Leserartikel OpenWRT als PPPoE Passthrough Modem

[Kiso]

Inhaltsverzeichnis

1. OpenWRT
   1. OpenWRT als PPPoE Passthrough Modem
      1. EasyBox 904 xDSL
      2. FritzBox 7362 SL
   2. FritzBox 7362 SL (und viele weitere Modelle) als PPPoE Passthrough Modem
2. pfSense
   1. WAN an pfsense mit VDSL Modem: PPPoE, IPv4 und IPv6
   2. IPv6 am LAN Interface konfigurieren mit pfsense
   3. FritzBox 7362 SL als Telefonanlage hinter pfsense
   4. pfsense Traffic am gleichen Interface nicht filtern (asynchrones Routing)
3. Sonstiges
   1. Notiz: MTU Size in LAN und WAN unterschiedlich
   2. Notiz: WLAN 5 GHz Kanalübersicht
   3. Notiz: LWL Patchkabel Spezifikationen für 10G Ethernet
4. Windows Server
   1. Notiz: Windows Server Domain Controller Netzwerkprofil nach Bootvorgang nicht korrekt
   2. Notiz: Standard GPOs
      1. Remotedesktop / RDP aktivieren
      2. Datei- und Druckerfreigabe aktivieren (Echo Request / Ping)
      3. Fix: Administratorengenehmigungsmodus / Domain Admin Fix

 

[Kiso]

OpenWRT als PPPoE Passthrough Modem EasyBox 904 xDSL

Hallo Community,

ich möchte hier eine Anleitung mit euch teilen, wie man aus einem OpenWRT Router ein Modem macht.

Wozu das ganze?
Oftmals möchte man in professionellen Netzen, dass die eigene Firewall (z.B. pfsense) die WAN Schnittstelle als tatsächlichen Internetzugangspunkt nutzt. Dies nutzt man vorallem um ein doppeltes NAT zu vermeiden.

Warum kaufe ich nicht einfach einen Router / ein Modem mit PPPoE Passthrough Modus?
Das könnte man natürlich tun und würde ich auch für produktive Umgebungen empfehlen. Oftmals wird das Vigor Draytek 165 empfohlen.
Jedoch kostet ein solches Modem gerne über 100€. Für ein Testlab oder einfach als Spielerei/Machbarkeitsstudie nimmt man gerne, was schon da ist.

Was brauche ich?
Einen Router mit VDSL Modem, welcher OpenWRT fähig ist.
Dieses How To bezieht sich erstmal auf die Vodafone Easybox 904 xDSL, welche mit der Anleitung von majuss schnell und einfach zu einem OpenWRT Router geflasht werden kann.
Die Easybox ist sehr preisgünstig (teils unter 10€) bei Kleinanzeigen zu erwerben und reicht für eine Machbarkeitsstudie erstmal aus.
Bitte beachten: Die Easybox 904 unterstützt OpenWRT nicht offiziell und bekommt nur eine Snapshot Version von einem OpenWRT User!

An dieser Stelle Danke an:
Quallenauge
https://github.com/Quallenauge/Easybox-904-XDSL

majuss
https://github.com/majuss/easybox904

Dropbox eines mir unbekannten Autors
https://www.dropbox.com/sh/c8cqmpc6cacs5n8/AAA2f8htk1uMitBckDW8Jq88a?dl=0

Ich werde in einer späteren Auflage des How Tos auf die FritzBox 7362 SL eingehen, welche ebenfalls sehr günstig bei Kleinanzeigen erworben werden kann. Die Fritzbox wird offiziell von OpenWRT unterstützt und hier läuft die Software auch sehr stabil.

EasyBox 904 xDSL OpenWRT Snapshot 2019-08-31
How To
0. Luci https ausschalten (Easybox 904 spezifisch)
Die OpenWRT Version für die Easybox hat leider ein großes Problem: Wenn https aktiviert ist, funktioniert das Webinterface eher schlecht als Recht. So schaltet ihr es ab:

• ssh Verbindung via putty zum Router, einloggen als root

vi /etc/config/uhttpd

• hier: mit "i" in den Insert-Modus wechseln
• folgende Zeilen mit einer # auskommentieren

# list listen_https 0.0.0.0:443
# list listen_https [::]:443

• folgende Zeile ändern

# option redirect_https 1
option redirect_https 0

• ESC um in den Commando Modus zu wechseln
• :wq zum Speichern und beenden
• das Webinterface neustarten mit

service uhttpd restart

1. Managementinterface erstellen
Wenn man den Router zum Modem macht, sperrt man sich zwangsläufig aus dem Webinterface aus. Hier wird beschrieben wie man einen Port zum Managementport macht, mit dem man sich eine Hintertür zum Webinterface offen hält. Ich bin derzeit an Port 2 verbunden.

