gelöst Heimnetzwerk um pfSense erweitern

Mitglied: Nominis

Nominis (Level 1) - Jetzt verbinden

16.08.2020, aktualisiert 20:03 Uhr, 670 Aufrufe, 15 Kommentare

Hallo,

als langjähriger interessierter "anonymer" Mitleser habe ich schon viele Informationen, Hinweise und Erfahrungen aus der Community aufnehmen und teilweise auch (beruflich oder privat) nutzen können.
Jetzt habe ich mich angemeldet, um mein neues komplexes Problem vorzustellen und hoffentlich wertvolle Hinweise und Tipps zu erhalten.
Ich habe ein gut funktionierendes Heimnetzwerk (vereinfacht in Zeichnung 1 dargestellt) laufen.

zeichnung 1 - Klicke auf das Bild, um es zu vergrößern

Ich nutze dabei den Gastzugang der 1. FritzBox (Port 4) für eine 2. FritzBox (für Lan & Wlan im Gästehaus).
Die 2. Box ist für die Internet-Anbindung über Port 1 konfiguriert.
Der Anschluss erfolgt über ein Switch (Vlan 20)
Gleichzeitig nutze ich Port 4 der 1. FritzBox über das Switch (per Vlan 20) noch für das Gäste-Wlan der UniFi-APs (Haupthaus), um Gäste abgetrennt vom eigenen Heimnetz ins Internet zu bringen.
Um es kurz zu machen - alles funktioniert sehr gut.

Jetzt soll noch eine pfSense Firewall hinter der 1. Fritzbox installiert werden, um das Heimnetz (NAS, IP-Cam's, usw.) besser zu schützen.
(Nebenbei ist dies natürlich auch "Spieltrieb" und "berufliche Fortbildung")

Als pfSense-System kommt dabei eine"PC-Engines APU.2E4 Board 4GByte RAM 3xLAN pfSense Firewall 64GB SSD" zur Anwendung.
Die 1. FritzBox soll weiterhin für die Telefonie genutzt werden.

Grundsätzlich stelle ich mir die Installation wie in Zeichnung 2 vor.

- Die erste Fritzbox ist zusammen mit dem piHole für den Internetzugang zuständig.
- die pfSense steht dahinter und trennt das Hausnetz ab. Sie dient dabei auch als DHCP-Server.
Angeschlossen wird ein Vlan-fähiger Switch.
Sofern möglich soll die neue pfSense auch den OpenVPN-Server vom NAS ablösen.

Meine Fragen sind nun:
- geht das so?
- was muss ich beachten?
- wie kann ich die zweite Fritzbox sowie Vlan 20 (Gäste-Wlan) anschließen?
(ggf über einen zweiten "virtuellen" IP-Kreis mit eigenem DHCP-Bereich ??)

An dieser Stelle versagt aus mangelndem Wissen (möglicherweise auch auf Grund der aktuellen Hitze) meine Vorstellungskraft.
Neue Technik soll dabei möglichst nicht ins Spiel kommen.
Ich hoffe, dass ich das bestehende (funktionierende) System sowie meine Vorstellungen verständlich darstellen konnte.

Vielen Dank schon mal vorab.
Gruß Jörg
zeichnung 2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
17.08.2020, aktualisiert um 08:40 Uhr
Erstmal Glückwunsch zur guten Dokumentation, das ist vorbildlich !
Zurück zum Thema...
Grundsätzlich stelle ich mir die Installation wie in Zeichnung 2 vor.
Ja, das ist auch richtig ! Du betreibst das dann in einer hier beschriebenen klassischen_ Router_Kaskade.

