PFsense Wlan und Lan Netzwerk



  • Hallo PFsense Community,

    Ich habe mit PFsense vor 2 Netzwerke zu machen. Mein Netzwerk soll folgendermaßen aufgebaut sein:

    = Modem für den Internet Anschluss (Glasfaser Internet) =
                              |
                              |
                    = PFsense router =
                      |                    |
                      |                    |
                      |            = Fritzbox 7590 (Heimnetzwerk) =  –-> Gäste Netzwerk und Handys usw.
                      |             
      = Server Netzwerk (Wlan und Lan verfügbarkeit mit den gleichen ip Adressen) =
                      |                                              |                                                                                         
                      |                                              |                         
                      |                                              ProxMox Server
                      |                                                  |              |
                      |                                  Virtuelle Maschine 1 Virtuelle Maschine 2                                           
                      |                               
                      |
            NAS Server (mit Samba und ftp und Webserver welcher als erstes unter dem Port 80 und 443 von außen angesprochen werden soll)

    So möchte ich mein Heimnetz aufbauen. Auf dem PFsense Server ist momentan eine SSD Verbaut sowie 2 Ethernet Karten und eine Wlan Karte. Da ich auf meinem NAS Server eine Nextcloud und einen Samba und ftp Server am laufen habe möchte ich die Verfügbarkeit des Samba Servers auch in der Fritzbox haben. ansonsten soll das Server Netzwerk vom Heimnetz abgeschirmt sein. Das Servernetzwerk soll als Lan Netzwerk und als Wlan Netzwerk über die gleiche IP-Adresse Verfügbar sein. Und da ich auf dem ProxMox Server auch einen Gameserver laufen lasse und eine Firewall aufbauen möchte welche vor diversen Cyber Attacken wie DDOS Angriffe und weiteren Angriffen Schützt wie eine Geoblocking Firewall. Wie kann ich das ganze durch Einstellungen in die Tat umsetzten? und wie kann ich für mehr Speed im Netzwerk mithilfe von Einstellungen sorgen?

    Meine Frage nochmal in Stichpunkten Zusammengefasst:

    • 2 Getrennte Netzwerke mit PFsense als Hauptrouter und die Fritzbox als Heimnetzwerk

    • Server Netzwerk soll mit den Gleichen IP-Adressen unter Wlan und lan verfügbar sein

    • Bestimmte Ports und Services wie Samba sollen vom NAS Server auch in dem Fritzbox Netz verfügbar sein

    • Beide Netzwerke Sollen abgeschirmt sein

    • Firewall gegen Cyber Angriffe

    • Speed Optimierung wo lohnt es sich Glasfaserkabel zu verwenden bzw. eine 10Gbit PCI Karte

    Vielen Dank im Voraus.

    Update: Für die Virtuellen maschinen habe ich bereits eine Lösung gefunden, sodass PF sense auf einem eigenen Rechner läuft.



  • 2 Getrennte Netzwerke mit PFsense als Hauptrouter und die Fritzbox als Heimnetzwerk
        Server Netzwerk soll mit den Gleichen IP-Adressen unter Wlan und lan verfügbar sein
        Bestimmte Ports und Services wie Samba sollen vom NAS Server auch in dem Fritzbox Netz verfügbar sein
        Beide Netzwerke Sollen abgeschirmt sein
        Firewall gegen Cyber Angriffe
        mit dem VMware Plugin habe ich Vor ProxMox zu installieren und dort dann Virtuelle Maschinen
        Speed Optimierung wo lohnt es sich Glasfaserkabel zu verwenden bzw. eine 10Gbit PCI Karte

    Ja geht. Glasfaser kannst nur du abschätzen, wieviel du Datenverkehr hast. Wenn du mehr als 90% von 1G auslastest, kann es interessant werden.

    Gruß
    pfadmin



  • Und wie kann ich das mit den zwei getrennten Netzwerken und der Fritzbox Einbindung für das 2 Netzwerk sowie eine DDOS Protection aufbauen?



  • Also ich glaube auf so eine allgemeine Frage wirst Du kaum jemanden finden der Dir ein komplettes How To mal hier skizziert. (aber vielleicht hast Du ja Glück)

    Den groben Aufbau hast Du schon dargestellt. Eine pfsense mit 3 Netzwerkkarten.

    Eine Netzwerkkarte geht an das "Modem". An einem ist ein Switch für NAS und Proxmox Server. An der dritten ist die Fritzbox. Mir ist noch nicht klar was die Fritzbox alles leisen soll.  Soll die Telefonmachen oder nur WLAN AP spielen? Da wirst Du noch genauere Fragen stellen müssen.

    Generell würde ich schrittweise vorgehen und ein Problem nach dem anderen lösen

    1. pfsense an das Modem und das Servernetzwerk mit DHCP versorgen
    2. Fritzbox an die dritte Karte und dir Regeln auf der Firewall einrichten das man ins Internet und zu den Servern darf (wenn gewünscht)
    3. den Rest weiter planen

    Das mit der DDOS Protection geht nach meiner Ansicht auch nicht. Das kann Dir nur Dein Internetprovider implementieren. Wenn es eine DOS Attacke auf Deine pfsense gibt dann geht die in die Knie wenn der Provider den Verkehr nicht vor dir abhählt.

    Gruß

    Hagen



  • @HydrexHD:

    Und wie kann ich … eine DDOS Protection aufbauen?

    Gar nicht.
    Wenn du von außen soviel Traffic beziehst, dass deine Firewall Schluckauf bekommt, dann ist deinen Leitung einfach voll. Da kannst du am falschen Ende nun versuchen was du willst, weder wirst du den Traffic los noch die Leitung für anderes wieder leer bis die Attacke aufhört. Das muss dein Porvider upstream lösen. Einzige Chance.



  • Hi HydrexHD,
    warum machst Du es Dir so schwer.
    Die Fritte in vorderste Front, so hast Du keine Problem mit Tel./Fax etc., welches Du sonst in der pfSense explizit freigeben müsstest. Hier, in diesem ersten Netz, kannst Du auch die Plaudertaschen, wie z.B. TV ansiedeln. Ich habe z.B. da auch mein WLAN-Gastnetz am laufen.
    Für die pfSense vergibst Du in der Fritte eine feste IP und schaltest Ports frei, wie z.B. OpenVPN oder IPSec, falls das gewünscht ist.
    In die pfSense kannst Du noch eine 3. LAN Karte einbauen, wenn das geht. Ich hab da ein Stromsparendes APU2C4 mit 3NIC 's laufen. < 8W incl. einer WLAN-Karte.
    So wäre dann WAN-von der Fritte, Dein internes LAN, DMZ für das NAS, je nachdem wie Du Dein NAS von remote erreichen willst z.B. über IPSec oder OpenVPN. Wie Du WLAN dann vergibst, bleibt Dir überlassen.
    Du hättest also bei Bedarf, incl. dem Frittennetz 5 unterschiedliche IP-Netze, ohne VLAN 's notwendig zu machen. Das ermöglicht Dir z.B. für Dein LAN und mehrerer Geräte dort, einfach einen billigen dummen Switch einzusetzen.
    Gruß orcape