[Gelöst] Fritzbox 7412 als Modem an Opnsense (andere Idee)

timmy0815

Neuer User
Mitglied seit
10 Dez 2017
Beiträge
12
Punkte für Reaktionen
5
Punkte
3
Ich bin dabei, das Heimnetzwerk umzustrukturieren und eine OpnSense aufzusetzen (Hintergrund soll hier nebensächlich sein). Dabei tritt das Dilemma auf, daß am Markt fast keine reinen DSL-Modems (konfigurierbarer Bridge-Modus) mehr aufzutreiben sind, die sich für einen VDSL2-Anschluß eignen.

Einige Leute haben es in diesem Kontext ja bereits mit unterschiedlichen Fritzboxen probiert, wobei der einfache Bridge-Modus (dsldmode_bridge) in aktuellen Firmwareversionen laut mehrerer Aussagen nicht mehr funktioniert (habe es mit früheren Firmwareversionen nicht probiert).

Der Full-Bridge-Modus (dsldmode_full_bridge ) funktioniert zwar, allerdings ist für mich nicht überprüfbar, welche Netzwerkpakete die Fritzbox nebenbei noch über das WAN-Interface austauscht. Zumal stehen die weiteren Funktionen der Fritzbox (WLAN, DECT etc.) im Full-Bridge-Modus nicht mehr zur Verfügung.

Daher habe ich mich entschieden, die Box im Routing-Modus mit PPPoE-Passthrough zu betreiben. Mit ein wenig weiterer Konfiguration lassen sich WLAN und DECT in Verbindung mit der OpnSense weiterverwenden. Erste Tests sehen vielversprechend aus.


Kurz zusammengefaßt:
  • Fritzbox 7412 als WAN-Modem an OpnSense
    • PPPoE-Einwahl der OpnSense funktioniert (Fritzbox übernimmt VLAN-Tagging)
    • Verwendung des Standard-WLANs (für Gäste) läuft
    • Interne Fritzbox-Dienste funktionieren (z.B. NTP, Firmware-Update übers Internet)
    • VoIP bisher nicht verwendet/probiert, sollte jedoch auch laufen
Eine Überprüfung der Konfiguration über Paketmitschnitte auf der DSL- und LAN-Schnittstelle sah in einem kurzen Test vielversprechend aus:
  • DSL-Interface
    • Austausch der PPPoE-Pakete (PPPoE-Passthrough)
    • Fritzbox sendet unnötig DHCP-Discovers (VLAN 8)
      • vermutlich zur Erhaltung einer IP-Adresse u.a für T-Entertain?
  • LAN-Interface
    • Austausch der Kommunikation für WLAN und Fritzbox-Dienste (NTP etc.)

Ich suche allerdings noch Mitstreiter und Betatester, die sich bisher auch an der Verwendung der Fritzbox 7412 (welche von 1&1 zuhauf verteilt wird oder kostengünstig ersteigert werden kann) mit der OpnSense versucht haben.

Konfiguration der Fritzbox:
  • Internet --> Zugangsdaten --> Internetzugang:
    • Internetanbieter: weitere Internetanbieter --> andere Internetanbieter
    • Anschluß: Anschluß an einem DSL-Anschluß
    • Werden Zugangsdaten benötigt?: Nein
    • VLAN- Einstellungen:
      • VLAN für den Internetzugang verwenden: ja
      • VLAN-ID: 7
    • Kapselung:
      • Bridged (Routed Bridge Encapsulation) auswählen
      • IP-Adresse automatisch über DHCP beziehen: nein
      • IP-Adresse: 192.168.254.253 (Dummy-Adresse wird nicht benötigt)
      • Subnetzmaske: 255.255.255.252 (Dummy-Subnetz, möglichst klein halten)
      • Standard-Gateway: IP-Adresse WAN-Interface der OpnSense
      • DNS-Server: 192.168.254.251 (Dummy-DNS, wird nicht benötigt, ich habe ihn dennoch außerhalb des WAN-Subnetzes gelegt)

