A1 Buisness Anschluss , Heimnetz und jetzt soll eine Firewall dazwischen

JeGr

Ahoi,

Ich habe einen A1 Business Anschluss mit Fixer IP. Der Router ist auf Routing gestellt. Dahinter habe ich einen Cisco Router mit DDWRT. 192.168.0.1–----> DHCP / DNS Server ist die 192.168.0.2 -- > danach etliche Lan Clients und AP's

Und wie soll das Netzt dann nachher aussehen? Und wo hast du hier VLANs verbaut (da du später nach VLAN Konfiguration fragst)?

Wenn du uns erstmal sagst genau wie es jetzt ist und wie es später deiner Meinung nach aussehen sollte, können wir da sicher weiterhelfen.

Viele Grüße
Jens

JeGr

Ich hätte jetzt erwartet, dass du so etwas bauen möchtest?

      WAN / Internet
            : DialUp-/PPPoA-/Cable-/whatever-Provider
      .-----+-----.
      |  Gateway  |  (or Router, CableModem, whatever)
      '-----+-----'
        WAN | IP or Protocol
      .-----+-----.
      |  pfSense  |
      '-----+-----'
        LAN | 10.0.0.1/24
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

stefan01220

hi, ja also ziel sollte folgendes sein:

WAN / Internet
            : DialUp-/PPPoA-/Cable-/whatever-Provider
      .–---+-----.
      |  Gateway  |  (or Router A1)
      '-----+-----'
        WAN | IP or Protocol
      .-----+-----.
      |  pfSense  | --> neu
      '-----+-----'
        LAN | 192.168.0.1 /24
      .-----+------.
      | LAN-Switch | Vlan /
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Also VLan um einen IP6 Tunnel für ein Projekt zu realisieren und VLAN um ein 2Tes Wlan zu gestalten ( Free Hotspot )

ich weiß nicht wie genau ich dir das jetzt erklären kann / soll / muss - da ich ja nur weiß a) was ich habe und b was ich brauche - aber wie ich da jetzt genau hinkommen - das hätte ich gerne einen ansatz ;)

DANKE

JeGr

Also wenn du WLAN von deinem vorhandenen LAN getrennt haben möchtest, muss nicht zwangsläufig ein VLAN her, denn du kannst auch eine pfSense Hardware mit mehr als 2 Interfaces nutzen und dann den WLAN Hotspot daran anschließen. Damit ist der Hotspot dann an einem eigenen getrennten Interface und hat dementsprechend eigene Regeln. Ich vermute mal du hast hier einen entsprechenden AccessPoint/Router der WLAN macht?

Ein IPv6 Tunnel kannst du direkt auf der pfSense terminieren lassen (sofern du das möchtest). Ist das Projekt dann auch im LAN oder soll das ein getrenntes Subnetz sein? Vielleicht kannst du das noch erläutern.

Grüße

stefan01220

soo ich glaub ich muss hier noch etwas weiter ausholen.

Im Anhang ist mal mein Netzdesign wie es derzeit der stand ist.

Nun Sollte folgendes dabei rauskommen. 1. Ein komplett eigenes Vlan ( mit IP6 Tunnel  der direkt ins Internet geht ) Da soll eine Automatische sache laufen.. ( muss nur die Infra zur Verfügung stellen)

Dann das Netz was wir jetzt haben in ein Eigenen VlAn Geben ( Default Lan )  z.b plus Ein Wlan Was wir jetzt schon haben….

Zusätzliches Public Wlan. --> ohne Autentifizierung ( cool wäre eine Leas out sache )

und VPN müsste das werkle dann auch mal können.  Wenn ein Proxy auch noch machbar wäre - dann wäre das ja wirklich toll ^^^

--> ist es jetzt verständlicher ?


Guest

Hallo,

hmm also das hier ist das pfSense Forum und in Deiner letzten Zeichnung von einem
Netzwerk ist gar keine pfSense zu sehen? Und einige andere Ungereimtheiten kommen
dann noch "on top" dazu, das ich mir jetzt einfach mal die zeit nehme um das anzusprechen.

Ja es gibt tatsächlich gute Gründe eine "Dual Homed Lösung" bzw. eine Router oder Firewallkaskade
aufzubauen, nur das muss nicht immer gemacht werden und ist in einigen Situationen auch eher
hinderlich als das sie als Zielführend bezeichnet werden kann. Es muss nicht alle Hardware verbaut
werden die man so herumliegen hat.

Ich würde wie folgt vorgehen wollen;

• A1 Router in den so genannten "Bridged Modus" versetzen und Ihn nur als Modem benutzen!
• Dahinter eine pfSense Firewall aufsetzen und dort lege ich zwei DMZ Zonen an und eine LAN Zone
  Alix APU 1D4 wenn VPN kein Rolle spielt oder ein Board mit C2xxx CPU die AES-NI und Intel QA hat
• Dann nimmt man einen Switch dazu hinter der pfSense und kann sicherlich dort ein LAN für
  den privaten Bereich und eines für die Arbeit aufsetzen, fertig Man kann dazu auch VLANs benutzen
  und sicherlich auch andere Methoden verwenden, nur das sollte eigentlich immer so sauber wie möglich
  und so übersichtlich wie möglich gestaltet und auch umgesetzt werden soll.
  Und wenn man nun den DD-WRT Router noch benutzen möchte kann man ihn sicherlich als WLAN AP
  verwenden und gut ist es.

Ich habe ein "Privates" Netz übernommen - bei dem ich jetzt eine " provesionellere " Firewall verwenden möchte.

Jo und wie übernimmt man ein privates Netzwerk? Das ist doch Dein Heimnetzwerk oder?

