nominis
Goto Top

Heimnetzwerk um pfSense erweitern

Hallo,

als langjähriger interessierter "anonymer" Mitleser habe ich schon viele Informationen, Hinweise und Erfahrungen aus der Community aufnehmen und teilweise auch (beruflich oder privat) nutzen können.
Jetzt habe ich mich angemeldet, um mein neues komplexes Problem vorzustellen und hoffentlich wertvolle Hinweise und Tipps zu erhalten.
Ich habe ein gut funktionierendes Heimnetzwerk (vereinfacht in Zeichnung 1 dargestellt) laufen.

zeichnung 1

Ich nutze dabei den Gastzugang der 1. FritzBox (Port 4) für eine 2. FritzBox (für Lan & Wlan im Gästehaus).
Die 2. Box ist für die Internet-Anbindung über Port 1 konfiguriert.
Der Anschluss erfolgt über ein Switch (Vlan 20)
Gleichzeitig nutze ich Port 4 der 1. FritzBox über das Switch (per Vlan 20) noch für das Gäste-Wlan der UniFi-APs (Haupthaus), um Gäste abgetrennt vom eigenen Heimnetz ins Internet zu bringen.
Um es kurz zu machen - alles funktioniert sehr gut.

Jetzt soll noch eine pfSense Firewall hinter der 1. Fritzbox installiert werden, um das Heimnetz (NAS, IP-Cam's, usw.) besser zu schützen.
(Nebenbei ist dies natürlich auch "Spieltrieb" und "berufliche Fortbildung")

Als pfSense-System kommt dabei eine"PC-Engines APU.2E4 Board 4GByte RAM 3xLAN pfSense Firewall 64GB SSD" zur Anwendung.
Die 1. FritzBox soll weiterhin für die Telefonie genutzt werden.

Grundsätzlich stelle ich mir die Installation wie in Zeichnung 2 vor.

- Die erste Fritzbox ist zusammen mit dem piHole für den Internetzugang zuständig.
- die pfSense steht dahinter und trennt das Hausnetz ab. Sie dient dabei auch als DHCP-Server.
Angeschlossen wird ein Vlan-fähiger Switch.
Sofern möglich soll die neue pfSense auch den OpenVPN-Server vom NAS ablösen.

Meine Fragen sind nun:
- geht das so?
- was muss ich beachten?
- wie kann ich die zweite Fritzbox sowie Vlan 20 (Gäste-Wlan) anschließen?
(ggf über einen zweiten "virtuellen" IP-Kreis mit eigenem DHCP-Bereich ??)

An dieser Stelle versagt aus mangelndem Wissen (möglicherweise auch auf Grund der aktuellen Hitze) meine Vorstellungskraft.
Neue Technik soll dabei möglichst nicht ins Spiel kommen.
Ich hoffe, dass ich das bestehende (funktionierende) System sowie meine Vorstellungen verständlich darstellen konnte.

Vielen Dank schon mal vorab.
Gruß Jörg
zeichnung 2

Content-ID: 596970

Url: https://administrator.de/forum/heimnetzwerk-um-pfsense-erweitern-596970.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

aqui
aqui 17.08.2020 aktualisiert um 08:40:16 Uhr
Goto Top
Erstmal Glückwunsch zur guten Dokumentation, das ist vorbildlich !
Zurück zum Thema...
Grundsätzlich stelle ich mir die Installation wie in Zeichnung 2 vor.
Ja, das ist auch richtig ! Du betreibst das dann in einer hier beschriebenen klassischen_ Router_Kaskade.

