nullpeiler
Goto Top

Grundfrage zu Pfsense

Hallo Admins

Folgendes Szenario ist bei mir gegeben. Wir sind über ein Modem und einen Bintec Router ans Internet angebunden.
Derzeit ist die Anbindung direkt vom Router auf unseren Intranet Switch. Dazwischen soll jetzt eine Pfsense Firewall und mit aktivierten Openvpn-Server. Was muss ich beachten das die Packete vom Router über Firewall ins intranet gelangen?

Content-ID: 204400

Url: https://administrator.de/forum/grundfrage-zu-pfsense-204400.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

aqui
aqui 04.04.2013 aktualisiert um 11:26:46 Uhr
Goto Top
Das ist kinderleicht !
Du musst auf dem Bintec nur ein simples Port Forwarding vom Port UDP 1192 auf die pfSense IP Adresse eintragen..fertig !
Details dazu erklärt dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router (OpenVPN hinter NAT Router)
Weitere grundlegende Infos findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
nullpeiler
nullpeiler 04.04.2013 um 11:41:14 Uhr
Goto Top
Danke Aqui ich arbeite schon mit deinen totus. Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)
catachan
catachan 04.04.2013 aktualisiert um 11:48:26 Uhr
Goto Top
Ja musst du. Und auf der Firewall trägst du als Gateway den Bintec ein

LG
nullpeiler
nullpeiler 04.04.2013 um 11:57:43 Uhr
Goto Top
Gut das ist ok. Jetzt noch die frage Was stell ich bei beim WAN Interface ein? Static? Ich will das Gerät nur als Firewall und nicht als Router benutzen.
aqui
aqui 04.04.2013 aktualisiert um 12:57:08 Uhr
Goto Top
..."Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)..."
Die Frage hättest du dir immer leicht selber benatworten können !!
Eine Firewall arbeitet (fast) immer als Router, folglich ist die Antwort von oben korrekt.
Andernfalls wäre die FW dann eine simple Bridge auf Layer 2 (Mac Adress) Basis...was sie aber in deinem Falle nicht ist !

Auch deine 2te Frage ist wieder so eine die du mit eigenem Nachdenken und Überlegen dir selber beantworten kannst....
Generell hast du 2 Optionen: 1.) Dynamisch mit DHCP 2.) Statisch
Du hast aber auf dem Bintec ein festes Port Forwarding mit UDP 1192 auf die pfSense WAN IP Adresse eingestellt. Jetzt stell dir mal vor die pfSense wechselt durch die Dynamik von DHCP jetzt mal die IP !!
Was passiert dann mit deinen Daten die vom Bintec forgewardet werden ?? Siehst du ...die Antwort ist ganz einfach !!
Ausnahme für die vielleicht jetzt hier kommenden "Ja aber.." Einwände:
Ja, wenn der Bintec IPs auf Basis der Mac Adressen vergeben kann (DHCP Nailing) ja in diese Falle ginge dann auch DHCP...aber nur dann !
Außerdem gilt immer die goldene Netzwerk Regel: Router, Server und Netzwerk Infrastruktur haben niemals dynamische IPs !!
Fazit: Immer mal in Ruhe nachdenken und überlegen !!
nullpeiler
nullpeiler 04.04.2013 aktualisiert um 15:30:27 Uhr
Goto Top
Aber welche Einstellung muss ich treffen um nur die Firewall zu nutzen? Openvpn kommt später.
catachan
catachan 04.04.2013 um 15:36:51 Uhr
Goto Top
Hi

Die Firewall ist bei pfsense automatisch aktiviert. Du musst nur noch die richtigen Regeln erstellen um den gwünschten Traffic durchzulassen.

LG
nullpeiler
nullpeiler 04.04.2013 um 15:43:05 Uhr
Goto Top
naja mein Problem wenn ich ein Trace ins Internet absetze kommt die Firewall und wird nicht zum Router geleitet obwohl der auf WAN Seite als Standart Gateway eingetragen ist.
catachan
catachan 04.04.2013 um 16:01:56 Uhr
Goto Top
Hi

Trace von wo auf was ? Hast du denn Ping nach außen in den Firewall-Regeln freigegeben ?