Als Management Netzwerk sollen folgende Einstellungen gesetzt werden:

• IP: 192.168.4.1/24
• Port: 4 (Untagged)
• VLAN: 4
• DHCP auf der Schnittstelle aktiviert

• Login auf http://192.168.1.1/
• Network -> Switch
• unten mittel "Add" Button ein neues VLAN einfügen und folgende Einstellungen setzen und mit "Save and Apply" übernehmen

• oben muss auch noch das VLAN erstellt werden

• wieder mit "Save and Apply" übernehmen
• Network -> Interface
• "Add new Interface"

• "Submit"

• "Save and Apply"
• "Firewall Settings"

• "Save and Apply"
• "Setup DHCP Server"
• "Save and Apply"

Damit steht erstmal das Managementinterface auf Port 4.

Wenn das Webinterface nun etwas hakelig wird, dann schadet ein reboot nicht.

2. WAN Switch konfigurieren

• Network -> Switch
• wie in Schritt 1 ein neues VLAN hinzufügen, diesmal VLAN2

• hier wird festgelegt, dass der WAN "Output" über Port 1 erfolgen wird
• "Save and Apply"
• oben müssen ebenfalls Änderungen vorgenommen werden

• "Save and Apply"

3. WAN Schnittstelle konfigurieren
Diese Anleitung ist für einen Anschluss der Deutschen Telekom geeignet. Für andere Anbieter müssen eventuell Anpassungen vorgenommen werden. Konfigurationen für diverse Anbieter sind hier zu finden:
https://openwrt.org/docs/guide-user/network/wan/isp-configurations

• Network -> Interface
• WAN6 Interface -> "Delete"
• WAN Interface -> Edit
• Protocol: Unmanaged -> "Switch Protocol"
• Firewall Settings: Zone -> unspecified
• Advanced Settings: "Use builtin IPv6-management" -> Haken raus
• Physical Settings:
  • Bridge Interfaces -> Haken rein
  • Custom Interface dsl0.7 (für VLAN 7 der Telekom) und eth0.2 (Port 1) bridgen
    
• "Save and Apply"

4. DSL Einstellungen

• Network -> Interface

• die fw.bin müsst ihr wie im How To von majuus einfügen, sonst gehts nicht
• "Save and Apply"

5. eth0.2 konfigurieren

• Network -> Interface
• "Add new Interface"

• "Submit"
• Advanced Settings: "Use builtin IPv6-management" -> Haken raus
• "Save and Apply"

6. Firewall konfigurieren

• Network -> Firewall

• "Edit"
• "Allow forward to destination zones:" unspecified

• "Save"
• "Save and Apply"
• so sieht es dann aus:

7. Aufräumarbeiten
Grundsätzlich funktioniert es jetzt alles schon. Dennoch soll jetzt noch einiges deaktiviert werden, was nicht gebraucht wird. Dafür verbindet man sich jetzt via LAN an den zuvor konfigurierten Managementport und öffnet das Webinterface.

• http://192.168.4.1/
• Network -> Interfaces
• LAN deaktivieren mit "Stop"
• so sieht es am Ende aus:

• nun noch alle Ports deaktivieren, die nicht gebraucht werden
• Network -> Switch
• oben:

• "Save and Apply"
• unten:

• "Save and Apply"

8. Bonusspielerei
Die EasyBox soll zeigen, wenn Traffic durch die Leitung geht.

• System -> LED Configuration
• "Add"

• "Save and Apply"

9. Test
Nun soll die ganze Sache getestet werden. Das geht am einfachsten, indem man mit einem Client PC eine Internetverbindungen herstellt.

Die DSL Informationen sollten nach ca. 130 Sekunden einen Link State sehen.

Nun zum eigentlichen Verbindungstest:

• WAN mit der DSL Anschlussdose verbinden
• LAN1 mit dem eigenen LAN Port
• DSL Verbindung unter Windows einrichten:
  • Windows Einstellungen -> Netzwerk und Internet -> DFÜ -> Neue Verbindung einrichten -> Verbindung mit dem Internet herstellen -> PPPoE -> Benutzername + Passwort der Telekom eingeben -> Verbinden und Speichern
• Die Schnittstelle sollte dann vom ISP eine IP bekommen haben und die Schnittstellendetails etwa so aussehen:

Nun ist das Modem fertig und kann eingesetzt werden.

Bemerkungen:

Natürlich hätte man einige Schritte zusammenfassen können (vorallem bei den Switchen), aber für's How To hab ich's schön nacheinander dargestellt.

Für Verbesserungsvorschläge bin ich gerne offen.

