Hi,

ja, man lernt nie aus, ich wusste bis eben auch nicht was ein MIPS ist.

Aber zu deiner Frage: du kannst dein Vorhaben sicher auch mit OpenWRT umsetzen, VLANs, die entsprechenden Policys und gut ist.

Wenn du dir dann doch gerne noch eine pfSense aufsetzen möchtest...meine läuft bspw. auf einer APU2 von PCEngines. Ich bin hoch zufrieden. Sie ist preisgünstig, Open Source und für durchschnittliche Anforderungen (wie vermute ich mal deine und meine) überaus performant, 4 Core x64 AMD, 4GB RAM, 3 INTEL NICs usw. Sofern man dahinter VLANs aufsetzt hat man auch genügend Möglichkeiten Netzwerke zu segmentieren. Und du kannst du dann da quasi alles mögliche in der Richtung drauf installieren...wenn du möchtest.
Ob du das jetzt zusätzlich noch investieren musst ist natürlich aber eine andere Frage. Und es gibt natürlich auch reichlich andere Hardware auf der man ein FreeBSD bzw. eben die pfSense (die läuft ja auf FreeBSD 11.x) laufen lassen kann.

Wenn du die pfSense einfach mal erkunden und ausprobieren möchtest kannst du sie aber auch ohne zusätzliche Ausgaben in eine virtuelle Umgebung verfrachten. Virtuellen Switch bzw. virtuelle NICs für die VM einrichten und Firewall-VM plus mind. eine entsprechende Client-VM konfigurieren. Entsprechende freie Kapazitäten deines Host-PCs vorausgesetzt... Und schon gehts ab 😄

Grüße und viel Erfolg bei deinem Vorhaben
BSA66

Hm, man möge mich bitte korrigieren (!) wenn ich falsch liege. Aber so wie ich deine Idee verstehe, wirst du dein gestecktes Ziel nicht erreichen. Ich vermute hier liegt auch ein Missverständnis vor..

Ich teile meine Antwort mal schnell in einzelne Teile auf.

unter Firewall / Rules / LAN hast du standardmäßig eine Default Allow from Any(IP) & Any(Port) to Any(IP) & Any(Port)
-- damit ist es Geräten in LAN erst einmal grundsätzlich erlaubt, Zugriff auf das gesamte Netzwerk zu nehmen, zusätzlich zum Internet inkl. der Firewall und anderer evtl. von dir erstellter Subnetze (wie z.B. u.U. dein Modem)
--- eine solche Regel macht also auf LAN relativ wenig Sinn, Ausnahme: du arbeitest nicht mit der Default Allow Any Any...

die Regeln werden ja immer von oben nach unten durchlaufen, sobald die erste greift, wird der (Daten-) Zu- oder Abgang gewährt von dem jeweiligen Interface aus gewährt
-- wenn du also oberhalb der von dir angedachten Regel eine Regel für ein Programm (??) eingibst wäre das unnötig, lediglich eine Block Regel über der Default Allow Any Any würde Sinn machen. Somit würdest du etwas verbieten, bevor es ja durch die Standardregel erlaubt würde.
-- weiterhin können in den Firewall Regeln keine Programme, sondern nur Hosts, Ports, Netzwerke und selbst erstellte Aliase angegeben werden. Sollten sie über ein bestimmtes Interface angebunden sein oder über einen bestimmten Port laufen, auf dem nichts anderes läuft oder laufen kann, dann könntest du wohl diesen Umweg nehmen...wovon ich zumindest aber wirklich abraten würde...woher weiß man, dass kein anderes Programm nach dem nächsten Update auch diesen Port nutzen möchte? Auch wenn man mit Packet Capturing über einen gewissen Zeitraum feststellen konnte, dass zum Zeitpunkt des Packet Capturing keine anderen Programme über diesen Port kommuniziert haben, heißt das ja noch nicht, dass das bei unseren Endnutzersystemen auch so bleibt.

Hast du pfSense schon irgendwo installiert?

Falls ja: installiere Snort oder Suricata und schau dich da mal um, richte es ein, lies dich ein, nur so geht es weiter
Danach könntest du dich z.B. direkt mit Squid (als Proxylösung) auseinandersetzen...

