motte990
Goto Top

Pfsense WAN und LAN welche IP?

Hallo ich beschäftige mich gerade mit Pfsense.

Mein netz ist das der Fritzbox 192.168.178.0.

192.168.178.1 ist die Fritzbox
192.168.178.249 ist das Hyper-V Blech
192.168.178.250 AD, DHCP, DNS

Meine Idee ist jetzt die WAN Karte auf die 192.168.178.2 und die LAN auf 192.168.178.254. somit dann über den dhcp das Gateway 192.168.178.254 bekannt geben..

Ist das so korrekt oder lieber anders gestalten?

Content-ID: 482538

Url: https://administrator.de/forum/pfsense-wan-und-lan-welche-ip-482538.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Pjordorf
Pjordorf 07.08.2019 um 14:18:11 Uhr
Goto Top
Hallo,

Zitat von @Motte990:
Meine Idee ist jetzt die WAN Karte
Die WAN deiner Pfsense, oder? Was macht deine Pfsense? Funktioniert das dann noch wenn das WAN und LAN gleiche Netze haben? Warum dann nioch eine Pfsense?

Gruß,
Peter
certifiedit.net
certifiedit.net 07.08.2019 um 14:23:31 Uhr
Goto Top
Hallo,

eigentlich ja

192.168.178.1 Box
192.168.178.2 pfSense
sonst nix

192.168.111.1 pfSense
192.168.111.2-x sonst

DMZ bzw Server
192.168.112.1 pfSense
192.168.112.2 Hyper-V

aber für eine konkrete Ausgestaltung, insbesondere bei einem kritischen Geschäftsnetzwerk solltest du jemanden hin zu ziehen (ggf. auch die pfSense ersetzen). Kannst dazu natürlich gerne bei uns anklopfen.

Viele Grüße,

Christian
certifiedit.net
Motte990
Motte990 07.08.2019 um 14:24:43 Uhr
Goto Top
Wenn du sagst das dasFalsch ist wie sollte es denn dann aussehen ? Geplant ist das alles durch die PFsense geht bevor es an die Fritzbox bzw. ins Internet kommt. Machen soll die pfsense VPN auf jedenfall und halt firewall.


Oder soll ich mein Netzwerk doch ändern ? Andere ips? Wenn ja wie würde es am besten aussehen oder ist es zu empfehlen ?
Motte990
Motte990 07.08.2019 um 14:26:42 Uhr
Goto Top
Es ist alles im Privaten Raum los alles zuhause .
certifiedit.net
certifiedit.net 07.08.2019 um 14:26:46 Uhr
Goto Top
Was läuft denn in dem Netz? Home oder Business? Welche Anwendungen, wie viele Anwender, was für Server?
certifiedit.net
certifiedit.net 07.08.2019 um 14:27:13 Uhr
Goto Top
Zitat von @Motte990:

Es ist alles im Privaten Raum los alles zuhause .

Dann hast du oben ne simple Blaupause.
Looser27
Looser27 07.08.2019 um 14:28:13 Uhr
Goto Top
(ggf. auch die pfSense ersetzen)

Ein Schelm, wer böses dabei denkt.....
Motte990
Motte990 07.08.2019 um 14:36:12 Uhr
Goto Top
Also Fritzbox 192.168.178.1
Pfsense wan 192.168.178.2

3 x Pfsense?

So ganz schlau werde ich aus deinem Beispiel nicht 🙈
certifiedit.net
certifiedit.net 07.08.2019 um 14:42:01 Uhr
Goto Top
Dann wird es Zeit für die Netzwerkbasics face-wink

Du willst doch die Netze trennen, um Sicherheit zu erreichen, oder willst du nur nen Stromverbrenner generieren? (da hätte ich nettere Sache, Teslaspule oder so face-smile.
Motte990
Motte990 07.08.2019 um 14:44:38 Uhr
Goto Top
Hast schon recht das ich die Netze trennen will 😊👍


Strom verbrauchen macht der große Teich schon 😂

Die pfsense läuft aber als Vm auf dem Hyper-V.
Looser27
Looser27 07.08.2019 um 14:45:49 Uhr
Goto Top
Zum Thema Routerkaskade gibt es fertige Anleitungen vom Kollegen @aqui hier im Forum.
Pjordorf
Pjordorf 07.08.2019 um 14:47:27 Uhr
Goto Top
Hallo,

Zitat von @Motte990:
Strom verbrauchen macht der große Teich schon 😂
Bei mir ist der große Teich eben der Atlantik, was ist es bei dir?