Zu deinen Fragen:
geht das so?
Ja, natürlich !
Es wäre sogar sehr sinnvoll wenn du die Gästenetze von der etwas verschwurbelten FritzBox Konfig wegnimmst und dann zentral über ein dediziertes Gast Segment oder Gast VLAN zentral auf der pfSense terminierst statt auf den FritzBoxen. So hast du einen zentralen Zugang für alle deine Netzsegmente die die somit besser und an einer Stelle sauber managen kannst in Bezug auf Sicherheit und Zugangsregeln.
Idealerweise betreibt man das Gästenetz dann mit Einmalpasswörtern wie es HIER und auch HIER beschrieben ist.
  • was muss ich beachten?
Nichts. Folge einfach dem hiesigen pfSense_Tutorial und den weiterführenden Links am Schluss. face-wink
  • wie kann ich die zweite Fritzbox sowie Vlan 20 (Gäste-Wlan) anschließen? (ggf über einen zweiten "virtuellen" IP-Kreis mit eigenem DHCP-Bereich ??)
Ja, das machst du immer über die pfSense wie oben schon bereits gesagt. Entweder über den dritten Port direkt oder über ein VLAN. Wie man VLANs behandelt auf der pfSense erklärt das VLAN_Tutorial.
Es ist wichtig das man das Gastnsegment auf der Firewall terminiert, da man hier die größte Sicherheit hat durch das entsprechende Regelwerk. Idealerweise dann mit einem Captive Portal sofern das nicht schon auf dem Controller realisiert ist.
Damit hat man eine sichereres und zentralisiertes Security Management im Netzwerk und muss nicht an 3 Ecken fummeln, zumal die Gastnetze der FritzBoxen eher unsicher sind, da sie kein granuliertes Regelwerk besitzen um Gastnetze entsprechend sicher zu machen.
Wie man Internet WLAN Router als reine Accesspoints sicher betreibt erklärt dieses_Tutorial.
Als stiller Mitleser kennst du diese Tutorials sicher auch schon alle...?!
Alles in allem ist also dein Konzept der richtige Weg.
Nominis
Nominis 17.08.2020 aktualisiert um 09:59:24 Uhr
Goto Top
Vielen Dank für den Beitrag und die Unterstützung.
Da die pfSense noch auf dem Postweg ist bin ich noch am planen und YouTube-Tutorials schauen.
Die hier verfügbaren Informationen werde ich auch nochmals durchgehen. Vielen Dank für den Tipp.

Die Gäste-FritzBox sowie das Gäste-Wlan der UniFi-APs (über vLan 20) will ich gern über den dritten Port an der pfSense-Firewall anschließen und über einen zweiten IP-Kreis einbinden. Damit ist er getrennt vom übrigen Netz.
Einen zweiten DHCP-Bereich (für die W-Lan-Gäste) wird die pfSense dafür ja sicher anbieten.

pfSense scheint mir recht übersichtlich zu sein. Ich bin guter Hoffnung face-smile

Gruß Jörg
radiogugu
radiogugu 17.08.2020 um 09:24:18 Uhr
Goto Top
Hallo.

Die Unifi APs sind VLAN-fähig. Die Fritzboxen leider nicht.

Das heißt es wäre am besten, wenn der Unifi AP über VLANs konfiguriert wird und die Fritzbox für das Gästehaus einen der drei LAN Anschlüsse der PFsense Box direkt bekommt (oder eben über den Switch, je nachdem wie die Verkabelungsmöglichkeiten ausschauen).

OpenVPN würde ich dann an deiner Stelle ebenfalls über die PFsense termineren.

Auch das Paket PFBlockerNG für PFsense mal anschauen, um dir hier das zusätzliche Gerät in Form des Pi-Holes zu sparen. Die Ergebnisse sind beinahe identisch und du hättest alles unter einem Dach.

Gruß
Radiogugu
Nominis
Nominis 17.08.2020 aktualisiert um 10:02:22 Uhr
Goto Top
Die Gäste-Fritzbox sowie die UniFi APs (zumindest das Gäste-Wlan) sind ja jetzt auch schon über das Switch per vLan 20 separiert und an Port 4 (Gästenetz) der 1. Fritzbox angeschlossen.
Dies müsste ich statt an die FritzBox (Port 4) nur an den dritten LAN-Anschluss der psSense anstecken.
Der Port muss dann natürlich entsprechend konfiguriert sein, damit er funktionsfähig und vom restlichen Netz getrennt ist.
aqui
Lösung aqui 17.08.2020 aktualisiert um 16:17:57 Uhr
Goto Top
Auch das Paket PFBlockerNG für PFsense mal anschauen
Der Kollege @radiogugu hat hier absolut recht, damit wäre dann dein PiHole (der ansonsten natürlich eine ideale Lösung ist) überflüssig, den pfBlockerNG macht genau das gleiche und erspart dir damit eine weitere Hardware !
Die Installation ist einfach und schnell gemacht über die Packetverwaltung:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Und...man kann alle PiHole Filterlisten problemlos übernehmen !
Den Raspberry kannst du dann als Managementserver verwenden zum grafischen Überwachen deines Netzwerkes. face-wink
OpenVPN würde ich dann an deiner Stelle ebenfalls über die PFsense termineren.
Auch absolut richtig !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Noch viel sinnvoller ist es allerdings immer ein bordeigenes VPN Protokoll zu verwenden was alle Clients jeglicher Betriebssysteme und Smartphones/Tablets gleich von sich aus an Bord haben. Das erspart immer die Installation zusätzlicher VPN Client Software und ggf. daraus resultierende Probleme.
Auch das erledigt die pfSense mit links:
IPsec:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
L2TP:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Nominis
Nominis 17.08.2020 um 16:48:54 Uhr
Goto Top
Danke, dass klingt alles stimmig und sinnvoll.

