Fritzbox 7520 als Modem mit pfsense und PPPoE muss durch LAN getunnelt werden

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ist VLAN denn noch ein Thema? Immerhin hast du ein eigenes LAN Kabel gelegt.
Ich weiß jetzt immer noch nicht, ob du telefonieren möchtest, die Box also zusätzlich noch ins LAN muss.

Ne, das Thema ist jetzt durch. Wie du ja selbst sagst, ein eigenes Kabel ist gelegt. :D

Bist du schrittweise vorgegangen und hast getestet, ob deine Clients nun wieder online sind?

Grundsätzlich arbeite ich immer schrittweise, sonst grenzt man das Problem ja nicht ein. Aber wem sag ich ich das. ;) Alle Clients sind wieder online. Das Einzige was nicht funktioniert ist die Namensauflösung. Wenn pfSense selber als DNS Server im LAN dient, dann funktioniert es gar nicht mehr. Im Moment gebe ich einen externen DNS (8.8.8.8) über den DHCP Server vor.

Der DHCP Server der Fritzbox ist ausgeschaltet.

Im Speziellen weiß ich nicht, wie die Konfiguration von pfSense aussehen soll, die in diesem Thread (Fritzbox 7412 als Modem an Opnsense (andere Idee)) beschrieben ist. Das WAN Interface ist auf PPPoE konfiguriert. Screenshots sind oben. Muss ich jetzt noch ein zweites Interface erstellen für die normale IP Verbindung zur Fritzbox?

Gruß
Sebastian
 

chrsto

Aktives Mitglied
Mitglied seit
8 Sep 2010
Beiträge
1,271
Punkte für Reaktionen
173
Punkte
63
Bis DNS funtioniert, solltest du die FritzBox außen vor lassen. Eine Baustelle reicht.

Funktioniert denn die Namensauflösung für pfsense selbst? z.B. Updateserver erreichbar bzw. kannst du zusätzliche Pakete installieren? Läuft der DNS Server auf der pfsense? Wie sind dort die Einstellungen? Welchen DNS Server nutzt pfsense?
 
Zuletzt bearbeitet:

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ich bin mir nicht sicher, ob das nicht mit der Fritzbox zusammen hängt. Immerhin gebe ich die IP von pfSense als DNS Server bei der FB an.

Ein DNS Lookup bei pfSense meldet meistens, das ist besonders seltsam, einen Timeout bei 127.0.0.1. Wenn ich aber beispielweise einen Ping auf "google.de" ausführe, funktioniert das.

Deshalb hatte ich auch die Befürchtung, dass etwas mit meinem pfSense nicht stimmt. Die VM hat schon einige Major Updates mitgemacht und es wurde von dnsmasq auf Unbound umgestellt. Weshalb ich auch OPNsense als zweite VM aufgesetzt habe.
 

chrsto

Aktives Mitglied
Mitglied seit
8 Sep 2010
Beiträge
1,271
Punkte für Reaktionen
173
Punkte
63
Ich klinke mich an der Stelle jetzt aus. Du hast wiederholt meine Fragen nicht vollständig beantwortet und ich bin es leid nachzufragen.
 

Joe_57

IPPF-Promi
Mitglied seit
5 Mrz 2006
Beiträge
6,656
Punkte für Reaktionen
243
Punkte
63
Die DNS-Einträge kann man bei der FRITZ!Box an zwei unterschiedlichen Stellen vornehmen:
- Heimnetz - Netzwerk - [Netzwerkeinstellungen] - [IPv4-Einstellungen] - "Lokaler DNS-Server:"
und
- Internet - Zugangsdaten - [DNS-Server] - "Andere DNSv4-Server verwenden"
An beiden Stellen lassen sich auch die Einträge für DNSv6 verändern.

Wo hast du deine Änderungen vorgenommen?
 

