PFSEnse in Router integrieren möglich?


  • Hallo,
    Ist es möglich eine PFSense in z.B. einen OpenWRT fähigen Router zu integrieren? Wie müsste man dabei vorgehen?

    Viele Grüße
    Martin


  • Hallo!

    @netgatemartin said in PFSEnse in Router integrieren möglich?:

    OpenWRT fähigen Router

    Dies ist keine spezifische Definiation einer Hardware.

    Es muss eine x86_64 Hardware sein.

    Grüße

  • LAYER 8 Moderator

    Warum nennst du dich Netgate(!) Martin - du hast offensichtlich nichts mit Netgate am Hut? Sowas ist generell eher schwierig, weil es falsche Eindrücke erzeugt.

    Zudem das Gleiche was Virago schon sagt. Es gibt keinen "OpenWRT Router". Das sind alles unterschiedliche Hardware Kisten mit teils gänzlich anderer Hardware oder sogar Architektur. Somit ist das pauschal nicht zu sagen.

    Zuletzt: pfSense ist primär eine Firewall, kein Router. Gerade wenn hier was von OpenWRT steht: wenn du irgendetwas mit WLAN anstrebst, lass es bleiben. pfSense ist KEIN Linux und kann WiFi eher semi-gut.


  • @JeGr Das mit dem Namen ist etwas ungeschickt gebe ich zu, ich arbeite ja nicht für Netgate ...

    Naja als Firewall die immer auch eigene Hardware benötigt dachte ich könnte man es z.B. für Einsteiger einfacher machen und die Firewall gleich in den Router integrieren damit man auch Stromkosten spart während man sein PfSense Netzwerk einrichtet...
    Aber gut, ich stehe wie du merkst noch ganz am Anfang und versuche alles zu verstehen was ihr hier so schreibt, evtl. brauche ich noch einpaar Wochen bis ich "mitreden" kann..

    VG
    Martin

  • LAYER 8 Moderator

    @netmartin23 said in PFSEnse in Router integrieren möglich?:

    @JeGr Das mit dem Namen ist etwas ungeschickt gebe ich zu, ich arbeite ja nicht für Netgate ...

    Jep. Warum kommt man eigentlich auf die Idee nen Firmennamen in seinem Nick zu verbauen? Vor allem wenn man nicht da arbeitet? Kommt mir jetzt grad schon seltsam vor. Wir sind als Moderatoren da mißtrauisch, weil wir seit 2 Monaten extrem viele Bots und Accounts haben mit Prefixen wie Mod/Moderator/AdminXY und das die User durchaus irritiert. Und inzwischen gibts leider auch genug Spambots, die CopyPaste Beiträge von Reddit und Co kopieren und hier reinspammen. Daher meine Skepsis, nichts böse gemeint.

    Naja als Firewall die immer auch eigene Hardware benötigt dachte ich könnte man es z.B. für Einsteiger einfacher machen und die Firewall gleich in den Router integrieren damit man auch Stromkosten spart während man sein PfSense Netzwerk einrichtet...

    Die "Firewall" - in dem Fall pfSense ist aber nicht "separat", sondern eine eigene Distro/OS Komplett. Das kannst du nicht einfach "in ein anderes System mit integrieren". OpenWRT ist genauso ein vollständiges System/OS wie pfSense. Du kannst das eine nicht in das andere reinquetschen :)

    Aber gut, ich stehe wie du merkst noch ganz am Anfang und versuche alles zu verstehen was ihr hier so schreibt, evtl. brauche ich noch einpaar Wochen bis ich "mitreden" kann..

    OpenWRT ist eine Distro die auf Linux aufbaut und hauptsächlich als Router in Richtung einer Fritzbox o.ä. aufgebaut ist. Zusätzlich ist das Dingens dafür gebaut worden als Alternative Firmware auf vieler SOHO Hardware die man kaufen kann zu laufen.

    pfSense ist eine volle Distribution die auf FreeBSD aufbaut und hauptsächlich als Security/Firewall Appliance konzipiert ist. Man hat hier einmal eigene Hardware von Netgate die man kaufen kann. Ansonsten läuft (durch FreeBSD) pfSense auch auf viel eigener Hardware solange diese x64 ist - also x86 Intel/AMD mit 64bit CPU. Wenn die Hardware das hat und sinnvolle Netzwerk Schnittstellen - dann kannst du da auch pfSense drauf werfen. Siehe bspw. solche Dinge wie das APU2/3/4 Board oder andere.

