32
Grundfrage zu Pfsense
Hallo Admins
Folgendes Szenario ist bei mir gegeben. Wir sind über ein Modem und einen Bintec Router ans Internet angebunden.
Derzeit ist die Anbindung direkt vom Router auf unseren Intranet Switch. Dazwischen soll jetzt eine Pfsense Firewall und mit aktivierten Openvpn-Server. Was muss ich beachten das die Packete vom Router über Firewall ins intranet gelangen?
Folgendes Szenario ist bei mir gegeben. Wir sind über ein Modem und einen Bintec Router ans Internet angebunden.
Derzeit ist die Anbindung direkt vom Router auf unseren Intranet Switch. Dazwischen soll jetzt eine Pfsense Firewall und mit aktivierten Openvpn-Server. Was muss ich beachten das die Packete vom Router über Firewall ins intranet gelangen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204400
Url: https://administrator.de/contentid/204400
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
32 Kommentare
Neuester Kommentar
Das ist kinderleicht !
Du musst auf dem Bintec nur ein simples Port Forwarding vom Port UDP 1192 auf die pfSense IP Adresse eintragen..fertig !
Details dazu erklärt dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router (OpenVPN hinter NAT Router)
Weitere grundlegende Infos findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Du musst auf dem Bintec nur ein simples Port Forwarding vom Port UDP 1192 auf die pfSense IP Adresse eintragen..fertig !
Details dazu erklärt dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router (OpenVPN hinter NAT Router)
Weitere grundlegende Infos findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Danke Aqui ich arbeite schon mit deinen totus. Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)
Ja musst du. Und auf der Firewall trägst du als Gateway den Bintec ein
LG
LG
Gut das ist ok. Jetzt noch die frage Was stell ich bei beim WAN Interface ein? Static? Ich will das Gerät nur als Firewall und nicht als Router benutzen.
..."Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)..."
Die Frage hättest du dir immer leicht selber benatworten können !!
Eine Firewall arbeitet (fast) immer als Router, folglich ist die Antwort von oben korrekt.
Andernfalls wäre die FW dann eine simple Bridge auf Layer 2 (Mac Adress) Basis...was sie aber in deinem Falle nicht ist !
Auch deine 2te Frage ist wieder so eine die du mit eigenem Nachdenken und Überlegen dir selber beantworten kannst....
Generell hast du 2 Optionen: 1.) Dynamisch mit DHCP 2.) Statisch
Du hast aber auf dem Bintec ein festes Port Forwarding mit UDP 1192 auf die pfSense WAN IP Adresse eingestellt. Jetzt stell dir mal vor die pfSense wechselt durch die Dynamik von DHCP jetzt mal die IP !!
Was passiert dann mit deinen Daten die vom Bintec forgewardet werden ?? Siehst du ...die Antwort ist ganz einfach !!
Ausnahme für die vielleicht jetzt hier kommenden "Ja aber.." Einwände:
Ja, wenn der Bintec IPs auf Basis der Mac Adressen vergeben kann (DHCP Nailing) ja in diese Falle ginge dann auch DHCP...aber nur dann !
Außerdem gilt immer die goldene Netzwerk Regel: Router, Server und Netzwerk Infrastruktur haben niemals dynamische IPs !!
Fazit: Immer mal in Ruhe nachdenken und überlegen !!
Die Frage hättest du dir immer leicht selber benatworten können !!
Eine Firewall arbeitet (fast) immer als Router, folglich ist die Antwort von oben korrekt.
Andernfalls wäre die FW dann eine simple Bridge auf Layer 2 (Mac Adress) Basis...was sie aber in deinem Falle nicht ist !
Auch deine 2te Frage ist wieder so eine die du mit eigenem Nachdenken und Überlegen dir selber beantworten kannst....
Generell hast du 2 Optionen: 1.) Dynamisch mit DHCP 2.) Statisch
Du hast aber auf dem Bintec ein festes Port Forwarding mit UDP 1192 auf die pfSense WAN IP Adresse eingestellt. Jetzt stell dir mal vor die pfSense wechselt durch die Dynamik von DHCP jetzt mal die IP !!
