Eine Webserver VM mit Debian, erreichbar von Außen auf port 80 und 443. - Alle anderen Ports sind via WAN/SUBNET gesperrt. Auch hier Administation via SSH nur über VPN im LAN - Gute idee?

Prinzipiell schon. Jeder Port der von extern nicht sichtbar ist, ist ein gespartes Sicherheitsrisiko + du musst dich nicht um Bots o.ä. kümmern die periodisch versuchen, Server aufzuspüren oder tumbe SkriptKiddies die alte Security Lücken ausprobieren.

Eine eigene VM für Datenbank-Gedönse, womit ich wirklich sehr sehr viel arbeite, nur erreichbar über LAN, u.a. vom Webserver. Hat erst gar keine PublicIP bzw Subnet IP, nur mit dem LAN netz verbunden - Gute idee?

Private IP, nur abgehendes NAT für Updates via HTTP/S etc. und gut ist. Was von WAN nicht erreichbar ist, ist gut. Wenn mans super-extra-secure bauen will, könnte man intern noch private VLANs einführen und nur im VLAN DMZ bspw. das Interface einhängen, das dann per 1:1 NAT o.ä. via extern erreichbar ist und der VM dann noch eine zweite NIC im zweiten VLAN für "intern only" Geräte geben. So oder so: kommt jemand über irgendwelche Wege auf einen der Public available Server, kommt er - wenn von da aus bspw. die DB benötigt wird - auch weiter auf die DB. Zumindest mit dem Zugang für die Applikation die auf dem Webserver konfiguriert ist.

Es ist halt so, das es meiner meinung nach genug Server(-Administratoren) im WWW gibt, die sich ein Dreck um die Sicherheit kümmern, geschweige denn, sich überhaupt Gedanken drüber machen. Server offen wie eine alte Scheune..

Das ist leider wahr bzw. sind es oft keine Admins und Co. sondern Chefs/IT Entscheider, die nur auf den Preis achten, billig billig möchten und dann denken, dass es mit "1x klicken, Server erstellt, 1x klicken Control Panel installieren" getan ist. Dass beide Komponenten (Server wie CP) aktualisiert werden und verstanden werden müssen, ist den wenigsten klar - bis es knallt. Meist hört man dann oder danach noch "machs wieder so wies war, hat die letzten 5 Jahre ja auch gehalten, wird dann auch wieder ein paar Jahre halten". So ists aber eben nicht, das Internet wird immer mehr zur Gefahrenzone und das hört eben nicht auf, sondern nimmt eher zu!

Das möchte ich gerne so gut es nur geht vermeiden. Ich mein klar, ich betreibe einige Webseiten und muss daher schon mal 2 Ports öffnen - jeder offene Port ist ja quasi ein sicherheitsrisiko? oder sehe ich das falsch?

Siehst du pontentiell richtig, aber nur 2 Ports für 80/443 zu öffnen ist schon ein sehr guter Ansatz. Ein zweiter ist es, eine vorgeschaltete Firewall zu verwenden anstatt das auf der gleichen Maschine abzuwickeln. Insofern bist du da wohl schon sicherer als roundabout 80% der Default-Server-Kunden bei Hetzner und Co. ;)

Würde gerne mal hören was ihr dazu sagt, bzw ob ihr mir noch ein paar weitere Tips geben könnt. Villeicht gibts ja noch den einen oder anderen Kniff.

Ich denke du hast den Großteil da schon verstanden:

Management via VPN um unnötigen Dienste zu exponieren Nur Ports öffnen die unbedingt nötig sind Firewall vorschalten/vorfiltern Im Bereich hinter der Firewall ggf. notwendige (V)LAN(s) definieren und VM Interfaces in die richtigen Zonen packen Hypervisor absichern (WAN/externer Zugriff abschalten, Zugriff via VPN bauen)

Damit ist "von außen sichtbar" eigentlich nur noch deine 2. IP auf der pfSense bzw. die IPs des Zusatznetzes. Die 1. IP des Hypervisors ist abgeschaltet und auf allen anderen IPs ist nur freigegeben (Web Ports) was sein muss.
Wichtig: Wenn du tatsächlich mal von außen SSH (bspw. für SFTP o.ä.) oder andere Dienste freigeben musst, weil das bspw. für eine Anbindung o.ä. notwendig ist, dann versuche solche Dinge auf bestimmte IPs oder Netze zu beschränken (Source != any), dann holst du dir an der Stelle auch keine sehr viel größere Angriffsfläche mit ins Boot.

