Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Richtiger Netzwerkaufbau und sichere Konfiguration

    Scheduled Pinned Locked Moved
    Deutsch
    5
    11
    4.5k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sunghost
      last edited by

      Hallo,
      bisher bin ich mit meinem AVM 7270 recht gut gefahren. Nun möchte ich mich jedoch mehr mit pfSense bechäftigen und habe dies auch schon getan. Bisher habe sie installiert und mir die Menüs und Konfigurationsmöglichkeiten angesehen - echt umfangreich und interessant. Zu meinem Vorhaben und der aktuellen Konfiguration.

      aktuell:

      • INet->ADSL2(7270) als Modem und WLan Gerät -> an Switch für das interne LAN
      • pfsense als KVM in Proxmox mit 2 Nics (192.x und 10.x), je als Bridge konfiguriert

      Ziel:

      • pfsense als virtuelle Firewall (läuft bereits in virtueller Umgebung), DHCP und DNS laufen lassen
      • pfsense möglichst die PPPOE Einwahl erledigen lassen (brauche ich hier ein Modem davor?)
      • 7270 hinter die Firewall für WLAN
      • später den Webproxy auf pfsense nutzen und ggf. VPN
      • möglichst Stromkosten durch unnötige Geräte sparen (Modem und 7270 ?)

      aktuelle Probleme

      • die Einwahl hat nicht funktioniert, ich nehme an weil ich immer noch ein Modem brauche, also nicht direkt an den TAE per RJ45 gehen kann
      • mir ist noch unklar ob ich lediglich den wan port in pfsense als nat konfigurieren muss, oder den port in der virtuellen umgebung, bzw. den physischen des hostes?! aktuell alles bridge und nur in pfsense als nat, während das gateway im lan auf den lan des pfsense zeigt

      Ich hoffe es war nicht zu verwirrend von mir geschrieben und ihr könnt mir dabei etwas helfen.

      edit:
      Ok, jetzt habe ich weitere Themen im Netz dazu gefunden und die Idee ohne Modem war natürlich blöd, denn pfsense an sich hat ja kein internes ;). Daher würde ich nun zu folgendem Aufbau tendieren:
      -> adsl2 modem->pfsense->7270 und lan
      Wäre das ok? Die Einwahl würde dann das Modem machen, pfsense würde ich auf im WAN statt auf PPPOE auf DHCP stellen, die 7270 wäre dann nur wlan gerät und dann sollte es klappen oder? Was mich noch verunsichert sind die Eintellungen im virtuellen Bereich, also die der 2. Nic die für WAN ist und der virtuelle vmbr1. Müssen die dann weiterhin auf bridge stehen oder muss ich da etwas ändern? Meine Sorge ist die Sicherheit und das man evtl. aus dem Lan vorbei an die pfsense ins WAN kommt, bzw. was schlimmer wäre aus dem WAN an pfsense vorbei ins LAN. Was sagen die Experten?

      1 Reply Last reply Reply Quote 0
      • -flo- 0-
        -flo- 0
        last edited by

        @sunghost:

        Daher würde ich nun zu folgendem Aufbau tendieren:
        -> adsl2 modem->pfsense->7270 und lan
        Wäre das ok? Die Einwahl würde dann das Modem machen, pfsense würde ich auf im WAN statt auf PPPOE auf DHCP stellen, die 7270 wäre dann nur wlan gerät und dann sollte es klappen oder? […] Meine Sorge ist die Sicherheit und das man evtl. aus dem Lan vorbei an die pfsense ins WAN kommt, bzw. was schlimmer wäre aus dem WAN an pfsense vorbei ins LAN. Was sagen die Experten?

        Also ich bin kein Experte. Aber das WAN-Interface der pfSense muß auf PPPoE stehen, damit es mit dem Modem sprechen kann. Dann konfigurierst Du die Zugangsdaten für den Provider im WAN-Interface in der pfSense. Die pfSense bekommt dann auf dem WAN-Interface eine öffentliche IP-Adresse und muß auf den internen Schnittstellen mit privaten IP-Adressen konfiguriert sein. Wegen Sicherheit: Auf diesem Weg sollte aus dem Internet auch niemand an der pfSense vorbei ins LAN können.

        Viele Modems sind auch Router und können die Einwahl selbst. In so einem Setup konfigurierst Du die Einwahldaten im "Modem/Router". Die pfSense konfigurierst Du dann auf DHCP, weil die vom Modem eine IP-Adresse bekommt, und zwar eine private. Das ist dann aber auch nichts anderes als was das 7270 vorher gemacht hat. Ein Zugriff aus dem WAN ist nur soweit möglich, wie es das "Modem/Router" dann zuläßt genau wie beim 7270.

