Anfänger braucht Hilfe



  • Hallo liebes Forum,

    ich habe heute zum ersten Mal eine pfSense über VirtualBox installiert. Für die beiden Netzwerkadapter habe ich VirtualBridge (Netzwerkbrücke) ausgewählt. Nach der Installation konnte ich den em0 vom Host und von der pfSense aus anpingen, den em1 192.168.1.1 aber nicht. Genauso wenig geht auch die Webconfiguration 192.168.1.1 (Fehler: Netzwerk-Zeitüberschreitung) von meinem Browser aus.

    Mein PC (192.168.178.20)  > Fritz.box  (192.168.178.1) > Internet

    Mein PC (VirtualBox: pfsense, em0 192.168.178.15 (funkt.), em1 192.168.1.1(kann Zielhost nicht erreichen).

    2. Falls wir Punkt1 gelöst habe möchte ich mein Netz sicherer machen und die pfSense direkt hinterm Router anschließen.

    MeinPC > PfSense (VirtualBox) > Fritz.Box > Internet

    Macht das Sinn ?

    Grüße und Danke für die Hilfe



  • Hallo,

    weder dein PC noch deine Fritzbox wissen ja wie sie in das 192.168.1.0/24 Netz kommen was die LAN Seite der pfSense ist.
    Nimm doch das vbox Host Only Interface erst einmal für Konfigurationsarbeiten (also EM1 dann). Deinem PC musst du dann auf dem Interface eine IP in dem pfSense geben oder eben das 192.168.56.0/24 Netz verwenden.

    Edit

    Achso zu dem Aufbau später:
    Dann wäre deine pfSense und deine Fritzbox immer noch im selben Netzsegment, du müsstest dann DHCP auf der Fritzbox etc. deaktivieren und auf der pfSense WAN Seite mit einer festen IP im Netzbereich der Fritzbox arbeiten.
    Grundsätzlich möglich ich finde das aber unschön. was spricht denn gegen einen Aufbau der etwa so aussieht:

    Fritzbox <->billige pfSense Hardware die kaum Strom verbraucht <-> Switch mit vielen Geräten im Heimnetz

    Um erste Erfahrungen etc zu sammeln ist der Aufbau mit der vbox gewiss nicht verkehrt.

    Grüße



  • Hallo erstmal Danke für deine Antwort,

    leider hat dein Hinweise nicht geholfen. Ich habe Host only Adapter ausgewählt aber die 192.168.1.1 ließ sich trotzdem nicht aufrufen  :( Aber eigentlich müsste das doch die pfSense hinbekommen. Die stellt doch die Verbindung zwischen den Netzen her ? Oder habe ich da etwas wieder nicht verstanden?
    Ich habe dann wieder auf Bridge umgestellt.
    Ich habe dann eine eigene Lösung gefunden. Wenn ich meinem PC die IP-Adresse 192.168.1.2 gebe kann ich auf die pfSense zugreifen, damit habe ich auch das erreicht, was ich wollte.

    mein PC (x.x.1.2) > pfSense (x.x.1.1) > Fritz.Box (x.x.178.1) > Internet. Also zwei getrennte Netze die über die pfSense verbunden sind.

    Frage 1:
    Das heißt meine Daten gehen ALLE erst in die VirtualBox (PfSense) und von dort in die FritzBox. Ich habe dann die pfSense ausgeschaltet und siehe da. Internet ging nicht mehr und ich konnte auch die Firtzbox nicht mehr anpingen.  :) Yeah Erfolg :D
    Aber dann habe ich gemerkt, dass die google-Suche trotzdem weiterhin geht. Auch meine fritz.box Seite. Aber pingen konnte ich die nicht mehr. Erst als ich IPv6 deaktiviert habe bei meinem Adapter ging das nicht mehr. Wieso kommt IPv6 an der pfSense "vorbei" ? Komisch war auch, als ich die pfSense wieder angeschaltet hatte ging das Internet erst wieder als ich IPv6 aktivert habe bei meinem Netzwerkadapter. Dabei müsste es ja auch mit ausgeschalteten IPv6 funktionieren ?

    Frage 2:
    Also mein PC ist jetzt durch die pfSense "geschützt". Und da habe ich auch schon meine nächste Frage: Was macht die pfSense jetzt "besser" als die Fritzbox. Wofür brauche ich so etwas überhaupt ? Ich höre immer nur Fritzbox ist doof und pfSense ist toll. Aber warum ? Oder soll ich noch eine Software Firewall installieren ?
    Angenommen ich habe auf meinem Desktop einen Ordner mit Daten und habe Angst, dass ich gehackt werde. Bin ich jetzt durch diese pfSense sicherer ?