LG
nullpeiler
nullpeiler 04.04.2013 aktualisiert um 16:10:30 Uhr
Goto Top
Ja klar ICMP ist Freigegeben sowohl auf LAN und WAN Seite. Ich habe Hier zum einrichten ein laptop und der ist mit der LAN Schnittstelle verbunden und unser (Intranet) auf der WAN Seite wo auch der Router(Gateway) drin ist. Aber komm nicht von LAN auf WAN Schnittstelle.
aqui
aqui 04.04.2013 aktualisiert um 16:23:44 Uhr
Goto Top
Das ist aber immer eine schwere Geburt mit den "Nullpeilern" hier.... Wie war das noch mit dem "Nachdenken" ??

Vermutlich hast du wie immer vergessen DNS und Gateway in der pfSense statisch einzutragen !!!
So sieht dein Netzwerk aus:
d591e930292c3921445a40fd54577d1f

Du musst den Bintec als DNS Server statisch in der pfSense unter "General Setup" eintragen, denn der ist ja DNS Proxy bei dir !!
e915311dd10ded25b958abf88ee3b869
P.S.: Den Haken "Allow DNS Server be overridden by PPPoE" Kannst du hier entfernen da du eine feste statische Konfig ohne PPPoE hast !

Da dein Transfernetz (Beispiel hier 10.1.1.0 /24) zum Bintec Router vermutlich ein RFC 1918 IP Netzwerk ist (privats IP Netz: http://de.wikipedia.org/wiki/Private_IP-Adresse) musst du hier zwingend die Firewall Regeln unten anpassen (Haken bei "RFC 1918" entfernen !) Zudem siehst du dort auch die statischen Enstellungen des Interfaces !

40c2fd0acd1c843282f3b74bc9cf3f53

Immer dran denken: Die pfSense ist eine Firewall !!! Da ist alles verboten was nicht erlaubt ist !!
Alle diese Infos findest du auch in diesem Thread hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit sind dann wohl nun hoffentlich alle Klarheiten beseitigt, oder ??!!
nullpeiler
nullpeiler 04.04.2013 um 16:26:29 Uhr
Goto Top
Danke Aqui für diese genaue Anleitung. DNS ist ok außerdem versuche ich bis jetzt nur mit IP Adressen zu arbeiten um das auszuschließen. Mein Problem ist das ich vom LAN auf WAN keine Verbindung hinbekomme. Also LAN Netz bekommt auch keine Verbindung zum Router und damit kein Internet. Also hab ICMP auf beiden Interfaces auf pass gesetzt. Aber bringt nix.
aqui
aqui 04.04.2013 aktualisiert um 16:55:00 Uhr
Goto Top
Normalerweise muss man nix einstellen, denn die pfSense funktioniert im Default schon so. Es kommt allerdings drauf an WAS für einen Interface Port der pfSense du mit deinem lokalen LAN verbunden hast.
Du teilst uns ja leider nicht mit welche HW du verwendest face-sad Alix Board ??

Einzig nur das default LAN Interface hat eine Regel das sie any zu any * * alles erlaubt. Nimmst du einen anderen Port ist der blockiert ohne entsprechende Regel !! Klar !
Also deine ToDos sind:
  • WAN Port der pfSense an LAN Port Bintec
  • IP und Gateway sowie DNS statisch auf der pfSense konfigurieren (Gateway u. DNS ist der Bintec !)
  • Statische IP pfSense darf NICHT im DHCP Pool Bintec liegen !!
  • Bestehendes lokales LAN an den LAN Port der pfSense anschliessen.
Achtung: IPs müssen stimmen !! Default benutzt die pfSense hier 192.168.1.0 das darf NICHT identisch zum WAN Transfer Netz sein...klar !
Außerdem rennt der pfSense DHCP Server dort !
Fertig das wars !

  • Testen 1: pfSense in "Diagnostics" gehen dann "Ping" und auf dem WAN Port ! die IP des Bintec anpingen !!
  • Testen 2: pfSense in "Diagnostics" gehen dann "Ping" und auf dem LAN Port ! die IP eines Client anpingen !!
  • Testen 3: Von einem LAN Client den pfSense LAN Port anpingen !
Das muss klappen ! Das Bild oben erklärt ja auch alles.
Sonst brauchst du gar nicht erst weitermachen !
Wichtig auch: Was sagen die Status der Interfaces im Dashbord und unter "Diagnostics" ?? Auch ein Blick ins Log kann nicht schaden !!