    Da beide ähnliche Bereiche abdecken, gibts eigentlich keinen wirklichen Grund beides zu haben. Beide routen, beide machen ggf. firewalling, etc. etc. - daher ist dein Wunsch wahrscheinlich eher aus der Unklarheit entstanden, was die Projekte sind?

    Cheers
    \jens


  • Man kann die pfSense auch ganz gut auf den prominentesten Platformen virtualisieren, um keine neue Hardware anschaffen zu müssen, falls dafür ein System vorhanden ist. Auch läuft sie auf aller erdenklicher alter x64 PC-Hardware.

    Kleine, stromsparende Hardware gibt es auch ausreichend am Markt, die kaum mehr benötigt als übliche "Router". Neben den genannten PCEngines APUs auch vieles auf Intel Celeron oder Mobil-CPU Basis.


  • Okay das ist sehr viel Input, dafür nochmal vielen Dank @JeGr

    Nun der Hintergedanke war, eine möglichst einfache Form von PFSense (Firewall) für ein kleines Büro- Netzwerk zu integrieren, nun die Aufgabe liegt jetzt bei mir und ich muss mich da schlau machen...

    Werde hier aber wohl noch etwas mehr lesen müssen;)

    Gibt es denn eigentlich Internetanbieter die PfSense perSe nicht ermöglichen oder ist das bei allen bekannten einfach möglich zu integrieren?


  • @netmartin23 said in PFSEnse in Router integrieren möglich?:

    Nun der Hintergedanke war, eine möglichst einfache Form von PFSense (Firewall) für ein kleines Büro- Netzwerk zu integrieren, nun die Aufgabe liegt jetzt bei mir und ich muss mich da schlau machen...

    Mir ist jetzt nicht klar, was du mit "einfach" meinst. Einfach einrichten, kleines Gerät, keine zusätzliche Hardware?
    Es gibt fertige Geräte von Netgate selbst. Aber auch das Installieren von pfSense ist nicht wirklich schwierig.

    @netmartin23 said in PFSEnse in Router integrieren möglich?:

    Gibt es denn eigentlich Internetanbieter die PfSense perSe nicht ermöglichen oder ist das bei allen bekannten einfach möglich zu integrieren?

    Es mag ISPs geben, die keine Firewalls mögen, aber integrieren kann man sie auf alle Fälle.
    Es könnte bestenfalls ein Anbieter die MAC seines eigenen Gerätes am anderen Ende erfordern oder die PPP Zugangsdaten, die in seinem Gerät gespeichert sind, nicht preisgeben.

  • LAYER 8 Moderator

    @netmartin23 said in PFSEnse in Router integrieren möglich?:

    Gibt es denn eigentlich Internetanbieter die PfSense perSe nicht ermöglichen oder ist das bei allen bekannten einfach möglich zu integrieren?

    Das ist völlig egal. ISPs "sehen" pfSense nicht. Was du dir selbst in dein Heim/Büronetz stellst geht den ISP zum Einen nichts an zum Anderen kann er da nichts "dagegen" haben. Am Ende ist es nämlich nur ein FreeBSD Unix mit ein bisschen Software drauf.

    @netmartin23 said in PFSEnse in Router integrieren möglich?:

    Nun der Hintergedanke war, eine möglichst einfache Form von PFSense (Firewall) für ein kleines Büro- Netzwerk zu integrieren, nun die Aufgabe liegt jetzt bei mir und ich muss mich da schlau machen...