Hinweis: IP-Adresse, Subnetzmaske und DNS sind als Dummy eingetragen, da nicht benötigt, die Fritzbox aber Eingaben verlangt. Einige Adressen sind intern über die Routing-Tabelle direkt an die DSL-Schnittstelle gebunden, daher ist es wichtig, einen bisher im eigenen Heimnetz ungenutzten privaten IP-Bereich zu wählen.
  • Internet --> Zugangsdaten --> DNS-Server
    • Option "Andere DNSv4-Server verwenden" auswählen
    • DNS-Server: IP-Adresse WAN-Interface der OpnSense
  • IP-Adressen Heimnetz
    • IP-Adresse und DHCP-Bereich entsprechend Subnetz des WAN-Interfaces der OpnSense konfigurieren
    • Lokaler DNS-Server: IP-Adresse WAN-Interfaces der OpnSense oder IP-Adresse der Fritzbox
  • Statische IPv4-Routingtabelle
    • Default-Route erstellen (Netzwerk: 0.0.0.0, Subnetzmaske: 0.0.0.0, Gateway: IP-Adresse WAN-Interfaces der OpnSense)
Hinweise:
  • Mit WAN-Interface der OpnSense ist die IP-Adresse der physischen Netzwerkschnittstelle gemeint und keine Adresse der PPP-Verbindung. Letztere wird nur mittels PPPoE durch die physische Netzwerkschnittstelle getunnelt
  • Wer die Routing-Tabelle der Fritzbox gegenprüfun möchte, kann dies über die Generierung von Supportdaten auf der Fritzbox durchführen

Offene Punkte:
  • Sicherheitscheck
    • Weitere Prüfung, ob die Fritzbox keine anderen Informationen über die DSL-Schnittstelle mit dem ISP austauscht (evtl. lassen sich mit dem FBEditor noch Filter für die physische DSL-Schnittstelle setzen. Habe ich noch nicht probiert)
    • Die Login-Seite zur Konfigurationsoberfläche ist vermutlich aus dem Netz des ISP erreichbar, daher sollte ein starkes Paßwort gewählt werden (wird durch das kleine Subnetz mitigiert)
  • Das Gast-WLAN habe ich auf der Fritzbox 7412 noch nicht zum laufen gebracht (Bug in Fritzbox).
 
  • Like
Reaktionen: Bob.Dig
Ohne alles noch komplizierter zu machen, hier zumindest ein Beitrag der alles ausführlich Erläutert was über die cfg7 etc. zu sagen gibt FritzBox 7490 nur als DSL Modem

Bei AVM zumindest steht unter Filter - Listen- alle PPPOE Packete zulassen - meines erachtens können dann alle Häkchen entfernt werden. Obwohl Stealth wäre ja eingentlich richtig. Aber Firewall im Modembetrieb ?
 
Zuletzt bearbeitet:
Die Bezeichnung "Modem" sollte man in diesem Kontext nicht überbewerten. Das Modem ist nur ein Teil der Fritzbox (genau genommen das Stück Hardware, welches die über die DSL-Schnittstelle ausgetauschten Daten moduliert). Du kannst Dir obige Konstellation im Prinzip als drei über einen Switch miteinander verbundene Geräte vorstellen (DSL-Modem, Fritzbox [WLAN + VoIP + weitere Dienste] und OpnSense]. In dieser Darstellung wird es dann auch deutlich. Ich möchte ausschließlich PPPoE-Pakete über das DSL-Modem mit meinem ISP austauschen, der direkte Austausch von IP-Paketen über die DSL-Schnittstelle soll dagegen geblockt werden. In diesem Fall ist eine Firewall bzw. ein Filter durchaus sinnvoll.

Die von Dir zitierte Einstellung im Filter finde ich übrigens bei mir nicht (Firmware 6.83).
 
Ich finde bei mir unter „Filter - Listen“ weiterhin keinen Verweis auf "alle PPPoE-Pakete zulassen". Kannst Du hierzu mal einen Screenshot machen? Eine alte Firmware möchte ich nicht einsetzen, diese sollte man aus Sicherheitsaspekten immer aktuell halten.

Danke für die Links, aber ein Skript für die Einrichtung von Weiterleitungsregeln benötige ich eigentlich nicht. Ich will ja im Gegenteil sperren einrichten, um ein mögliches IP-Routing auf die DSL-Schnittstelle zu unterbinden (auch wenn ich bisher nur DHCP-Discovers – eingekapselt in VLAN8 – gesehen habe).
 
Zuletzt bearbeitet:
Hi drbiggy,

mein Testaufbau liegt aktuell wieder in der Kiste, da ich derzeit auf die Opnsense 18.1 warte, bevor ich meine Installation komplett umkremple. Zwischenzeitlich wurde ich bei 1&1 auch vom Telekomnetz ins Versanet migriert. Dort habe ich es noch nicht verprobt, sollte aber dennoch laufen.

Zunächst drei Fragen meinerseits:
  1. Hast Du die Verbindung (wie oben angegeben) mit Dummy-Daten eingerichtet?
  2. Was passiert denn, wenn Du unter "Internet -> Zugangsdaten" die Option "Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen)" aktivierst. Bleibt diese nach dem Speichern auch aktiviert?
  3. Hast Du sichergestellt, daß Dein TP-Link-Router kein VLAN-Tagging macht?
Sofern Du mit Linux arbeitest, kannst Du die Fehlersuche mit den "PPPoE-Tools" vereinfachen. Das Werkzeug "pppoe-discovery" versucht einen AC (Access Concentrator) am anderen Ende der Leitung zu finden.
 
  • Like
Reaktionen: drbiggy
Hi vielen dank für deine Antwort :)

zu 1: Nein habe bis jetzt nur mit den 1und1 Zugangsdaten gearbeitet. Wenn ich die Dummydaten eingebe bekomme ich doch keine Internet Verbindung mehr oder? Ansonsten habe ich das vielleicht nicht komplett verstanden.

zu 2: Die Option bleibt nach dem speichern weiter angehakt. Wenn ich mir aber die config der box herunterlade und entschlüssele, ist eine Zeile der Einstellungen "pppoeforwarding = no;" Ich bin mir nicht sicher ob diese Zeile die korrespondierende zu diesem Häkchen ist.

zu 3: Nein ich habe erstmal nur die Einwahl mittels den 1und1 Zugangsdaten aktiviert. Da kommt es aber zum timeout. In der fritz.box steht auch nichts im log zu irgendeinem connect Versuch. Die Einwahl über Windows 10 schlägt auch fehl, auch nichts im log.

Unter linux arbeite ich bis jetzt, ich werde nachher aber nachher mal ubuntu oder so vom usb stick booten, und den pppoe-discovery befehl mal versuchen auszuführen.

Ich habe aber irgendwie das Gefühl, dass das setzen des Hakens in der fritz.box keinen Effekt hat. Vielleicht kann man die angesprochene konfig Zeile manuell mal ändern und die geänderte konfig einspielen.

Gruß,

Ben
 
Ok, Du darfst in der Fritzbox selbst keine Einwahldaten des Internetdiensteanbieters eintragen. 1&1 erlaubt zudem nur den Aufbau einer PPP-Verbindung. Daher scheitert Dein Router mit dem Verbindungsaufbau, da die Fritzbox bereits eine Verbindung hergestellt hat. Daher unbedingt wie oben angegeben vorgehen. Die Dummy-Daten unterbinden einen eigenständigen Verbindungsaufbau der Fritzbox zum Einwahlknoten des Internetdiensteanbieters, läßt Dir aber weiterhin die Freiheit, mittels eines nachgelagerten Endgerätes eine PPPoE-Einwahl über VLAN 7 zuzulassen.

Die Konfiguration der Einwahlmethodik hat übrigens nichts mit der Synchronisierung des DSL-Modems mit dem DSLAM (DSL-Gegenstelle) zu tun. Bitte vergiß zudem nicht, dem Benutzernahmen unter der PPPoE-Konfiguration in Deinem Router den Buchstaben "H" voranzustellen.
 
  • Like
Reaktionen: drbiggy
Alles klar.
Ich habe jetzt mal die von dir genannten Dummy Daten eingegeben. Leider klappt dannn weder mit router noch mit modem die pppoe einwahl. Ich kann aber auch weder bei windows noch beim router in den verbindungseinstellungen vlan 7 auswählen, würde das automatisch gehen?
Das mit dem H vorher wusste ich nicht, wie soll man den darauf kommen? :D

Was mir ausserdem aufgefallen ist, sind keine korrekten Internetzugangsdaten eingegeben, funktioniert auch keine Telefonie über die fritzbox. Das wäre für leider sowieso ein Ausschlusskriterium.
 