Was passiert dann mit deinen Daten die vom Bintec forgewardet werden ?? Siehst du ...die Antwort ist ganz einfach !!
Ausnahme für die vielleicht jetzt hier kommenden "Ja aber.." Einwände:
Ja, wenn der Bintec IPs auf Basis der Mac Adressen vergeben kann (DHCP Nailing) ja in diese Falle ginge dann auch DHCP...aber nur dann !
Außerdem gilt immer die goldene Netzwerk Regel: Router, Server und Netzwerk Infrastruktur haben niemals dynamische IPs !!
Fazit: Immer mal in Ruhe nachdenken und überlegen !!
Aber welche Einstellung muss ich treffen um nur die Firewall zu nutzen? Openvpn kommt später.
Hi
Die Firewall ist bei pfsense automatisch aktiviert. Du musst nur noch die richtigen Regeln erstellen um den gwünschten Traffic durchzulassen.
LG
Die Firewall ist bei pfsense automatisch aktiviert. Du musst nur noch die richtigen Regeln erstellen um den gwünschten Traffic durchzulassen.
LG
naja mein Problem wenn ich ein Trace ins Internet absetze kommt die Firewall und wird nicht zum Router geleitet obwohl der auf WAN Seite als Standart Gateway eingetragen ist.
Hi
Trace von wo auf was ? Hast du denn Ping nach außen in den Firewall-Regeln freigegeben ?
LG
Trace von wo auf was ? Hast du denn Ping nach außen in den Firewall-Regeln freigegeben ?
LG
Ja klar ICMP ist Freigegeben sowohl auf LAN und WAN Seite. Ich habe Hier zum einrichten ein laptop und der ist mit der LAN Schnittstelle verbunden und unser (Intranet) auf der WAN Seite wo auch der Router(Gateway) drin ist. Aber komm nicht von LAN auf WAN Schnittstelle.
Das ist aber immer eine schwere Geburt mit den "Nullpeilern" hier.... Wie war das noch mit dem "Nachdenken" ??
Vermutlich hast du wie immer vergessen DNS und Gateway in der pfSense statisch einzutragen !!!
So sieht dein Netzwerk aus:
Du musst den Bintec als DNS Server statisch in der pfSense unter "General Setup" eintragen, denn der ist ja DNS Proxy bei dir !!
P.S.: Den Haken "Allow DNS Server be overridden by PPPoE" Kannst du hier entfernen da du eine feste statische Konfig ohne PPPoE hast !
Da dein Transfernetz (Beispiel hier 10.1.1.0 /24) zum Bintec Router vermutlich ein RFC 1918 IP Netzwerk ist (privats IP Netz: http://de.wikipedia.org/wiki/Private_IP-Adresse) musst du hier zwingend die Firewall Regeln unten anpassen (Haken bei "RFC 1918" entfernen !) Zudem siehst du dort auch die statischen Enstellungen des Interfaces !
Immer dran denken: Die pfSense ist eine Firewall !!! Da ist alles verboten was nicht erlaubt ist !!
Alle diese Infos findest du auch in diesem Thread hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit sind dann wohl nun hoffentlich alle Klarheiten beseitigt, oder ??!!
Vermutlich hast du wie immer vergessen DNS und Gateway in der pfSense statisch einzutragen !!!
So sieht dein Netzwerk aus:
Du musst den Bintec als DNS Server statisch in der pfSense unter "General Setup" eintragen, denn der ist ja DNS Proxy bei dir !!
Da dein Transfernetz (Beispiel hier 10.1.1.0 /24) zum Bintec Router vermutlich ein RFC 1918 IP Netzwerk ist (privats IP Netz: http://de.wikipedia.org/wiki/Private_IP-Adresse) musst du hier zwingend die Firewall Regeln unten anpassen (Haken bei "RFC 1918" entfernen !) Zudem siehst du dort auch die statischen Enstellungen des Interfaces !
Immer dran denken: Die pfSense ist eine Firewall !!! Da ist alles verboten was nicht erlaubt ist !!
Alle diese Infos findest du auch in diesem Thread hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit sind dann wohl nun hoffentlich alle Klarheiten beseitigt, oder ??!!
