teamwagner
Goto Top

PfSense WAN-Zugriff

Hallo zusammen
ich bräuchte Hilfe bei der Einrichtung von pfSense im Zusammenspiel mit einer FritzBox 7490.
Ich habe schon einige Beiträge zu diesem Thema gefunden, aber ich habe meine Problematik noch nicht gefunden.

Folgendes Netzwerk:
Glasfaser-Modem > FritzBox 7490 als Router (192.168.177.1 /24) mit Zugangsdaten für das Modem, DHCP von .50 - .200, aktiviertes WLAN. > An der FB hängt als exposed Host eine pfSense dran: WAN: 192.168.177.2, LAN1: 192.168.0.0 /24 Diese baut eine Site2Site Verbindung mit einem 192.168.178.0er-Netz auf, das funktioniert auch soweit.
Die Fritzbox dienst als Access Point für diverse Mobilgeräte. Was wir wollen ist, dass wir vom FB-Netz über den WAN-Port der pfSense ins LAN1 kommen, um dort auf ein Netzwerkshare zu zugreifen. Im Grunde könnte man nun einfach einen AP im pfSense-Netz hinbauen und gut ist, aber wir wollen schon die Hardware nutzen, die wir eh schon haben.

In der FB habe ich eine statische Route eingerichtet: 192.168.0.0 /24 > GW 192.168.177.2 und in der pfSense ist folgende Regel konfiguriert: WAN > LAN1 > Quell-Netz 192.168.177.0 >ZielNetz 192.168.0.0 >any protocol, allow und an die oberst mögliche Position geschoben.
Außerdem habe ich den Zugriff von privaten IP-Adresse am WAN-Port erlaubt.

Problem ist nun einfach, dass es nicht geht :D Ich kenne mich mit pfsense praktisch kaum aus (die Erst-Konfiguration hat ein ehemaliger Mitarbeiter durchgeführt), ich habe mir nur die Basics beibringen können. Vieles ist ja auch selbst erklärend. Aber ich bin jetzt auch kein Netzwerk-Profi und wenn es in Richtung NAT geht fängt es schon an etwas hakelig zu werden.

Kann mir jemand helfen?

Danke im Voraus!
- Max

Content-ID: 377423

Url: https://administrator.de/contentid/377423

Ausgedruckt am: 26.11.2024 um 15:11 Uhr

LordGurke
LordGurke 18.06.2018 um 19:19:05 Uhr
Goto Top
Das klingt für mich auch irgendwie überhaupt nicht sinnvoll...
Wäre es nicht einfacher, die pfSense die Verbindung über das Modem aufbauen zu lassen und die FB an einen der LAN-Ports der pfSense anzustöpseln?
orcape
orcape 18.06.2018 um 19:49:16 Uhr
Goto Top
Hi,
Das klingt für mich auch irgendwie überhaupt nicht sinnvoll...
Ist es wohl denn auch nicht.
Ich kann ja die Fritte noch vor der pfSense nebst separatem Netz akzeptieren. Das habe ich bei mir auch so laufen und da hängt Gastnetz für Smartphones und Plauder-TV dran. So ganz nebenbei noch Telefon. face-wink
Aber die pfSense "aufzubohren", um vom Frittennetz aus, an das LAN der pfSense zu kommen, dürfte Sicherheits-Technisch eher kontraproduktiv sein.
Hier solltest Du schon entscheiden, was Dir die Sicherheit hinter der Firewall wert ist und nicht ein Gerät aus dem Consumer-Netz, die Firewall "aushebeln" lassen.
Die Fritte ins LAN der pfSense würde bei Tel-Nutzung wieder mehr Aufwand bedeuten.
Gruss orcape
aqui
aqui 18.06.2018 um 20:13:59 Uhr
Goto Top
Das klingt für mich auch irgendwie überhaupt nicht sinnvoll...
Dem kann man in der Tat nur zustimmen.
Damit ist ja das Firewall Konzept ad absurdum geführt, wenn man den WAN Port so öffnet zum LAN. Damit ist die Firewall quasi sinnfrei und man könnte sie dann auch gleich ganz weglassen. Wäre für dich sicher die einfachste Lösung weil sie in so einem aufgeweichten Konzept wie deinem quasi nur überflüssiger "Durchlauferhitzer" ist.
Der Lord hat Recht. Sinnvoll ist es die FritzBox mit einem reinen Modem zu ersetzen und die FB dann als AP intern zu betreiben wie hier beschrieben.
Da die pfSense Firewall NAT macht (IP Adress Translation) am WAN Port wird dir eine RFC 1918 Regel und die statische Router in der FB nicht reichen.
Du musst ebenfalls eine Port Forwarding Regel erzeugen die die NAT Firwall überwindet und die relevanten Netzwerk Sharing Ports dann an die IP Adresse des Shares forwardet.
Wie bereits gesagt macht sowas die FW dann quasi sinnlos.

