{"id":848,"date":"2018-04-03T14:53:09","date_gmt":"2018-04-03T12:53:09","guid":{"rendered":"https:\/\/asenger.de\/blog\/?p=848"},"modified":"2022-10-13T15:57:26","modified_gmt":"2022-10-13T13:57:26","slug":"freifunk-router-hinter-einer-firewall","status":"publish","type":"post","link":"https:\/\/asenger.de\/blog\/freifunk-router-hinter-einer-firewall\/","title":{"rendered":"Freifunk-Router hinter einer Firewall"},"content":{"rendered":"<div class='__iawmlf-post-loop-links' style='display:none;' data-iawmlf-post-links='[{&quot;id&quot;:534,&quot;href&quot;:&quot;https:\\\/\\\/wiki.freifunk-franken.de\\\/w\\\/FF-Router_in_einer_Firewall_DMZ&quot;,&quot;archived_href&quot;:&quot;http:\\\/\\\/web-wp.archive.org\\\/web\\\/20250917043953\\\/https:\\\/\\\/wiki.freifunk-franken.de\\\/w\\\/FF-Router_in_einer_Firewall_DMZ&quot;,&quot;redirect_href&quot;:&quot;&quot;,&quot;checks&quot;:[{&quot;date&quot;:&quot;2026-02-06 20:54:16&quot;,&quot;http_code&quot;:200},{&quot;date&quot;:&quot;2026-02-23 08:04:48&quot;,&quot;http_code&quot;:200},{&quot;date&quot;:&quot;2026-03-11 19:27:00&quot;,&quot;http_code&quot;:200},{&quot;date&quot;:&quot;2026-03-21 19:16:47&quot;,&quot;http_code&quot;:200},{&quot;date&quot;:&quot;2026-04-15 06:47:30&quot;,&quot;http_code&quot;:200}],&quot;broken&quot;:false,&quot;last_checked&quot;:{&quot;date&quot;:&quot;2026-04-15 06:47:30&quot;,&quot;http_code&quot;:200},&quot;process&quot;:&quot;done&quot;},{&quot;id&quot;:535,&quot;href&quot;:&quot;https:\\\/\\\/wiki.freifunk-franken.de\\\/w\\\/FF-Router_am_Gastzugang_einer_Fritzbox&quot;,&quot;archived_href&quot;:&quot;http:\\\/\\\/web-wp.archive.org\\\/web\\\/20250916143412\\\/https:\\\/\\\/wiki.freifunk-franken.de\\\/w\\\/FF-Router_am_Gastzugang_einer_Fritzbox&quot;,&quot;redirect_href&quot;:&quot;&quot;,&quot;checks&quot;:[{&quot;date&quot;:&quot;2026-02-06 20:54:19&quot;,&quot;http_code&quot;:200},{&quot;date&quot;:&quot;2026-02-23 08:04:51&quot;,&quot;http_code&quot;:200},{&quot;date&quot;:&quot;2026-03-11 19:27:00&quot;,&quot;http_code&quot;:200}],&quot;broken&quot;:false,&quot;last_checked&quot;:{&quot;date&quot;:&quot;2026-03-11 19:27:00&quot;,&quot;http_code&quot;:200},&quot;process&quot;:&quot;done&quot;}]'><\/div>\n<p>Quelle:&nbsp;<a href=\"https:\/\/wiki.freifunk-franken.de\/w\/FF-Router_in_einer_Firewall_DMZ\">https:\/\/wiki.freifunk-franken.de\/w\/FF-Router_in_einer_Firewall_DMZ<\/a><\/p>\n<p>Bei handels\u00fcblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren m\u00f6chte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.<\/p>\n<p>Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4 Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall m\u00fcsste man auf der Firewall, f\u00fcr die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall-Model und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld gekl\u00e4rt werden.<\/p>\n<p>Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, m\u00fcssen noch einige Services f\u00fcr den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden.<\/p>\n<p>Der Freifunk-Router ben\u00f6tigt folgende ausgehenden Services: DNS, HTTP, ICMP, und Port 10000 UDP f\u00fcr den VPN-Tunnel. Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.<\/p>\n<p>Hier ganz genau die einzelnen Service-Regeln:<\/p>\n<p><b>Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Protocol&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Details<\/b><\/p>\n<p>DNS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP\/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP(1:65535)\/(53),TCP(1:65535)\/(53)<br \/>\nHTTP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP\/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TCP(1:65535)\/(80)&nbsp;<br \/>\nICMP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ICMP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ICMP any\/any<br \/>\nFF-VPN-Tunnel&nbsp;&nbsp;&nbsp;TCP\/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UDP(1:65535)\/(10000-10100)<br \/>\nFF-L2TP-Tunnel&nbsp;TCP\/UDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UDP(1:65535)\/(20000-20100)<\/p>\n<h2><span id=\"F.C3.BCr_l2tp_sind_folgende_Ports_n.C3.B6tig\" class=\"mw-headline\">F\u00fcr l2tp sind folgende Ports n\u00f6tig<\/span><\/h2>\n<p>Port 80 zu allen IPs (bzw. zumindest die Server in der Hood m\u00fcssten per Port 80 erreichbar sein)<\/p>\n<p>Port 20000 bis 20100 f\u00fcr den l2tp Tunnel<\/p>\n<p>Mit diesen Einstellungen konnte, in meinem Fall, der FF-Router seinen Tunnel aufbauen und war im Netmon online und der IPv6 Ping war ok.<\/p>\n<p>Eine Anleitung f\u00fcr Freifunk Router am Fritzbox Gastzugang findet Ihr&nbsp;<a title=\"FF-Router am Gastzugang einer Fritzbox\" href=\"https:\/\/wiki.freifunk-franken.de\/w\/FF-Router_am_Gastzugang_einer_Fritzbox\">hier<\/a>.<\/p>\n<p>&nbsp;<\/p>\n<p>Vielen Dank an die Freifunk Franken Community f\u00fcr die L\u00f6sung meines Problems.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Quelle:&nbsp;https:\/\/wiki.freifunk-franken.de\/w\/FF-Router_in_einer_Firewall_DMZ Bei handels\u00fcblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren m\u00f6chte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, <a href=\"https:\/\/asenger.de\/blog\/freifunk-router-hinter-einer-firewall\/\" class=\"btn btn-link continue-link\">Continue Reading<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-848","post","type-post","status-publish","format-standard","hentry","category-it"],"_links":{"self":[{"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/posts\/848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/comments?post=848"}],"version-history":[{"count":0,"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/posts\/848\/revisions"}],"wp:attachment":[{"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/media?parent=848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/categories?post=848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/asenger.de\/blog\/wp-json\/wp\/v2\/tags?post=848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}