        Ich hoffe das hilft Dir weiter.

        Zu den Fragen bzgl. NICs kann ich nichts sagen. Ich habe aus Deinem Post nicht verstanden, welche NICs Deine pfSense jetzt genau hat und was mit was verbunden sein soll.

        -flo-

        1 Reply Last reply Reply Quote 0
        • S
          sunghost
          last edited by

          Hi flo,

          und danke für die Antwort. Das was du beschreibst ist mir soweit auch klar. Dass sollte nicht das Problem sein. Was ich nur ungerne möchte ist ein zusätzliches Gerät. Demnach wäre die einzige Lösung für mich grade: adsl2-modem ->pfsense mit PPPOE->switch=>7270 mit WLAN und hier die Clients etc.

          Ich hätte es jedoch gerne ohne das Modem und direkt in pfsense oder die 7270 vorgeschaltet. Jedoch vermute ich dass ich dann die WLAN Geräte nicht hinter die pfsense bekomme. Außerdem ist mir die virtuelle Schnittstellen konfiguration noch nicht ganz klar. Aktuell sind 2Nics verbaut eth0 (lan) und eth1 (wan). Virtuell sind das dann  vmbr0 und vmbr1, welche beide im Bridge Mode konfiguriert sind. Die Frage wäre nun, da ja NAT genutzt werden soll, ob ich hier bereits einen Port auf NAT setzen muss, oder ob es technisch und sicherheitsrelevant so bleiben kann.

          1 Reply Last reply Reply Quote 0
          • -flo- 0-
            -flo- 0
            last edited by

            Ich habe pfSense noch nicht in einer VM installiert, aber m.E. müßte das so funktionieren: Die Ports müssen in der VM auf bridged konfiguriert bleiben, kein NAT. Innerhalb der pfSense keine Bridge konfigurieren, hier verwendest Du NAT. Am LAN Interface konfigurierst Du das interne Netzwerk (z.B. statische IP-Adresse 192.168.1.1 und Netzwerk 192.168.1.0/24).

            Wenn Du ein Gerät einsparen willst, müßte es möglich sein eine WLAN-Karte in den Rechner einzubauen und diese als AP mit pfSense zu betreiben.

            -flo-

            1 Reply Last reply Reply Quote 0
            • C
              Cor_ny
              last edited by

              hi, ich hätte die idee die fritzbox für adsl und für wlan zunutzen

              die fritzbox darf dabei nicht der dhcp server sein.
              das wan und lan interface müssen auf der fritzbox anliegen

              die fritzbox bekommt die 192.168.0.1
              pfsense wan 192.168.0.254

              pfsense lan 10.x
              und auf dem lan interface dhcp aktivieren, so sollte alle wlan geräte eine ip des lan interfaces der pfsense erhalten

              so könnte man aber die firewall umgehen sobald jemand sein Pc/Smartphone in das 192.168.0.x netz statisch stellt.
              in dem fall muss die fritzbox die internet verbindung herstellen, ich seh aber keinen grund warum sie das nicht machen sollte.
              ist nur ein vorschlag…

              es gibt auch pci modems und wlan karten die man in server einbauen kann, so brauchste die fritzbox garnicht mehr

              1 Reply Last reply Reply Quote 0
              • O
                orcape
                last edited by

                Hi sunghost,
                da Du ja auf Grund der Strompreis Entwicklung berechtigterweise möglichst wenig Geräte einsetzen willst, von mir mal ein anderer Tipp.
                Ich weiß zwar nicht, wie Deine örtlichen Gegebenheiten aussehen und habe auch keine Erfahrung was Virtualisierung betrifft.
                Was pfSense kann, ist mir aber sehr wohl bewusst.
                Das Du das Modem zwingend brauchst ist klar, dazu die pfSense auf entsprechender Hardware als Firewall-Router mit 3 NIC´s (WAN,LAN,DMZ) und einer WLAN-Karte und gut ist es.
                Die Aufteilung im LAN (falls nötig) übernimmt ein Switch.
                Wie gesagt, wenn es Deine örtlichen Gegebenheiten zulassen.
                Hier mal ein Link zu einem Tutorial, welches allerdings Hardware verwendet, die für Virtualisierung, Squid und Squidguard und Co. etwas matt um die Brust ist….
                http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall-im-eigenbau-oder-fertiggerät-149915.html
                Ich habe das ALIX bei mir mit 3 NIC´s und WLAN und 3 VPN-Tunneln am laufen, am LAN-Port ein 8 Port Switch, erfüllt bis jetzt "fast" alle meine Bedürfnisse und ist mit 4 W Stromverbrauch kaum zu toppen.
                Das ALIX soll übrigens demnächst etwas modifiziert mit GB-LAN und einem schnelleren Prozessor auf den Markt kommen. Inwieweit da Virtualisierung sinnvoll ist, wir werden sehen…;)
                Inwieweit auf Deiner jetzt verwendete Hardware, diese Variante machbar wäre, kann ich natürlich nicht beurteilen.
                Gruß orcape