 

[Kiso]

OpenWRT als PPPoE Passthrough Modem
AVM FritzBox 7362 SL OpenWRT 19.07.2
How To
1. Managementinterface erstellen
Wenn man den Router zum Modem macht, sperrt man sich zwangsläufig aus dem Webinterface aus. Hier wird beschrieben wie man einen Port zum Managementport macht, mit dem man sich eine Hintertür zum Webinterface offen hält. Ich bin derzeit an Port 2 verbunden.

Als Management Netzwerk sollen folgende Einstellungen gesetzt werden:

• IP: 192.168.4.1/24
• Port: 4 (Untagged)
• VLAN: 4
• DHCP auf der Schnittstelle aktiviert

• Login auf http://192.168.1.1/
• Network -> Switch
• "Add" Button ein neues VLAN einfügen und folgende Einstellungen setzen und mit "Save and Apply" übernehmen

• Network -> Interface
• "Add new Interface"

• "Create interface"

• "Firewall Settings"

• "DHCP Server"
• "Setup DHCP Server"
• "Save"
• "Save and Apply"

Damit steht erstmal das Managementinterface auf Port 4.

2. WAN Switch konfigurieren

• Network -> Switch
• wie in Schritt 1 ein neues VLAN hinzufügen, diesmal VLAN2

• hier wird festgelegt, dass der WAN "Output" über Port 1 erfolgen wird
• "Save and Apply"

3. WAN Schnittstelle konfigurieren
Diese Anleitung ist für einen Anschluss der Deutschen Telekom geeignet. Für andere Anbieter müssen eventuell Anpassungen vorgenommen werden. Konfigurationen für diverse Anbieter sind hier zu finden:
https://openwrt.org/docs/guide-user/network/wan/isp-configurations

• Network -> Interface
• WAN6 Interface -> "Delete"
• WAN Interface -> Edit
• Protocol: Unmanaged -> "Switch Protocol"
• Firewall Settings: Zone -> unspecified
• Advanced Settings: "Use builtin IPv6-management" -> Haken raus
• Physical Settings:
  • Bridge Interfaces -> Haken rein
  • Custom Interface dsl0.7 (für VLAN 7 der Telekom) und eth0.2 (Port 1) bridgen
    
    
• "Save"
• "Save and Apply"

4. DSL Einstellungen

• Network -> Interface -> DSL

• die fw.bin müsst ihr vorher in das entsprechende Verzeichnis via SCP übertragen
• "Save and Apply"

5. eth0.2 konfigurieren

• Network -> Interface
• "Add new Interface"

• "Create interface"
• Advanced Settings: "Use builtin IPv6-management" -> Haken raus
• "Save"
• "Save and Apply"

6. Firewall konfigurieren

• Network -> Firewall

• "Edit"
• "Allow forward to destination zones:" unspecified

• "Save"
• "Save and Apply"
• so sieht es dann aus:

7. Aufräumarbeiten
Grundsätzlich funktioniert es jetzt alles schon. Dennoch soll jetzt noch einiges deaktiviert werden, was nicht gebraucht wird. Dafür verbindet man sich jetzt via LAN an den zuvor konfigurierten Managementport und öffnet das Webinterface.

• http://192.168.4.1/
• Network -> Interfaces
• LAN -> "Edit"
• "Bring up on boot" -> Haken raus!
• 
• "Save"
• LAN deaktivieren mit "Stop"
• so sieht es am Ende aus:

• nun noch alle Ports deaktivieren, die nicht gebraucht werden
• Network -> Switch

• "Save and Apply"

8. Bonusspielerei
Die Fritzbox soll zeigen, wenn Traffic durch die Leitung geht.

• System -> LED Configuration

• "Edit"

• "Save"
• "Save and Apply"

9. Test
Nun soll die ganze Sache getestet werden. Das geht am einfachsten, indem man mit einem Client PC eine Internetverbindungen herstellt.

Die DSL Informationen sollten nach ca. 130 Sekunden einen Link State sehen.

Nun zum eigentlichen Verbindungstest:

• WAN mit der DSL Anschlussdose verbinden
• LAN1 mit dem eigenen LAN Port
• DSL Verbindung unter Windows einrichten:
  • Windows Einstellungen -> Netzwerk und Internet -> DFÜ -> Neue Verbindung einrichten -> Verbindung mit dem Internet herstellen -> PPPoE -> Benutzername + Passwort der Telekom eingeben -> Verbinden und Speichern
• Die Schnittstelle sollte dann vom ISP eine IP bekommen haben und die Schnittstellendetails etwa so aussehen:

Nun ist das Modem fertig und kann eingesetzt werden.

Bemerkungen:

Natürlich hätte man einige Schritte zusammenfassen können (vorallem bei den Switchen), aber für's How To hab ich's schön nacheinander dargestellt.

