gelöst PfSense: installation unter Hyper-V - mit einem physischen Server und 3 Netzwerkkarten plus FritzBox

Mitglied: Goldfuchs

Goldfuchs (Level 1) - Jetzt verbinden

07.10.2020 um 11:30 Uhr, 289 Aufrufe, 8 Kommentare, 1 Danke

Moin,
so ich stehe grade davor mit der pfsense zu arbeiten und diese zu verstehen.

Vorab:

Diskussionen ob man eine FW virtualisieren sollte oder nicht ist obsolet. Habe mich mit meiner Kollegen aus der IT unterhalten und wir sind uns einig, dass sowas nicht in ein Firmenumfeld gehört aber für daheim durchaus O.K. ist.

So nun zu meiner Frage:

Ich habe einen ph. Server welcher bisher 3 VM hostet + pfSense
  • VM 1: WS19E - DC,DNS, DHCP
  • VM 2: WS19E - FileServer
  • VM 3: WS19E - ADCS, WDS, WSUS
  • VM4: pfSense

In dem Server sind 3 NIC verbaut:
  • NIC1 - regelt den Verkehr zwischen Server und FritzBox (192.168.178.xx)
  • NIC2 - regelt den internen Datenverkehr (10.73.xx.xx)
  • NIC3 - bindet den Zertifikatsserver an das Netz an (172.xx.xx.xx)

Ich habe nun im Hyper-V Manager 2 weitere vNICs erstellt:
  • intern (LAN)
  • extern (WAN)

Das externe WAN NIC habe ich mit dem NIC1 verbunden und das LAN NIC ist ja ohne Bindung. Wenn ich jetzt in die pfSense Einstellungen gehe und mir dort die IpConfig der Adapter anschaue passt die IP Vergabe nicht, bzw. ich verstehe nicht wirklich was wo eingestellt werden muss.

pfsense - Klicke auf das Bild, um es zu vergrößern

Vielleicht kann mir wer auf die Sprünge helfen. Ich habe auch schon die IP Statisch vergeben, trotzdem kann ich auf das Webinterface nicht zugreifen.

Danke im voraus,

Goldfuchs
Mitglied: sabines
07.10.2020 um 11:41 Uhr
Zitat von Goldfuchs:

Diskussionen ob man eine FW virtualisieren sollte oder nicht ist obsolet. Habe mich mit meiner Kollegen aus der IT unterhalten und wir sind uns einig, dass sowas nicht in ein Firmenumfeld gehört aber für daheim durchaus O.K. ist.

Was natürlich Quatsch ist, die kannst Du auch im Firmenumfeld virtualisieren, solange das als Standalone gemacht wird.
Ob's sinnvoll ist muss jeder selbst durchrechnen.
Bitte warten ..
Mitglied: aqui
07.10.2020, aktualisiert um 11:52 Uhr
der Adapter anschaue passt die IP Vergabe nicht
Wieso ?? Passt doch alles !
  • WAN Port der pfSense rennt im Default im DHCP Client Mode und hier kannst du schon sehen das sie von der FritzBox per DHCP die .178.200 bekommen hat und sich auch eine gültige IPv6 Adresse aus dem Segment gezogen hat ! Verbindung zur FB ist also OK.
  • LAN Port der pfSense ist im Default immer auf statisch 192.168.1.1 und dort ist auch ihr DHCP Server aktiv. Web GUI Zugriff geht im Default ausschliesslich nur von hier.

Fazit: Works as designed !!
Wo ist dein wirkliches Problem ?!
Nur so viel !
Auf das Webinterface kannst du über den WAN Port (FritzBox Netz) natürlich nicht zugreifen ! Logisch, denn das ist für die Firewall das "heisse" Internet Interface.
Ein Zugriff auf das GUI klappt ausnahmslos nur über den LAN Port und die 192.168.1.1 IP. Entweder führst du das nach draußen oder realisierst das über eine VM in diesem Segment !
Du hast eine Firewall !! Alles was nicht explizit erlaubt ist, ist verboten. Vielleicht ist genau das dein Denkfehler ?!
Bitte warten ..
Mitglied: Goldfuchs
07.10.2020, aktualisiert um 12:17 Uhr
"92.168.1.1 IP. Entweder führst du das nach draußen oder realisierst das über eine VM in diesem Segment !"

Auch wenn ich sowas vorgekautes nicht mag aber wie meinst du das. Könntest du mir das erläutern?

Die FritzBox ist kein DHCP, das regelt meine VM1. Ich habe jetzt die Konfiguration nochmal neugestartet und die Einstellungen default gelassen, pfSense zieht sich auch die richtige IP des DHCP Servers. Trotzdem ist keine Verbindung möglich...
Bitte warten ..
Mitglied: aqui
LÖSUNG 07.10.2020, aktualisiert um 12:31 Uhr
Könntest du mir das erläutern?
Simpler Klassiker wie bei allen solchen Geräten !
WAN Port = Komplett dicht, da Internet Port. Hier ist keinerlei Zugriff auf die Firewall möglich weil die Default Regeln das natürlich komplett unterbinden. ICMP (Ping) ebenfalls.
Ist ja auch logisch, denn niemand möchte das man aus dem Internet auf die eigene Firewall zugreifen kann ohne entsprechendes Regelwerk !
Fazit: Keine Chance über dieses Netzwerk (sprich dein FritzBox Netz) am WAN Port auf das Web GUI der Firewall zuzugreifen.

