Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PFSense integrieren in bestehendes Netzwerk, als Sniffer, Regel Pass Any Any

Mitglied: Dynamyte

Dynamyte (Level 1) - Jetzt verbinden

04.07.2020, aktualisiert 19:35 Uhr, 343 Aufrufe, 3 Kommentare, 1 Danke

Moin, ich hab mal ne Verständnisfrage da ich mich mit PFSense nicht so gut auskenne.

Ich habe ein Bild angefügt das hoffentlich verdeutlicht wie das Netz aussieht. (Physikalischer Aufbau)

Zur INFO:
Die IP's sind Beispiele.
Ebenfalls ist das mit den Access Ports der aktuelle Stand und da es nur das "Haus Netz" und das "Internetz" gibt wird nicht mit Trunks bearbeitet. (Jeder darf ins Internet.)
Ich weiß das dieser Netzaufbau der totale Schrott ist und das man Server, Rechner, Drucker, etc. trennen sollte. Das ist hier aber nicht gewollt, bzw. wird ggf. bei einer Netzerneuerung umgesetzt.
Ebenfalls ist der Aufbau wie im Bild genauso einzuhalten, eine logische Verschaltung der Firewall kommt nicht in Frage.
Also bitte keine Diskussion dazu anheizen, ich kriege selber jedes Mal Herzklabuster wenn ich an dieses Netz denke...

1. Zu meiner Frage:

Um die Firewall ins Netz zu bringen würde ich den Internetanschluss am L3 ausstöpseln und mit dem WAN der FW verbinden,
als nächstes würde ich den L3 Port mit dem LAN der FW verbinden.
Anpassung FW:
Die FW nimmt hier den Platz des L3 ein und erbt dementsprechend WAN-seitig die IP Adresse und die Route.
In der Firewall trage ich zusätzlich die Route zum internen Netz ein.
Zusätzlich passe ich die LAN IP in die Neue des Transfer-Netzes an.
Als Regel wird eine Pass IPv4+IPV6 ANY ANY mit LOG erstellt.

Anpassung L3:
Am L3 schreibe ich die Route um, das alles (außer intern) an die FW gesendet wird.
Zusätzlich dazu ändere ich die IP des VL3 in die Neue des Transfer-Netzes.

2. Das wäre für mich logisch und müsste soweit auch funktionieren, könnt ihr da zustimmen oder liege ich da falsch?
3. Man sagte mir ich könne die FW auch komplett ohne Anpassung dazwischen hängen,
Nach meiner Logik arbeitet die FW ab L3 IP Basis und muss wissen wo die Daten hinsollen, bzw. was sie damit machen soll.
Das sagt mir das diese Aussage Bullshit ist, ich kann auch bei LAN und WAN keinen gleichen IP Adressbereich vergeben...
Gibt's dafür irgendeinen speziellen Trick um eine intelligente FW dazu zu bringen, dass sie sich nur wie L2 Baumarkt-Switch verhält?
4. Davon ausgehend das Frage 3 mit "Ja das ist Bullshit." beantwortet wird, ist es möglich die Firewall so einzubringen, das man bei Ausfall ohne Konfigurationsaufwand einfach die alte Verkabelung wiederherstellt?

zu 4, in der Theorie könnte ich doch die alte 0.0.0.0 Route als Fallback mit schwächerer Prio einrichten.
Ich lasse das VL3 wie es ist, erstelle stattdessen ein VL4 mit der Transfernetz-IP und ändere den Access Port zum Internet/FW in einen Trunk um. Ja nein vllt? :D

Danke für eure Hilfe!
netz - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
LÖSUNG 05.07.2020, aktualisiert um 16:04 Uhr
Deine Schritte zur Integration sind allesamt richtig !
Zu den Punkten...
2.)
Wir können 100% zustimmen.
3.)
Ja, das ist richtig. Die pfSense arbeitet mit der Default Konfig schon fix und fertig out of the Box. FW Regeln am Default LAN Port sind entsprechen passend fertig voreingestellt. Allerdings....
  • Das LAN Interface rennt Default mit einer IP von 192.168.1.1 /24. Das musst du ggf. an deine bestehenden Verhältnisse anpassen.
  • Der WAN Port der pfSense rennt im Default im DHCP Client Mode, versucht sich also dort eine IP zu ziehen. Je nachdem WAS du als WAN Infrastruktur hast (leider oben keinerlei Angaben ) musst du das anpassen. Das hiesige pfSense_Tutorial hat die WAN Port Details dazu.
  • Wenn dein L3 Switch VLANs routet muss auf der pfSense entsprechende Routen in diese Netze eingetragen sein.
  • Die Default Route des L3 Switch muss auf die LAN IP der pfSense zeigen.
Diese kleinen kosmetischen Anpassungen musst du natürlich zusätzlich zur Default Konfig machen. Wie so ein passendes Design dazu aussieht zeigen dir HIER ein paar bunte Bilder und Text.
Bullshit wäre also etwas zu hart formuliert. Mit den o.a. kleinen Anpassungen rennt auch die Default Konfig in deinem Design.
4.)
Ja, das ist kinderleicht !
Dabei sollte das Koppelnetz zur FW eine identische IP Adressierung haben wie jetzt. Dann muss man schlicht und einfach nur umstecken ohne weiteren Aufwand. Die pfSense verhält sich ja identisch wie jede FritzBox oder Baumarkt Router. Weiss man aber auch als Netzwerker...!
in der Theorie könnte ich doch die alte 0.0.0.0 Route als Fallback mit schwächerer Prio einrichten.
Nicht nur in der Theorie sondern auch in der Praxis ! Klar, das funktioniert natürlich auch problemlos.
Mit anderen Worten: Alles richtig gemacht !
Bitte warten ..
Mitglied: Dynamyte
05.07.2020 um 23:36 Uhr
Alles klar danke, das Problem ist eben manchmal, dass, wenn tausend Leute auf einen einreden, man iwann daran zweifelt ob die evtl doch Recht haben mit dem Unsinn den die da verzapfen!
Ich wollte mich einfach nochmal rückversichern, gerade weil ich die PFSense nicht kenne, hätte ja tatsächlich sein können das man die einfach ohne IP-Konfiguration als sniffer dazwischen schieben kann.

