pfSense im Kabelnetz

pfSense im Kabelnetz

Tags:

Ich bin zu einem Kabelbetreiber übergetreten und hatte Probleme bekommen, meine pfSense-Lösung 1 zum Laufen zu bekommen.

Hintergrund ist, dass ich zum Kabelanschluss eine FritzBox Cable erhielt. Die sich (aktuell) partout nicht als reines Kabelmodem umschalten lässt. Schließlich wollte ich nicht meine aktuelle pfSense-Umgebung, wo jetzt schon fast alles konfiguriert ist, wieder bei Seite legen. Zusätzlich vermisste ich bei der Fritzbox verschiedene Möglichkeiten, wie z.B. den DNS frei wählen zu können. Also sollten beide Welten irgend wie verbunden werden.

Und hier lag genau der Haken. Die Fritzbox ist fest für den Verbindungsaufbau ins Internet vorgesehen. Eine Authentifizierung mit Benutzernamen und Kennwort gibt es nicht. Im ersten Anlauf habe ich der Fritzbox und der pfSense-Firewall feste TCP/IP-Adressen aus dem gleich Class-C-Netzbereich (192.168.x.y) vergeben. Die Idee dahinter ist, dass sich die pfSense so verhalten soll, wie ein normaler PC. Also dass alle angeschlossenen Rechner an der pfSense über die Fritzbox den Weg ins Internet finden. Aber nichts passierte.

Ein Blick ins pfSense-Buch brachte aber dann die Lösung. Ich habe zur besseren Veranschaulichung eine Grafik zusammen geknöppelt. Der erste Ansatz von mir war fast richtig, nur dass pfSense (rote Box) nicht mehr die Datenpakete zwischen den Rechnern hinter ihr und vor ihr (Fritzbox als blaue Box) weiter leiten kann. Lösung ist ein komplett anderer Adressbereich für die Fritzbox und der pfSense-Umgebung. Bei mir eine Feste IP-Adresse aus dem Class-A-Bereich (z.B. 10.100.x.y). Bei pfSense muss hier zur WAN-Anschluss-Konfiguration keine PPoE-Verbindung, sondern eine feste Adresse (DHCP geht auch) aus dem besagten Class-A-Bereich vergeben werden, das Gleiche gilt für die Fritzbox. Der LAN-Anschluss aus dem bekannten Class-C-Netzbereich (192.168.x.y) hinter pfSense blieb bei mir gleich.

Es werden quasi zwei voneinander getrennte LANs angelegt, und pfSense und die Fritzbox kommen damit zurecht. Das LAN zwischen beiden Geräten bilden sogar aus meiner Sicht eine DMZ (Demilitarized Zone). Kontrollierte Zugriffe können so auf Server in diesem LAN zwischen pfSense und der Fritzbox aus dem Internet zugreifen, ohne die Rechner hinter der pfSense-Firewall, dem Class-C-Netz, zu sehen.