Gruß,
Peter
Motte990
Motte990 07.08.2019 um 14:54:47 Uhr
Goto Top
Hast du zufällig eine link zur Hand ? Finde nur was zum Thema VPN von ihm
Looser27
Looser27 07.08.2019 um 15:18:33 Uhr
Goto Top
aqui
aqui 07.08.2019 aktualisiert um 18:02:57 Uhr
Goto Top
Meine Idee ist jetzt die WAN Karte auf die 192.168.178.2 und die LAN auf 192.168.178.254.
Wäre nicht so gut, denn dann müsste die FW transparent arbeiten als Layer 2 Bridge. Besser du lässt sie routen mit 2 unterschiedlichen IP Netzen.
Oder musst du sie im Layer 2 Mode betreiben ?
WAN: wäre die 192.168.7.254 /24 z.B. und als LAN Interface nimmst du das netz in dem deine zu schützenden VMs liegen ! Simples Standard Design.
Guckst du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Henere
Henere 07.08.2019 um 19:01:23 Uhr
Goto Top
Zitat von @Motte990:
Hast schon recht das ich die Netze trennen will 😊👍
Die pfsense läuft aber als Vm auf dem Hyper-V.

Dann steckst halt eine NIC mehr rein in das Blech.
Motte990
Motte990 07.08.2019 um 20:10:22 Uhr
Goto Top
Also ich habe mir Gedanken gemacht und zwar wollte ich das netz jetzt wie folgt Stricken:

192.168.178.0

Fritzbox 192.168.178.1
Pfsense WAN 192.168.178.2 GW 192.268.178.1 DNS?

192.168.110.0

Pfsense LAN1 192.168.110.1
Windows Core AD, DNS, DHCP 192.168.110.250 GW 192.168.110.1
DNS 192.168.110.250
DHCP 192.168.110.100 - 150
Feste reservierte IPs für Drucker, Synology , Arbeitspc , Firetv Stocks usw


192.168.111.0

Pfsense LAN2 192.168.111.1
Hyper-V Blech 192.168.111.2 GW 192.168.111.1 DNS 192.168.?

192.168.112.0

Pfsense LAN3 192.168.112.1
Gast WLAN
Kommt erst noch

Frage 1 ist das so korrekt?
Frage 2 Maske 255.255.255.0?
Frage 3 Wo müsste ich welche statische Route eintragen?
aqui
aqui 07.08.2019 um 20:29:59 Uhr
Goto Top
Dann steckst halt eine NIC mehr rein in das Blech.
Muss ja nicht sein...
  • WAN Port per Bridge an die NIC des Hypervisors
  • LAN Port auf dem internen vSwitch an dem die VMs hängen.
  • Fertisch
Sähe dann so aus:
Netzwerk 192.168.178.0 /24:
Fritzbox 192.168.178.1
Pfsense WAN: 192.168.178.2 GW: 192.268.178.1 DNS: 192.168.178.1 (FB ist Proxy DNS)

Netzwerk: 192.168.110.0 /24
Pfsense LAN1: 192.168.110.1 /24
Windows Core AD, DNS, DHCP: 192.168.110.250, GW: 192.168.110.1
DNS 192.168.110.250
DHCP 192.168.110.100 - 150
Feste reservierte IPs für Drucker, Synology , Arbeitspc , Firetv Stocks usw

Netzwerk: 192.168.111.0 /24:
Pfsense LAN2: 192.168.111.1
Hyper-V Blech: 192.168.111.2, GW: 192.168.111.1 DNS 192.168.178.1 (FB ist Proxy DNS)

Netzwerk: 192.168.112.0 /24:
Pfsense LAN3: 192.168.112.1
Gast WLAN, Captive Portal auf pfSense aktivieren
Motte990
Motte990 07.08.2019 aktualisiert um 20:51:48 Uhr
Goto Top
Zitat von @aqui:

Dann steckst halt eine NIC mehr rein in das Blech.
Muss ja nicht sein...
  • WAN Port per Bridge an die NIC des Hypervisors
  • LAN Port auf dem internen vSwitch an dem die VMs hängen.
  • Fertisch
Sähe dann so aus:
Netzwerk 192.168.178.0 /24:
Fritzbox 192.168.178.1
Pfsense WAN: 192.168.178.2 GW: 192.268.178.1 DNS: 192.168.178.1 (FB ist Proxy DNS)