Für Verbesserungsvorschläge bin ich gerne offen.

 

[Kiso]

FritzBox 7362 SL hinzugefügt
Backup archives angefügt

reserviert

 

[free-sky]

Es geht noch einfacher (ohne Flashen) und billiger das doppelte NAT zu vermeiden wenn man DSL hat. Einfach eine Fritz!Box 7412 ohne jegliche Konfiguration anschliessen (8€ bei eblub) und dahinter dann die pfsense o.ä. Ohne Konfiguration verhält sich die Box wie ein Modem, die pfsense Kiste kann wie gewohnt die Einwahl übernehmen.

 

[konkretor]

@SV3N wäre das ein Hinweis in den Notizen?

 

[SVΞN]

@konkretor durchaus.

Danke für den Hinweis, schaue ich mir morgen in Ruhe an.

Liebe Grüße
Sven

 

[Kiso]

How To: WAN an pfsense mit VDSL Modem: PPPoE, IPv4 und IPv6


Bitte beachten: Diese Anleitung ist für einen VDSL Anschluss der Deutschen Telekom ausgelegt. Grundsätzlich ist das alles übertragbar auf andere Anbieter und unterscheidet sich primär in der VLAN Konfiguration des Modems. Hier wird angenommen, dass das VLAN 7 für den Internetanschluss verwendet wird und das Tag im Modem hinterlegt ist.

In diesem Beitrag zeige ich die WAN Konfiguration von pfsense 2.4.5 hinter einem VDSL Modem. Dafür kann natürlich das hier oder hier eingerichtete OpenWRT Modem genutzt werden.

In meinem Beispiel nutze ich die EasyBox 904 xDSL in der hier gezeigten Konfiguration.

Die DSL Buchse der EasyBox wird mit der TAE Dose des Hausanschlusses verbunden. Anschließend wird LAN1 der Easybox mit der WAN Buchse (oder LAN1 o.Ä.) mit die pfsense verbunden.

Nun muss die pfsense konfiguriert werden.

0. PPPoE Username und Password
Als Vorbereitung benötigt man die Zugangsdaten für den Internetanschluss.

Wie man diesen bei der Telekom bildet, steht hier: https://telekomhilft.telekom.de/t5/...hl-ueber-einen-Router-herstellen/ta-p/3654990 (aufgerufen am 19.04.2020)

Die wichtigsten Infos zitiere ich hier, da es sein kann, dass sich der Link zur Telekomseite mal ändert.

Im Feld "Benutzername" tragen Sie bitte die Zugangsdaten wie folgt ein:

• "Anschlusskennung"+"Zugangsnummer (vormals T-Online Nummer)"+" 0001"+" @ t-online.de"
  Hinweis: Sollte ihre Zugangsnummer (vormals T-Online Nummer) aus weniger als 12 Zeichen bestehen, tragen Sie bitte die Zugangsdaten wie folgt ein: "Anschlusskennung"+"Zugangsnummer (vormals T-Online Nummer)"+"#"+"0001"+"@t-online.de"
• Im Feld "Kennwort" tragen Sie bitte Ihr persönliches Kennwort ein.

Beispiel: (mit 12-stelliger Zugangsnummer)

• Anschlusskennung: 002123456789
• Zugangsnummer: 551112345678
• Mitbenutzernummer (suffix): 0001
• persönliches Kennwort: 123456

Benutzername / PPoE:"Anschlusskennung"+"Zugangsnummer"+“0001"+"@t-online.de"

Benutzername / PPoE: 0021234567895511123456780001@t-online.de

Passwort: 123456



Beispiel: (mit Zugangsnummer < 12-stellig)

• Anschlusskennung: 002123456789
• Zugangsnummer: 0228181818
• Mitbenutzernummer (suffix): 0001
• persönliches Kennwort: 123456

Benutzername / PPoE:"Anschlusskennung"+"Zugangsnummer"+"#"+"0001"+"@t-online.de"

Benutzerneme / PPPoE: 0021234567890228181818#0001@t-online.de

Passwort: 123456

All diese Daten bekommt man vom Internetanbieter per Post zugeschickt und sollte diese in seinen Vertragsunterlagen finden.