Zu deinen Fragen:
geht das so?
Ja, natürlich !
Es wäre sogar sehr sinnvoll wenn du die Gästenetze von der etwas verschwurbelten FritzBox Konfig wegnimmst und dann zentral über ein dediziertes Gast Segment oder Gast VLAN zentral auf der pfSense terminierst statt auf den FritzBoxen. So hast du einen zentralen Zugang für alle deine Netzsegmente die die somit besser und an einer Stelle sauber managen kannst in Bezug auf Sicherheit und Zugangsregeln.
Idealerweise betreibt man das Gästenetz dann mit Einmalpasswörtern wie es HIER und auch HIER beschrieben ist.
  • was muss ich beachten?
Nichts. Folge einfach dem hiesigen pfSense_Tutorial und den weiterführenden Links am Schluss.
  • wie kann ich die zweite Fritzbox sowie Vlan 20 (Gäste-Wlan) anschließen? (ggf über einen zweiten "virtuellen" IP-Kreis mit eigenem DHCP-Bereich ??)
Ja, das machst du immer über die pfSense wie oben schon bereits gesagt. Entweder über den dritten Port direkt oder über ein VLAN. Wie man VLANs behandelt auf der pfSense erklärt das VLAN_Tutorial.
Es ist wichtig das man das Gastnsegment auf der Firewall terminiert, da man hier die größte Sicherheit hat durch das entsprechende Regelwerk. Idealerweise dann mit einem Captive Portal sofern das nicht schon auf dem Controller realisiert ist.
Damit hat man eine sichereres und zentralisiertes Security Management im Netzwerk und muss nicht an 3 Ecken fummeln, zumal die Gastnetze der FritzBoxen eher unsicher sind, da sie kein granuliertes Regelwerk besitzen um Gastnetze entsprechend sicher zu machen.
Wie man Internet WLAN Router als reine Accesspoints sicher betreibt erklärt dieses_Tutorial.
Als stiller Mitleser kennst du diese Tutorials sicher auch schon alle...?!
Alles in allem ist also dein Konzept der richtige Weg.
Bitte warten ..
Mitglied: Nominis
17.08.2020, aktualisiert um 09:59 Uhr
Vielen Dank für den Beitrag und die Unterstützung.
Da die pfSense noch auf dem Postweg ist bin ich noch am planen und YouTube-Tutorials schauen.
Die hier verfügbaren Informationen werde ich auch nochmals durchgehen. Vielen Dank für den Tipp.

Die Gäste-FritzBox sowie das Gäste-Wlan der UniFi-APs (über vLan 20) will ich gern über den dritten Port an der pfSense-Firewall anschließen und über einen zweiten IP-Kreis einbinden. Damit ist er getrennt vom übrigen Netz.
Einen zweiten DHCP-Bereich (für die W-Lan-Gäste) wird die pfSense dafür ja sicher anbieten.

pfSense scheint mir recht übersichtlich zu sein. Ich bin guter Hoffnung

Gruß Jörg
Bitte warten ..
Mitglied: radiogugu
17.08.2020 um 09:24 Uhr
Hallo.

Die Unifi APs sind VLAN-fähig. Die Fritzboxen leider nicht.

Das heißt es wäre am besten, wenn der Unifi AP über VLANs konfiguriert wird und die Fritzbox für das Gästehaus einen der drei LAN Anschlüsse der PFsense Box direkt bekommt (oder eben über den Switch, je nachdem wie die Verkabelungsmöglichkeiten ausschauen).

OpenVPN würde ich dann an deiner Stelle ebenfalls über die PFsense termineren.

Auch das Paket PFBlockerNG für PFsense mal anschauen, um dir hier das zusätzliche Gerät in Form des Pi-Holes zu sparen. Die Ergebnisse sind beinahe identisch und du hättest alles unter einem Dach.

Gruß
Radiogugu
Bitte warten ..
Mitglied: Nominis
17.08.2020, aktualisiert um 10:02 Uhr
Die Gäste-Fritzbox sowie die UniFi APs (zumindest das Gäste-Wlan) sind ja jetzt auch schon über das Switch per vLan 20 separiert und an Port 4 (Gästenetz) der 1. Fritzbox angeschlossen.
Dies müsste ich statt an die FritzBox (Port 4) nur an den dritten LAN-Anschluss der psSense anstecken.
Der Port muss dann natürlich entsprechend konfiguriert sein, damit er funktionsfähig und vom restlichen Netz getrennt ist.
Bitte warten ..
Mitglied: aqui
LÖSUNG 17.08.2020, aktualisiert um 16:17 Uhr
Auch das Paket PFBlockerNG für PFsense mal anschauen
Der Kollege @radiogugu hat hier absolut recht, damit wäre dann dein PiHole (der ansonsten natürlich eine ideale Lösung ist) überflüssig, den pfBlockerNG macht genau das gleiche und erspart dir damit eine weitere Hardware !
Die Installation ist einfach und schnell gemacht über die Packetverwaltung:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Und...man kann alle PiHole Filterlisten problemlos übernehmen !
Den Raspberry kannst du dann als Managementserver verwenden zum grafischen Überwachen deines Netzwerkes.
OpenVPN würde ich dann an deiner Stelle ebenfalls über die PFsense termineren.
Auch absolut richtig !
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Noch viel sinnvoller ist es allerdings immer ein bordeigenes VPN Protokoll zu verwenden was alle Clients jeglicher Betriebssysteme und Smartphones/Tablets gleich von sich aus an Bord haben. Das erspart immer die Installation zusätzlicher VPN Client Software und ggf. daraus resultierende Probleme.
Auch das erledigt die pfSense mit links:
IPsec:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
L2TP:
https://administrator.de/wissen/pfsense-vpn-l2tp-ipsec-protokoll-mobile- ...
Bitte warten ..
Mitglied: Nominis
17.08.2020 um 16:48 Uhr
Danke, dass klingt alles stimmig und sinnvoll.