Netzwerk: 192.168.110.0 /24
Pfsense LAN1: 192.168.110.1 /24
Windows Core AD, DNS, DHCP: 192.168.110.250, GW: 192.168.110.1
DNS 192.168.110.250
DHCP 192.168.110.100 - 150
Feste reservierte IPs für Drucker, Synology , Arbeitspc , Firetv Stocks usw

Netzwerk: 192.168.111.0 /24:
Pfsense LAN2: 192.168.111.1
Hyper-V Blech: 192.168.111.2, GW: 192.168.111.1 DNS 192.168.178.1 (FB ist Proxy DNS)

Netzwerk: 192.168.112.0 /24:
Pfsense LAN3: 192.168.112.1
Gast WLAN, Captive Portal auf pfSense aktivieren


Was meinst du mit dem punkt? WAN Port per Bridge an die NIC des Hypervisors
LAN Port auf dem internen vSwitch an dem die VMs hängen.
Fertisch


der Hyper-v ist auch Mitglied der AD muss der dann nicht auch die 192.168.110.250 als DNS bekommen?

Und warum FB ist Proxy DNS davhte DNS macht der DC
Henere
Henere 07.08.2019 um 21:11:44 Uhr
Goto Top
Zitat von @aqui:

Dann steckst halt eine NIC mehr rein in das Blech.
Muss ja nicht sein...
  • WAN Port per Bridge an die NIC des Hypervisors
  • LAN Port auf dem internen vSwitch an dem die VMs hängen.
  • Fertisch

Für die VMs geht das. Aber was machst mit anderen Blechen oder Plastiken ? Dazu ist zwingend die zweite NIC im Hyper-V-Blech nötig.
Jetzt komm mir nicht mit VLAN und nem L3-Switch face-smile
aqui
aqui 07.08.2019 aktualisiert um 21:31:52 Uhr
Goto Top
WAN Port per Bridge an die NIC des Hypervisors
Diese Adapter per Bridge Mode (Layer 2) verbinden...
Für die VMs geht das. Aber was machst mit anderen Blechen oder Plastiken ?
Hat der TO ja nicht ! Jedenfalls nicht was die VMs angeht.
Für das Gast WLAN braucht er allerdings ne zweite NIC wenn er nicht mit einem VLAN Swtch und Tagged Ports arbeten will. Gut, gibts ja schon für 4 Euronen... face-wink
Motte990
Motte990 08.08.2019 aktualisiert um 07:07:51 Uhr
Goto Top
Soweit läuft alles .

DHCP macht jetzt die pfsense 192.168.110.100-150 und nicht mehr der DC

Meine frage ist wenn ich jetzt test weise RDP vom Client 192.168.110.20 freigeben möchte wie muss die Freigabe in der Firewall aussehen? Daran Scheitere ich noch. Also öffentlich freigeben ( Nur testweise )

Und muss ich noch routen hinzufügen? etwa auf dem Hyper-v und dem DC oder in der fritzbox ?
Looser27
Looser27 08.08.2019 um 08:17:22 Uhr
Goto Top
Du mußt eine Inbound-Regel erstellen, die RDP auf den Zielrechner freigibt. Ob das allerdings eine gute Idee ist......
aqui
aqui 08.08.2019 aktualisiert um 09:56:23 Uhr
Goto Top
DHCP macht jetzt die pfsense 192.168.110.100-150 und nicht mehr der DC
Hat dann aber den Nachteil das du dann keine lokalen DNS Namen mehr auflösen kannst face-sad
Besser und sinnvoller wäre es hier nur auf dem 110er Segment kein DHCP auf der pfSense zu machen sondern auf dem DC und dann auf dem dortigen DNS Server eine Weiterleitung auf die pfSense IP 192.168.110.1 einzutragen.
So löst er interne DNS Namen auf und alles was er nicht kennt (Internet) reicht er weiter an die pfSense. Klassisches Standard Szenario...
Und muss ich noch routen hinzufügen?
Nein ! Bitte mal selber etwas nachdenken !
Alle deine IP Netze sind doch direkt an der pfSense angeschlossen und sie ist für alle Netze das Gateway. Folglich "kennt" sie also alle deine IP Netze selber. Routen sind also überflüssig !
Einzig eine Default Route musst du setzen auf die FritzBox, was du ja am WAN Port schon gemacht hast.
Denk dran:
Auf allen zusätzlichen Interfaces außer LAN musst du entsprechende FW Regeln definieren !! LAN hat eine Default Regel aber die anderen nicht und bei einer FW gilt immer: Alles was nicht erlaubt ist, ist verboten !