  • Hallo

    Per se kann man sagen das eine pfSense, kein Antivirusprogramm/Firewall auf dem heimischen PC ersetzt und auch kein Stück sicherer als eine Fritzbox ist.

    In unerfahrenen Händen ist eine pfSense, wie auch jede andere Firewall, vermeintlich sogar gefährlicher als ein einfaches Consumer-Produkt das gefährdende Einstellungen gar nicht erst zulässt.

    Wenn ich das richtig verstehe hast du auf deinem PC pfsense in einer virtualBox installiert … das kann man für Testzwecke gerne mal machen, als Dauerlösung ist das aber nicht zweckmäßig.

    Wichtig ist, dass du viel zum Thema Firewall-Regeln liest und im besten Fall auch verstehst.

    Auf eine schlecht konfigurierte Firewall sollte man lieber verzichten ;-)

    LG
    Semonia



  • Ich habe es jetzt so verstanden, dass ein gut gesicherter PC mit einem Antivirenprogramm und einer Softwarefirewall besser ist als eine pfSense ?
    Also eine PFSense macht nur dann Sinn, wenn man nicht den Aufwand betreiben möchte jeden einzelnen PC gut zu sichern und stattdessen eine Sicherheit braucht um viele Computer in einem Netzwerk zu schützen z.B. in einer Firma mit 100 Anwendern.



  • Man kann das schlecht verallgemeinern, weil  es immer vom eigenen Schutzbedürfnis abhängig ist.
    In der Regel fährt man immer Mehrstufig und macht die Sicherheit nicht von einem einzigem Element abhängig
    Wenn man die Sicherheitsmeldungen der letzten Zeit verfolgt hat, nehmen das aber selbst Regierungsorganisationen großer Nationen oder Großunternehmen nicht so ganz genau damit.
    Also immer eine Frage wie schützenswert die Daten/Netze sind, die gesichert werden sollen.

    Eine Firewall lebt halt vom Regelwerk und ohne diese ist sie nur schmückendes Beiwerk.

    LG
    Semonia



  • Ok. Ich installiere gerade  Squid. Damit kann ich dann Webseiten blocken zu meiner eigenen Sicherheit. Und über Firewall > Rules kann ich Ports und PCs blocken (welche ins Lan und Wan dürfen). Wenn ich da alles zu mache, so dass gerade noch Port 80 für Internet offen ist. Dann habe ich die maximale Sicherheitsstufe erreicht die im meinem Falle möglich ist. Ist das so korrekt ?



  • Hallo,

    ich glaube ich frage einfach einmal : was ist denn genau dein Ziel?

    Deinen PC / dein Netz sicherer zu machen? Wenn ja vor was genau und was verstehst du darunter?

    Grüße



  • Mit meinem Rechner möchte ich zum Beispiel Homeoffice machen. Hierbei werden wichtige Daten auf dem PC gespeichert z.B. Kundendaten usw. Die liegen dann auf der Festplatte oder schwirren im Netzwerk herum oder werden empfangen und verschickt. Aber die meiste Zeit ist mein PC online und ich will nicht dass jemand auf meinen PC "guckt" oder Daten klaut. Ein Netzwerk im größerem Sinne habe ich nicht. Eigentlich nur PC > pfSense > Router > Internet.



  • Dir wird nichts anderes übrig bleiben als dich inhaltlich mit dem Thema zu beschäftigen.
    Das ist keine Lösung nach dem Motto ich installiere das mal schnell und alles ist sicher.

    Vor allem solltest du pfSense auf einer anderen Hardwarelösung installieren und nicht in einer VirtualBox auf dem zu schützenden PC.

    Wenn du es einfach haben willst dann nutze halt einfach deine Fritzbox und installiere auf deinem PC eine der üblichen Internet-Security-Suiten.

    Im Ergebnis erreichst du damit einen recht guten Schutz, wobei auch hier gilt das man sich mit diesen Lösungen beschäftigt und sein Surfverhalten entsprechend anpasst.

    Die größte Fehlerquelle bei allen Lösungen ist der Mensch.

    Nach meiner ganz persönlichen Meinung und da werden andere mir sicher nicht zustimmen, würde ich für einen einzelnen PC keine pfSense installieren.

    LG
    Semonia

    Edit: Wenn das Homeoffice von deinem Arbeitgeber gefordert ist, dann sollte dieser entsprechende Arbeitsmittel zur Verfügung stellen.
    Arbeitsschutzrechtlich ist einiges zu beachten.


  • Moderator

    @dbdb:

    Ich habe es jetzt so verstanden, dass ein gut gesicherter PC mit einem Antivirenprogramm und einer Softwarefirewall besser ist als eine pfSense ?
    Also eine PFSense macht nur dann Sinn, wenn man nicht den Aufwand betreiben möchte jeden einzelnen PC gut zu sichern und stattdessen eine Sicherheit braucht um viele Computer in einem Netzwerk zu schützen z.B. in einer Firma mit 100 Anwendern.