Am Ende werden dann 2 Raspberry's weniger im Serverschrank liegen.

OpenVPN auf dem Synology fand ich aktuell performanter und besser konfigurierbar als das IPsec der Fritzbox.
Apfel-Geräte gibt es allerdings nicht im Netz.
Ich schaue es mir aber auf jeden Fall an.
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.08.2020, aktualisiert um 09:26 Uhr
OpenVPN auf dem Synology fand ich aktuell performanter und besser konfigurierbar als das IPsec der Fritzbox.
Das ist auch absolut richtig. Das VPN an der FritzBox ist bekanntlich grottenschlecht im Durchsatz.
Das liegt aber natürlich nicht am VPN Protokoll selber sondern an der schawchen SoC CPU der FritzBox. Dabei darf man aber auch nicht vergessen das die FB eine billige Plastik Consumerbox für den Massenmarkt ist und dort ist VPN keine Schlüsselfunktion sondern eher ein Goodie als billige Dreingabe.
Apfel-Geräte gibt es allerdings nicht im Netz.
Völlig irrelevante Aussage !
Es geht um die bordeigenen VPN Clients und die können immer IPsec und L2TP egal welche Hardware und welches Betriebssystem oder Android Schrott. Hier hast du wohl grundsätzlich irgendwas verwechselt, kann das sein ?
Bitte warten ..
Mitglied: Nominis
19.08.2020, aktualisiert um 08:18 Uhr
So - erst einmal vielen Dank für die Hinweise und Tipps.
Gestern traf die PC Engines APU.2E4 bei mir ein.

Ich muss sagen, die erste Einrichtung lief bisher einfacher und problemloser als ich gedacht (befürchtet) hatte.
- Integration als Router-Kaskade hinter der FritzBox
- Einrichtung beider LAN-Schnittstellen / LAN1 und LAN2 (Heimnetzwerk & Gastnetzwerk)
- "Scheunentor-Regeln" für beide LANs für Erst-Inbetriebnahme
- Trennung beider LANs durch zusätzliche Regeln
- Anbindung der UniFi-Umgebung über das Switch (Gastnetz per Vlan 20) an LAN2
- (Probleme hat noch die 2. FritzBox (Gästehaus) ... das gehe ich später an)
- piHole (DNS-Server entfernt, auf Standard-DNS-Server umkonfiguriert)
- PFBlockerNG installiert (nur installiert - noch nicht eingerichtet)

Sicher - die großen Aufgaben kommen noch (und da werde ich sicher nochmals Hilfe benötigen):
(dazu werde ich später ggf. neu anfragen)
- sinnvolle Firewall-Regeln entwerfen und einrichten
- PFBlockerNG in Betrieb nehmen
- VPN-Server in Betrieb nehmen & Portweiterleitung in FritzBox
- usw.

Gruß Jörg
Bitte warten ..
Mitglied: aqui
19.08.2020 um 08:04 Uhr
bisher einfacher und problemloser als ich gedacht (befürchtet) hatte.
Jeder der Winblows installieren kann, kann auch ne pfSense installieren !
PFBlockerNG in Betrieb nehmen
Halte dich an dieses Tutorial, dann klappt das auf Anhieb:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Du kannst die Filterlisten des PiHole weiterverwenden.
VPN-Server in Betrieb nehmen & Portweiterleitung in FritzBox
Da hast du hier diverse Anleitungen:
IPsec:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
L2TP:
https://administrator.de/wissen/pfsense-vpn-l2tp-ipsec-protokoll-mobile- ...
OpenVPN:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Sollte also alles kein Problem für dich sein !
Bitte warten ..
Mitglied: Nominis
19.08.2020 um 08:14 Uhr
noch eine Frage:
das pfSense-Portal ist aktuell auch im Gastnetz (NET2: 192.168.178.0/24) über die Adresse 192.168.178.1 erreichbar.
Unterbinde ich das per Firewall-Regel?
Bitte warten ..
Mitglied: aqui
19.08.2020, aktualisiert um 08:18 Uhr
Ja !
Dazu musst du zusätzlich auch die Antilockout Rule deaktivieren in den Settings. Die sorgt sonst immer dafür das das GUI aus allen Interfaces erreichbar ist.
Aber Vorsicht !!!
Teste VORHER die Regel für den GUI Zugriff genau. Sowie du die Antilockout Rule deaktivierst bist du rein von den Regeln abhängig für den Zugriff. Sperrst du dich dann aus ist ein Reset über die serielle Konsole angesagt !