1
Danke Aqui für diese genaue Anleitung. DNS ist ok außerdem versuche ich bis jetzt nur mit IP Adressen zu arbeiten um das auszuschließen. Mein Problem ist das ich vom LAN auf WAN keine Verbindung hinbekomme. Also LAN Netz bekommt auch keine Verbindung zum Router und damit kein Internet. Also hab ICMP auf beiden Interfaces auf pass gesetzt. Aber bringt nix.
Normalerweise muss man nix einstellen, denn die pfSense funktioniert im Default schon so. Es kommt allerdings drauf an WAS für einen Interface Port der pfSense du mit deinem lokalen LAN verbunden hast.
Du teilst uns ja leider nicht mit welche HW du verwendest
Alix Board ??
Einzig nur das default LAN Interface hat eine Regel das sie any zu any * * alles erlaubt. Nimmst du einen anderen Port ist der blockiert ohne entsprechende Regel !! Klar !
Also deine ToDos sind:
Außerdem rennt der pfSense DHCP Server dort !
Fertig das wars !
Sonst brauchst du gar nicht erst weitermachen !
Wichtig auch: Was sagen die Status der Interfaces im Dashbord und unter "Diagnostics" ?? Auch ein Blick ins Log kann nicht schaden !!
Den WAN Port der pfSense kannst du so ohne ICMP allow Regel NICHT pingen ! Das ist im Default verboten !!
Du teilst uns ja leider nicht mit welche HW du verwendest
Alix Board ??Einzig nur das default LAN Interface hat eine Regel das sie any zu any * * alles erlaubt. Nimmst du einen anderen Port ist der blockiert ohne entsprechende Regel !! Klar !
Also deine ToDos sind:
- WAN Port der pfSense an LAN Port Bintec
- IP und Gateway sowie DNS statisch auf der pfSense konfigurieren (Gateway u. DNS ist der Bintec !)
- Statische IP pfSense darf NICHT im DHCP Pool Bintec liegen !!
- Bestehendes lokales LAN an den LAN Port der pfSense anschliessen.
Außerdem rennt der pfSense DHCP Server dort !
Fertig das wars !
- Testen 1: pfSense in "Diagnostics" gehen dann "Ping" und auf dem WAN Port ! die IP des Bintec anpingen !!
- Testen 2: pfSense in "Diagnostics" gehen dann "Ping" und auf dem LAN Port ! die IP eines Client anpingen !!
- Testen 3: Von einem LAN Client den pfSense LAN Port anpingen !
Sonst brauchst du gar nicht erst weitermachen !
Wichtig auch: Was sagen die Status der Interfaces im Dashbord und unter "Diagnostics" ?? Auch ein Blick ins Log kann nicht schaden !!
Den WAN Port der pfSense kannst du so ohne ICMP allow Regel NICHT pingen ! Das ist im Default verboten !!
Also Hardware ist wie bei dir im Tutorial ein Alix Board. Hab sie auch danach installiert super Tutorial hat alles funktioniert. Ok ich glaub ich sollte mal zwei verschieden Netzwerke nehmen.
1
Hi
Das glaube ich. Sonst wird das nie was !!
LG
Das glaube ich. Sonst wird das nie was !!
LG
Mein Problem ist das die Firewall in ein bestehendes Netzwerk integriert werden muss. Ich kann aber nicht einfach das Intranet komplett umstrukturieren. Wäre also der Router den wollt ich eigentlich erstmal in Ruhe lassen da die Einrichtung mein Vorgänger gemacht hat.
Hi
Eine andere Möglichkeit wäre eine transparente L2 Firewall zu verwenden. Ich glaube bei pfsense musst du dann die beiden Interfaces bridgen.
LG
Eine andere Möglichkeit wäre eine transparente L2 Firewall zu verwenden. Ich glaube bei pfsense musst du dann die beiden Interfaces bridgen.
LG
Naja bin froh das ich diese Lösung(pfsense) gefunden habe da sie Preiswert ist und außerdem ein Openvpn Server läuft und es wohl möglich ist ein Squid drauf zu nutzen. Also All-in-one Lösung.