Grüße Jens

Hi,

deine LAN IP auf Site B liegt in dem Subnetz, das du da als "Remote Network" eingetragen hast?

Danke JeGr

Hab eben gesehen das sich was bewegt…  ;D 8)

https://twitter.com/gonzopancho/status/738818738431139840

https://www.pine64.com/product

@JeGr:

Ansonsten mal versuchen erst in dem Screen Switch to R/O zu machen und danach wieder R/W (sollte dann ja gehen)?

Das hat mein Problem gelöst. Manchmal ist es so einfach. 8) Danke für die Hilfe. Ich kann nun wieder Regeln erstellen und habe soeben das Firmware update erfolgreich durchgeführt.

Dann machen ich am besten noch vlan dazu und fertig. Ist meiner Meinung nach die beste Lösung.

Vielen Dank! Das hat uns sehr weitergeholfen!

Hallo,

was davon ist denn auf der pfsense konfiguriert?
squid?
Loadbalancer?
gar nichts?

Loadbalancer funktioniert ja normalerweise wie folgt:

Du konfigurierst einen "Virtual Server" mit einer IP-Adresse. Clients stellen die Anfrage an die IP des Virtual Servers Hinter dem Virtual Server befindet sich ein "pool". Dieser Pool besteht in deinem Fall dann aus den beiden IP-Adressen und Ports der squid server Fragt nun ein Client die virtuelle IP des Virtual Servers an, dann macht dieser ein Loadbalancing auf die Member des pools.

Es ist also wichtig, dass die Clients den Loadbalancer erreichen können (Firewall Regel) und dann muss die IP des Loadbalancers die Member im "pool" erreichen können

I see.. Wie gesagt, steh ganz am Anfang.

Danke für die Erklärung und Zeit!

Muss mich in meinem Material erstmal bis zum Thema Routing vorarbeiten ums zu verstehen denke ich…

Wenn du im internen DNS die interne IP des Exchange Servers eingetragen hast und die pfSense von den WLAN-Geräten als DNS abgefragt wird (habe Zweifel), muss die auch die interne Server IP bei der Auflösung zurückkommen.
Um hier sicher gehen zu können, wollte ich zuvor die gesamte Rückgabe des nslookups sehen. Das habe ich mit fehlende Details gemeint. Du machst es einem nicht einfach, dir zu helfen.  :-\

Ach was da im Herbst kommen soll werte ich in die Kategorie RasPI Zero alias Cortex-A7 32Bit Single-Core @ 1GHz. Damit hättest du selbst vor 3 Jahren keine Handy schrecken können. Mit dein 64Bit Octa-Cores aus Huawei P9 & Huawei Mate 8 -bez der Technik die ich meinte- hat dass alles nichts am Hut. Aber ein Anfang ist es sicher. Das man es sich mit der HW so schwer gemacht hat erstaunt allerdings. Das Banana Pi R1 (Banana Pi Routerboard) ist seit ende 2014 am Markt. Kostenpunkt mit Gehäuse und SD Card ~100€. FAQ: 2x 1GHz (Cortex-A7), 1GB RAM, 1x RTL8192CU (Realtek WLAN 802.11b/g/n) 5x BCM53125 (5x 1GBit Broadcom). Wieso sie es so gemacht haben, und nicht das BPI-R1 gewählt haben, oder gleich auf den 64Bit Zug gesprungen sind.. who knows..??  ::)

PS:// Mit SFP(+) allenfalls Glas Ports ist das immer so ne Sache. Damit zu spielen ist meist Mühsam, Nervig, Teuer und bringt nicht viel. Kupfer ist da viel einfacher, und deutlich günstiger.  ;D

