Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Hilfe bei der Einrichung

    Scheduled Pinned Locked Moved
    Deutsch
    4
    10
    1.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      BigChris
      last edited by

      Guten Morgen,
      ich würde gerne meine Firewall wechseln von IPFire hin zu pfSense. Ein bisschen erschlagen bin ich erst mal von dem Menü. Ich bin nun auch nicht der Vollprofi, sondern mein Wissen habe ich mir halt selbst angeeignet.
      Um erst mal schnell zu wechseln, bräuchte ich ein bisschen Hilfe / Erklärungen wie das in pfSense gemacht wird.

      Folgendes hätte ich gerne:

      WAN
      LAN
      DMZ

      WAN: 10.10.0.10/24 wird durch die Fritzbox per Exposed Host realisiert. Die pf kann sich die IP per DHCP holen. Ich denke das ist klar wie das geht.
      LAN: 10.10.10.10/24 Auf dem LAN liegen alle potentiellen sicheren Geräte bei mir. LAN soll auf WAN zugreifen dürfen, WAN aber nicht auf LAN. Ein DHCP Server vergibt einen kleinen Bereich von Adressen, bis die Geräte statisch eingebunden werden. Etwa Bereich 10.10.10.30 - 10.10.10.39
      DMZ: 10.10.30.10/24. Hier soll mein Debian Server erreichbar sein. Später evt. die IP Kameras. DHCP nicht nötig. Die DMZ darf auf das WAN zugreifen. WAN darf auf DMZ zugreifen. LAN darf auf DMZ zugreifen. DMZ darf nicht auf LAN zugreifen.

      Als Hardware habe ich ein MSI-AM1 Board mit dem 5350 Prozessor. Als Netzwerkkarte eine Intel I340/T4. Die pf läuft auf einer Virtuellen Maschine auf ESXI.

      Ich vermute WAN und LAN läuft so nach der "Installation von alleine"?
      Wie konfiguriere ich die DMZ? Wie schauen die Regeln aus dafür?

      Oder muss ich hier noch am was ganz anderes denken?
      Vielleicht hat jemand die Zeit und etwas Geduld für mich :)

      Gruß
      Christian

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        .10
        Ich finde es zwar seltsam überall die .10 als IP zu nehmen für ein Gateway aber vielleicht bin ich altmodisch. Das wäre aber bei meiner Fehlersuche keine IP für ein Gateway.

        WAN: 10.10.0.10/24 wird durch die Fritzbox per Exposed Host realisiert. Die pf kann sich die IP per DHCP holen. Ich denke das ist klar wie das geht.

        Nö. Exposed Host setzt man nicht mit DHCP auf. Kann man machen, ist aber Mist wenn sich aus blöden Gründen mal die IP ändert. Sowas konfiguriert man statisch und kann sich dann drauf verlassen.

        …zugreifen

        Per default kann eh nur das Default LAN auf alles any any zugreifen. WAN eh nicht und ein neu angelegtes Interface (opt1) was man dann zu DMZ benennt ebenso nicht. Freigegeben wird nur das was du erlaubst.

        Ich vermute WAN und LAN läuft so nach der "Installation von alleine"?

        Das hängt davon ab wie Standard deine "Installation" ist. Wie oben gesagt, Default geht von LAN alles, NAT ist automatisch und WAN darf nichts rein.

        Regeln werden betrachtet WO das Paket in die pfSense REIN kommt. An dem Interface wird gefiltert und entsprechend "von" und "nach" definiert. So einfach, so gut :)

        Gruß

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • B
          BigChris
          last edited by

          @JeGr:

          .10
          Ich finde es zwar seltsam überall die .10 als IP zu nehmen für ein Gateway aber vielleicht bin ich altmodisch. Das wäre aber bei meiner Fehlersuche keine IP für ein Gateway.

          Wahrscheinlich hast du recht. Irgendwie ist das bei mir so gewachsen, aus dem Dilemma das ich mir viel selbst beigebracht habe und dann irgendwann zu faul war alles umzustellen.
          @JeGr:

          Nö. Exposed Host setzt man nicht mit DHCP auf. Kann man machen, ist aber Mist wenn sich aus blöden Gründen mal die IP ändert. Sowas konfiguriert man statisch und kann sich d>ann drauf verlassen.

          Stimmt auch. Das hatte auch mal einen Grund, ich kann mich nicht mehr so richtig dran erinnern. Ich meine das war irgendeine Eigenart von IPFire. Der DHCP Bereicht ist nur 2 Adressen groß…

          ...zugreifen
          quote author=JeGr link=topic=120268.msg665159#msg665159 date=1477640590]
          Per default kann eh nur das Default LAN auf alles any any zugreifen. WAN eh nicht und ein neu angelegtes Interface (opt1) was man dann zu DMZ benennt ebenso nicht. Freigegeben wird nur das was du erlaubst.

          Regeln werden betrachtet WO das Paket in die pfSense REIN kommt. An dem Interface wird gefiltert und entsprechend "von" und "nach" definiert. So einfach, so gut :)

          Wie sähen denn dann die Regeln aus, wenn WAN <–> DMZ <-- LAN soll?
          Nur zwei Regeln auf DMZ (opt1)? Eine Erlaube WAN und eine Blocke LAN?
          Ach so, wahrscheinlich noch auf WAN eine Erlaube DMZ (opt1)?

          Das wäre es dann schon?

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Der DHCP Bereicht ist nur 2 Adressen groß…
            Noch schlimmer - steckt dir einer nen anderes Gerät an die Fritzbox - aus versehen - ist deine pfSense dahinter vielleicht weg grusel ;)
            Deshalb fix konfigurieren und den DHCP Bereich lieber auf ein paar Adressen anderswo konfigurieren.

            Nur zwei Regeln auf DMZ (opt1)? Eine Erlaube WAN und eine Blocke LAN?
            Nein, du hast nicht verstanden was ich geschrieben habe. Du erstellst auf dem DMZ Interface NICHT wer von anderswo REIN darf. Das kommt doch nicht am DMZ an. Pakete vom WAN kommen auch am WAN an und müssen da gefiltert werden. Am LAN genauso. Da am LAN eine any any any Regel drin ist (erlaube alles) darf das LAN eh schon alles. Zum WAN raus und zum DMZ raus.
            DMZ müsstest du lediglich erlauben wer wo hin soll. Ob also dein Server (oder das ganze Netz) überall hin dürfen (any) oder nur auf bestimmte Adressen oder alles außer LAN bspw. Dann wäre die erste Regel ein Block von DMZ net nach LAN net und die nächste Regel wäre eine Allow any any any Regel. Da die erste alles an LAN wegblockt, darf danach nur noch der Rest raus.

            Auf dem WAN kannst du eh keine einfachen Regeln machen, weil du keine public IPs hast. Ergo musst du sehr wahrscheinlich NATten bzw. Port Forwards einrichten für deinen DMZ Server.

            Gruß

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • B
              BigChris
              last edited by

              Noch schlimmer - steckt dir einer nen anderes Gerät an die Fritzbox - aus versehen - ist deine pfSense dahinter vielleicht weg grusel

              Ja, stimmt auch wieder. Ich habe ja auch paranoia, aber muss auch erst noch lernen ;) Ich hatte immer Angst ich komme gar nicht mehr rein in die FritzBox wenn ich was falsch machen. Ich werds ändern. Spätestens wenn die Kinder älter werden muss ich das eh machen, weil der Gegner dann eh mit am Tisch sitzt ;)

              Nein, du hast nicht verstanden was ich geschrieben habe. Du erstellst auf dem DMZ Interface NICHT wer von anderswo REIN darf. Das kommt doch nicht am DMZ an. Pakete vom WAN kommen auch am WAN an und müssen da gefiltert werden. Am LAN genauso. Da am LAN eine any any any Regel drin ist (erlaube alles) darf das LAN eh schon alles. Zum WAN raus und zum DMZ raus.
              DMZ müsstest du lediglich erlauben wer wo hin soll. Ob also dein Server (oder das ganze Netz) überall hin dürfen (any) oder nur auf bestimmte Adressen oder alles außer LAN bspw. Dann wäre die erste Regel ein Block von DMZ net nach LAN net und die nächste Regel wäre eine Allow any any any Regel. Da die erste alles an LAN wegblockt, darf danach nur noch der Rest raus.

              Ok, ich glaube ich habs so langsam verstanden wie das geht

              Auf dem WAN kannst du eh keine einfachen Regeln machen, weil du keine public IPs hast. Ergo musst du sehr wahrscheinlich NATten bzw. Port Forwards einrichten für deinen DMZ Server.

              Das denke ich auch, hatte ich vorher auch so gemacht, dass ich den 80er Port an den Server geleitet habe um Wordpress erreichbar zu machen.

              Vielen Dank schon mal für den schnellen und freundlichen Support.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Kein Problem :)

                Wenn du nicht mehr weiter weißt was Regeln angeht, immer nen Schritt zurück treten vom Tisch. Stell dir die pfSense als Box vor und alle Interfaces als Drähte in die Box. Wie eine elektrische Schaltung. Und dann überlege, von wo nach wo das ERSTE Paket läuft, das du erlauben willst.