1. PPP Interface erstellen

• Interfaces -> Assignments -> PPPs -> Add

• Username und Password von Schritt 0 nehmen
• die Link Interfaces könnten auch andere Bezeichnungen haben -> hier muss man individuell ermitteln, welches das Richtige ist

2. WAN Interface zuweisen
Interfaces -> Assignments

• hier wird die gerade erstellte PPPOE0 Verbindung dem WAN Interface zugewiesen

3. WAN Interface konfigurieren
Nun müssen noch ein paar Einstellungen am WAN Interface konfiguriert werden.

• Interfaces -> WAN

• Save
• Apply Changes

Erklärungen:

• IPv4 Type ist die zuvor erstellte PPPoE Verbindung
• IPv6 Type ist DHCPv6, da man so einen Präfix vom Provider zugewiesen bekommt
• DHCPv6 Client Configuration
  • Use IPv4 connectivity as parent interface -> ist in diesem Fall angehakt und kann je nach Provider variieren
  • Request only an IPv6 prefix -> sollte immer angehakt sein
  • DHCPv6 Prefix Delegation size -> variiert je nach Provider, die Telekom vergibt an Privatanschlüssen meist ein /56 Präfix, an Geschäftsanschlüssen ein /48 Präfix
  • Send IPv6 prefix hint: sollte angehakt sein, damit man die richtige Präfixlänge bekommt
• Reserved Networks
  • Block private networks and loopback addresses -> sollte angehakt sein um eingehende Verbindungen von lokalen Netzen zu blockieren
  • Block bogon networks -> sollte angehakt sein um eingehende Verbindungen von Netzen, die im Internet nicht auftauchen sollten zu blockieren

Damit ist die Konfiguration der WAN Schnittstelle abgeschlossen. Es sollte nun eine Verbindung hergestellt werden und eine IP Adresse zugewiesen werden. Auf der Startseite sieht das ganze so aus:

 

[Kiso]

How To: IPv6 am LAN Interface konfigurieren mit pfsense

In diesem How To soll eine sehr einfache Konfiguration von IPv6 am LAN Interface gezeigt werden.

0. Vorbereitungen
Zunächst muss sichergestellt sein, dass die WAN Schnittstelle ein IPv6 Präfix erhalten hat. Wie das zu konfigurieren ist steht hier.

Zu Prüfen sind folgende Dinge:

• IPv6 in der pfsense erlaubt
  • System -> Advanced -> Networking
  • 

• IPv6 Präfix in der gewünschten Länge vom Provider erhalten
  • Diagnostics -> Command Prompt
  • 
  • Execute
  • Output sollte so aussehen
  • 

clog /var/log/dhcpd.log | grep -Eo 'IA_PD prefix:\ [^\ ]+' | tail -n1

Danke an luckman212 : https://forum.netgate.com/topic/135723/ipv6-ra-prefix-doesn-t-match-interface-prefix-id/12

1. LAN Interface konfigurieren

• Interfaces -> LAN

Erklärungen:

• IPv6 Configuration Type: Track Interface -> heißt, dass das LAN Interface ein /64 Präfix vom WAN /56 Präfix erhält
• Track IPv6 Interface
  • IPv6 Interface: WAN -> wer delegiert das Präfix
  • IPv6 Prefix ID: 0 -> welches Präfix soll das LAN Interface bekommen
    • jedes weitere Track Interface sollte eine andere ID bekommen
    • /56 WAN -> 256 /64 Subnetze möglich
    • /48 WAN -> 65536 /64 Subnetze möglich

2. Router Advertisement konfigurieren

• Services -> DHCPv6 & RA -> LAN -> Router Advertisements
• für eine ganz simple Konfiguration wählt man hier:
  • Router mode: Unmanaged
• Save

3. Prüfen

• Auf der Startseite sollten jetzt die Interfaces so aufgelistet werden:

• Einer der vielen IPv6 Tests im Internet: https://ipv6-test.com/

3. Bonus: IPv6 Test alles grün
Um auf ipv6-test.com alles Grün zu bekommen und 20/20 Punkten zu erreichen ist es nötig den IPv6 Ping (ICMPv6 Echo Request) bis zum Client freizugeben.

Hierfür ist eine Regel in der pfsense nötig und eine unter Windows.

pfsense:

• Firewall -> Rules -> WAN -> Add

• Save
• Apply Changes

Windows:

• Admin CMD:

netsh advfirewall firewall add rule name="ICMP Allow incoming V6 echo request" protocol="icmpv6:128,any" dir=in action=allow

Danke an JosefZ: https://superuser.com/a/1443844

Finaler Check auf https://ipv6-test.com/ :

 

[Evilc22]

Die OpenWRT Version für die Easybox hat leider ein großes Problem: Wenn https aktiviert ist, funktioniert das Webinterface eher schlecht als Recht. So schaltet ihr es ab:

opkg update
opkg list-upgradable
opkg list-upgradable | cut -f 1 -d ' ' | xargs opkg upgrade

Hat bei mir schon einige Webinterface probleme gelöst

 

[Kiso]

opkg update
opkg list-upgradable
opkg list-upgradable | cut -f 1 -d ' ' | xargs opkg upgrade

Hat bei mir schon einige Webinterface probleme gelöst

Hallo Evilc22,

das führt leider dazu:


Bei der Easybox lieber nicht zu viel anfassen.

