Grundfrage zu Pfsense
Hallo Admins
Folgendes Szenario ist bei mir gegeben. Wir sind über ein Modem und einen Bintec Router ans Internet angebunden.
Derzeit ist die Anbindung direkt vom Router auf unseren Intranet Switch. Dazwischen soll jetzt eine Pfsense Firewall und mit aktivierten Openvpn-Server. Was muss ich beachten das die Packete vom Router über Firewall ins intranet gelangen?
Folgendes Szenario ist bei mir gegeben. Wir sind über ein Modem und einen Bintec Router ans Internet angebunden.
Derzeit ist die Anbindung direkt vom Router auf unseren Intranet Switch. Dazwischen soll jetzt eine Pfsense Firewall und mit aktivierten Openvpn-Server. Was muss ich beachten das die Packete vom Router über Firewall ins intranet gelangen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204400
Url: https://administrator.de/forum/grundfrage-zu-pfsense-204400.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
32 Kommentare
Neuester Kommentar
Das ist kinderleicht !
Du musst auf dem Bintec nur ein simples Port Forwarding vom Port UDP 1192 auf die pfSense IP Adresse eintragen..fertig !
Details dazu erklärt dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router (OpenVPN hinter NAT Router)
Weitere grundlegende Infos findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Du musst auf dem Bintec nur ein simples Port Forwarding vom Port UDP 1192 auf die pfSense IP Adresse eintragen..fertig !
Details dazu erklärt dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router (OpenVPN hinter NAT Router)
Weitere grundlegende Infos findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
..."Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)..."
Die Frage hättest du dir immer leicht selber benatworten können !!
Eine Firewall arbeitet (fast) immer als Router, folglich ist die Antwort von oben korrekt.
Andernfalls wäre die FW dann eine simple Bridge auf Layer 2 (Mac Adress) Basis...was sie aber in deinem Falle nicht ist !
Auch deine 2te Frage ist wieder so eine die du mit eigenem Nachdenken und Überlegen dir selber beantworten kannst....
Generell hast du 2 Optionen: 1.) Dynamisch mit DHCP 2.) Statisch
Du hast aber auf dem Bintec ein festes Port Forwarding mit UDP 1192 auf die pfSense WAN IP Adresse eingestellt. Jetzt stell dir mal vor die pfSense wechselt durch die Dynamik von DHCP jetzt mal die IP !!
Was passiert dann mit deinen Daten die vom Bintec forgewardet werden ?? Siehst du ...die Antwort ist ganz einfach !!
Ausnahme für die vielleicht jetzt hier kommenden "Ja aber.." Einwände:
Ja, wenn der Bintec IPs auf Basis der Mac Adressen vergeben kann (DHCP Nailing) ja in diese Falle ginge dann auch DHCP...aber nur dann !
Außerdem gilt immer die goldene Netzwerk Regel: Router, Server und Netzwerk Infrastruktur haben niemals dynamische IPs !!
Fazit: Immer mal in Ruhe nachdenken und überlegen !!
Die Frage hättest du dir immer leicht selber benatworten können !!
Eine Firewall arbeitet (fast) immer als Router, folglich ist die Antwort von oben korrekt.
Andernfalls wäre die FW dann eine simple Bridge auf Layer 2 (Mac Adress) Basis...was sie aber in deinem Falle nicht ist !
Auch deine 2te Frage ist wieder so eine die du mit eigenem Nachdenken und Überlegen dir selber beantworten kannst....
Generell hast du 2 Optionen: 1.) Dynamisch mit DHCP 2.) Statisch
Du hast aber auf dem Bintec ein festes Port Forwarding mit UDP 1192 auf die pfSense WAN IP Adresse eingestellt. Jetzt stell dir mal vor die pfSense wechselt durch die Dynamik von DHCP jetzt mal die IP !!
Was passiert dann mit deinen Daten die vom Bintec forgewardet werden ?? Siehst du ...die Antwort ist ganz einfach !!
Ausnahme für die vielleicht jetzt hier kommenden "Ja aber.." Einwände:
Ja, wenn der Bintec IPs auf Basis der Mac Adressen vergeben kann (DHCP Nailing) ja in diese Falle ginge dann auch DHCP...aber nur dann !
Außerdem gilt immer die goldene Netzwerk Regel: Router, Server und Netzwerk Infrastruktur haben niemals dynamische IPs !!
Fazit: Immer mal in Ruhe nachdenken und überlegen !!
Das ist aber immer eine schwere Geburt mit den "Nullpeilern" hier.... Wie war das noch mit dem "Nachdenken" ??
Vermutlich hast du wie immer vergessen DNS und Gateway in der pfSense statisch einzutragen !!!
So sieht dein Netzwerk aus:
Du musst den Bintec als DNS Server statisch in der pfSense unter "General Setup" eintragen, denn der ist ja DNS Proxy bei dir !!
P.S.: Den Haken "Allow DNS Server be overridden by PPPoE" Kannst du hier entfernen da du eine feste statische Konfig ohne PPPoE hast !
