DYNDNS zur pfsense

simpsonetti

moin, bezugnehmend zu diesem Thread hier : http://forum.pfsense.org/index.php/topic,38079.0.html
noch eine Frage: ich habe bei dyndns einen account. Nun möchte ich das diese auch über die PFsense klappt.
Dazu habe ich im Router den account eingerichtet und in der PFsense.
Im Router habe ich die PFsense als DMZ gesetzt, damit diese sozusagen "alles" regelt.
Wie muss ich in der PFsense die Einträge in der Firewall machen, damit bestimmt ports offen sind um zugriff auf bestimmte dienste zuzulassen ( port 443, 80, 22 usw. ) ?

EDIT Der Eintrag PFsense in DMZ besagt ja auch, das rechner direkt mit dem internet verbunden sind . Das heißt, das mein Router im prinzip die anfragen die auf den dyndns.org namen kommen, weiterleitet zur pfsense, und diese dann mit definierten regeln dann entscheidet, was damit gemacht werden soll ?
Der Router soll imprinzip mir nur die internetverbindung aufbauen, alles andere soll die pfsense machen und daher dachte ich, kommt eben diese in die DMZ.

Nachtfalke

Hallo,

also den dyndns account musst du nur bei dem router einrichten, der direkt am internet hängt, also die öffentliche IP hat. denn diese IP soll ja für den dyndns namen gelten. trägst du dyndns zusätzlich an der pfsense noch ein, kommt da quatsch raus, denn die WAN schnittstelle deiner pfsense ist ja keine öffentliche IP, sondern nur die, die dein router davor per DHCP vergibt.

bei der Einstellung "DMZ" an deinem KD Router gehe ich davon aus, dass es sich ähnlich verhält wie bei den fritzboxen. Dort heisst "DMZ" dass die firewall am KD Router für diese IP Adresse ausgeschaltet ist und alle anfragen in deinem fall ungefiltert an die pfsense weitergeleitet werden.

Wenn du nun möchtest, dass man vom internet aus über deine pfsense auf https (443) etc zugreifen können soll, dann musst du das in der pfsense firewall auf der WAN schnittstelle freigeben.
Die Frage ist jetzt, möchtest du vom internet aus auf die pfsense über https (443) zugreifen oder befinden sich die dienste im LAN der pfsense, also auf einem anderen server ? Bei letzterem Szenraio brauchst du eine Portweiterleitung (Port Forwarding).

Wenn du auf die pfsense GUI vom internet aus zugreifen willst, würde die firewall rule für https so aussehen:

Action: Pass
Source IP and Port: any
Destination IP: WAN address
Destination port: 443

Bei solchen Spielchen aber bitte ein starkes admin passwort benutzen, denn diese standard ports werden gerne mehrmals am tag von bots abgeklappert.

simpsonetti

@Nachtfalke:

Hallo,

also den dyndns account musst du nur bei dem router einrichten, der direkt am internet hängt, also die öffentliche IP hat. denn diese IP soll ja für den dyndns namen gelten. trägst du dyndns zusätzlich an der pfsense noch ein, kommt da quatsch raus, denn die WAN schnittstelle deiner pfsense ist ja keine öffentliche IP, sondern nur die, die dein router davor per DHCP vergibt.

Okay.

bei der Einstellung "DMZ" an deinem KD Router gehe ich davon aus, dass es sich ähnlich verhält wie bei den fritzboxen. Dort heisst "DMZ" dass die firewall am KD Router für diese IP Adresse ausgeschaltet ist und alle anfragen in deinem fall ungefiltert an die pfsense weitergeleitet werden.

Wenn du nun möchtest, dass man vom internet aus über deine pfsense auf https (443) etc zugreifen können soll, dann musst du das in der pfsense firewall auf der WAN schnittstelle freigeben.
Die Frage ist jetzt, möchtest du vom internet aus auf die pfsense über https (443) zugreifen oder befinden sich die dienste im LAN der pfsense, also auf einem anderen server ? Bei letzterem Szenraio brauchst du eine Portweiterleitung (Port Forwarding).

Ich möchte dienste auf dem Server nutzen, nicht auf der PFsense. auf die greife ich nur aus dem LAN drauf zu.
Also brauche ich Port Forwarding ?

Wenn du auf die pfsense GUI vom internet aus zugreifen willst, würde die firewall rule für https so aussehen:

Action: Pass
Source IP and Port: any
Destination IP: WAN address
Destination port: 443

Bei solchen Spielchen aber bitte ein starkes admin passwort benutzen, denn diese standard ports werden gerne mehrmals am tag von bots abgeklappert.

