Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense als Shaper + transparent Proxy Bridge

    Deutsch
    2
    3
    3.5k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      spiritbreaker
      last edited by

      Hallo PfSense Community,

      wie alle anderen hier bin ich begeistert von PfSense. Sie läuft bei uns schon an Standorten mit VLANs. Vielleicht könnt Ihr mir bei einer neuen Anforderung helfen.

      Ich würde PfSense gern ausschließlich als Trafficshaper und Proxy einsetzen. Wir haben bei uns bereits eine Firewall daher wollte ich im ersten Schritt PfSense einfach zwischen firewall und Switch stöpseln, als Bridge.

      Fiewall –-- Pfsense ----- Switch Layer 3 (als Gateway für Subnet definiert)

      Vielleicht könnt Ihr mir dazu ein paar Fragen beantworten:

      1. Muss für eine transparente Proxy Bridge das Standardgateway zwangsweise auf pfsense zeigen?

      2. Können auch shaperregeln in in Abhängigkeit von Remotesubnetzen definiert werden: z.b. bevorzuge bestimmten Netzwerkverkehr (Citrix) der von einem Remotestandort kommt?

      3. Kann man bei einem Multiwan Szenario bestimmten Verkehr über ein WAN nach außen leiten z.B.: schicke mir Http traffic über WAN2 (ADSL) / alles andere über WAN1 (SDSL),
      Wenn ja wie kann ich das machen?

      Pfsense running at 11 Locations
      -mobile OPENVPN and IPSEC
      -multiwan failover
      -filtering proxy(squidguard) in bridgemode with ntop monitoring

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ahoi und willkommen an Bo(a)rd mit deiner pfSense.

        Wenn ich dich richtig verstehe möchtest du die pfS zwischen eine vorhandene Firewall/Outbound Gateway und einen (intelligenten) Switch hängen. Ich gehe davon aus die Clients hängen all an diesem und haben ihn auch als Default GW eingetragen? Desweiteren vermute ich, dass der Switch wiederum die Firewall in deiner Skizze als (default) Route hat um die Clients ins Netz zu lassen. Soweit korrekt?

        Dann wäre die pfS in deiner Zeichnung typischerweise eine filternde Bridge. Dabei hat sie auf den beiden Bridging Interfaces eigentlich gar keine IP, sondern filtert (transparent zwischengeschaltet) ohne "gesehen" zu werden den Verkehr zwischen den beiden Punkten. Damit sollte Frage 1 auch beantwortet sein - die pfSense wird nirgends als Gateway auftauchen - sie hat ja keine wirkliche IP. Ich würde deshalb ein Gerät für die pfS nehmen, welches 3 Interfaces hat: WAN und LAN werden gebridged für das transparente Filtering und das dritte bekommt ganz regulär eine IP Adresse, über die das Gerät gemanaged wird. Solltest du ein eingenes Netz haben, wo solche Management Ports zusammengefasst sind (out of bound management), hänge sie da mit rein. Ansonsten kann man auch einfach eine IP des LANs nehmen und sie da mit dazustöpseln.

        Wie das mit Shaperregeln aussieht (#2) kann ich dir leider nicht sagen, da fehlt mir die Erfahrung. MultiWAN aber verstehe ich nicht wirklich, denn dafür ist deine Skizze nicht ausgelegt. MultiWAN würde aber IMHO nur funktionieren, wenn die pfSense NICHT transparent bridged, sondern als ganz normale Firewall/Gateway betrieben wird und mind. 3 Beine (IFs) hat: LAN, WAN(1) und WAN2. Dann würde man deine Frage #3 mit policy-based Routing erledigen können, indem man bei den entsprechenden Firewallregeln auf dem LAN Interface als Gateway dann das entsprechende einträgt (WAN oder WAN2).

        Gruß
        Jens

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • S
          spiritbreaker
          last edited by

          Hallo Jens,

          danke für deine schnelle Anwort. Du hast das Szenario richtig verstanden. Die Multiwan Frage bezog sich auf den Fall das die alte Firewall irgendwann mit pfsense getauscht wird.

          Die transparente Bridge habe ich mit pfsense 1.2.3RC3 und dem Howto von Trendchiller eingerichtet.

          Dabei hat sie auf den beiden Bridging Interfaces eigentlich gar keine IP, sondern filtert (transparent zwischengeschaltet) ohne "gesehen" zu werden den Verkehr zwischen den beiden Punkten. Damit sollte Frage 1 auch beantwortet sein - die pfSense wird nirgends als Gateway auftauchen - sie hat ja keine wirkliche IP. Ich würde deshalb ein Gerät für die pfS nehmen, welches 3 Interfaces hat: WAN und LAN werden gebridged für das transparente Filtering und das dritte bekommt ganz regulär eine IP Adresse, über die das Gerät gemanaged wird.

          Soweit sogut..aber warum brauchen die Interfaces (WAN + LAN) trotzdem IP Adressen aus dem gleichen subnet damit das funktioniert?. Das Bridge0 Interface wird erstellt unf die WAN und LAN adresse ist trotzdem erreichbar.

          Weshalb sich mir die Frage stellt warum ich opt1 fürs management brauche.

          Oder habe ich hier einen Denkfehler?

          Ich habe bisher mal folgendes getestet: pfsense laut trendchiller installiert und eingerichtet. (BRIDGE + noNAT+ Firewall Rules WAN )

          Testumgebung:

          Firewall –--- Switch Layer 3 (als Gateway für Subnet definiert)  -------  PfSense (Bridge) --------- Testpc

          Bridge Setup funktioniert soweit. Danach habe ich das squid Package installiert.

          Wenn man jetzt den squid aktiviert und transparent schaltet landen alle webanfragen z.b. google.de auf dem Webinterface des Switch, der auch als gateway für den Testpc gilt (DHCP vom DC), d.h. der Proxy geht immer auf das Webinterface des standardgateways.

          Was muss am sqiud noch konfiguriert werden damit der Fehler verschwindet?

          Frage ist ob dieser Fehler verschwindet wenn die PfSense an die richtige position gesetzt wird (zw. Firewall und Switch)

          MfG Norman

          Pfsense running at 11 Locations
          -mobile OPENVPN and IPSEC
          -multiwan failover
          -filtering proxy(squidguard) in bridgemode with ntop monitoring

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.