Grüße

 

[Kiso]

FritzBox 7362 SL als Telefonanlage hinter pfsense

Verwendete Mittel:

• Deutsche Telekom Magenta M Privatanschluss
• Fritz.Box 7362 SL FritzOS 07.12
• pfsense 2.4.5-RELEASE
• analoges Telefon an RJ11 Buchse der FritzBox

In diesem How To zeige ich wie man eine FritzBox als Telefonanlage benutzt. Die FritzBox soll sonst keine Funktionen im Netzwerk übernehmen.

Bitte beachten: Diese Anleitung geht immer von der "erweiterten Ansicht" im Webinterface aus. Sollte mal eine Option nicht angezeigt werden, dann bitte prüfen ob die "erweiterte Ansicht" eingeschaltet ist.

0. Werkseinstellungen laden

• Variante A:
  • Webinterface -> System -> Werkseinstellungen -> Werkseinstellungen laden
• Variante B:
  • Telefon: #991*15901590* wählen, warten und auflegen

1. Grundeinrichtung

• PC mit FritzBox verbinden
• Webinterface über 192.168.178.1 aufrufen
• Passwort festlegen und Einrichtungsassistent abbrechen

Im Webinterface angekommen müssen folgende Grundeinstellungen getätigt werden:

1. Bestätigungen durch Tastendruck deaktivieren
   1. System -> FRITZ!Box-Benutzer -> Anmeldung im Heimnetz -> Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen: Haken Raus!
      
   2. Übernehmen
2. admin Benutzer erstellen (ohne diesen können wir im IP Client Modus nicht mehr auf das Webinterface zugreifen)
   1. System -> FRITZ!Box-Benutzer -> Benutzer hinzufügen
   2. Benutzername / Kennwort und volle Berechtigungen
      
   3. Übernehmen
3. FritzBox zum IP Client machen
   1. Internet -> Zugangsdaten -> Internetzugang
      
   2. Hinweis: unten den DHCP-Hostname beachten (fritzbox statt fritz.box)
   3. Übernehmen

Die FritzBox sucht nun eine IP vom lokalen DHCP.

2. pfsense Schnittstelle vorbereiten

• Interfaces -> Assignments -> Add (gewünschten Network Port auswählen)
  
• Interfaces -> OPT1
  
• Hinweis: IPv4 Address durch das gewünschte Netz ersetzen
• Save
• Apply Changes

Für die Telefon Schnittstelle muss noch eine Firewall Regel erstellt werden, damit die Fritzbox überhaupt irgendwohin kommunizieren kann. Dafür gibt es jetzt hier eine einfache "FritzBox Net to Any" Regel mittels eines Alias.

• Firewall -> Aliases -> IP

• Firewall -> Rules -> TELEFON

3. DHCP konfigurieren
Die FritzBox sucht nun nach einem DHCP Server, den wir jetzt konfigurieren müssen.

• Services -> DHCP Server -> TELEFON (das in Schritt 2 konfigurierte Interface)
  
• Save
• Apply Changes

Nun kann die FritzBox an die pfsense an das extra Interface angeschlossen werden. Die FritzBox erhält eine IP vom DHCP aus der oben konfigurierten Range. Damit die FritzBox immer die gleiche Adresse bekommt, wird gleich ein statischer Lease erstellt.

• Status -> DHCP Leases
• in der Liste der Leases die FritzBox suchen und unter Actions das weiß blaue Plus klicken
  

Nun die FritzBox einmal neustarten (Stecker ziehen) und der statische Lease wird übernommen. Die FritzBox ist nun über die 192.168.3.100 im Browser erreichbar und wünscht zum Login den erstellten admin User.

4. Outbound NAT für Internettelefonie konfigurieren

• Firewall -> Aliases -> Ports
• Wichtig: Die Ports erhält man entweder vom Provider oder vom Telefonanlagenhersteller (AVM Link)
• Für die Fritzbox:

  UDP 5060, 7078:7109

  
• Firewall -> NAT -> Outbound

Hinweis: Immer an Save und Apply Changes denken.

Erklärung: Für die Telefonie ist kein Port Forward von außen nötig. Dies wird über NAT Keep Alive realisiert. Jedoch müssen Outbound Regeln festgelegt werden, damit der Port nicht übersetzt wird.

SIP stellt die Verbindung her
RTP überträgt die Stimme

Wenn es also klingelt, aber kein Stimme zu hören ist, dann den Fehler bei RTP suchen.

5. FritzBox Telefonie konfigurieren

• Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen
• Portweiterleitung des Internet-Routers für Telefonie aktiv halten: Haken rein
• Portweiterleitung aktiv halten alle: 30 Sek.
  