Okay, das ist klar, das dieses passwort stark sein muss, aber wie gesagt, nur vom LAN aus soll das ding erreichbar sein.

Nachtfalke

Ja, dann brauchst du Port Forwarding.

wenn du zum Beispiel auf einen Server im LAN mittels https (443) zugreifen möchtest, dann wäre ein solches portforwarding notwendig:

Source IP and port: any
Destination IP: WAN address
Destination port: 443
Redirect IP: Server-IP im LAN
Redirect port: 443
Filter rule association: Create new associated filter rule (damit wird gleichzeitig die passende Firewall rule erstellt)

Beim Destination Port könnte auch ein anderer port stehen, zum Beispiel 6666, dann müsstest du aber im webbrowser z.B. folgendes eingeben:

https://DYNDNS-ADRESSE.de:6666 anstatt https://DYNDNS-ADRESSE.de  (wenn es port 443 wäre)
um auf den server zu kommen.

simpsonetti

also ich habe nun mir so etwas erstellt:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP    NAT Ports Description

WAN TCP * 54321 192.168.1.4          22 (SSH) 192.168.1.4 22 (SSH) ssh-oss

WAN TCP * 443 (HTTPS) 192.168.1.4 443 (HTTPS) 192.168.1.4 443 (HTTPS) https-oss

Aber leider klappt das nicht.
der Router hat die 192.168.2.1 , die WAN der pfsense die 192.168.2.2, die LAN der pfsense hat 192.168.1.1 und der Server am nic1 hat die 192.168.1.4 . Ist da noch irgendwo ein gedanklicher fehler drin ?
Und wieso steht da nun NAT IP und PORT, ob wohl ich da "redirection ip und port" angeben mußte ?

EDIT hier der netzplan

WAN / Internet
            :
            : Cable
            :
      .–---+-----.
      |  Router KD  |  192.168.2.1 , PFSENSE in der DMZ
      '-----+-----'
            |
        WAN |192.168.2.101 PFSENSE
            |
      .-----+-----. 
      |  pfSense  |
      '-----+-----'
            |
        LAN | 192.168.1.1
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Server) eth0 192.168.1.4

Guest

@simpsonetti:

also ich habe nun mir so etwas erstellt:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP    NAT Ports Description

WAN TCP * 54321 192.168.1.4          22 (SSH) 192.168.1.4 22 (SSH) ssh-oss  
WAN TCP * 443 (HTTPS) 192.168.1.4 443 (HTTPS) 192.168.1.4 443 (HTTPS) https-oss

Aber leider klappt das nicht.
der Router hat die 192.168.2.1 , die WAN der pfsense die 192.168.2.2, die LAN der pfsense hat 192.168.1.1 und der Server am nic1 hat die 192.168.1.4 . Ist da noch irgendwo ein gedanklicher fehler drin ?
Und wieso steht da nun NAT IP und PORT, ob wohl ich da "redirection ip und port" angeben mußte ?

Der Source-Port liegt normalerweise im Bereich 1024-65535 und die Dest.-addr ist die IP der WAN-Schnittstelle:

If  Proto  Src. addr  Src. ports  Dest. addr    Dest. ports  NAT IP        NAT Ports    Description
WAN TCP    *          1024-65535  WAN address  22 (SSH)      192.168.1.4  22 (SSH)      ssh-oss 
WAN TCP    *          1024-65535  WAN address  443 (HTTPS)  192.168.1.4  443 (HTTPS)  https-oss

Falls der Zugriff auf den Server damit immer noch nicht möglich ist, mußt du in dem Router evtl. ebenfalls NAT einrichten.

Block private networks' das Häkchen entfernen!

simpsonetti

und wie richte ich da NAT ein ?

Guest

@simpsonetti:

und wie richte ich da NAT ein ?

–> http://static.highspeedbackbone.net/pdf/D-Link-DIR-615-Manual.pdf Seite 28 (Port Forwarding)

Zieladresse ist die WAN-Adresse der PfSense.

Nachtfalke

Source port und source IP bleiben in den allermeisten Fällen immer any ( * )

simpsonetti

@Gitano:

@simpsonetti:

und wie richte ich da NAT ein ?

–> http://static.highspeedbackbone.net/pdf/D-Link-DIR-615-Manual.pdf Seite 28 (Port Forwarding)

Zieladresse ist die WAN-Adresse der PfSense.