"ich glaub ich sollte mal zwei verschieden Netzwerke nehmen."" Bitte wie jetzt... ?? Das meinst du nicht im Ernst, oder ??
Jetzt erzähl bitte nicht das wir uns hier die Finger wundtippen wie die &/§%$§ und du hast nichtmal die banalsten Regeln der IP Grundschule umgesetzt ??!
Nun hast du aber fast allen Forumskredit verspielt hier...
Das LAN IP Netz kannst du so lassen wie es ist ! Wenn das auch die IP 192.168.1.0 /24 benutzt musst du nichtmal was ändern !! Ansonsten passt du nur die IP des LAN Interfaces an wenn du lokal ein anderes Netzwerk nutzt !
Das Transfernetz musst du anpassen !! Das darf natürlich NICHT 192.168.1.0 /24 sein !! Das weiss jeder Azubi im ersten Lehrjahr, denn wie sollte damit eine eindeutige Wegefindung im IP möglich sein....dzzzzz
Und da sind wir wieder: "Wie war das mit dem NACHDENKEN ??"
Setz im Bintec die IP auf 192.168.10.1 und entsprechend im pfSense passend dazu den WAN Port auf 192.168.10.254 wie oben beschrieben...oder nimm das 10.1.1.er Netz...du hast die freie Auswahl !!
Jetzt erzähl bitte nicht das wir uns hier die Finger wundtippen wie die &/§%$§ und du hast nichtmal die banalsten Regeln der IP Grundschule umgesetzt ??!
Nun hast du aber fast allen Forumskredit verspielt hier...
Das LAN IP Netz kannst du so lassen wie es ist ! Wenn das auch die IP 192.168.1.0 /24 benutzt musst du nichtmal was ändern !! Ansonsten passt du nur die IP des LAN Interfaces an wenn du lokal ein anderes Netzwerk nutzt !
Das Transfernetz musst du anpassen !! Das darf natürlich NICHT 192.168.1.0 /24 sein !! Das weiss jeder Azubi im ersten Lehrjahr, denn wie sollte damit eine eindeutige Wegefindung im IP möglich sein....dzzzzz
Und da sind wir wieder: "Wie war das mit dem NACHDENKEN ??"
Setz im Bintec die IP auf 192.168.10.1 und entsprechend im pfSense passend dazu den WAN Port auf 192.168.10.254 wie oben beschrieben...oder nimm das 10.1.1.er Netz...du hast die freie Auswahl !!
Es muss in das Netzwerk integriert werden. Die Workstation auf einen anderen Gateway umstellen ist kein Problem aber der Rest soll so bleiben wie es ist.
Nicht mal das musst du machen wenn du der pfSense am LAN Port dieselbe IP gibst wie vorher der Bintec hatte !!
Nur das Transfer IP Netz musst du umstellen, also LAN Port Bintec und passend dazu WAN Port pfSense !!
Eine Sache von 3 Minuten und 4 Mausklicks !
Nur das Transfer IP Netz musst du umstellen, also LAN Port Bintec und passend dazu WAN Port pfSense !!
Eine Sache von 3 Minuten und 4 Mausklicks !
HI
entweder du änderst das Netz zwischen Bintec und pfsense (Rest kannst du so lassen)
oder du konfigurierst die Firewall als transparent (dann musst du nichts ändern, empfehle ich aber nicht)
Du hast die freie Auswahl. Beides gleichzeitig geht halt nicht
LG
entweder du änderst das Netz zwischen Bintec und pfsense (Rest kannst du so lassen)
oder du konfigurierst die Firewall als transparent (dann musst du nichts ändern, empfehle ich aber nicht)
Du hast die freie Auswahl. Beides gleichzeitig geht halt nicht
LG
Ok danke ich werde den Bintec umstellen muss mir nur anschauen was mein Vorgänger da eingestellt hat. Portfordwarting und Routing
Hallo nochmal, was ist wenn ich die Firewall transparent setze die Filterregeln funktionieren dennoch? Wie kann ich Pfsense bridgen (also Transparent machen hab nur ein altes Tutorial gefunden das stimmt mit der 2.02 nicht überein.
