Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Abbildbar mit pfSense

    Deutsch
    3
    5
    1.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      traxanos
      last edited by

      Hi

      ich bin neu hier und wollte nach langem lesen einmal hinterfragen, ob pfSense das so kann wie ich mir das vorstelle.

      Netze:

      • Gästenetz mit DSL Anschluss und Router

      • Glasfaser ins RZ

      • Clientnetz

      • Managmentnetz

      • Servicenetz (ähnlich einer DMZ)

      Anforderung:

      • Das Gästenetz soll als FailOver genutzt werden

      • Das Glasfaser in RZ als DefaultGW

      • Der Failovercheck soll auf eine selbst definierte IP prüfen, da wir die komplette Uplink-Kette prüfen möchten

      • Im Failoverfall soll das Gästenetz genutzt werden, dennoch sollen aber bestimmte PrivateIP-Adressen über den DefaultGW gehen (Glasfaser)

      • Client-,Management- und Servicenetz sollen über definierbare Regeln kommunizieren dürfen.

      • Logging

      • Bereits integrierte Regeln gegen übliche Attacken: z.B. Smurf

      • DNS Proxy: Soll verschiedene Domains über verschiedene DNS-Server auflösen inkl. Reihenfolge

      • Realtime Monitoring von Traffic / Regeln etc.

      • TrafficShaping

      • VPN-Server mit verschiedenen Regeln / Zugrffsberechtigungen

      • DHCP-Server

      • Scriptmöglichkeit um die Daten für den DHCP (Liste IP/Mac) aus einem Drittsystem zu ziehen

      • Installation von Zabbix zum Monitoring

      • IDN Erkennung und Sperrung

      • FreeRadius Server mit Anbindung an LDAP

      • HA-Lösung für (FW/DHCP/DNS/Radius/VPN)

      Einige Punkte hab ich mir schon selber durch Doku lesen geklärt, aber ich wollte mal die ganzen Anforderungen auflisten, um euch ein besseres Bild zu geben.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ahoi :-)

        ich antworte direkt mal chronologisch auf deine Anforderungen:

        1. Failover geht
        2. Glas als default geht natürlich auch
        3. Failover geschieht bei Link down.  Dieser prüft auf das Default GW, ist aber beliebig überschreibbar
        4. wird per source based rules und custom gateway erschlagen,  Regel bekommt dann nicht das Failover Gateway, sondern das GW des Glas Interface
        5. check
        6. logging kommt darauf an was und womit aber prinzipiell ja
        7. jein. Eine Firewall ist kein IDS. Einige Fälle gibt es.
        8. müsste genauer spezifiziert sein,  aber DNS forwarder gibt es,  auch mit overwrites etc
        9. wieder: hängt davon ab was du sehen willst
        10. ja
        11. ja
        12. ja
        13. nicht ohne weiteres. evtl mit cron und anderen Skripten denkbar
        14. server? nein. agent, ja. gibt es als Paket.
        15. erneut: IDS hat nur beschränkt was auf einer Firewall zu suchen. Meiner Meinung nach. Wenn ich sehe was unsere alten Juniper da mitunter für Unfug angestellt haben mit ihrem Pseudo IDS und super deep inspection und dann rufen Kunden an weil der Traffic nicht sauber ankommt.  Nicht schön.
        16. ja
        17. CARP

        prinzipiell mein Rat : versuch nicht die eierlegende Wollmilchsau zu bauen. Erstens aus Ressourcen Gründen (was für Leitungen spielen hier überhaupt mit? 1GE? 10GE?) und aus der Problemsicht. Je mehr man einen Host mit immer noch mehr Funktionen zu kleistert umso mehr Seiteneffekte können sich einschleichen.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • T
          traxanos
          last edited by

          Hi

          danke für das Feedback. Ich denke auch das nicht jede Funktion mit auf die Büchse drauf muss.
          Sachen wie z.B. IDN ist kein Pflicht. IDN wäre hat nur interessant wenn bekannte attaken automatisch geblockt werden.
          Das Risiko einer Falschmeldung macht mir aber Sorgen daher wie gesagt bleibt das erstmal weg.

          Aufgaben die das Netzwerk betreffen, will ich aber schon unter bekommen.

          Das mit dem DNS wollte ich noch mal etwas genauer beschreiben.
          Wir haben 2 DNS Server. Einen HauptDNS und einen DNS aus einer ActiveDirectory.
          Wir haben aktuell eine Zyxel Firewall und dort haben wir das so hinterlegt, dass alle an
          COMPANY.intern an die AD-DNS geschickt wird, und der Rest an den HauptDNS.
          Der 3te ist 8.8.8.8 von google als Fallback falls alles schief läuft.

          Ist so etwas mit der pfSense auch möglich?

          Weiß jemand ob die ganzen Service in einer Art Sandbox eingesperrt sind?

          1 Reply Last reply Reply Quote 0
          • S
            shiversc
            last edited by

            Nimm es mir nicht übel, aber dein letzter Post liest sich schrecklich.

            Was ist "HauptDNS" und mit "DNS aus einer ActiveDirectory" ist die DNS Rolle eines Windows Server gemeint?

            Das mit der Firewall ist auch nicht eindeutig!

            Wie ist die Topologie, wer macht nun DNS und wer "Forwarded"?

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Ich verstehe die Frage auch nicht ganz, sehe es aber so, dass wohl irgendwo ein DNS Server läuft (non Windows) der den Primary macht und ein Windows-AD, der als Secondary im Spiel ist. Der Primary muss dann eben company.local an den secondary weiterreichen, sonst haben die ganzen Windows-Kisten ein Problem.

              Und ja, das habe ich oben schon erwähnt in der Liste, dass der DNS Forwarder von pfSense so etwas kann. Nennt sich "Domain Overrides" im DNS Forwarder.
              Wenn du es ganz Hardcore möchtest, kannst du statt dem Forwarder auch einen ganzen DNS Server installieren. Rate ich aber von ab.

              "die ganzen Services" verstehe ich leider nicht. Außer DNS und DHCP etc. habe ich noch nichts gehört von irgendwelchen Hardcore Diensten. Und die laufen natürlich lokal mit ihrem eigenen Service User ohne erweiterte Rechte wie es sich gehört. Da die Firewall von außen auch nicht erreichbar sein sollte, ist da aber eh nur theoretisch. Die Gefahr käme da eher von innen als von außen.

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.