Benares

IPPF-Promi
Mitglied seit
15 Jan 2006
Beiträge
3,042
Punkte für Reaktionen
151
Punkte
63
Das sind aber unterschiedlich Dinge. Ersteres bestimmt, welchen DNS-Server die Fritte per DHCP an die Clients weitergibt, zweiteres bestimmt, welchen DNS sie selbst verwendet.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,769
Punkte für Reaktionen
236
Punkte
63
Wenn die Fritzbox nur PPPOE Passthrough macht, dann hat sie mit DNS absolut nichts zu tun. Sollte das anders sein, dann ist deine Konfiguration fehlerhaft, denn dann gibt es noch eine wie auch immer geartete IP Verbindung zwischen dem LAN der pfSense und der Fritzbox. Die darf auch aus Sicherheitsgründen keinesfalls existieren.
 

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ich klinke mich an der Stelle jetzt aus. Du hast wiederholt meine Fragen nicht vollständig beantwortet und ich bin es leid nachzufragen.

Tut mir leid, dass dich das verärgert, aber eine sachliche Analyse mit dir durchzuführen scheint auch keine leichte Sache zu sein, wenn du nicht Mal versuchst mich wirklich zu verstehen, kann ich auch nichts machen. Ich bin ja selbst auch nicht dumm und will auch verstehen was deine Absicht ist, die Ursache des Problems und wie ich es am besten analysieren. Und ich antworte nach besten Wissen und Gewissen auf deine Fragen.

Es kann natürlich sein, dass ich dich nicht richtig verstanden habe, dann tut auch das mir leid, aber es wirkt eher so als wenn du aus irgend einem Grund eingeschnappt bist.

Ich habe dir auf deine Fragen(n) doch geantwortet... Die DNS Auflösung für pfSense selber funktioniert, nur für Clients im LAN nicht, wenn sie pfSense als DNS Server benutzen.

Nur für die Vollständigkeit und ich mir nichts vorwerfen lassen kann.

Funktioniert denn die Namensauflösung für pfsense selbst?

Ja

z.B. Updateserver erreichbar bzw. kannst du zusätzliche Pakete installieren?

Ja, DNS funktioniert für pfSense selber. Hatte ich glaub ich schon gesagt.

Läuft der DNS Server auf der pfsense?

Er läuft, aber hat wohl Probleme mit der Namensauflösung. Für sich selbst geht es, für LAN Clients nicht.

Wie sind dort die Einstellungen?

Welche Einstellungen genau? Wolltest du hier die gesamten Einstellungen zum DHCP Server? pfSense hat nämlich viele Settings.

1660284315176.png
1660284364629.png
1660284396587.png
1660284431048.png
1660284475650.png

Welchen DNS Server nutzt pfsense?

Unbound, steht auch in meinem letzte post.

Die DNS-Einträge kann man bei der FRITZ!Box an zwei unterschiedlichen Stellen vornehmen:
- Heimnetz - Netzwerk - [Netzwerkeinstellungen] - [IPv4-Einstellungen] - "Lokaler DNS-Server:"
und
- Internet - Zugangsdaten - [DNS-Server] - "Andere DNSv4-Server verwenden"
An beiden Stellen lassen sich auch die Einträge für DNSv6 verändern.

Wo hast du deine Änderungen vorgenommen?

Der DHCP Server ist deaktiviert und deshalb kann Heimnetz - Netzwerk - [Netzwerkeinstellungen] - [IPv4-Einstellungen] - "Lokaler DNS-Server:" nicht gesetzt werden. Internet - Zugangsdaten - [DNS-Server] - "Andere DNSv4-Server verwenden" dort ist die IP des WAN-Ports von pfSense eingetragen, 192.168.178.2.

Das sind aber unterschiedlich Dinge. Ersteres bestimmt, welchen DNS-Server die Fritte per DHCP an die Clients weitergibt, zweiteres bestimmt, welchen DNS sie selbst verwendet.

Jo, DHCP ist aber ausgeschaltet.

Wenn die Fritzbox nur PPPOE Passthrough macht, dann hat sie mit DNS absolut nichts zu tun. Sollte das anders sein, dann ist deine Konfiguration fehlerhaft, denn dann gibt es noch eine wie auch immer geartete IP Verbindung zwischen dem LAN der pfSense und der Fritzbox. Die darf auch aus Sicherheitsgründen keinesfalls existieren.

Kann es eigentlich nicht, denn die Interfaces sind ja jetzt physikalisch getrennt. Eine Bridge ist nicht eingerichtet. Deshalb auch meine Vermutung, dass etwas mit pfSense nicht stimmt.