So das habe ich nun gemacht, im DLINK eine Portweiterleitung : Name "all" port: 1-65535 , auf Pfsense (nun 192.168.2.101) und Datenverkehrytyp: beliebig.
Also das ALLES was reingeht zur pfsense geht und diese dann entscheidet.

In der PFsense habe ich dann bei Firewall-Nat eine regel erstellt:

WAN TCP * * 192.168.2.101 54321 192.168.1.4 22 (SSH)

Diese Nat: Port Forward ist mit einer Regel in der Firewall verbunden:

TCP * 54321 192.168.1.4 22 (SSH) * none

Also ist doch nun im Prinzip für den zugriff von ssh eigentlich alles so wie es sein sollte.
Trotzdem klappt der Zugriff noch nicht. ?

Guest

@simpsonetti:

So das habe ich nun gemacht, im DLINK eine Portweiterleitung : Name "all" port: 1-65535 , auf Pfsense (nun 192.168.2.101) und Datenverkehrytyp: beliebig.
Also das ALLES was reingeht zur pfsense geht und diese dann entscheidet.

In der PFsense habe ich dann bei Firewall-Nat eine regel erstellt:

WAN TCP * * 192.168.2.101 54321 192.168.1.4 22 (SSH)

Diese Nat: Port Forward ist mit einer Regel in der Firewall verbunden:

TCP * 54321 192.168.1.4 22 (SSH) * none

Also ist doch nun im Prinzip für den zugriff von ssh eigentlich alles so wie es sein sollte.
Trotzdem klappt der Zugriff noch nicht. ?

Sicherheitstechnisch sollten in dem Router nur die Ports weitergeleitet werden, die auch benötigt werden.

Aktiviere mal unter: Status: System logs: Settings

Log packets blocked by the default rule

, dann kannst du im Log sehen, wie die Pakete aufgebaut sind, die eigentlich durchgelassen werden sollen. … und dann schau dir nochmals meine Beispiel-Regeln für die PfSense an.

Guest

@Nachtfalke:

Source port und source IP bleiben in den allermeisten Fällen immer any ( * )

Welcher SSH- bzw. HTTPS-Client benutzt Quellports < 1024, oder anders gefragt: Welchen Sinn macht es, mehr freizugeben als unbedingt notwendig?

Mein Grundsatz ist: Freigaben so restriktiv wie möglich -Blockregeln so global wie möglich!

Nachtfalke

@Simpsonetti

Wenn du versuchst, dich per SSH zu verbinden, gibst du dann auch den port 54321 an ?

Deine Zieladresse sollte folgende sein:
IP: 192.168.2.101
Port: 54321

simpsonetti

@Nachtfalke:

@Simpsonetti

Wenn du versuchst, dich per SSH zu verbinden, gibst du dann auch den port 54321 an ?

Deine Zieladresse sollte folgende sein:
IP: 192.168.2.101
Port: 54321

;) klar gebe ich port 54321 mir an : ssh -CX -p 54321 host

und mittlerweile klappt das auch.
auf dem Router habe ich deswegen alles auf gemacht, weil der nur den zugang regeln soll und dyndns machen soll. Alles andere soll die PFsense machen.
Aber nachdem nun ssh und https laufen, kann ich auch die anderen ports einstellen.

@offtopic: ich würde mich als zugange noch an openvpn ran wagen. gibt es ein tutorial, was ihr mir besonders empfehlen könnt ?

Gruß Sebastian

Nachtfalke

Ich würde dir diese Zugangsmethode über Port Forwarding für SSH und HTTPS sowieso nicht wirklich ans Herz legen, wenn du das nur zu Administrationszwecken benötigst. Wenn du einen Webserver betreibst ist es klar, dass du eine Portweiterleitung für https brauchst.

Ich würde ein OpenVPN mit Zertifikat einrichten und den Zugang zum Netz nur noch alleine über VPN erlauben.

Ein Tutorial wäre sicherlich das hier:
http://forum.pfsense.org/index.php/topic,22115.0.html

Ansonsten gibt es im Forum sicherlich noch andere Threads die man mit den Begriffen "OpenVPN" und "Road Warrior" bzw "RoadWarrior" finden kann.

Ich persönlich empfehle OpenVPN, das finde ich persönlich einfacher zu konfigurieren, aber da gibt es sicherlich geteilte Meinungen.
Solltest du weitere Fragen zum Thema OpenVPN etc. haben, dann einfach in den passenden Threads nachfragen oder eben einen neuen erstellen - der Übersichtlichkeit halber.
Viel Erfolg!