Danke für die Hilfe.

Ich hätte noch eine Frage, die PFSense hat mir bei der Einrichtung angeboten vlans anzulegen, wollte da aber direkt auch eine Anbindung haben, ich hab die natürlich nicht direkt am Switch konfiguriert.. Die Vlan Netze mache ich bei der Fw einfach bekannt, oder kann ich mir das sparen?
Noch mal zur Info, sie soll nichts tun außer loggen und natürlich wissen was das interne und externe Netz ist.
Bitte warten ..
Mitglied: aqui
06.07.2020, aktualisiert um 14:48 Uhr
gerade weil ich die PFSense nicht kenne
Dazu muss man sie auch nicht kennen. Es reicht völlig wenn man andere Firewalls kennt oder jeden beliebigen Baumarkt Router. Alle verhalten sich in der IP Adressierung ja immer gleich und so wie oben beschrieben.
Ich hätte noch eine Frage
Immer gerne...
die PFSense hat mir bei der Einrichtung angeboten vlans anzulegen
Kannst du beruhigt ignorieren oder verneinen. Du routest die VLANs ja zentral auf dem L3 Routing Switch. Die Firewall braucht also keine VLANs.
Die Vlan Netze mache ich bei der Fw einfach bekannt
Ja, mit einer einfachen statischen Route unter System --> Routing.
oder kann ich mir das sparen?
Kannst du dir auch sparen wenn du ein dynamisches Routing Protokoll wie z.B. RIPv2 oder OSPF nutzt auf Switch und Firewall.
Je nachdem was dir lieber ist.
Noch mal zur Info, sie soll nichts tun außer loggen und natürlich wissen was das interne und externe Netz ist.
Ahhhsooo !!!
Dann vergiss bitte ALLES was oben steht. Sorry, das habe ich missverstanden !
"Transparent Firewall" ist dann das Zauberwort !!!
Dann musst du aber schon etwas verändern im Firewall Setup. So out of the Box geht das dann nicht.
Sieh dir das u.a. YouTube Video an dort wird alles explizit erklärt für exakt genau die Anforderung (reine Überwachung) die du planst !!

Dann definierst du die pfSense natürlich als einfache Bridge:
https://www.youtube.com/watch?v=1EXgyvwJZ6k
https://docs.netgate.com/pfsense/en/latest/book/bridging/index.html
Sorry für die Verwirrung....
Dann kannst du die Firewall natürlich auch mit einfachen Patch Kabel überbrücken als simpler Fallback.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

OPNsense blockt UDP Datenpakete trotz pass Regel (VPN)

Frage von LukeMcMLAN, WAN, Wireless3 Kommentare

Hallo, wie oben beschrieben habe ich ein Problem mit OPNsense in Verbindung mit OpenVPN. Kurz zu den Gegebenheiten: Die ...

Firewall

PFsens Open VPN Verbindung

Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Debian

KVM nested virtualization (cpu pass-through)

gelöst Frage von it-fraggleDebian7 Kommentare

Hallo, zwar brauche ich es sehr selten, aber nun ist es wieder soweit. Eine VM schnell eingerichtet und soweit ...

Apple

ANY IDEA? Google Chrome übernimmt geänderte Spracheinstellung nicht

gelöst Frage von AndulaApple2 Kommentare

Hallo Zusammen Völlig unerwartet und ohne erkennbaren Grund präsentiert sich Google Chrome bei mir auf serbisch. Unklar ist für ...

Neue Wissensbeiträge
Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 18 StundenViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 5 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit16 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Netzwerkprotokolle
Cisco IOS IPv6 Tunnel MTU Problem dauerhafte TLS-Handshakes
Frage von Windows10GegnerNetzwerkprotokolle13 Kommentare

Hallo, ich hatte habe das Problem ja schon lange, ich will das aber jetzt richtig angehen (MTU nicht manuell ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs12 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...