Hilfreiche wäre, wenn mir jemand sagen könnte wie die Konfiguration der Interfaces in pfSense aussehen sollte. WAN ist als PPPoE eingerichtet und stellt ein eigenes virtuelles Interface dar. Brauche ich noch ein zweites Interface für die IP Verbindung?

Gruß
Sebastian
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
4,751
Punkte für Reaktionen
486
Punkte
83
Hast Du im Bekanntenkreis jemand mit einem einfachen DSL-Modem? Oder könntest Du Dir schnell eines in eBay holen, wie den Speedport Entry 2 (Bearbeitet: Link von Post #2 auf #6 geändert)? Das ist ein Router den Du gezielt als DSL-Modem umstellen kannst.

Das erste Problem ist, dass eine FRITZ!Box viel zaubert. Die schnappt sich alle PPPoE-Pakete, mit und ohne VLAN-Tag 7. Gibt aber nicht immer (?) in dem Format zurück, indem sie verarbeitet hat. Daher sende ich meine PPPoE-Pakete für AVM eigene Interpretation von „PPPoE Pass-through“ immer ohne VLAN. Aber genau habe ich das auch noch nicht debuggt.

Das zweite Problem ist dann auch noch, wenn die pfSense den WAN-Port nicht ausschließlich für PPPoE nutzt (also bitte kein DHCP, IPv6 Router-Advertisments oder DHCPv6 im WAN), dann hast Du Dir quasi zwei Internet-Anschlüsse gebastelt.

Daher mal mit einem reinen Modem anfangen und alles so machen wie es sein sollte, also ohne VLAN und kein anderer Datenverkehr auf dem WAN. Das in Wireshark testen! Der Speedport Entry 2 müsste das VLAN-Tagging selbst übernehmen. Klappt das, dann tauschst Du den Speedport Entry 2 gegen FRITZ!Box. Wenn Du das dann überhaupt noch willst. Ich würde nämlich beide – FRITZ!Box und pfSense – and dieses DSL-Modem anschließen, die FRITZ!Box zum reinen Telefonie-Router degradieren (kein DSL nur PPPoE), und die Mehrfach-Einwahl seitens 1&1 genießen. 1&1 erlaubt Mehrfacheinwahl nämlich auch auf dem selben Anschluss. Dann hast Du alles nicht nur logisch sonder auch physikalisch getrennt. Für knapp 20 €. Die DECT-Basis in der FRITZ!Box macht ihr Ding (PPPoE). Die pfSense macht ihr Ding (PPPoE). Beide teilen sich lediglich das externe DSL-Modem.

Klar, wenn Du DSL nicht nur mit Vectoring sondern Super-Vectoring hast, dann die Digitailisierungsbox Basic als DSL-Modem.
 
Zuletzt bearbeitet:

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Danke, für die ausführliche Antwort. Tatsächlich habe ich schon darüber nachgedacht, wie sinnvoll es ist eine Fritz!Box mit falschen Einwahldaten dazu zubringen ein DSL-Modem mit DECT-Funktion zu werden und diese Lösung zu debuggen. Anstatt einfach ein dediziertes Modem zu benutzen. Es fühlt sich irgendwie nicht richtig an.

Jedenfalls hab ich mir vorsorglich schon eine FB 7412 besorgt, welche man ja auch super als Modem benutzten kann und steht auch auf der von dir gepostet Liste.

Sollte ich OpenWRT drauf flashen?
 

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
423
Punkte für Reaktionen
136
Punkte
43
Sollte ich OpenWRT drauf flashen?
Hallo @im0nKeY!

Hier meine persönliche und keinesfalls maßgebliche Antwort auf deine Frage:
Ich habe ja mittlerweile 12 mal die 7412 und auch einige andere AVM-Geräte (zum WireGuard-Knoten) und auch etliche TP-Link-Geräte für Freifunk mit OpenWrt umgeflasht. Selbstverständlich wollte ich auch mal wissen, was diese Geräte unter OpenWrt an meiner etwas grenzwertigen VDSL-TAL so "bringen".
Ergebnis: Keines der getesteten Geräte kam auch nur in die Nähe der Bandbreite, welche ich mit der AVM-Firmware erreicht habe - jeweils unmittelbar vor dem Flashen bewusst zum Vergleich getestet.
Bei einer kurzen TAL, mit geringer Dämpfung und hinsichtlich Bandbreite "Vollanschlag", sind natürlich die Konfigurationsmöglichkeiten von OpenWrt optimal.