Zerlegen wir das Problem mal in seine Bestandteile, dann läßt es sich einfacher handhaben:
  1. PPPoE-Einwahl durch Router mit Fritzbox 7412 als DSL-Modem
  2. Weiternutzung der Fritzbox-Dienste (bei PPPoE-Einwahl über nachgelagertem Router)

zu 1.)
Wie bereits gesagt darf die Fritzbox 7412 selbst keine PPPoE-Einwahl durchführen. Im Router selbst muß das VLAN-Tagging auch abgeschaltet sein, da dies die Fritzbox selbst übernimmt. Mal angenommen, Du hast die Konfiguration wie in meinem ersten Beitrag durchgeführt, dann dürften folgende Fehlermeldungen aus Deinem referenzierten Beitrag nicht mehr auftreten:

  • Timeout waiting for PADO packets
  • Unable to complete PPPoE Discovery
Dies ist die Voraussetzung für alles weitere:

zu 2.)
Ich vermute mal, daß sich dieser Teil mit einem SOHO-Router nicht verwirklichen läßt; ein Router muß hierfür folgende Fähigkeiten mitbringen:

  • Dein Router muß über den (mit der Fritzbox verbundenem) physischen Ethernet-Port gleichzeitig je eine PPPoE- und TCP/IP-Schnittstelle anbinden.
    • Über erstere wickelt der Router die gesamte Internetkommunikation ab (die Fritzbox übernimmt hier nur das Routing zwischen Ethernet- und DSL-Schnittstelle). Die TCP/IP-Schnittstelle dient der direkten Kommunikation mit den Fritzbox-Diensten
  • Der Router muß IP-Pakete zwischen beiden o.g. Schnittstellen desselben Ethernet-Ports routen können
    • Fritzbox benötigt als Standardgateway die IP-Adresse der TCP-/IP-Schnittstelle des Routers
    • Fritzbox benötigt einen konfigurierten DNS-Server für die Namensauflösung
    • Routingtabelle auf Router muß entsprechend konfiguriert sein

Der zweite Punkt erfordert sehr detailliertes Netzwerk-Fachwissen. Falls es hier klemmt, kann eine Analyse des Netzwerkverkehrs wertvolle Hilfe leisten (z.B. über Wireshark)
 
  • Like
Reaktionen: drbiggy
Ah langsam komme ich dahinter.
Die Telefonie sollte also wieder funktionieren sobald die fritzbox letztendlcih über den router die ensprechenden "internet" pakete bekommt, also die gesamte konfiguration abgeschlossen ist.

Zu 1.

Mit dummy Daten in der Fritzbox kommt es zu folgender fehlermeldung:

Code:
Wed Jan 24 10:53:06 2018 daemon.notice pppd[2528]: Connect: pppoe-wan <--> eth0.2
Wed Jan 24 10:53:07 2018 daemon.info pppd[2528]: Remote message: 0000 PSFFM003 0002875130 Zugriff verweigert
Wed Jan 24 10:53:07 2018 daemon.err pppd[2528]: PAP authentication failed
Wed Jan 24 10:53:07 2018 daemon.notice pppd[2528]: Modem hangup
Wed Jan 24 10:53:07 2018 daemon.notice pppd[2528]: Connection terminated.
Wed Jan 24 10:53:07 2018 daemon.info pppd[2528]: Sent PADT
Wed Jan 24 10:53:07 2018 daemon.info pppd[2528]: Exit.


Dies geschieht mit Zugangsdaten und auch wenn das H vorne angestellt ist.

Zu 2.

Ich gehe mal davon aus das lässt sich in lede alles einstellen, aber ich traue mir grade mal zu das vlan tagging für den wan port auszuschalten. Ohne eine gute anleitung für genau diese anwendung ist mir das vielleicht ein bisschen zu unsicher.
Vor habe ich das ganze eigentlich nur damit ich auf meinem seperaten Router das qos/sqm nutzen kann und am Rnde kein doppeltes nat zu haben.
Wenn ich ab vorraussichtlich Februar 100mbit geschaltete bekomme wäre ich auf einen Ubiquiti ER-X umgestiegen, da ich mir nicht sicher bin ob der tp link noch mitgekommen wäre.
Am Ende lässt es sich aber vielleicht besser mit doppeltem nat leben als mit einer so komplizierten Konfiguration oder? Grade weil du selbst keinen lede Router verwendest und mir nicht einfach mal schnell deine Einstellungen abschreiben kannst.