Ich habe einen A1 Business Anschluss mit Fixer IP.
OK

Der Router ist auf Routing gestellt.
Macht der also kein SPI/NAT?

SO nun will ich das ganze aber so gestalten, dass ich eben die PF Sense Firewall vor dem DDWRT Router setzen will.

Lass das lieber sein und nimm nur die pfSense oder nur den DD-WRT Router.

GIbs es hier irgendwie ein paar nützliche TUT ? Welche Konfig (exakt gleiche wie
der DDWRT - den dann rausnehmen ) VLAN mäßig ?? Default Einstellungen auf der PF Sense ?
Das wirst Du Dir dann wohl eher hier zusammen suchen müssen oder aber anlesen müssen oder
aber was auch noch gehen würde, wäre das pfSense Buch zu kaufen, das bringt wenigstens etwas.

Mir gehts hier eigentlich um ein Richtiges Konzept der neuen Konfiguration…
A1 Router als Modem --- pfSense Firewall --- LAN Switch --- VLAN20 privat, VLAN30 arbeit, VLAN40 WLAN, VLAN50 WLAN Gäste, ginge auch ist aber auch mitunter der Umgebung geschuldet.

Mir ist auch schon klar, das ich einfach drauf los basteln kann , jedoch finde ich Erfahrungen und
Meinungen sehr wichtig und hätt hier auch gerne die ein oder andere!
Meine Meinung ist dazu, mach es so einfach und so übersichtlich wie möglich, denn immer wenn
etwas hinzukommt und man hat vorher "gefrickelt", wird das Netzwerk immer instabiler und unübersichtlicher.

stefan01220

ok ich hab mich hier wirklich wohl etwas ungeschickt ausgedrückt.

ich meine natürlich die Pfsense anstatt dem ddwrt router.

Das ist ein kleines Netzwerk einer freiwilligen Organisation, nicht unbedingt mein Privates Netzwerk !

es geht halt darum, dass ich wirklich 3 Getrennte Netze Habe.

1x LAN + Wlan ( gleichem Netz)
1x Wlan nur Internet
1x  LAN für Ipsec Tunnel - was für ein Projekt eben benötigt wird.

mir gehts da jetzt eigentlich auch mehr um die Grund Konfig wie ich was wo auf der PFsenes Konfigurieren soll / muss !

Vielen dank für deine HILFE !

Guest

1x LAN + Wlan ( gleichem Netz)
1x Wlan nur Internet
1x  LAN für Ipsec Tunnel - was für ein Projekt eben benötigt wird.

Ich würde Dir dringend dazu raten wollen, das pfSense Buch zu kaufen und/oder
durchzulesen denn, dann ist Dir vieles klarer und Du kannst es nachlesen und
musst nicht immer nachfragen, anbei noch ein paar Links zu richtig guten Anleitungen
betreffend Deines Vorhabens und pfSense.

Kopplung von 2 Routern am DSL Port
VLAN Installation und Routing mit pfSense
OpenVPN Server installieren auf pfSense Firewall
IPsec VPN mit pfSense Firewall und Shrew u. Smartphone Client Software
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Ist alles in deutscher Sprache und hübsch bebildert.

JeGr

@BlueKobold: Buch lesen ist ja schön und gut, aber dafür gibt es eben landessprachlich ergänzend das Forum. Und er hat ja ein konkretes Problem geschildert. Dann kann man da auch konkret Antworten und ihn nicht mit Links und Lesebefehl sich selbst überlassen. Natürlich schadet einlesen/bilden nicht, aber deshalb kann man ja freundlich fragen, was andere Leute in diesem konkreten Fall empfehlen würden. Das pfSense Buch schreibt auch nicht "für den Fall einer privaten Hilfsorganisation mit Requirement X wähle Variante in Schaubild 7a" ;) Zudem er hier nicht gefragt hat, wie es bspw. ein VPN einrichtet etc. sondern konkret wie er sinnvoll die Architektur lösen soll bzw. was andere meinen. Deine Links sind damit zwar gut und hilfreich - danke dafür! - aber klären nicht das Problem :)

@stefan
Also mit der pfSense vornedran, würde ich das mit 4 Interfaces aufziehen.

1. WAN via PPPoA/A1
2. LAN (und dort dann ein WLAN AP so abgesichert, dass Clients in das LAN gebridgt werden, dafür aber ordentlich angemeldet sein müssen. WPA2 Minimum, WPA2/Enterprise + Radius evtl?)
3. WLAN only (eigener AP für public WLAN)
4. Test-LAN für Tunnel/Projekt/whatever

2/3/4 jeweils an eigenem Switch oder zumindest eigenes VLAN auf entspr. Switch. Zudem würde ich WLAN auf extra APs abwickeln, nicht auf der pfSense selbst. Beim Portal kommts drauf an, ob du die Funktion brauchst oder nur "public WLAN ohne Anmeldung o.ä. sein soll. Da ist dann ggf. etwas mehr Aufwand nötig, je nachdem was du an Public WLAN bauen willst

Grüße

stefan01220

Hallo u danke für die zahlreichen Infos zur Architektur!

Soweit läuft mal alles wie geplant.  Das einzige was ,ihr Grad zu schaffen macht ist die Performance!

Mir kommt vor, dass nach dem Update auf das neue Release die pfsense nicht mehr den vollen Durchsatz hat.
Pings auf Google reißen ab. Downloads haben 50 kbits bei ner 30/8 MBit Leitung!

Irgendwelche Ansätze?

Ach ja ich hab keine Geschwindigkeit Grenzen eingestellt, zumindest nicht aktiv!

JeGr

Da ich nicht weiß auf WAS eigentlich deine pfSense gerade läuft wird das schwer…