Den WAN Port der pfSense kannst du so ohne ICMP allow Regel NICHT pingen ! Das ist im Default verboten !!
nullpeiler
nullpeiler 04.04.2013 um 17:15:35 Uhr
Goto Top
Also Hardware ist wie bei dir im Tutorial ein Alix Board. Hab sie auch danach installiert super Tutorial hat alles funktioniert. Ok ich glaub ich sollte mal zwei verschieden Netzwerke nehmen.
catachan
catachan 04.04.2013 um 17:24:10 Uhr
Goto Top
Hi

Das glaube ich. Sonst wird das nie was !!

LG
nullpeiler
nullpeiler 04.04.2013 aktualisiert um 17:30:19 Uhr
Goto Top
Mein Problem ist das die Firewall in ein bestehendes Netzwerk integriert werden muss. Ich kann aber nicht einfach das Intranet komplett umstrukturieren. Wäre also der Router den wollt ich eigentlich erstmal in Ruhe lassen da die Einrichtung mein Vorgänger gemacht hat.
catachan
catachan 04.04.2013 um 17:33:37 Uhr
Goto Top
Hi

Eine andere Möglichkeit wäre eine transparente L2 Firewall zu verwenden. Ich glaube bei pfsense musst du dann die beiden Interfaces bridgen.

LG
nullpeiler
nullpeiler 04.04.2013 aktualisiert um 17:39:41 Uhr
Goto Top
Naja bin froh das ich diese Lösung(pfsense) gefunden habe da sie Preiswert ist und außerdem ein Openvpn Server läuft und es wohl möglich ist ein Squid drauf zu nutzen. Also All-in-one Lösung.
aqui
aqui 04.04.2013 aktualisiert um 17:48:54 Uhr
Goto Top
"ich glaub ich sollte mal zwei verschieden Netzwerke nehmen."" Bitte wie jetzt... ?? Das meinst du nicht im Ernst, oder ??
Jetzt erzähl bitte nicht das wir uns hier die Finger wundtippen wie die &/§%$§ und du hast nichtmal die banalsten Regeln der IP Grundschule umgesetzt ??!
Nun hast du aber fast allen Forumskredit verspielt hier... face-sad

Das LAN IP Netz kannst du so lassen wie es ist ! Wenn das auch die IP 192.168.1.0 /24 benutzt musst du nichtmal was ändern !! Ansonsten passt du nur die IP des LAN Interfaces an wenn du lokal ein anderes Netzwerk nutzt !
Das Transfernetz musst du anpassen !! Das darf natürlich NICHT 192.168.1.0 /24 sein !! Das weiss jeder Azubi im ersten Lehrjahr, denn wie sollte damit eine eindeutige Wegefindung im IP möglich sein....dzzzzz
Und da sind wir wieder: "Wie war das mit dem NACHDENKEN ??"
Setz im Bintec die IP auf 192.168.10.1 und entsprechend im pfSense passend dazu den WAN Port auf 192.168.10.254 wie oben beschrieben...oder nimm das 10.1.1.er Netz...du hast die freie Auswahl !!
nullpeiler
nullpeiler 04.04.2013 um 17:47:47 Uhr
Goto Top
Es muss in das Netzwerk integriert werden. Die Workstation auf einen anderen Gateway umstellen ist kein Problem aber der Rest soll so bleiben wie es ist.
aqui
aqui 04.04.2013 um 17:50:34 Uhr
Goto Top
Nicht mal das musst du machen wenn du der pfSense am LAN Port dieselbe IP gibst wie vorher der Bintec hatte !!
Nur das Transfer IP Netz musst du umstellen, also LAN Port Bintec und passend dazu WAN Port pfSense !!
Eine Sache von 3 Minuten und 4 Mausklicks !
catachan
catachan 04.04.2013 um 17:51:52 Uhr
Goto Top
HI

entweder du änderst das Netz zwischen Bintec und pfsense (Rest kannst du so lassen)
oder du konfigurierst die Firewall als transparent (dann musst du nichts ändern, empfehle ich aber nicht)