An einem popeligen Accesspoint sollte doch wohl die Sicherheit nicht scheitern !
Popelige 25 Euro für einen AP sollte man doch immer investieren um das Netz sicher zu gestalten:
https://de.varia-store.com/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
Damit kannst du das WLAN der FB dann getrost abschalten und musst auch nicht mehr deine Firewall durchlöchern.
UnbekannterNR1
UnbekannterNR1 18.06.2018 um 22:51:36 Uhr
Goto Top
So das, das nicht unbedingt sinnvoll ist haben wir jetzt diskutiert. Aber um eine Lösung zu finden hast du folgende Punkte abgehakt?

Unter interfaces -> WAN die beiden Punkte ganz unten deaktiviert "Block private networks and loopback addresses" evtl. Reicht auch nur einer, Testen!
Unter Firewall -> NAT den Mode auf None Stellen.

Die Regel in der Firewall hast ja schon beschrieben.
Und die Route in der Fritz box sollte passen. Ohne die, ginge sonst mit den Einstellungen von oben Internet wohl gar nicht mehr.

Und sollte das alles nicht helfen, wie immer die Frage was sagt die Log Datei? Und nicht vergessen unter Log Setting die Punkte
Log packets blocked by 'Block Bogon Networks' rules
Log packets matched from the default block rules in the ruleset
zu aktivieren.
aqui
aqui 19.06.2018 aktualisiert um 13:51:44 Uhr
Goto Top
Unter Firewall -> NAT den Mode auf None Stellen.
Das ist der richtige Schritt, denn das deaktiviert das NAT auf der FW und dann erübrigen sich auch die Port Forwarding Einträge.
Fehlt nur noch eine statische Route zu setzen in der FritzBüx davor, damit das lokale pfSense Netz erreicht werden kann.
Siehe auch hier dazu was alles zu dem Design erklärt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit klappt es dann auf Anhieb.
teamwagner
teamwagner 19.06.2018 um 17:02:00 Uhr
Goto Top
Hallo zusammen,
danke für eure Inputs!
Wenn ich bei der pfSense die NAT-Regel deaktiviere..ist das dann Outbound? Dann kann man doch nicht mehr von hinter der pfSense surfen, oder?
Ich spiele noch mit dem Gedanken, die FB doch hinter die pfSense zu setzen. Funktioniert die Site2Site dann noch, wenn die pfsense auch direkt die Einwahl macht? Site2Site wird von einem 101er Netz initiiert, das ebenfalls durch eine FB geroutet wird (das 178er Netz)

Die FB bei uns war bisher vor der pfSense, da sie bis vor ein paar Monaten noch eine TK per S0 angeschlossen hatte. Inzwischen sind wir auf 3CX umgestiegen (Server steht im 101er Netz inhouse). Von der FB nutzen wir aber noch die Fax-to-Mail Funktion. Ich nehme mal an, dass man das dann auch bei der pfSense Firewall-mäßig beachten muss, die Funktion aber weitesgehend weiter genutzt werden kann?
Außerdem wird auch der myfritz-DynDNS genutzt^^ für die Site2Site, die das 101er Netz aufbaut...hm, je mehr ich drüber nachdenke, desto mehr denke ich darüber nach, es so zu lassen, wie es derzeit ist :D

Also entweder wir besorgen uns nen neuen AP (mit 5 GHz, deswegen nutzen wir bisher auch noch das FB WLAN) oder ich konfiguriere die pfSense so, wie ihr beschrieben habt. Wie kann ich denn die pfSense mit der Vorgabe, dass man auf ein NAS per SMB zugreifen kann, am Sichersten konfigurieren? Ich habe derzeit meine FW-Regel , die die FW durchbohrt, erstmal deaktiviert. Ich ändere das "LAN net" auf die feste IP des NAS, um das mehr einzuschränken und ändere die Ports auf UDP/TCP, damit ist SMB ja abgedeckt.. Oder kann ich bei der FB auch einen einzelnen Host per Routing definieren?