Hallo,

hier in diesem Thread stehen meines Erachtens so viele verschieden Fragen und Probleme wo ich gar nicht verstehe, worum es geht. Deswegen antowrte ich nur auf die Frage, wie man manche Geräte vom Proxy ausnehmen kann (Fire TV)

Dazu gibt es, wenn man squid im "transparent mode" laufen lässt zwei Methoden:

Package –> Proxy Server: General Settings --> General

Dort gibt es die beiden Funktionen:
1.) Bypass Proxy for Private Address Destination
2.) Bypass Proxy for These Source IPs

Also einmal kann man entweder alle Ziel-IPs angeben, bei denen der Proxy umgangen werden soll oder aber man gibt die Source-IPs der Clients ein, die den Proxy nicht nutzen sollen.

Zum Thema SquidGuard allgemein:
Egal welche Anpassungen ihr vornehmt, am Ende sollten immer folgende beide Schritte stehen:

Package –> Proxy filter SquidGuard: General settings --> General settings

1.) Save (ganz unten auf der Seite)
2.) Apply (ganz oben auf der Seite)

Danach mal 1-2 Minuten warten, dass sich alle Datenbanken, Listen, Services wieder gestartet haben. Vorher öffnet sich oftmals keine Webseite und man denkt es geht nichts obwohl man nur Geduld braucht.

Viel Erfolg!

Hallo Yoda00,

DHCP Server deaktivierst du wie folgt - wenn er überhaupt eingeschaltet ist bei nur einem Interface:

Services –> DHCP Server --> WAN

Den Haken bei "Enable DHCP server on WAN interface" entfernen. Ist keiner drin, ist der DHCP Server aus auf der pfsense. Deine Clients enthalten dann von der FritzBox/Speedport eine IP es sei denn du hast diese statisch konfiguriert.

Beim SSL-Filtering benötigst du eine "CA" (Certificate Authority) welcher du bzw. dein Browser und deine Engeräte vertrauen müssen. Beim SSL-Filtering stellt der Squid-Proxy stellvertretend ein Zertifikat aus. Dieses Zertifikat hat eine Vertrauensstellung zur CA. Jeder, der also der CA vertraut, vertraut auch allen Zertifikaten, die von dieser CA ausgestellt wurden. Das ist wichtig bei verschlüsselten Verbindungen, damit du nicht immer einer Zertifikatsfehlermeldung angezeigt bekommst.

Dazu musst du noch Folgendes tun:
1. Eine neue CA auf der pfSense erstellen (Es sei denn du hast bereits eine andere CA, die man importieren kann. Davon gehe ich aber nicht aus)
2. Die CA in den Browsern deiner Clients importieren als "Vertrauenswürdige Stammzertifizierungsstelle"

Zertifikat erstellen:

System –> Certificate Manager --> CAs

Dort auf "Add" klicken und eine neue CA erstellen.

Descriptive name: Irgendein Name, dem du deiner CA geben willst. Zum Beispiel "Meine private CA" oder "Yoda00-CA"
Method: Create an internal certificate authority

Internal Certificate Authority
Key length (bits): 2048
Digest Algorithm: sha256
Lifetime (days): 3650
Country Code: DE
State or Province: Hessen
City: Frankfurt am Main
Organization: Yoda00 Company
Email Address: optional, kann leer gelassen werden
Common Name: Yoda00-CA (oder was auch immer du toll findest)
Save

Danch das CA Zertifikat exportieren um es später auf allen deinen Clients einspielen zu können.

System –> Certificate Manager --> CAs --> Export CA (Sysmbol rechts neben der CA)

Die erstellte CA musst du nun im Squid-Proxy als "CA" auswählen. Sollte nun im Pulldownmenü auswählbar sein.

PS: Würde dort noch alle 3 Punkte bei "Certificate Adapt" markieren. Mittels STRG kann man mehrere Optionen auswählen.

Nun die exportierte ca.crt in deinem Browser importieren.
Jenachdem, welchen Browser du nutzt, kann das variieren. Irgendwo solltest du aber eine Möglichkeit finden, Zertifikate zu importieren. Importiere das ca.crt als "Vertrauenswürdige Stammzertifizierungsstelle". Danach solltest du beim Aufruf von https Webseiten keine Fehlermeldung mehr bekommen und das ausgestellt Zertifikat, was du angezeigt bekommst, dass sollte als "Herausgeber" immer deine "Yoda00"-CA" sein, oder wie auch immer du diese genannt hast.