Am Ende werden dann 2 Raspberry's weniger im Serverschrank liegen.

OpenVPN auf dem Synology fand ich aktuell performanter und besser konfigurierbar als das IPsec der Fritzbox.
Apfel-Geräte gibt es allerdings nicht im Netz.
Ich schaue es mir aber auf jeden Fall an.
aqui
Lösung aqui 18.08.2020 aktualisiert um 09:26:41 Uhr
Goto Top
OpenVPN auf dem Synology fand ich aktuell performanter und besser konfigurierbar als das IPsec der Fritzbox.
Das ist auch absolut richtig. Das VPN an der FritzBox ist bekanntlich grottenschlecht im Durchsatz.
Das liegt aber natürlich nicht am VPN Protokoll selber sondern an der schawchen SoC CPU der FritzBox. Dabei darf man aber auch nicht vergessen das die FB eine billige Plastik Consumerbox für den Massenmarkt ist und dort ist VPN keine Schlüsselfunktion sondern eher ein Goodie als billige Dreingabe.
Apfel-Geräte gibt es allerdings nicht im Netz.
Völlig irrelevante Aussage ! face-sad
Es geht um die bordeigenen VPN Clients und die können immer IPsec und L2TP egal welche Hardware und welches Betriebssystem oder Android Schrott. Hier hast du wohl grundsätzlich irgendwas verwechselt, kann das sein ?
Nominis
Nominis 19.08.2020 aktualisiert um 08:18:17 Uhr
Goto Top
So - erst einmal vielen Dank für die Hinweise und Tipps.
Gestern traf die PC Engines APU.2E4 bei mir ein.

Ich muss sagen, die erste Einrichtung lief bisher einfacher und problemloser als ich gedacht (befürchtet) hatte. face-smile
- Integration als Router-Kaskade hinter der FritzBox
- Einrichtung beider LAN-Schnittstellen / LAN1 und LAN2 (Heimnetzwerk & Gastnetzwerk)
- "Scheunentor-Regeln" für beide LANs für Erst-Inbetriebnahme
- Trennung beider LANs durch zusätzliche Regeln
- Anbindung der UniFi-Umgebung über das Switch (Gastnetz per Vlan 20) an LAN2
- (Probleme hat noch die 2. FritzBox (Gästehaus) ... das gehe ich später an)
- piHole (DNS-Server entfernt, auf Standard-DNS-Server umkonfiguriert)
- PFBlockerNG installiert (nur installiert - noch nicht eingerichtet)

Sicher - die großen Aufgaben kommen noch (und da werde ich sicher nochmals Hilfe benötigen):
(dazu werde ich später ggf. neu anfragen)
- sinnvolle Firewall-Regeln entwerfen und einrichten
- PFBlockerNG in Betrieb nehmen
- VPN-Server in Betrieb nehmen & Portweiterleitung in FritzBox
- usw.