Da dein Transfernetz (Beispiel hier 10.1.1.0 /24) zum Bintec Router vermutlich ein RFC 1918 IP Netzwerk ist (privats IP Netz: http://de.wikipedia.org/wiki/Private_IP-Adresse) musst du hier zwingend die Firewall Regeln unten anpassen (Haken bei "RFC 1918" entfernen !) Zudem siehst du dort auch die statischen Enstellungen des Interfaces !
Immer dran denken: Die pfSense ist eine Firewall !!! Da ist alles verboten was nicht erlaubt ist !!
Alle diese Infos findest du auch in diesem Thread hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit sind dann wohl nun hoffentlich alle Klarheiten beseitigt, oder ??!!
Vermutlich hast du wie immer vergessen DNS und Gateway in der pfSense statisch einzutragen !!!
So sieht dein Netzwerk aus:
Du musst den Bintec als DNS Server statisch in der pfSense unter "General Setup" eintragen, denn der ist ja DNS Proxy bei dir !!
P.S.: Den Haken "Allow DNS Server be overridden by PPPoE" Kannst du hier entfernen da du eine feste statische Konfig ohne PPPoE hast !
Da dein Transfernetz (Beispiel hier 10.1.1.0 /24) zum Bintec Router vermutlich ein RFC 1918 IP Netzwerk ist (privats IP Netz: http://de.wikipedia.org/wiki/Private_IP-Adresse) musst du hier zwingend die Firewall Regeln unten anpassen (Haken bei "RFC 1918" entfernen !) Zudem siehst du dort auch die statischen Enstellungen des Interfaces !
Immer dran denken: Die pfSense ist eine Firewall !!! Da ist alles verboten was nicht erlaubt ist !!
Alle diese Infos findest du auch in diesem Thread hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit sind dann wohl nun hoffentlich alle Klarheiten beseitigt, oder ??!!
Normalerweise muss man nix einstellen, denn die pfSense funktioniert im Default schon so. Es kommt allerdings drauf an WAS für einen Interface Port der pfSense du mit deinem lokalen LAN verbunden hast.
Du teilst uns ja leider nicht mit welche HW du verwendest Alix Board ??
Einzig nur das default LAN Interface hat eine Regel das sie any zu any * * alles erlaubt. Nimmst du einen anderen Port ist der blockiert ohne entsprechende Regel !! Klar !
Also deine ToDos sind:
Außerdem rennt der pfSense DHCP Server dort !
Fertig das wars !
Sonst brauchst du gar nicht erst weitermachen !
Wichtig auch: Was sagen die Status der Interfaces im Dashbord und unter "Diagnostics" ?? Auch ein Blick ins Log kann nicht schaden !!
Den WAN Port der pfSense kannst du so ohne ICMP allow Regel NICHT pingen ! Das ist im Default verboten !!
Du teilst uns ja leider nicht mit welche HW du verwendest Alix Board ??
Einzig nur das default LAN Interface hat eine Regel das sie any zu any * * alles erlaubt. Nimmst du einen anderen Port ist der blockiert ohne entsprechende Regel !! Klar !
Also deine ToDos sind:
- WAN Port der pfSense an LAN Port Bintec
- IP und Gateway sowie DNS statisch auf der pfSense konfigurieren (Gateway u. DNS ist der Bintec !)
- Statische IP pfSense darf NICHT im DHCP Pool Bintec liegen !!
- Bestehendes lokales LAN an den LAN Port der pfSense anschliessen.
Außerdem rennt der pfSense DHCP Server dort !
Fertig das wars !
- Testen 1: pfSense in "Diagnostics" gehen dann "Ping" und auf dem WAN Port ! die IP des Bintec anpingen !!
- Testen 2: pfSense in "Diagnostics" gehen dann "Ping" und auf dem LAN Port ! die IP eines Client anpingen !!
- Testen 3: Von einem LAN Client den pfSense LAN Port anpingen !
Sonst brauchst du gar nicht erst weitermachen !
Wichtig auch: Was sagen die Status der Interfaces im Dashbord und unter "Diagnostics" ?? Auch ein Blick ins Log kann nicht schaden !!
Den WAN Port der pfSense kannst du so ohne ICMP allow Regel NICHT pingen ! Das ist im Default verboten !!
"ich glaub ich sollte mal zwei verschieden Netzwerke nehmen."" Bitte wie jetzt... ?? Das meinst du nicht im Ernst, oder ??
Jetzt erzähl bitte nicht das wir uns hier die Finger wundtippen wie die &/§%$§ und du hast nichtmal die banalsten Regeln der IP Grundschule umgesetzt ??!
Nun hast du aber fast allen Forumskredit verspielt hier...
Das LAN IP Netz kannst du so lassen wie es ist ! Wenn das auch die IP 192.168.1.0 /24 benutzt musst du nichtmal was ändern !! Ansonsten passt du nur die IP des LAN Interfaces an wenn du lokal ein anderes Netzwerk nutzt !