Danke!
- Max
aqui
aqui 19.06.2018 um 18:51:18 Uhr
Goto Top
NAT-Regel deaktiviere..ist das dann Outbound?
In und Outbound ! NAT funktioniert doch immer bidirektional wie du hoffentlich seler weisst ?!
Das lokale LAN wird auf die IP des WAN Ports übersetzt mit der Absender IP und vice versa eingehende Pakete die eine NAT Session Nummer haben werden wieder zurückübersetzt auf die lokale LAN IP. Eben bidirektional.
Wenn du es deaktivierst routest du transparent wie mit einem IP Router. Siehe o.a. Router Tutorial !!
Bitte lesen dort ist das unter dem Kapitel ICS/NAT genau beschrieben.
Funktioniert die Site2Site dann noch, wenn die pfsense auch direkt die Einwahl macht?
Ja, natürlich !
Inzwischen sind wir auf 3CX umgestiegen
Die ja wohl hoffentlich im lokalen LAN an der Firewall liegt ?!
DynDNS kannst du natürlch auch auf der pfSesne machen.
dass man auf ein NAS per SMB zugreifen kann, am Sichersten konfigurieren?
Du meinst doch wohl hoffentlich NICHT aus dem Internet via SMB auf das NAS zugreifen, oder ??
Das wäre tödlich aus Sicherheitssicht, denn damit gehen die NAS Daten dann vollkommen ungeschützt und für die ganze Welt sichtbar übers Internet. Ein absolutes NoGo !!
Hier ist wie immer VPN dein bester Freund !!!
Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
FW-Regel , die die FW durchbohrt, erstmal deaktiviert.
Dein großes Glück. So Daten ungeschützt zu versenden ist Leichtsinn und machen nur noch Dummies.
Mal abgesehen davon das du damit auch diese Sharing Ports in dein lokales LAN öffnest.
So eine Fahrlässigkeit muss man sicher nicht noch weiter kommentieren in einem Admin Forum ?!
teamwagner
teamwagner 19.06.2018 aktualisiert um 20:23:06 Uhr
Goto Top
Ja, ich weiß, dass NAT bidirektional ist. Dass ich mich mit pfSense kaum auskenne, habe ich ja bereits erwähnt. Daher verzeihe mir bitte, wenn ich in der GUI der pfsense nur outbound regeln sehe. Richtiges routing habe ich bisher noch nicht gebraucht, das letzte Mal ist schon ein paar Jahre her. Bisher hat es immer gereicht.
Der 3CX Server ist an einem anderen Standort hinter einer Sophos Firewall. Genaueres weiß ich nicht.
Ich will auch nicht aus dem Internet auf den NAS zugreifen, ich rede die ganze Zeit vom "WAN"-Netz der pfsense, was ja eigentlich noch das LAN-Netz der FB ist.

Danke für deine Antwort face-smile
aqui
aqui 20.06.2018 aktualisiert um 19:36:25 Uhr
Goto Top
Ja, ich weiß, dass NAT bidirektional ist.
Wenn du das weisst warum fragst du denn oben ??
Daher verzeihe mir bitte, wenn ich in der GUI der pfsense nur outbound regeln sehe.
Die pfSense supportet generell gar keine Outbound Regeln !!!
Du hast hier leider scheinbar wirklich keinerlei Durchblick. Nimm dir am besten jemanden an die Hand der weiss was er da tut. Das ist sicher für dich einfacher.
Die pfSense funktioniert generell so wie jeder simple Internet Router auch... Lokales LAN, WAN Port mit NAT, fertisch.
Zusätzlich kann sie sich den Traffic noch etwas genauer ansehen (Firewall Funktion)
Eigentlich ganz simpel um sich damit auszukennen. Zumal es auch ein gutes Buch gibt wo das für Laien alles haarklein beschrieben ist:
https://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
https://www.amazon.de/pfSense-Cookbook-English-Matt-Williamson/dp/184951 ...
Richtiges routing habe ich bisher noch nicht gebraucht,
Baust du sonst nur doofe, flache Layer 2 Netze ohne jegliche Segmentierung ?? Wo jedes noch so kleine Firmennetz heite mindestens aus 3 Segmenten besteht.
Voice Netze im kommerziellen (Firmen) Bereich muss man schon aus rechtlichen Gründen segmentieren und routen ! Vom L3 QoS mal gar nicht zu reden.
Da hast du aber wahrlich noch ziemliche Defizite face-sad
vom "WAN"-Netz der pfsense, was ja eigentlich noch das LAN-Netz der FB ist.
Aber durch die "Exposed Host" Konfig der FB dann tödlich unsicher !!
In das Segment setzt ein verantwortungsvoller Netzwerker NIEMALS irgendwelche lokalen Endgeräte.
Aber wie gesagt...da musst du deine Defizite nochmal etwas entfernen.