Gruß Jörg
aqui
aqui 19.08.2020 um 08:04:54 Uhr
Goto Top
bisher einfacher und problemloser als ich gedacht (befürchtet) hatte.
Jeder der Winblows installieren kann, kann auch ne pfSense installieren ! face-wink
PFBlockerNG in Betrieb nehmen
Halte dich an dieses Tutorial, dann klappt das auf Anhieb:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Du kannst die Filterlisten des PiHole weiterverwenden.
VPN-Server in Betrieb nehmen & Portweiterleitung in FritzBox
Da hast du hier diverse Anleitungen:
IPsec:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
L2TP:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Sollte also alles kein Problem für dich sein ! face-wink
Nominis
Nominis 19.08.2020 um 08:14:13 Uhr
Goto Top
noch eine Frage:
das pfSense-Portal ist aktuell auch im Gastnetz (NET2: 192.168.178.0/24) über die Adresse 192.168.178.1 erreichbar.
Unterbinde ich das per Firewall-Regel?
aqui
aqui 19.08.2020 aktualisiert um 08:18:52 Uhr
Goto Top
Ja !
Dazu musst du zusätzlich auch die Antilockout Rule deaktivieren in den Settings. Die sorgt sonst immer dafür das das GUI aus allen Interfaces erreichbar ist.
Aber Vorsicht !!!
Teste VORHER die Regel für den GUI Zugriff genau. Sowie du die Antilockout Rule deaktivierst bist du rein von den Regeln abhängig für den Zugriff. Sperrst du dich dann aus ist ein Reset über die serielle Konsole angesagt ! face-wink

Ist aber ganz einfach. Normal kann wenigstens auf dem Default LAN Port nichts passieren, da die Default Regel auf dem LAN ja ala Scheunentor alles zulässt. face-wink
Nominis
Nominis 22.08.2020 um 12:43:59 Uhr
Goto Top
Der Kollege @radiogugu hat hier absolut recht, damit wäre dann dein PiHole (der ansonsten natürlich eine ideale Lösung ist) überflüssig, den pfBlockerNG macht genau das gleiche und erspart dir damit eine weitere Hardware !
Die Installation ist einfach und schnell gemacht über die Packetverwaltung:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Und...man kann alle PiHole Filterlisten problemlos übernehmen !


Ich habe die Konfiguration von pfBlockerNG entsprechend der Anleitung (siehe oben) gemacht.
Ich habe auch die angegebenen drei IP4-Filter sowie die gesamte Liste der DNSBL-Filter übernommen.

pfblockerng1

Im Dashboard wird aber angezeigt, dass viele Downloads fehlgeschlagen sind - so interpretiere ich es zumindest.
Sind die Quellen veraltet? Stimmt in der Regelkonfiguration etwas nicht?
Diese übergreifenden Regeln wurden automatisch angelegt:

pfblockerng2

Habe ich da etwas übersehen? Muss ich noch Regeln dafür einrichten?

Gruß Jörg
aqui
aqui 22.08.2020 um 12:49:35 Uhr
Goto Top
Sind die Quellen veraltet?
Das kann sehr gut sein und ist vermutlich der Fall. Die Listen sind recht kurzlebig. PiHole hat die Default Listen auch reduziert.
Welche aktuell sind kannst du z.B. hier sehen:
https://firebog.net
https://filterlists.com

Du kannst das auch immer selber sehen wenn du die Filterlisten URLs ganz einfach al in einem Browser eingibst. Kommt dort eine ASCII textliste ist sie aktiv, wenn nicht dann gibt es sie nicht mehr. Viele Listen senden auch einen Hinweis das sie Offline sind. face-wink
Nominis
Nominis 22.08.2020 um 14:02:49 Uhr
Goto Top
Sorry für die Nachfrage (blicke gerade nicht durch):
Welche Adressen verwende ich denn für IPv4-Regeln und welche für DNSBL-Listen?

IPv4 = Blocklisten mit IP-Adressen ??
DNSBL = Blocklist mit DNS-Servern ??

Vom piHole kannte ich nur eine Konfigurationsmöglichkeit.

Gruß Jörg
radiogugu
radiogugu 22.08.2020 um 14:13:33 Uhr
Goto Top
Es gibt ja unter PFBlocker die Reiter IP und DNSBL.

Unter IP würden entsprechend Listen mit IP und DNSBL Listen mit DNS Namen hinterlegt.

Schau dir einfach die bereits standardmäßig hinterlegten Listen und deren Inhalte an und du siehst was wohin gehört.

Unter DNSBL kannst du dann auch ein Custom Blacklist / Whitelist erstellen mit den DNS Namen.

Die Regeln sollte man gar nicht anpacken, da diese von PFBlocker selbst erstellt und verwaltet werden. Hier macht man mitunter mehr kaputt als zu reparieren.

Gruß
Radiogugu