  
  
• Telefonie -> Eigene Rufnummern -> Neue Rufnummer
  
• Weiter -> Weiter -> Telefonie prüfen -> Weiter
  

Bonus:

• WLAN deaktivieren (per Tastendruck)
• Tastensperre aktivieren
• admin User VPN deaktivieren
• FritzNAS deaktivieren

Das sollten alle unnötigen Funktionen sein.

 

[Kiso]

pfsense Traffic am gleichen Interface nicht filtern (asynchrones Routing)

Verwendete Mittel:

• pfsense 2.4.5-RELEASE

Manchmal kann es sein, dass Traffic asynchron geroutet ( A->B->C | C->D->A) werden muss. Das Problem hierbei ist, dass die pfsense TCP Verbindungen blockt, deren Handshake nicht vollständig über die Firewall abgelaufen ist, da diese der Firewall nicht bekannt sind. Im Log steht dann: Default Deny Rule

Als Workaround kann Traffic, der über das selbe Interface rein und raus geht von den, Firewallregeln ausgeschlossen werden.

• System -> Advanced -> Firewall & NAT
• Bypass firewall rules for traffic on the same interface: Haken rein!
• "Save"

Eigentlich sollte es damit erledigt sein. Ich hatte bei einer Installation jedoch trotzdem das Probleme mit der RDP Verbindung.

Zusätzlich kann noch folgende Firewallregel erstellt werden, die unbekannte ("sloppy") States erlaubt. Beziehungsweise werden mit dieser Regel jegliche TCP Flags an einem Interface erlaubt.

• Firewall -> Rules -> Floating -> Add
• Einstellungen:
  • Interface: (LAN)
  • Direction: out
  • Adress Familiy: IPv4 (+ IPv6)
  • Protocol: TCP
  • Advanced Options
    • TCP Flags: Any Flags
    • State Type: Sloppy State
  • Save

Falls es keine "LAN Net to Any" Rule gibt:

• Firewall -> Rules -> (LAN)-> Add
• Einstellungen:
  • Interface: (LAN)
  • Adress Familiy: IPv4 (+ IPv6)
  • Protocol: TCP
  • Advanced Options
    • TCP Flags: Any Flags
    • State Type: Sloppy State
  • Save

Hinweis: Die Firewallregeln sollten an den eigenen Fall angepasst und gegebenenfalls restriktiver eingestellt werden!

Links zum weiteren Nachlesen:
https://docs.netgate.com/pfsense/en...ed-log-entries-due-to-asymmetric-routing.html

 

[Kiso]

Notiz: MTU Size in LAN und WAN unterschiedlich

Die MTU eines (Standard) Ethernet Frames beträgt 1500Bytes und beschreibt die maximale Größe eines Layer 3 Pakets, welches in einem einzelnen Layer 2 Frame als Nutzdaten (Payload) übertragen werden kann, ohne das dieses fragmentiert werden muss.

Der Header von IPv4 ist 20 Byte lang und der von ICMP (Ping) ist 8 Byte lang.

Somit ergibt sich:

1500 - 20 - 8 = 1472 Byte (Nutzdaten)

Wenn man Beispielsweise einen lokalen Router anpingt mit einer Größe von 1472Bytes geht es durch. Mit 1473Bytes wird fragmentiert, da die MTU überschritten wird.

Wenn man den gleichen Ping zu Google schickt, dann wird direkt Fragmentiert. Bei 1464Bytes geht's dann plötzlich. Es fehlen also 8Bytes.

ping -f -l 1472 google.de
ping -f -l 1464 google.de

Diese ergeben sich durch den PPPoE Header (6Bytes), der bei DSL Verbindungen noch angehängt wird und einer PPP protocol ID, welche 2Bytes lang ist.

MTU Rechner: https://baturin.org/tools/encapcalc/

Nachzulesen:

https://en.wikipedia.org/wiki/Ethernet_frame
https://de.wikipedia.org/wiki/Maximum_Transmission_Unit
https://tools.ietf.org/html/draft-ietf-pppext-pppoe-mtu-1500-00
https://en.wikipedia.org/wiki/Point-to-Point_Protocol_over_Ethernet
https://www.speedguide.net/faq/28-largest-mtu-shows-packet-loss-from-1465-to-1472-227
https://en.wikipedia.org/wiki/IPv4
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol


Beitrag entstand durch:
https://www.computerbase.de/forum/threads/ip-fragmetierung-ps4.1940512/

 

[Kiso]

Notiz: WLAN 5 GHz Kanalübersicht

 

[Kiso]

Notiz: LWL Patchkabel Spezifikationen für 10G Ethernet

 

[Kiso]

Notiz: Windows Server Domain Controller Netzwerkprofil nach Bootvorgang nicht korrekt

Problem:
NLA Service startet vor DNS und das Netzwerk wird nicht als Domänennetzwerk erkannt.