Ist aber ganz einfach. Normal kann wenigstens auf dem Default LAN Port nichts passieren, da die Default Regel auf dem LAN ja ala Scheunentor alles zulässt.
Bitte warten ..
Mitglied: Nominis
22.08.2020 um 12:43 Uhr
Der Kollege @radiogugu hat hier absolut recht, damit wäre dann dein PiHole (der ansonsten natürlich eine ideale Lösung ist) überflüssig, den pfBlockerNG macht genau das gleiche und erspart dir damit eine weitere Hardware !
Die Installation ist einfach und schnell gemacht über die Packetverwaltung:
https:
www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Und...man kann alle PiHole Filterlisten problemlos übernehmen !//

Ich habe die Konfiguration von pfBlockerNG entsprechend der Anleitung (siehe oben) gemacht.
Ich habe auch die angegebenen drei IP4-Filter sowie die gesamte Liste der DNSBL-Filter übernommen.

pfblockerng1 - Klicke auf das Bild, um es zu vergrößern

Im Dashboard wird aber angezeigt, dass viele Downloads fehlgeschlagen sind - so interpretiere ich es zumindest.
Sind die Quellen veraltet? Stimmt in der Regelkonfiguration etwas nicht?
Diese übergreifenden Regeln wurden automatisch angelegt:

pfblockerng2 - Klicke auf das Bild, um es zu vergrößern

Habe ich da etwas übersehen? Muss ich noch Regeln dafür einrichten?

Gruß Jörg
Bitte warten ..
Mitglied: aqui
22.08.2020 um 12:49 Uhr
Sind die Quellen veraltet?
Das kann sehr gut sein und ist vermutlich der Fall. Die Listen sind recht kurzlebig. PiHole hat die Default Listen auch reduziert.
Welche aktuell sind kannst du z.B. hier sehen:
https://firebog.net
https://filterlists.com

Du kannst das auch immer selber sehen wenn du die Filterlisten URLs ganz einfach al in einem Browser eingibst. Kommt dort eine ASCII textliste ist sie aktiv, wenn nicht dann gibt es sie nicht mehr. Viele Listen senden auch einen Hinweis das sie Offline sind.
Bitte warten ..
Mitglied: Nominis
22.08.2020 um 14:02 Uhr
Sorry für die Nachfrage (blicke gerade nicht durch):
Welche Adressen verwende ich denn für IPv4-Regeln und welche für DNSBL-Listen?

IPv4 = Blocklisten mit IP-Adressen ??
DNSBL = Blocklist mit DNS-Servern ??

Vom piHole kannte ich nur eine Konfigurationsmöglichkeit.

Gruß Jörg
Bitte warten ..
Mitglied: radiogugu
22.08.2020 um 14:13 Uhr
Es gibt ja unter PFBlocker die Reiter IP und DNSBL.

Unter IP würden entsprechend Listen mit IP und DNSBL Listen mit DNS Namen hinterlegt.

Schau dir einfach die bereits standardmäßig hinterlegten Listen und deren Inhalte an und du siehst was wohin gehört.

Unter DNSBL kannst du dann auch ein Custom Blacklist / Whitelist erstellen mit den DNS Namen.

Die Regeln sollte man gar nicht anpacken, da diese von PFBlocker selbst erstellt und verwaltet werden. Hier macht man mitunter mehr kaputt als zu reparieren.

Gruß
Radiogugu
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerkmanagement

Aufbau Heimnetzwerk bzw. Sicherung Heimnetzwerk

gelöst Markus1505FrageNetzwerkmanagement3 Kommentare

Hallo zusammen, ich stelle mich am besten erstmal kurz vor. Ich heiße Markus und arbeite mittlerweile im Marketing, vorher ...

LAN, WAN, Wireless

Heimnetzwerk patchen

gelöst BierkistenschlepperFrageLAN, WAN, Wireless29 Kommentare

Hallo zusammen, bin inzwischen in der neuen Wohnung eingezogen und habe die Verkabelung so weit abgeschlossen, die Dosen und ...

Netzwerke

VPN für Heimnetzwerk

gelöst honeybeeFrageNetzwerke22 Kommentare

Hallo, ich trage mich mit dem Gedanken, einen eigenen VPN-Server einzurichten, um anonym im Internet surfen zu können. Mein ...

Netzwerkgrundlagen

Zukunftsicheres Heimnetzwerk aufbauen

gelöst CRO-WarriorFrageNetzwerkgrundlagen37 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Switche und Hubs

Welcher Switch für Heimnetzwerk

gelöst peter91gFrageSwitche und Hubs3 Kommentare

Hallo zusammen, nachdem mein Büro zuhause in den Keller musste und ich mir ein Spielzeug mehr gekauft habe, reichen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT