[Gelöst] pfSense als Firewall und DNS zwischen LAN und Kabelbetreiber

oelauge · Mar 30, 2011, 8:05 AM

Hallo,

ich würde gerne pfSense zwischen dem LAN und dem WAN einhängen. Allerdings habe ich von meinem ISP kein reines Kabelmodem erhalten, sondern eine Fritzbox 6360 Cable (Router), welches die Anbindung etwas erschwert. Folgendes Schaubild verdeutlicht mein Anliegen evtl. etwas besser:

WAN / Internet
:
: DialUp-Cable-Provider
:
.–---+-----.
| Gateway | (Router, Fritzbox 6360 Cable)
'-----+-----'
|
|
.-----+-----.
| pfSense |
'-----+-----'
|
LAN | 192.168.245.50 (Ebenso Gateway und DNS)
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Client/192.168.245.100)

Auf jeden Fall sollte die Firewall von pfSense mit genutzt werden, und auch als DNS weiterhin funktionieren, weil diese Funktionen von der Fritzbox nur rudimentär zur Verfügung stehen. Eigentlich sollte es aus meiner Sicht ausreichen, das WAN-Interface als "Static" mit der TCP/IP-Adresse der Fritzbox zu definieren. Nach meinem Verständnis, werden dann die Pakete aus dem LAN einfach zur Fritzbox weiter geleitet und durchlaufen die Firewall. Die Fritzbox übernimmt dann den Verbindungsaufbau, die Clients behalten die gleiche Netzwerkeinstellung (Gateway und DNS zur pfSense) und das wars. Aber leider funktioniert es noch nicht.

Wass muss ich noch beachten? Eventuell eine Bridge-Funktionalität konfigurieren oder einen anderen Weg?

Vielen Dank im Voraus

Oelauge

Moggele · Mar 29, 2011, 9:27 AM

du giebts deiner Frizt box ne andere ip 192.168.20.1 ewt deine pfsense bekommt dann die 192.168.178.1 (die alte ip von der FritzBox). Dann stellst du das WAN Interface an der PFsense auf Automatische und verbindest es mit der FritzBox. Das Lan Interface deiner firewall kommt dann logischerweise an den switch

oelauge · Mar 29, 2011, 1:24 PM

@Moggele:

du giebts deiner Frizt box ne andere ip 192.168.20.1 ewt deine pfsense bekommt dann die 192.168.178.1 (die alte ip von der FritzBox). Dann stellst du das WAN Interface an der PFsense auf Automatische und verbindest es mit der FritzBox. Das Lan Interface deiner firewall kommt dann logischerweise an den switch

INTERNET
|
|
FritzBox (192.168.20.1)
|
|
Pfsenses (WAN: 192.168.20.X)
|
|
LAN(192.168.245.50)

Vielen Dank Moggele,

mittlerweile habe ich es in etwa so lösen können, wie Du es beschrieben hast. Hier meine Lösung:

WAN / Internet
:
: DialUp-Cable-Provider
:
.–---+-----.
| Gateway | (Router, Fritzbox 6360 Cable)
'-----+-----'
| LAN 10.100.100.1/24
|
| WAN 10.100.100.2/24 (Static)
.-----+-----.
| pfSense |
'-----+-----'
| LAN 192.168.245.50/24
|
|
.-----+------.
| LAN-Switch |
'-----+------'
|
|
| LAN 192.168.245.100/24
.-----+------.
| PC | (PC/Client-LAN 192.168.245.100/24 mit Gateway und DNS 192.168.245.50)
'-----+------'

Tron · Apr 3, 2011, 1:13 PM

Aus welchem Grund ist es ratsam das Lan-Interface und das Wan-Interface der Pfsense Firewall in verschiedene Segmente zu hängen oder ist das eigentlich egal?

(Bei dir 10.100.100.2/24 (Static) + 192.168.245.50/24)

JeGr · Apr 6, 2011, 10:04 AM

Nein das ist nicht egal. Wenn beide Interfaces im gleiche Netz sind weiß das Device beim Routing nicht, aus welchem Interface es das Paket herausgeben soll. Wie auch, da beide das gleiche Netz 192.168.245.x bedienen. Hat die pfSense auf WAN bspw. .1 und auf LAN .100 würde jedes Paket an das Device Probleme bekommen, da es nicht weiß wo es hin soll.

Shine · Apr 9, 2011, 11:00 AM

Hallo Tron,

die pfSense steckt in diesem Fall in 2 verschiedenen Netze, damit das LAN von der WAN-Seite her mehr geschützt ist. Das Netz zwischen "Gateway" und "pfSense" darf man auch DMZ nennen ..