    Ich glaube da musst du viel mehr erklären was du meinst, denn das macht für uns gerade nur sehr wenig Sinn, deshalb auch die Verwirrung von virago und mir :)


  • Ich glaube mir gehts da ähnlich wie euch, ich war auch ziemlich überrascht, als Cheffe zu mir kam um durch mich herauszufinden, wie die Sicherheit des Netzwerkes durch PFSense zu erhöhen wäre ... was sowas kostet, welche Prozesse dabei kritisch sind etc. und ich nicht viel mehr sagen konnte als, dass es sich um ein hardwarebasiertes Firewallsystem handelt, womit man sehr genau den Traffic im eigenen Netz überwachen kann... aber ja, deshalb bin ich ja nun unter anderem hier;)

  • LAYER 8 Moderator

    @netmartin23 said in PFSEnse in Router integrieren möglich?:

    dass es sich um ein hardwarebasiertes Firewallsystem handelt

    Ah, und da fängt schon die falsche Info an :)
    pfSense ist eine Software Firewall. Nichts mit Hardware. pfSense ist die reine Software. Es gibt zwar fertige Systeme von Netgate (die SG und XG Serien) - da könntest du dann Hardware Firewall theoretisch zu sagen, weil das komplette System aus dem gleichen Haus ist - aber pfSense selbst ist eine reine Software Geschichte, die du eben auch frei auf eigener Hardware einsetzen kannst. Hardware muss aber wie oben bereits ausgeführt x64 sein. Dann kannst dus via Installer/Image einfach raufwerfen und gut.
    Oder alternativ das ganze virtualisiert in einer VM aufsetzen und ausführen auch wenn viele inkl. mir HW bevorzugen.

    Sicherheit erhöhen? Klar mit vielen Punkten. Aber da musst du dich einlesen, oder ihr/du ruft mal zusammen einen pfSense Partner an und lasst euch das erklären, was man damit alles anstellen kann und wo man euch ggf. bei der Implentierung helfen kann :)

    Kosten? Software nix. Hardware kostet. Und das im Gegensatz zur Konkurrenz eben nicht mit HW+Lizenzen+irgendwelche Addons sondern eben nur die HW. Dadurch kalkulierbarer, planbarer, günstiger (oftmals). Man sollte aber eben wissen oder zusammen erarbeiten, was man will, braucht und was auf Dauer/Laufzeit Sinn macht.

    Sowas aber einfach in den Raum zu werfen mit "mach mal" ;) endet dann meistens in Kunden, die ich nach 1-2 Jahren vors Visier bekomme und es in der Einsatzbesprechung wieder heißt "Da hat mal jemand pfSense installiert aber sie haben keine Ahnung, was warum wie wieso wo und weswegen läuft, also Bestandsaufnahme, Audit, Erklärung, Workshop zum fitt machen" 😄

    Das ist u.a. was wir als Integratoren tun: sowas einzuführen/einzurichten mit den Leuten zusammen damit sie wissen, was da läuft, warum und was es ihnen bringt ;)


  • Was ist denn hier die Zielsetzung?

    Firewalling ja wohl nicht.

    Denn eine Firewall überwacht nicht, die lässt definierte Zugriffe zu und blockt den Rest.

    Was du meinst, ist wohl eher etwas in Richtung IDS/IPS, also Snort oder Suricata.

    Ja es gibt Pakete die man auf einer pfSense aufsetzten kann, aber wenn es rein um dieses Zeugs geht, dann kann man das effektiver separat über einen Span Port am Core laufen lassen.

    Du solltest also ganz dringend das Anforderungsprofil klären, sonst läuft das völlig in die falsche Richtung.

    Und damit es nicht zu einfach wird, es gibt dann auch noch Vulnerability Assessment.


  • Da es schon am mehreren Stellen am grundlegenden Verständnis des Anfragers und des übergeordneten Entscheiders scheitert kann ich ihm nur anraten so etwas nicht selber umzusetzen. Das geht nicht nur schief und kostet Zeit, die Wahrscheinlichkeit die Sicherheit nicht nur nicht zu erhöhen sondern andere eklatante Fehler zu machen ist sehr hoch.

    Wenn ich von Berufs wegen her Buchhalter bin, bisher nur Autos gefahren habe und noch nie etwas mit dem Bau eines solchen zu tun hatte baue ja auch nicht mal eben mein Auto grundlegend um geschweige denn ich baue mir mein eigenes Auto nur weil ich besser oder gar sicherer damit unterwegs sein will. Mich zu belesen, andere - z.B. auch einen Ingenieur und Konstrukteur der Automobilbranche der das tagtäglich tut - danach zu befragen wird mir auch nichts nutzen.