                1 Reply Last reply Reply Quote 0
                • S
                  sunghost
                  last edited by

                  Hallo und danke für die Antworten. Leider hatte ich keine Benachrichtigung per Mail, sodass ich sie jetzt erst lesen konnte (Oh ok Option unten eben gesehen und aktiviert LoL) . Gestern Abend hatte ich mich mal wieder vor das Thema gesetzt und alles zum laufen bekommen. D.h. Alice-Modem->pfsense (virtuell)->Lan ;).

                  So weit so gut, allerdings hatte ich vor 5min feststellen müssen, dass der PPPOE Reconnect nicht funktioniert, denn die Verbindugn ins Internet ist nicht mehr gegeben ;(. Eben noch kurz gesucht und des öfteren von einem Bug gelesen… da ich nicht zu hause bin, kann ich mich dem erst heute Abend annehmen.

                  Ansonsten ist mir die NAT Thematik noch nicht ganz klar, also wie ich es einstelle, dass das LAN genattet wird und DNS Masquerade müsste ja irgendwie auch aktiviert werden, oder ist das Default?

                  Zur Hardware kann ich sagen, dass es ein i5 mit 16GB RAM ist. D.h. er ist schon etwas stromsparender als ein normaler PC, reicht von der Leistung aus und hat auch eine WLAN Karte. Wenn ich diese nun als Accesspoint für die WLan Geräte verwenden könnte wäre das super, allerdings glaube ich nicht, dass es die unterschiedlichen Geschwindigkeiten wie die Fritzbox handeln kann, oder? Die Karte würde doch bestimmt immer die langsamste für alle einstellen...? Gleiches für den Gastzugang, oder geht das über die Portaloptionen?

                  1 Reply Last reply Reply Quote 0
                  • -flo- 0-
                    -flo- 0
                    last edited by

                    @sunghost:

                    So weit so gut, allerdings hatte ich vor 5min feststellen müssen, dass der PPPOE Reconnect nicht funktioniert, denn die Verbindugn ins Internet ist nicht mehr gegeben ;(. Eben noch kurz gesucht und des öfteren von einem Bug gelesen… da ich nicht zu hause bin, kann ich mich dem erst heute Abend annehmen.

                    Geht das dann manuell?

                    Wenn's dann klappt, melde Dich mal, woran es gelegen hat.

                    @sunghost:

                    Ansonsten ist mir die NAT Thematik noch nicht ganz klar, also wie ich es einstelle, dass das LAN genattet wird und DNS Masquerade müsste ja irgendwie auch aktiviert werden, oder ist das Default?

                    Du schreibst doch, daß es funktioniert, dann müßte das doch bereits richtig eingestellt sein?

                    Wenn Du das NAT nicht explizit ausschaltest (System / Advanced / Firewall/NAT, Option "Disable Firewall" oder unter Firewall / NAT / Outbound), dann ist es aktiv.

                    DNS Masquerade: Services / DNS Forwarder. Ist per default aktiv.

                    -flo-

                    1 Reply Last reply Reply Quote 0
                    • S
                      sunghost
                      last edited by

                      Hallo Flo,

                      die Trennung der Verbindung kannst du unter General configuration der WAN Konfiguration mit PPPOE einstellen. Es gibt dort den Punkt Advanced and MLPPP und einen Link, drauf klicken und dann kannst du selber den Zeitpunkt einer automatischen WAN-Trennung eingeben.

                      Nachdem gestern alles durchgängig lief ist die WAN Verbindung heute wieder ausgestiegen ;(. Genau kann ich noch nicht sagen woran es liegt, ich vermute evtl. die USB-Nic die vom Host abgeschaltet wurde, aber Anzeichen dafür konnte ich nicht finden, jedenfalls geht der Remotezugang aktuell nicht…

                      1 Reply Last reply Reply Quote 0
                      • H
                        hege
                        last edited by

                        Hallo, du schreibst pfSense läuft bei dir virtuell, auf welchem Hypervisor läuft es denn?

                        1 Reply Last reply Reply Quote 0
                        • S
                          sunghost
                          last edited by

                          Hi Hege,
                          unter KVM (Proxmox), was ich nur empfehlen kann ;).

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.