Du hast die freie Auswahl. Beides gleichzeitig geht halt nicht

LG
nullpeiler
nullpeiler 04.04.2013 um 17:55:09 Uhr
Goto Top
Ok danke ich werde den Bintec umstellen muss mir nur anschauen was mein Vorgänger da eingestellt hat. Portfordwarting und Routing
nullpeiler
nullpeiler 05.04.2013 aktualisiert um 10:30:32 Uhr
Goto Top
Hallo nochmal, was ist wenn ich die Firewall transparent setze die Filterregeln funktionieren dennoch? Wie kann ich Pfsense bridgen (also Transparent machen hab nur ein altes Tutorial gefunden das stimmt mit der 2.02 nicht überein.
nullpeiler
nullpeiler 05.04.2013 um 11:56:26 Uhr
Goto Top
Also hab jetzt zum Test mal Bridge an. WAN:192.168.190 und LAN:192.168.0.189. Der Verkehr geht durch und die Firewallregeln greifen. Was sollte jetzt der Nachteil sein?
aqui
aqui 05.04.2013 um 12:00:53 Uhr
Goto Top
Layer 3 und 4 Regeln sollen greifen ?? Bist du dir da ganz sicher ?? Das sollte nicht der Fall sein ?! Was sagt denn die Session Table unter "Diagnostics" ?? Zeigt die entsprechende SPI Tabellen für die Sessions an ??
nullpeiler
nullpeiler 05.04.2013 um 12:14:59 Uhr
Goto Top
Ich hab z.B. ftp geblockt und das griff, ICMP freigegeben und konnte pingen.
catachan
catachan 05.04.2013 um 12:21:47 Uhr
Goto Top
Hi

@aqui: Eine transparente (l2) Firewall arbeitet genauso mit einem L3/L4 Regelwerk
@nullpeiler: Hier Kannst du die Vor- und Nachteile nachschlagen http://etherealmind.com/11-things-about-using-a-transparent-or-layer-2- ...


LG
nullpeiler
nullpeiler 08.04.2013 um 12:49:44 Uhr
Goto Top
Hallo nochmal welches Image brauch ich für die Installation auf Alixboard mit der Option Pakete nachzuladen?
aqui
aqui 08.04.2013 aktualisiert um 16:54:47 Uhr
Goto Top
Steht alles im Tutorial bitte LESEN...das hilft wirklich !
Ab der 2.0.2er Version geht das. Je nach Größe deiner Flash Karte brauchst du die NanoBSD Images OHNE VGA.
2 für 2 GiG, 4 für 4GiG usw. Beispiel 4G CF Flash = pfSense-2.0.2-RELEASE-4g-i386-nanobsd.img.gz
Du kannst auch einfach eine Installation der Vollversion auf dem ALIX machen. Wie das geht steht hier:
Pfsense Firewall, Squid - Squidguard, Proxy Filter Blacklist Fehler, kann nicht gespeichert werden
nullpeiler
nullpeiler 08.04.2013 aktualisiert um 17:51:25 Uhr
Goto Top
Hallo Aqui das hab ich gelesen hab aber eine anderen Thread gesehen wo es hieß das es bei dem Embedded Versionen nicht geht. Aber wenn es ab 2.0.2 doch funktioniert hätte ich mir den Kauf der 16GB CF Karte sparen können ;)
aqui
aqui 09.04.2013 um 10:08:30 Uhr
Goto Top
Lies dir die Release Notes durch zur 2.0.2 auf der pfSense Sete da steht das drin.
Wenn du aber einen Proxy mit Cache drauf laufen lassen willst ist es besser eine kleine USB Platte anzuschliessen oder über einen IDE SATA Adapter eine kleine SSD oder SATA 2,5 Zoll Platte.
In sofern ist der Kauf der 16GB Karte NICHT falsch sondern eher genau richtig wenn du es dennoch mit der embedded Version testen willst, denn du brauchst diesen Speicher bei einem Web Proxy. Eher mehr als 16 GB.
So oder so wie du es löst war die Investition aber nicht falsch !!
Für Kleinstinstallationen reicht das aber bei größeren solltest du eine Platte, egal welcher Couleur, bei Proxy Betrieb vorziehen.