Logischerweise erlaubt die Firewall das nur vom lokalen, internen LAN Port. Das entspricht ja dem privaten lokalen IP Netz. Über dieses Interface (LAN) ist also der Zugriff auf das Web GUI möglich.
Du musst also irgendwie an den LAN Port der pfSense kommen mit deinem Konfig Rechner.
Der Konfig Rechner kann dann, wie oben bereits gesagt, eine VM sein die im LAN Segment der pfSense liegt und einen Webbrowser an Bord hat oder... du ziehst das LAN Segment über eine physische NIC des Hypervisors irgendwie nach draussen wo du einen Rechner anschliessen kannst.
Leider sind ja alle deine physischen NICs in Benutzung und zudem auch noch in völlig anderen IP Netzen. Du musst also temporär irgendwo das virtuelle LAN Interface der pfSense einhängen.
Dieser Port bekommt dann vom am LAN Port der pfSense laufenden DHCP Server immer automatisch eine 192.168.1.x IP und man kann dann über die .1.1 auf die pfSense zugreifen !
Eigentlich doch immer dieselbe Leier wie bei allen anderen Firewall Herstellern weltweit auch !
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-hyper-v.ht ...
https://www.informaticar.net/how-to-install-pfsense-on-hyper-v/
usw. usw.
Bitte warten ..
Mitglied: Goldfuchs
07.10.2020, aktualisiert um 14:39 Uhr
Zitat von aqui:

Könntest du mir das erläutern?
Simpler Klassiker wie bei allen solchen Geräten !
WAN Port = Komplett dicht, da Internet Port. Hier ist keinerlei Zugriff auf die Firewall möglich weil die Default Regeln das natürlich komplett unterbinden. ICMP (Ping) ebenfalls.
Ist ja auch logisch, denn niemand möchte das man aus dem Internet auf die eigene Firewall zugreifen kann ohne entsprechendes Regelwerk !
Fazit: Keine Chance über dieses Netzwerk (sprich dein FritzBox Netz) am WAN Port auf das Web GUI der Firewall zuzugreifen.

Logischerweise erlaubt die Firewall das nur vom lokalen, internen LAN Port. Das entspricht ja dem privaten lokalen IP Netz. Über dieses Interface (LAN) ist also der Zugriff auf das Web GUI möglich.
Du musst also irgendwie an den LAN Port der pfSense kommen mit deinem Konfig Rechner.
Der Konfig Rechner kann dann, wie oben bereits gesagt, eine VM sein die im LAN Segment der pfSense liegt und einen Webbrowser an Bord hat oder... du ziehst das LAN Segment über eine physische NIC des Hypervisors irgendwie nach draussen wo du einen Rechner anschliessen kannst.
Leider sind ja alle deine physischen NICs in Benutzung und zudem auch noch in völlig anderen IP Netzen. Du musst also temporär irgendwo das virtuelle LAN Interface der pfSense einhängen.
Dieser Port bekommt dann vom am LAN Port der pfSense laufenden DHCP Server immer automatisch eine 192.168.1.x IP und man kann dann über die .1.1 auf die pfSense zugreifen !
Eigentlich doch immer dieselbe Leier wie bei allen anderen Firewall Herstellern weltweit auch !
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-hyper-v.ht ...
https://www.informaticar.net/how-to-install-pfsense-on-hyper-v/
usw. usw.

Wie immer:

ich ziehe den imaginären Hut vor dir! Das mit der VM und dem zuweisen eines ph. Adapters hat geholfen und ich bin in der Web Gui!


vieelen lieben Dank!r
Bitte warten ..
Mitglied: aqui
07.10.2020 um 15:03 Uhr
Perfekt !
Hier kannst du zum Vergleich mal sehen wie man sowas mit einem einzigen physischen NIC unter VmWare ESXi machen kann:
https://administrator.de/forum/vlan-tagged-ports-610429.html#comment-148 ...
Bitte warten ..
Mitglied: Goldfuchs
07.10.2020 um 18:03 Uhr
Mein Problem ist jetzt eher die für mich extreme Komplexität mit verschienenen NIC, IP Netzen usw, da kommt noch ne menge "arbeit" auf mich zu
Bitte warten ..
Mitglied: aqui
07.10.2020 um 20:48 Uhr
He he he...du hast es ja selber nicht anders gewollt mit der virtualisierten Firewall. Also heul nicht und nimm es wie ein IT Networking Hero !!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Hyper-V

Hyper-V physisch virtuell Beachten bei IP, User etc.?

keinPlanVonNichtsFrageHyper-V17 Kommentare

Hallo miteinander, ich haette folgendes Anliegen: Eine Konvertierung von einem 2012R2 physischen zu einem virtuellem Server was dabei zu ...

Router & Routing

Fritzbox VPN hinter Speedport Smart 3

gelöst kaiser-cssFrageRouter & Routing5 Kommentare

Guten tag, ich würde gerne eine VPN Verbindung von außerhalb in mein Heimnetz erstellen. Wir haben einen Speedport Smart ...

Switche und Hubs

VTP (V.3) will net so

apranetFrageSwitche und Hubs

Ich habe einen CISCO Core der auch ein VTP Server ist. Funktioniert super. Aber 2 wollen nicht. Domäne, Version, ...

Switche und Hubs

V-LAN mit FritzBox und Layer2 Switch

gelöst takvorianFrageSwitche und Hubs6 Kommentare

Hallo zusammen, habe bei einem Bekannten, welcher in ein 2 Familien Haus gebaut hat, folgende Situation. Keller = Hausanschlussraum ...

Hyper-V

Bestehende XP-Installation mit Hyper-V virtualisieren

gelöst fox14chFrageHyper-V30 Kommentare

Hallo zusammen Ich habe folgendes Problem: Bei uns steht ein uralter XP-Rechner, welcher noch einige alte Programme beherbergt, die ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT