirst Du sicher überprüft haben. Allerdings ist in dem Dokument auch von Ds-Lite im Gegensatz zu Dual-Stack als Zugangsart die Rede.
« Last Edit: March 07, 2018, 03:09:22 pm by Dirk_Platt »

Offline pfadmin

  • Full Member
  • ***
  • Posts: 202
  • Karma: +9/-0
    • View Profile
Moin,

WilhelmTel hat VLAN 10 für PPPoE, davon steht bei tel.quick ausdrücklich nichts und das macht m.M. auch Sinn.

Güße
pfadmin

Offline Eike

  • Jr. Member
  • **
  • Posts: 29
  • Karma: +0/-0
    • View Profile
ich habs mal als jpg angehängt........

@pfadmin
was heißt das für mich?

ich sage mal so die dusselige fritzbox kommt sofort ins internet sprich dort kann mit  seinen logindaten eingeben und direkt los legen.
ich hab damals meinen anschluss nur auf ipv4 umstellen lassen mehr nicht. also dslight habe ich nicht mehr.

Offline Dirk_Platt

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
ich habs mal als jpg angehängt........

@pfadmin
was heißt das für mich?

ich sage mal so die dusselige fritzbox kommt sofort ins internet sprich dort kann mit  seinen logindaten eingeben und direkt los legen.
ich hab damals meinen anschluss nur auf ipv4 umstellen lassen mehr nicht. also dslight habe ich nicht mehr.

Und mit der Fritte bekommst Du eine öffentliche IPv4 Adresse?

Gruß, Dirk

Offline Dirk_Platt

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Also in der Schnittstellenbeschreibung bei Wilhelm.tel (https://www.wilhelm-tel.de/privatkunden/service/technikoffensive/schnittstellenbeschreibung/) steht für

Datenübertragung bei Ethernet und VDSL Anschlusstechnik

1.      Bei Kommunikation über ein Interface

a.      Die Einwahl erfolgt per PPPoE nach RFC 2516 ohne VLAN
https://tools.ietf.org/html/rfc2516

b.      Die Zugangsart ist IPv6 dual-stack lite nach RFC 6333
https://tools.ietf.org/html/rfc6333

c.      die SIP Kommunikation erfolgt über das Internet Interface

Bei mir geht Alles über ein Interface und ohne VLAN ... jedenfalls habe ich dafür nichts konfigurieren müssen.

Gruß, Dirk


Offline Eike

  • Jr. Member
  • **
  • Posts: 29
  • Karma: +0/-0
    • View Profile
Moin,
ja bekomme ich. Ich habs angehängt. Habe ich nun einen dualStack oder nicht ?

Ich gebn Bier aus wenn mir das eben einer von Euch hier im Keller bei mir macht :)
« Last Edit: March 09, 2018, 08:20:33 am by Eike »