Falls nein: installier dir das ganze mal in einer virtuellen Umgebung und probiere dich dort aus. Ich muss gestehen, ich bin den harten Weg gegangen und habe es direkt auf einer preisgünstigen Hardware (APU2) umgesetzt.

Die pfSense ist eine enorm mächtige Firewall, allerdings muss man sich eben auch rantasten oder, lesen, probieren, fragen. Oder mit dem Thema Networking schon von Berufs Wegen vertraut sein. Ich denke, dass ist bei uns beiden nicht der Fall :-)

Nochmal: wenn ich du wäre, würde ich (deine) zwei Hauptziele folgendermaßen angehen:

Snort als IDS für Lernzwecke / IPS wenn man soweit ist Proxy über Squid aufsetzen und schauen, ob und wenn ja wie ich einzelne Programme da hineinzwängen kann...ich vermute, wie gesagt, dass das aber die einfachste Lösung sein dürfte

BTW Firefox lässt sich seinen Zugang konfigurieren, d.h. bei Firefox kannst du definitiv einen Proxy angeben. Du müsstest eben nur einen Proxyserver aufsetzen oder einen fremden nutzen (was ich aber nicht empfehlen würde und ja auch nicht Sinn deiner Frage war)

Entschuldige die verspätete Antwort.

@viragomann said in Default Deny Policy - wie Zugang zum Internet konfigurieren?:

Nachdem die pfSense nur das erlaubt, was explizit in einer Pass-Regel ausgedrückt ist, kannst du alle Ziele, die du erlauben möchtest, auch in eine einzige Regel packen. Alles von dieser Regel nicht Erfasste, wird blockiert.

Ja, ich habe auch ein wenig darüber nachgedacht und bin dabei zu einem Schluss gekommen, auf den ich aber etwas weiter unten eingehe.
Momentan läuft es bei mir quasi andersherum. Alles ist erlaubt, mit Ausnahme des RFC1918 Alias.

Ist aber im Grunde Geschmacksache, ob mit einer Regel formuliert oder mit mehreren. Für dich und andere soll es übersichtlich sein und den gewünschten Zweck erfüllen.

Übersichtlich ist mein Regelset, allerdings ist auch quasi außer lokalen Netzen nichts geblockt, weder als Dest-IP noch D-Port.

(Eine "Allow selfNet to WAN {Address;Net}" funktioniert nicht)

Möchtest du das wirklich? Macht nur Sinn, wenn du NAT Reflection verwendest.

Nein, wenn ich es richtig verstanden habe, vermutlich nicht. Ich bin zwar noch am lernen, aber einen für meine Bedürfnisse positiven Aspekt von NAT Reflection konnte ich jetzt auf Anhieb zumindest nicht direkt ausmachen. Einzig für Testzwecke der eigenen Erreichbarkeit von außen, denke ich, könnte man es kurzzeitig ausprobieren, z.B. um die eigene Domain aus dem eigenen Netzwerk heraus zu pingen.
Dafür das NAT Reflection aus ist spricht jedenfalls, dass wenn ich meine eigene Domain anpinge der Ping <1ms liegt, also lokal.

Ich fürchte, das verstehe ich nicht ganz. Wenn die vom DNS zurückgegebene IP nicht erlaubt ist, wird der Zugriff natürlich geblockt, unabhängig, ob die IP zu deinem WAN net gehört oder nicht.

Völlig richtig. Davon war ich auch ausgegangen, bin mittlerweile aber davon überzeugt. Daher habe ich beschlossen von einer Default Deny Any Any bzw. des Ersetzens der Default Allow zunächst für mein Netzwerk auch erst einmal Abstand zu nehmen.

Default deny gilt immer. Die Default allow-Regel am LAN kann auch geändert / entfernt werden.
Ansonsten ist das wohl schon mit obigen Beispiel beantwortet.