    Diese Aussage ist genau das was oben schon gesagt wurde - verallgemeinert und Mumpitz. pfSense als Firewall (und erster Linie Paketfilter) hat erstmal rein gar nichts mit Antivirus oder ähnlichem zu tun, das ist eine ganz andere Baustelle. Eine Firewall wie ein "Border Gateway" sichern erstmal die Kommunikation von und nach draußen ab, nicht mehr und nicht weniger. Viele Consumer Firewalls à la Fritzbox etc. werben mit "intergrierter Firewall", die aber lediglich ein paar "kundenfreundliche"  Einstellungen für eingehende Verbindungen hat. Für abgehendes Filtering etc. sind diese (oft) gar nicht gemacht. DAS ist u.a. ein Hauptteil, in dem sich eine echte Firewall ggü. einem SOHO Router unterscheidet. Dass hier nicht nur eingehend, sondern auch ausgehend gefiltert und überwacht werden kann.

    Was du ansonsten über Squid und Co schreibst, bringt mich eher zu der Überlegung, dass du dich noch nicht so sehr mit der ganzen Thematik beschäftigt hast und hier jetzt in Aktionismus Dinge tust, die du noch nicht verstehst, deshalb würde ich mit dem Rat anschließen und dir empfehlen dich erst einmal einzulesen, was eine Firewall (bzw. ein Paketfilter) sowie ein Proxy und Co überhaupt tun oder tun sollen bevor du dich auf Sachen verlässt und Mutmaßungen über Zwecke anstellst, die dann nicht gegeben sind :) Das wäre aber nur mein gut gemeinter Rat.

    @dbdb:

    Mit meinem Rechner möchte ich zum Beispiel Homeoffice machen. Hierbei werden wichtige Daten auf dem PC gespeichert z.B. Kundendaten usw. Die liegen dann auf der Festplatte oder schwirren im Netzwerk herum oder werden empfangen und verschickt. Aber die meiste Zeit ist mein PC online und ich will nicht dass jemand auf meinen PC "guckt" oder Daten klaut. Ein Netzwerk im größerem Sinne habe ich nicht. Eigentlich nur PC > pfSense > Router > Internet.

    Hier stimme ich Semonia zu. Wenn du Homeoffice machst gibt es im Normalfall auch Vorgaben des Arbeitgebers, was du darfst und nicht darfst, ob du das überhaupt auf deinem "Heimrechner" einfach tun darfst, oder ob dir Betriebsmittel wie Laptop gestellt werden, die dann unter Unternehmensvorgaben stehen und konfiguriert sind. Sollte das "einfach so" auf deinem Rechner erlaubt sein, dann müssen normalerweise auch Vorkehrungen getroffen werden, damit bspw. Kundendaten eben nicht gespeichert werden oder das sicher. Und dann gehören auch Dinge wie Festplattenverschlüsselung, Abschottung deiner Verbindung bei aktivem VPN (aka kein rumgesurfe während du mit der Firma verbunden bist) etc. mit dazu. Wenn nicht, kann man sich da auch mehr Ärger einhandeln als man denkt. Und nur deshalb jetzt im blinden Aktionismus $Dinge zu tun, von denen du denkst, sie helfen dir, ist eher kontraproduktiv. Setz dich doch statt dessen mal mit den IT Mädels und Jungs aus deiner Firma zusammen und frage die was du machen sollst/musst :)

    Grüße



  • Moin zusammen,

    ich halte auch den Ansatz eine PF in einer VM auf dem Arbeitsrechner zu betreiben für recht sinnfrei.

    Der Traffic ist dann schon da - kam ja bereits über das Netzwerk rein und durchs Windows-geraffel.
    Da macht nachträgliches "oh das hätte ich aber nicht durch lassen wollen" wenig sinn.

    Nichts spricht dagegen mal in einer VM mit der GUI zu spielen, oder gar kleine configs zu testen, aber für den Betrieb nehmt euch bitte einfach einen alten Rechner (PF ist recht genügsam) und fahrt eure Firewall da drauf.


  • Moderator

    Bevor ich gesteinigt werde ;)

    aber für den Betrieb nehmt euch bitte einfach einen alten Rechner (PF ist recht genügsam) und fahrt eure Firewall da drauf.

    oder haut die VM auf nen extra Server o.ä. rauf, aber doch nicht auf dem gleichen System, dass sie eigentlich schützen soll. Das ist irgendwie schon verdreht. Wenns wirklich was kleines Streichholzschachtel ähnliches sein soll, schaut euch die SG1000 an :)

    Gruß