Das Transfernetz musst du anpassen !! Das darf natürlich NICHT 192.168.1.0 /24 sein !! Das weiss jeder Azubi im ersten Lehrjahr, denn wie sollte damit eine eindeutige Wegefindung im IP möglich sein....dzzzzz
Und da sind wir wieder: "Wie war das mit dem NACHDENKEN ??"
Setz im Bintec die IP auf 192.168.10.1 und entsprechend im pfSense passend dazu den WAN Port auf 192.168.10.254 wie oben beschrieben...oder nimm das 10.1.1.er Netz...du hast die freie Auswahl !!
Jetzt erzähl bitte nicht das wir uns hier die Finger wundtippen wie die &/§%$§ und du hast nichtmal die banalsten Regeln der IP Grundschule umgesetzt ??!
Nun hast du aber fast allen Forumskredit verspielt hier...
Das LAN IP Netz kannst du so lassen wie es ist ! Wenn das auch die IP 192.168.1.0 /24 benutzt musst du nichtmal was ändern !! Ansonsten passt du nur die IP des LAN Interfaces an wenn du lokal ein anderes Netzwerk nutzt !
Das Transfernetz musst du anpassen !! Das darf natürlich NICHT 192.168.1.0 /24 sein !! Das weiss jeder Azubi im ersten Lehrjahr, denn wie sollte damit eine eindeutige Wegefindung im IP möglich sein....dzzzzz
Und da sind wir wieder: "Wie war das mit dem NACHDENKEN ??"
Setz im Bintec die IP auf 192.168.10.1 und entsprechend im pfSense passend dazu den WAN Port auf 192.168.10.254 wie oben beschrieben...oder nimm das 10.1.1.er Netz...du hast die freie Auswahl !!
Hi
@aqui: Eine transparente (l2) Firewall arbeitet genauso mit einem L3/L4 Regelwerk
@nullpeiler: Hier Kannst du die Vor- und Nachteile nachschlagen http://etherealmind.com/11-things-about-using-a-transparent-or-layer-2- ...
LG
@aqui: Eine transparente (l2) Firewall arbeitet genauso mit einem L3/L4 Regelwerk
@nullpeiler: Hier Kannst du die Vor- und Nachteile nachschlagen http://etherealmind.com/11-things-about-using-a-transparent-or-layer-2- ...
LG
Steht alles im Tutorial bitte LESEN...das hilft wirklich !
Ab der 2.0.2er Version geht das. Je nach Größe deiner Flash Karte brauchst du die NanoBSD Images OHNE VGA.
2 für 2 GiG, 4 für 4GiG usw. Beispiel 4G CF Flash = pfSense-2.0.2-RELEASE-4g-i386-nanobsd.img.gz
Du kannst auch einfach eine Installation der Vollversion auf dem ALIX machen. Wie das geht steht hier:
Pfsense Firewall, Squid - Squidguard, Proxy Filter Blacklist Fehler, kann nicht gespeichert werden
Ab der 2.0.2er Version geht das. Je nach Größe deiner Flash Karte brauchst du die NanoBSD Images OHNE VGA.
2 für 2 GiG, 4 für 4GiG usw. Beispiel 4G CF Flash = pfSense-2.0.2-RELEASE-4g-i386-nanobsd.img.gz
Du kannst auch einfach eine Installation der Vollversion auf dem ALIX machen. Wie das geht steht hier:
Pfsense Firewall, Squid - Squidguard, Proxy Filter Blacklist Fehler, kann nicht gespeichert werden
Lies dir die Release Notes durch zur 2.0.2 auf der pfSense Sete da steht das drin.
Wenn du aber einen Proxy mit Cache drauf laufen lassen willst ist es besser eine kleine USB Platte anzuschliessen oder über einen IDE SATA Adapter eine kleine SSD oder SATA 2,5 Zoll Platte.
In sofern ist der Kauf der 16GB Karte NICHT falsch sondern eher genau richtig wenn du es dennoch mit der embedded Version testen willst, denn du brauchst diesen Speicher bei einem Web Proxy. Eher mehr als 16 GB.
So oder so wie du es löst war die Investition aber nicht falsch !!
Für Kleinstinstallationen reicht das aber bei größeren solltest du eine Platte, egal welcher Couleur, bei Proxy Betrieb vorziehen.
Wenn du aber einen Proxy mit Cache drauf laufen lassen willst ist es besser eine kleine USB Platte anzuschliessen oder über einen IDE SATA Adapter eine kleine SSD oder SATA 2,5 Zoll Platte.
In sofern ist der Kauf der 16GB Karte NICHT falsch sondern eher genau richtig wenn du es dennoch mit der embedded Version testen willst, denn du brauchst diesen Speicher bei einem Web Proxy. Eher mehr als 16 GB.
So oder so wie du es löst war die Investition aber nicht falsch !!
Für Kleinstinstallationen reicht das aber bei größeren solltest du eine Platte, egal welcher Couleur, bei Proxy Betrieb vorziehen.