Grüße

Da mein Hauptziel in erster Linie ein besseres Verständnis ist bin ich von einer Default Deny auf IP-Basis abgerückt, das ist für meine Bedürfnisse sinnvoll de facto so nicht umsetzbar (ich möchte offenen Zugriff auf das WWW).
Was ich jedoch evtl noch ausprobieren könnte ist eine Default Deny auf Dest-Portbasis. Dass das im Echtlauf auch kein Zuckerschlecken wäre, vor allem mit Netflix, Steam, TeamSpeak & Co ist mir bewusst.
Allerdings denke ich mir, dass es in einer virtuellen Windows / Linux Umgebung mit relativ vertretbarem Aufwand machbar sein sollte. Der einzige Vorteil wäre, dass man mal einen Überblick erhält welche Dienste zu welchen Zielports (in einer Standardinstallation) kommunizieren.
Das es auch Webseiten gibt, die auf 8080, 8181 und wohl auch 81 lauschen habe ich mittlerweile auch gelesen. Und natürlich auch, dass sehr viel Schadsoftware sich über diese Ports "zuhause" anmeldet, vor allem wohl auch gerne 8080 und 8181 (was die wohl auch genutzten Ports für HTTP betrifft).

Ob das ganze für ein Heimnetzwerk noch einen Vorteil bringt bezweifele ich somit zunächst einmal. Für Lernzwecke kann sowas natürlich dennoch schon Sinn machen.

Was ich also für mich extrahieren konnte war, dass es je nach Ansprüchen für ein Netzwerk natürlich Bedingung sein kann, eine strikte Default Deny Any Any zu fahren, auf die SRC bezogen vermutlich nur noch bei entsprechend dokumentierten Applikationen. Auf die Dest-Ebene jedoch kann man, je nach gewünschtem Nutzungserlebnis, einen etwas strikteren Umgang auf D-Port vermutlich mit ausreichend Aufwand auch für zuhause anleiern.
Wie gesagt, den Nutzen (für meine Ansprüche an mein Netzwerk) stelle ich in kein gutes Verhältnis zum nötigen Aufwand, auch nicht für einen D-Port basierten Umgang. Aber das ist ein anderes Thema... :-)

Grüße

[solved]
Läuft jetzt.
Ich habe das ThinkCentre M91P Firmware/Bios von 2011 auf 2014 gebracht.

Jetzt läuft alles.
Grüße
Heinz

Ich glaub ich hab den Fehler finden können. Hab parallel ein anderes Setup hochgezogen und konnte da was nachstellen.

Angeben für Remote Network ist 10.50.0.0/16. Funktionieren tut aber nur 10.50.1.0. Alles Weitere wie z.B. 10.50.2.0 geht über WAN statt IPSec. Das ist vorher nicht aufgefallen, weil 10.50.1.0 nicht allowed war für den Zugriff auf die Firewall.

Hallo,

danke für deine Antwort. Prinzipiell gut dass ich gedanklich nicht falsch liege und das so funktionieren sollte. Die von dir beschriebene Konfiguration hatte ich anfangs auch, hat aber auch nciht funktioniert bzw. war für mich unlogischer da ich ja einem LAN Netzwerk eine Bridge überhelfe. Ich weiss an der Stelle nicht genau wie die pfSense / freebsd tickt.
Ich bin halt leider nicht vor Ort und habe ich nur begrenzte Möglichkeiten für Versuche durch physische Änderungen durch Umstecken etc.. Sonst muss ich wirklich mal hinfahren, nicht schön.
Gruß zurück

Stimmt natürlich @monstermania Die Möglichkeit muss ich wohl komplett verdrängt haben 😃

So, ich habe das Ganze jetzt nochmals in Angriff genommen.
Ich habe auf einem Rechner mit zwei Netzwerkkarten pfsense installiert.

Der LAN-Port hat eine statische IPv4 Adresse, 10.0.0.150/24
Der WAN-Port hat keine IP.
Ich habe beide Ports in ein Bridge-Interface konfiguriert und die Settings "net.link.bridge.pfil_member=0" und "net.link.bridge.pfil_bridge=1" gesetzt.
NAT ist komplett deaktiviert.

An beiden Firewall-Ports hängt jeweils ein Switch, an dem jeweils ein Test-Client hängt.