vy 73 de Peter
 

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hat sich eh erledigt, mir war nicht klar, dass die 7412 nur einen 100MBit Port hat. Bei DSL 250 macht das wenig Sinn. :rolleyes: Naja, das Lehrgeld hab ich bezahlt. Braucht jemand eine FB 7412? :D

Außerdem habe ich noch weiter recherchiert und getestet. Zum einem habe ich diesen Artikel hier gefunden:

pfSense & OPNsense (Firewall- und Routing-Appliance)

Der quasi genau meinen Fall behandelt. Ich habe nun auch OPNsense fertig aufgesetzt und identisch zu pfsense konfiguriert und erhalte genau den gleichen Fehler. Es liegt also wohl nicht an einem defektem pfSense. Sobald ich es so, wie beschreiben, einrichte funktioniert DNS im LAN nicht mehr.

Der nächste Schritt ist jetzt, wie sonyKatze bereits schrieb, dass ich mir ein richtiges Modem besorgen und dann weiter teste. Ich vermute mal, das die bisher versuchte Lösung mit den falschen Einwahldaten in der FB, einfach nicht gut ist.

Gruß
Sebastian
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
4,751
Punkte für Reaktionen
486
Punkte
83
Fritz!Box mit falschen Einwahldaten
1&1 erlaubt Mehrfach-Einwahl.
Daher kannst Du die FRITZ!Box sich sehr wohl richtig einwählen lassen, egal ob im Modus Pass-through oder als eigenes Netz.
steht auch auf der von dir gepostet Liste
Ne, bin verrutscht. Du solltest eines aus Post #6 nehmen.
nur einen 100MBit Port hat
Für das anfängliche Debuggen, reicht das. Daher mein Tipp mit dem Speedport Entry 2. Wenn Du weißt, dass Du bei dem Aufbau mit zwei Netzen, also zwei PPPoE-Einwählern bleiben willst, dann direkt die Digitalisierungsbox Basic konfiguriert als reines Super-Vectoring-DSL-Modem.
 

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Nach einer etwas längeren Debug-Phase, scheint das Problem nun endlich gelöst zu sein. Die Ursache kann ich allerdings nicht ganz genau nennen.

Ich habe mir letztendlich ein Draytek Vigor 167 zugelegt als Modem und erstmal versucht nur pfSense die PPPoE-Einwahl durchführen zu lassen. Das hat seltsamerweise nicht auf Anhieb funktioniert. Wie vorher wurde entweder keine Roitung oder kein DNS für LAN von pfSense durchgeführt. Für die DMZ und pfSense selber funktionierte es aber.

Ich habe dann meine aktuelle pfSense Config gesichert und eine alte wieder eingespielt, dann als das Vigor 167 als Router eingestellt war, funktionierte wieder alles. Dann habe ich Schritt für Schritt die pfSense Configs verglichen und zurück gesetzt. Das Problem lag entweder in den pfSense Extra-Daten des DHCP Servers oder von unbound. Als ich diese nicht mehr zurück in pfSense gespielt habe, funktionierte alles problemlos.

Die FB ist jetzt einfach als IP-Client und DECT/VOIP Server konfiguriert.

Grüße und vielen Dank
Sebastian
 

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
4,751
Punkte für Reaktionen
486
Punkte
83
Vigor 167 als Router
Macht die dann NAT+Firewall oder bist Du im PPPoE-Passthrough? Wenn der Vigor im Full-Bridge ist, müsste es eigentlich auch tun. Du musst dann nur entscheiden, wer das VLAN auf 7 taggt, also der Vigor oder (wegen deren Rechen-Power besser) die pfSense.
 

im0nKeY

Neuer User
Mitglied seit
1 Mrz 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Die ist nun als einfaches Modem konfiguriert. Selber macht es keine PPPoE-Einwahl. Ich hatte Sie nur zur Testzwecken im Router-Modus. Das VLAN-Tagging macht das Vigor Modem.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.