Gruß Ben

//edit by stoney: [CODE] TAGS [/CODE] eingefügt
 
Zuletzt bearbeitet von einem Moderator:
Laut Fehlermeldung scheint der Router den AC nun zu finden, jetzt scheitert es an den Zugangsdaten. Bezüglich des dem Benutzernamen vorsanzustellenden Buchstabens gibt es im Internet diverse Beispiele (z.B. hier).

Die Frage bezüglich des doppelten NATs kannst nur Du Dir beantworten. Ich empfehle Dir, die Schaltung der 100Mbit/s abzuwarten und erst mal zu testen, ob es den Ansprüchen genügt.
 
  • Like
Reaktionen: drbiggy
Ich bin dabei, das Heimnetzwerk umzustrukturieren und eine OpnSense aufzusetzen (Hintergrund soll hier nebensächlich sein). Dabei tritt das Dilemma auf, daß am Markt fast keine reinen DSL-Modems (konfigurierbarer Bridge-Modus) mehr aufzutreiben sind, die sich für einen VDSL2-Anschluß eignen.

Mag hier OT sein, aber den Draytek Vigor 130 kennst Du? Den hatte ich vor meiner OPNsense einige Zeit lang laufen, bevor ich zu Unitymedia-BW gewechselt bin.

Der Upgrade von OPNsense 17.x auf 18.x lief eigentlich recht reibungslos. "Eigentlich" nur deswegen, weil ich Probleme mit dem Filesystem hatte und meine Konfiguration nach dem Upgrade exportiert, die Installation neu aufgesetzt hatte und danach die Konfiguration wieder importiert hatte.
 
Mag hier OT sein, aber den Draytek Vigor 130 kennst Du? Den hatte ich vor meiner OPNsense einige Zeit lang laufen, bevor ich zu Unitymedia-BW gewechselt bin.

Den Vigor kenne ich aus der Produktbeschreibung. Ich wollte mir jedoch nicht so ein fettes Moped für einen Betrieb im Bridge-Modus holen.
 
Den Vigor benötigt man eigentlich nur, wenn (wie bei mir) die Fehlkauf-VPN/Firewall dem WAN-Port nicht das in fast überall in DE nötige VLAN7 mitgeben kann und/oder wenn einfach die Box keinen Bridge-Mode machen will.
 
Mein geplanter Aufbau sieht so aus.

7412 (DSL Modem) - opnsense (mit Wifi) + 7430 (DECT only über LAN???)
+ nextcloud
+ PCs


Ich habe die opnsense heute als proof-of-concept wie im ersten Artikel beschrieben per PPPoE mit einer fritzbox 7360 zum Login bei der Telekom bewegen können. Die 7360 ließ sich allerdings nicht dauerhaft davon abbringen, selbst eine Verbindung herzustellen, daher werde ich mir eine 7412 o.Ä. als DSL Modem günstig beschaffen. Allerdings bleibt in obigem Setup die Frage, wie meine DECT Telefone weiter funktionieren? Kann ich die alte fritzbox 7430 so einstellen, daß sie die SIP Verbindung über ein LAN aufbaut?
 
Ich betreibe zusätzlich meine Fritzbox 7490 hinter der Opnsense im IP-Client-Modus. An dieser hängen auch meine Telefone. Die Opnsense wird entsprechend für SIP konfiguriert.

Wenn Deine Box auch als IP-Client laufen kann, sollte es gehen
 
Hi, deine Erläuterungen haben mir sehr geholfen. Ich möchte die FritzBox als Modem, Access Point (Standard- und Gastnetz) und für VoIP verwenden. Leider bekomme ich VoIP bei 1und1 und das Gastnetz nicht zum laufen. Beim Gastnetz werden die Daten wohl falsch geroutet. VoIP meldet immer DNS Fehler. Hast du eine Idee, wie ich beides zum Laufen bringen kann?
 
Zunächst solltest Du testen, ob die Fritzbox selbst auch auf das Internet (über die Opnsense geroutet) zugreifen kann. Am einfachsten kannst Du dies mit der in der Fritzbox Suchfunktion nach Firmwareupdates testen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.