WAN Interface ändern oder neu erstellen ?
-
Hallo,
bin aktuell ein PFsense Noob und muss aber demnächst einen Firmenumzug mit der kompletten EDV-Hardware bei einem Kunden von mir durchführen. Die mit VM-Ware virtualisierte Pfsense-Firewall (Version 2.3.3) hat mein Vorgänger eingerichtet. Habe mich in den letzten Wochen versucht, so gut es geht schlau zu machen mit der PFsense, aber vielleicht könnt Ihr mir dennoch helfen, damit am Tag X nichts schiefgehen kann bzw. ich nicht übernächtigen muss.
Am bisherigen Standort haben wir an einem Dell-Virtualisierungsserver vier Netzwerkanschlüsse; drei davon sind als WAN (Eingänge) in der Firewall eingerichtet worden (2 DSL Telekom-Anschlüsse/Modems, 1 x Ortenau-DSL Anschluss). Alle drei WAN-Verbindungen wurden als PPOE Interface (mit Internet-Zugangsdaten) eingerichtet. Der vierte Anschluss ist natürlich das LAN-Interface (Ausgang in den Switch). Das Ortenau-DSL wird für den hauptsächlichen Internetverkehr der Clients verwendet, eines der beiden Telekom-DSL Internet für VPN-Verbindungen, die dritte DSL-Leitung als Ersatz-Internet.
Am neuen Standort gibt es künftig nur noch einen DSL-Anbieter (1und1) und damit nur ein verfügbares DSL Internet (mit Fritzbox 7240 als Router). Meine Hauptfrage nun: Wie gehe ich bei der Umstellung vor ? Kann ich einfach zwei von den drei WAN-Interfaces löschen und das dritte Interface ändern, so dass es auf das 1und1 DSL mit einer Fritzbox 7240 wieder funktioniert (mit IPv4 Configration Type -> DHCP oder Static IPv4, da die Fritzbox Router mit Zugangsdaten bleiben soll) ? Wenn ja, wie ? Ich würde ungern die Firewall komplett neu installieren, da schon viele Einstellungen/Regeln eingerichtet sind (auch VPN usw.), die ich nicht nochmal zeitaufwendig neu einrichten möchte. Was ist die einfachste Methode ?
Zweite Frage: Wie gehe ich am besten vor, damit die VPN-Verbindungen künftig auf dem neuen bzw. geänderten WAN-Interface (1und1) drüberlaufen ? Was muss alles geändert werden ?
Für Eure Hilfe danke ich Euch jetzt schon recht herzlich.
Grüße Rolfuzius
-
Hallo,
ob man die dann überflüssig gewordenen Interfaces einfach löschen kann, hängt von der Konfiguration ab.
Dass du auf die Idee kommst, das WAN auf DHCP zu stellen, lässt vermuten, dass du keine eingehenden Verbindungen in dem Netzwerk hast.
Dass da allerdings viele Regeln eingerichtet sind und dass du die VPN erwähnst, deutet aber wieder auf eingehende Verbindungen hin.
???Gründsätzlich müssen die Interfaces "frei" sein, damit du sie entfernen kannst. D.h. wenn darauf Firewall- oder NAT-Regeln konfiguriert sind, musst du diese erst löschen, oder wenn gewünscht, auf das übrigbleibende Interface umlegen. Letzteres ist einfach zu bewerkstelligen, weil man in der Regel einfach das Interface ändern kann, berücksichtige aber auch etwaige IP-Adressen zu ändern, falls nötig.
Auch Outbound-NAT-Regeln prüfen, falls manuell Regeln angelegt wurden.Falls es eine Interface-Gruppe war, musst du erst diese entfernen. Dann entferne die Gateways der wegfallenden Interfaces in Advanced > Routing > Gateways, ggf. vorher eine GW-Gruppe.
Falls eingehende Verbindungen am verbleibenden WAN benötigt werden und das WAN vorher eine öffentliche IP hatte, nun aber eine private, musst du möglicherweise noch in den Interface-Einstellungen unten den Haken bei "Block private networks" entfernen.
Bei der Sache mit den VPN-Verbindungen musst du erst erläutern, was das genau ist. Ein Server, Clients…?
Grüße
-
…mit Fritzbox 7240 als Router...
Warum hast Du Dir denn die denkbar Schlechteste aller Varianten ausgesucht, wenn Du schon eine pfSense im Einsatz hast?
DHCP macht auch überhaupt keinen Sinn, wenn Du eingehenden Traffic am pfSense-WAN erwartest, wie viragoman schon schrieb.Ist die Idee vielleicht aus der Misere heraus geboren, dass Du Dich mit den Pommes-Kisten besser auskennst als mit pfSense?
Wenn die Installation sowieso schon virtuell ist, dann mach vom aktuellen Stand eine Kopie und arbeite mit der weiter.
Reduziere das jetzt schon auf nur einen Anschluss. Die Daten (public IP & ggf NS-record etc.) musst Du dann ja sowieso anpassen. Wenn das alles funktioniert, dann ist der Wechsel der PPPoE Providerdaten nur noch eine Tipp-Übung. -
Ok danke schonmal für Eure Hilfe. Werde morgen eine Sicherung machen die beiden Interfaces mit den langsamen DSL-Leitungen löschen und die VPN auf die andere Leitung rübernehmen.
Die VPN-Verbindungen laufen im Servermodus. Drei externe Mitarbeiter nutzen an ihrem PC dann Viscosity als OpenVPN Client, siehe Anhang. So wie ich das sehe muss man da nur das Interface ändern…
DHCP war nur deswegen angedacht, weil eventuell später noch neue Internettelefone hinzukommen mit einem eigenen Switch und noch nicht klar ist ob die Internettelefonie hinter der Firewall auch läuft. Am besten wäre es natürlich wenn dies auch funktionieren würde, dann könnte ich problemlos die Fritzbox als Modem aktivieren und die PFSense die Internetverbindung mit PPOE aufbauen lassen.
Es wird ein langes Weekend, drückt mir die DaumenGrüße