Also hab jetzt zum Test mal Bridge an. WAN:192.168.190 und LAN:192.168.0.189. Der Verkehr geht durch und die Firewallregeln greifen. Was sollte jetzt der Nachteil sein?
Layer 3 und 4 Regeln sollen greifen ?? Bist du dir da ganz sicher ?? Das sollte nicht der Fall sein ?! Was sagt denn die Session Table unter "Diagnostics" ?? Zeigt die entsprechende SPI Tabellen für die Sessions an ??
Ich hab z.B. ftp geblockt und das griff, ICMP freigegeben und konnte pingen.
Hi
@aqui: Eine transparente (l2) Firewall arbeitet genauso mit einem L3/L4 Regelwerk
@nullpeiler: Hier Kannst du die Vor- und Nachteile nachschlagen http://etherealmind.com/11-things-about-using-a-transparent-or-layer-2- ...
LG
@aqui: Eine transparente (l2) Firewall arbeitet genauso mit einem L3/L4 Regelwerk
@nullpeiler: Hier Kannst du die Vor- und Nachteile nachschlagen http://etherealmind.com/11-things-about-using-a-transparent-or-layer-2- ...
LG
Hallo nochmal welches Image brauch ich für die Installation auf Alixboard mit der Option Pakete nachzuladen?
Steht alles im Tutorial bitte LESEN...das hilft wirklich !
Ab der 2.0.2er Version geht das. Je nach Größe deiner Flash Karte brauchst du die NanoBSD Images OHNE VGA.
2 für 2 GiG, 4 für 4GiG usw. Beispiel 4G CF Flash = pfSense-2.0.2-RELEASE-4g-i386-nanobsd.img.gz
Du kannst auch einfach eine Installation der Vollversion auf dem ALIX machen. Wie das geht steht hier:
Pfsense Firewall, Squid - Squidguard, Proxy Filter Blacklist Fehler, kann nicht gespeichert werden
Ab der 2.0.2er Version geht das. Je nach Größe deiner Flash Karte brauchst du die NanoBSD Images OHNE VGA.
2 für 2 GiG, 4 für 4GiG usw. Beispiel 4G CF Flash = pfSense-2.0.2-RELEASE-4g-i386-nanobsd.img.gz
Du kannst auch einfach eine Installation der Vollversion auf dem ALIX machen. Wie das geht steht hier:
Pfsense Firewall, Squid - Squidguard, Proxy Filter Blacklist Fehler, kann nicht gespeichert werden
Hallo Aqui das hab ich gelesen hab aber eine anderen Thread gesehen wo es hieß das es bei dem Embedded Versionen nicht geht. Aber wenn es ab 2.0.2 doch funktioniert hätte ich mir den Kauf der 16GB CF Karte sparen können ;)
Lies dir die Release Notes durch zur 2.0.2 auf der pfSense Sete da steht das drin.
Wenn du aber einen Proxy mit Cache drauf laufen lassen willst ist es besser eine kleine USB Platte anzuschliessen oder über einen IDE SATA Adapter eine kleine SSD oder SATA 2,5 Zoll Platte.
In sofern ist der Kauf der 16GB Karte NICHT falsch sondern eher genau richtig wenn du es dennoch mit der embedded Version testen willst, denn du brauchst diesen Speicher bei einem Web Proxy. Eher mehr als 16 GB.
So oder so wie du es löst war die Investition aber nicht falsch !!
Für Kleinstinstallationen reicht das aber bei größeren solltest du eine Platte, egal welcher Couleur, bei Proxy Betrieb vorziehen.
Wenn du aber einen Proxy mit Cache drauf laufen lassen willst ist es besser eine kleine USB Platte anzuschliessen oder über einen IDE SATA Adapter eine kleine SSD oder SATA 2,5 Zoll Platte.
In sofern ist der Kauf der 16GB Karte NICHT falsch sondern eher genau richtig wenn du es dennoch mit der embedded Version testen willst, denn du brauchst diesen Speicher bei einem Web Proxy. Eher mehr als 16 GB.
So oder so wie du es löst war die Investition aber nicht falsch !!
Für Kleinstinstallationen reicht das aber bei größeren solltest du eine Platte, egal welcher Couleur, bei Proxy Betrieb vorziehen.