Viel Erfolg!

Jein. Ich sichere die Konfiguration der pfSense auch auf die Syno aber nicht über Wget. Warum auch - schließlich kann die Syno das sehr bequem auch via SSH. Oder umgekehrt, die pfSense kann das ebenso via SSH auf der Syno ablegen. Wie man möchte, entweder pull oder push. Zudem hast du via SSH, SCP oder SFTP nicht das Problem mit irgendwelchen WGets oder Klartext Übertragungen (SSH ist ja implizit verschlüsselt) und kannst noch dazu Logging o.ä. darum bauen wenn Bedarf besteht.

Grüße

Hallo
die Version 2.3.1_1 hat nun bei mir sowohl als i386 (32 Bit) als auch als amd64 (64 Bit) geklappt. Kein Crash (mehr)! Danke für die Korrektur.
Gruss

Trage Dich in die announcement mailing-lists ein, dann bekommst Du die Info "von der übergeordneten Instanz" zugestellt.

Wenn ich das richtig verstehe ist User A/B der gleiche Rechner?
Dann musst Du dich entweder ausloggen oder den Timeout abwarten.

Die Session hängt nicht am Browser sondern an der MAC.

Hallo,

ich sag es mal so, dein Projekt als Anfänger?! Finger davon!!! Auch wenn die pfSense ein wirklich gutes Projekt / Produkt ist, in den falschen Fingern bringt dir das auch nicht viel.

Dann hier eine kurze Einweisung. Es gibt Tagged VLAN Ports an einem Switch und Untagged Ports. Du kannst z.B. das default VLAN in dem sich alle Geräte etc. befinden als Untagged betreiben und dennoch ein weiteres VLAN auf dem selben Port taggen. Das erspart dir, jedes VLAN einzeln mit einem Port am Switch verbinden zu müssen. In deinem Fall bedeutet das konkret, nimm die FRITZ!Box und bleibe Glücklich in der derzeitigen Konstellation. Die pfSense hängst du also einfach an einen freien Port deiner FRITZ!Box, von dort aus (pfSense) geht es dann in deinen Switch. pfSense WAN ist verbunden mit der FRITZ!Box und pfSense LAN Port ist mit deinem Switch verbunden. Der Port am Switch bekommt dann ein zusätzliches VLAN, z.B. die VLAN ID 20. Diese Taggest du am Switch, wo die pfSense LAN angeschlossen wurde. Dann erstellst du ein VLAN auf der pfSense mit der ID 20 und weist es dem LAN Interface zu. Du siehst sofort ein neues Interface und kannst einen eigenen DHCP Dienst usw. darauf anbieten. Dein WLAN Accesspoint erstellt eine zusätzliche SSID (WLAN Profil) mit dem VLAN 20. z.B. mit dem Namen Gast-WLAN. Thats it. In dieser einfachen Version bekommt ein Client im Gast WLAN automatisch eine IP Adresse von der pfSense und der Traffic wird komplett über die Verbindung pfSense zu FRITZ!Box geleitet. Die eigentliche Absicherung mit RADIUS im WLAN, CaptivePortal im Gastnetz, SNORT usw. kann später erfolgen, wenn du etwas mehr eingearbeitet bist in die Materie.

Das wichtigste ist dabei, dass deine Auerswald weiterhin funktioniert und du dir um mit der pfSense starten zu wollen, nicht erst weiteres Wissen aneignen musst. Natürlich sollte dein Ziel sein, die FRITZ!Box nur noch als Gateway zu missbrauchen. Deine pfSense übernimmt dann die Funktion der Firewall & Router.

Siegen ist jetzt ein Eck weit weg von mir, aber per PM oder hier über das Forum können wir uns gerne austauschen.

Grüße
Markus

Ich hab keine Probleme mit Samba 4. Kannst du mal deine Konfiguration posten?