LAN-Port --> Switch --> Test-Client mit IP 10.0.0.100/24
WAN-Port --> Switch --> Test-Client mit IP 10.0.0.101/24

folgende Firewall Rules sind aktuell konfiguriert:

LAN-Interface:
allow IPv4 from any to any

WAN-Interface:
allow IPv4 from any to any

Bridge-Interface:
allow IPv4 from any to any

Ich kann im aktuellen Zustand von beiden Clients auf die Firewall zugreifen und die Clients können sich gegenseitig erreichen.
Wenn ich nun aber die LAN- und WAN-Firewall Rules lösche, sodass nur noch die Bridge-Rule aktiv ist, geht gar nichts mehr.
Ich bekomme von den Clients keinen Traffic mehr zur bzw. durch die Firewall.
Wieso?! Habe ich hier einen Denkfehler?
Ich bin der Ansicht gewesen, das mit den oben genannten "net.link.bridge.pfil" Settings das Filtering ausschließlich auf dem Bridge-Interface stattfindet und nicht auf LAN und WAN.
Wieso geht dann aber kein Traffic mehr durch, obwohl auf der Bridge noch die Rule "IPv4 any any" aktiv ist?

Hallo,

@slu said in Sicherung per scp - reicht /cf/conf/config.xml noch aus?:

ich möchte die pfSense automatisch über scp sichern, reicht dazu die /cf/conf/config.xml noch aus?

ich gehe davon aus, ich sicherere auch nur die config.xml.
Die Konfigurationen der Packages, die ich installiert habe, sind darin enthalten. Beim Wiederherstellen auf eine neuen Installation werden diese Packages automatisch installiert.

@slu said in Sicherung per scp - reicht /cf/conf/config.xml noch aus?:

Klar die rrd Daten verliere ich dann, aber damit könnte man im schlimmsten Fall der Fälle leben.

Es steht dir frei, auch diese zu archivieren.

@overlord Es dürfte nicht schwierig sein, die Portweiterleitung, die hier beschrieben ist, auf eine andere Kiste zu lenken: https://blog.artooro.com/2017/02/16/quick-easy-lets-encrypt-setup-on-pfsense-using-acme/comment-page-1/ .

Ob das sinnvoll ist, ist eine andere Frage. Zum einen müsste man auf der anderen Kiste einen ACME Klienten haben, aber das eigentliche Problem scheint mir die DNS-Validierung zu sein: https://letsencrypt.org/how-it-works/ .

Mein Wissens validieren die Zertifikate die Domain-Namen, nicht aber die Adressen. Ich benutze das bei mir auch so. Auf der Internetseite habe ich das Let's Encrypt Zertifikat, das eigentlich zu einem lokalen Server exportiert wurde (wegen Portweiterleitung). Außerdem habe ich im Resolver den validierten Namen mit der eigentlichen LAN-IP-Adresse hinterlegt (host override), so dass das Zertifikat auch mit der LAN-Adresse nicht beanstandet wird.

Hallo,

FritzBox läuft nicht als reines Modem. Daran sollte es aber nicht liegen?! Muss ich evtl SIP und RTP nochmal speziell weiterleiten?

Wir können hier gerne auch vom Szenario FritzBox <-> pfSense <-> Asterisk ausgehen. Damit sollte ich mein Problem auch verstehen bzw. lösen können.

Multi WAN Tactics mit OpenVPN hat Jim in seinem Advanced OpenVPN Hangout behandelt: https://www.youtube.com/watch?v=ku-fNfJJV7w

-Rico

Schade, ich dachte fasst, dass sich bei Strato bzgl. nsupdate was geändert hat (zumindest bezugnehmend auf die 1. Mail von denen):

DynDNS wird von unseren Systemen unterstützt, nsupdate bedauerlicherweise nicht. Für ein DNS-Update über unsere Systeme benötigen Sie folgende Informationen:
Server: https://dyndns.strato.com/nic/update
Host: Die umzuleitende Domain oder Subdomain (z. B.: meinpc.wunschname.de)
User: Eine Domain aus Ihrem Paket (z. B.: wunschname.de)
Passwort: Ihr Dynamic DNS Passwort, das Sie im STRATO Kunden-Login vergeben können

Gelöst - Unfassbar - war eine defekte Intel Quad Port Karte ...

Moin,
ja ich habe jetzt ein Alias angelegt, damit klappt es super. Danke für den Tipp :)

Habe bei mir die 4.0.20 drauf und alles startet soweit wie gewohnt!
Was ist eigentlich der Unterschied von Mainline releases zu der Legacy releases?
Mir wurde die legacy empfohlen und bis jetzt kann ich nix negatives sagen!

Hallo

Perfekt - vielen Dank - das hat genau so geklappt

2 Regeln pro Interface ...

Einfach die offizielle Doku befolgen: https://www.netgate.com/docs/pfsense/routing/index.html