                Also Beispiel: Du willst dein WP von extern erreichbar machen. Dann kommt der Impuls von der Ader der Fritzbox in deine Blackbox rein und geht auf dem DMZ wieder raus. Es kommt aber zuerst auf dem WAN an.
                Ergo braucht es da einen Port Forward weil keine Public IP.
                -> Port Forward, Add, Destination WAN address (es kommt ja auf dem WAN für die IP der pfSense an), Redirect IP interner Server, Ports dann auf 80 oder 443, Description rein, Add associated Filter Rule, fertig

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • Z
                  Zubertus
                  last edited by

                  Hallo,

                  Sorry das ich diesen alten Beitrag nochmal zum Leben erwecke. (aber bevor ich einen mit fasr gleichem Inhalt erstelle?)

                  das ist genau was ich gesucht habe. Die Regeln mal einfach erklärt!

                  mal sehn ob ich es auch richtig verstanden habe?!

                  So sieht es bei mir aus:

                  Internet<–-Modem<----WAN/PPPoE--->pfsense<---LAN--->RED

                  Die RED will einen Tunnel zu einer Gegenstelle im Internet aufbauen. Dies wird von der pfSense geblockt.

                  Da bei LAN ja noch die any any Regel drin ist müßte ich nur noch den richtigen Port am WAN öffnen damit die RED die Pakete von der entfernten Gegenstelle aus dem Internet(WAN) empfangen kann?
                  Auf dem WAN hab ich ja ne public IP also muß ich ja nicht  NATten bzw. Port Forwards einrichten oder hab ich es doch noch nicht verstanden?

                  Viele Grüße

                  PS:
                  So Simpel wie es vielleicht ist aber dieser Satz ist meiner Meinung nach echt Gold wert:
                  @JeGr:

                  Wenn du nicht mehr weiter weißt was Regeln angeht, immer nen Schritt zurück treten vom Tisch. Stell dir die pfSense als Box vor und alle Interfaces als Drähte in die Box. Wie eine elektrische Schaltung. Und dann überlege, von wo nach wo das ERSTE Paket läuft, das du erlauben willst.

                  1 Reply Last reply Reply Quote 0
                  • jahonixJ
                    jahonix
                    last edited by

                    huch … ich habe nur die ersten Beiträge bis zu diesem angezeigt bekommen
                    @JeGr:

                    Der DHCP Bereicht ist nur 2 Adressen groß…
                    Noch schlimmer -

                    der ganze Rest war nicht da. Komisch…
                    (stuff deleted)

                    1 Reply Last reply Reply Quote 0
                    • jahonixJ
                      jahonix
                      last edited by

                      @Zubertus:

                      Da bei LAN ja noch die any any Regel drin ist müßte ich nur noch den richtigen Port am WAN öffnen damit die RED die Pakete von der entfernten Gegenstelle aus dem Internet(WAN) empfangen kann?

                      am WAN musst du nix für die zurückkehrenden Pakete öffnen, das macht ein stateful router von allein.

                      @Zubertus:

                      Auf dem WAN hab ich ja ne public IP also muß ich ja nicht  NATten bzw. Port Forwards einrichten oder hab ich es doch noch nicht verstanden?

                      ???
                      Der erste Teil der Aussage zeigt an, dass du im zweiten völlig Recht hast.
                      NAT und Forwards sind dafür da, um Ports von extern auf einen internen Host weiterzuleiten, zB zu einem Web-Server. Ob das nun über eine public oder eine private IP geroutet wird ist dabei schnurz-piep-egal.

                      1 Reply Last reply Reply Quote 0
                      • Z
                        Zubertus
                        last edited by

                        Hallo Chris,

                        vielen Dank für deine offene, erhliche (und ganz wichtig) freundliche Antwort.
                        Mein Problem konnte ich lösen. Dank Dir. :)

                        –nur für die Richtigkeit--
                        Wie?
                        Zurück auf Anfang! - Was manchmal nicht ganz einfach ist!
                        Ich habe diverse Wiki und Foren zur Begriffserklärung und Grundwissen besucht. Somit war das eine oder andere schon viel klarer. Dann noch ein Schritt zurück vom Tisch... (Box mit Kabeln) und schon war es fast logisch.
                        Anschliesend habe ich die pfSense resetet bzw neu aufgespielt und (mit meinem neu erlerntem Wissen) neu konfiguriert. Jetzt läuft (fast) alles so wie es soll.
                        Multi-WAN
                        CaptivePortal
                        FBOX mit VOIP
                        VPN mit FBOXen (IPsec)
                        der betrieb einer RED hinter der pfSense
                        Webserver u.v.m.

                        für das "fast"  finde ich  hier im Forum sicher eine Lösung. Somit Danke schonmal an alle Problemlöser.

                        Besten Dank auch an das "Übersetzer-TEAM"

                        Viele Grüße
                        Henry

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post