Lösung:
DNS als Voraussetzung für NLA Service setzen.

sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS

 

[Kiso]

Notiz: Remotedesktop / RDP aktivieren

1. Einstellung
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Verbindungen

Remotedesktopdienste zulassen

2. Einstellung
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall -> Domänenprofil

Windows Firewall: Eingehende Remotedesktopausnahmen zulassen

3. Einstellung
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Sicherheit

Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich

Nachzulesen: https://www.windowspro.de/wolfgang-sommergut/remotedesktop-windows-78x-server-2012-r2-gpo-aktivieren

Ergänzung (23. Oktober 2020)

Notiz: Datei- und Druckerfreigabe aktivieren (Echo Request / Ping)

1. Einstellung
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows Defender Firewall -> Domänenprofil

Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen


Manchmal (Im Prinzip das Gleiche.):
2. Einstellung
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitsrichtlinien -> Windows Defender Firewall mit erweiterter Sicherheit -> Eingehende Regeln

Neue Regel... -> Vordefiniert: Datei- und Druckerfreigabe

Ergänzung (23. Oktober 2020)

Fix: Administratorengenehmigungsmodus / Domain Admin Fix
Fehler: Auf das angegebene Gerät bzw. die Datei kann nicht zugegriffen werden. Sie verfügen ggf. nicht über ausreichende Berechtigung, um auf das Element zugreifen zu können.

1. Einstellung
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen

Benutzerkontensteuerung: Administratorengenehmigungsmodus für das integrierte Administratorkonto

 

[Kiso]

FritzBox 7362 SL (und viele weitere Modelle) als PPPoE Passthrough Modem


Verwendete Mittel:

• Deutsche Telekom Magenta M Privatanschluss
• Fritz.Box 7362 SL FritzOS 07.12
• pfsense 2.4.5-RELEASE-p1
• Cisco SG250-08

Bitte beachten: Diese Anleitung geht immer von der "erweiterten Ansicht" im Webinterface aus. Sollte mal eine Option nicht angezeigt werden, dann bitte prüfen ob die "erweiterte Ansicht" eingeschaltet ist.

0. Werkseinstellungen laden

• Variante A:
  • Webinterface -> System -> Werkseinstellungen -> Werkseinstellungen laden
• Variante B:
  • Telefon: #991*15901590* wählen, warten und auflegen

1. Grundeinrichtung

• PC mit FritzBox verbinden
• Webinterface über 192.168.178.1 aufrufen
• Passwort festlegen und Einrichtungsassistent abbrechen

Im Webinterface angekommen müssen folgende Grundeinstellungen getätigt werden:

1. Bestätigungen durch Tastendruck deaktivieren
   1. System -> FRITZ!Box-Benutzer -> Anmeldung im Heimnetz -> Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen: Haken Raus! Anhang anzeigen 904707
   2. Übernehmen
2. admin Benutzer erstellen (ohne diesen können wir im IP Client Modus nicht mehr auf das Webinterface zugreifen)
   1. System -> FRITZ!Box-Benutzer -> Benutzer hinzufügen
   2. Benutzername / Kennwort und volle BerechtigungenAnhang anzeigen 904708
   3. Übernehmen

2. Internetanschluss konfigurieren

• VLAN ID ist hier für Telekom (VLAN 7) gesetzt
• Nach der Konfiguration sollte es so in der Übersicht aussehen (DSL verbunden, Internet jedoch nicht):

• Ab hier ist die FritzBox bereit als Modem zu dienen.
• Ich empfehle noch einen Reboot durchzuführen.

3. Managementzugang konfigurieren (optional)
Das kann auch Standard bleiben. Zugang dann nur direkt an FritzBox

• Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen

• OK
• Übernehmen
• Reboot
• wieder einloggen
• Route anlegen (Standardgateway auf pfsense)
• 
• an pfsense neue Schnittstelle konfigurieren
• 
• FritzBox LAN1 an pfsense WAN anschließen
• Fritzbox LAN2 an Switch (Untagged VLAN4) -> Ich habe die pfsense an einem Trunk Port angeschlossen
• 
• GE2: pfsense
• GE5: FritzBox LAN2
• FritzBox Reboot
• PC wieder in VLAN1 bringen

4. Aufräumarbeiten

• Fritzbox aufrufen
• Einloggen mit erstelltem Admin Account
• WLAN deaktivieren
• FritzNAS deaktivieren
• Netzwerkeinstellungen:
• 

An der pfsense muss dann noch die PPPoE Schnittstelle konfiguriert werden.