2 X PFsense und DMZ



  • Hallo

    ich habe folgendes Szenario,

    Internet
       |
    Firewall Pfsense100 (WAN öffentliche IP, LAN 192.168.80.10) 2x Nic
       |
    WEBserver,FTPserver etc. (DMZ ?)
       |
    Firewall Pfsense200 (WAN 192.168.80.20 , LAN per DHCP) 2x Nic
       |
    Intranet

    Ich wollte nun wissen ob der Aufbau so richtig ist für eine DMZ?
    Dann habe ich noch das Problem das sich die Pfsense200 die IP für die
    LAN-Karte nicht holt, der DHCP Server ist ein Windows 2k3 Server.
    Die IP für Pfsense200 ist über die MAC vorbestimmt.

    Ich hoffe mir kann jemand helfen.



  • Kann da wirklich keiner Helfen oder habe ich mich falsch ausgedrückt?



  • Wieso das ganze nicht mit einer pfSense mit 3 Interfaces?

    Deine Aussage, dass du die IP für das LAN der pfSense200 per DHCP holen willst macht nicht viel Sinn.
    Das LAN interface soll ja als gateway für die internen clients agieren und muss daher statisch sein.



  • Hallo

    ich hatte hier zwei alte ThinClient rumliegen, die kann man nur mit zwei Nic's bestücken.
    Werde mir demnächst so ein alix mit 3 Nic's kaufen.

    Ok habe die IP der Pfsense200 statisch gemacht.

    Aber es geht immer noch nicht so recht, ich komme mit dem Client PC (Intranet) nur bis zur Pfsense100 wenn ich einen Ping auf www.Google.de mache.
    So habe ich es jetzt eingestellt.

    Internet
       |
    Firewall Pfsense100 (WAN öffentliche IP, LAN 192.168.80.10) 2x Nic
       |
    WEBserver,FTPserver etc. (DMZ ?)
       |
    Firewall Pfsense200 (WAN 192.168.80.20 , LAN 192.168.50.10) 2x Nic
       |
    Intranet (Client PC, Ip vom DHCP, Gateway 192.168.50.10, DNS 192.168.50.1, DHCP-Server 192.168.50.1)

    Was muss ich eigentlich hier einstellen? bei den beiden Firewall's einstellen?

    _System: General Setup
    DNS servers
    IP addresses; these are also used for the DHCP service, DNS forwarder and for PPTP VPN clients

    Allow DNS server list to be overridden by DHCP/PPP on WAN
    If this option is set, pfSense will use DNS servers assigned by a DHCP/PPP server on WAN for its own purposes (including the DNS forwarder). They will not be assigned to DHCP and PPTP VPN clients, though._

    Wo muss der DNS Server der Pfsense200 hin zeigen? auf den internen oder auf die ip der ersten Firewall Pfsense100?
    Der DNS Server bei der ersten Firewall(Pfsense100) bleibt ja leer oder?

    Services: DNS forwarder
    Enable DNS forwarder

    Muss das auf beiden Firewall's aktiviert werden?



  • Will oder kann hier keiner Helfen?

    Schade eigentlich, 132 Zugriffe und keiner kann was sagen? habt ihr alle keine PFsense am
    laufen?



  • Hey Comm,

    das ist hier so ;) finde dich damit ab - ich kann dir nur soviel sagen das ich mir das mal morgen anschaue… und auch nur weil ich keine hilfe bekommen habe -das aber scheisse finde!

    Farewell,
    Phonic.



  • …......
    Mal abgesehen davon dass ihr hier im deutschen Forum postet in dem die allerwenigsten Leute schreiben......
    Beschwert ihr euch im ernst das euch niemand freiwillig in der Freizeit bei genügend dokumentierten Problemen hilft?

    Sorry, aber wenn ihr die Grundfunktionen von pfSense nicht zum laufen bringt (und das nicht mal bei pfSense spezifischen problemen), dann nehmt einen Kurs in Netzwerk-Grundlagen und erwartet nicht, dass euch jemand hier hilft sozusagen selbstverständliches zum laufen zu bringen.

    @Sascha:
    Wenn du als client nur bis zu pfSense100 kommst:
    Hast du NAT auf der pfSense200 am laufen?
    NATst du von "Intranet" nach DMZ, oder routest du?
    Wie sieht ein TCP-dump auf der pfSense100 aus?
    Wie sehen deine Regeln auf beiden pfSenses aus?



  • Hallo

    Beschwert habe ich mich ja nicht.

    nein ich habe kein Nat auf der Pfsense200 am laufen.
    Mhh wenn kein Nat gegeben ist Route ich dann? weiss es nicht sorry
    habe noch keine Regeln auf der PFsense, auf beiden nicht.
    Sind beide noch Grund konfiguration.

    Wenn ich vom Client aus die IP einer Internet Seite eingebe dann kommt die Seite, wenn ich
    aber die URL eingebe dann kommt die Seite nicht.



  • Ok das tönt nach einem DNS Problem.
    Kannst du auf beiden pfSenses als DNS server die Einträge 208.67.222.222 und 208.67.220.220 machen?
    Unter Umständen die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" deaktivieren.

    Die Clients sollten ihren DNS Eintrag per DHCP zugewiesen kriegen.



  • Hallo

    ja ich denke auch das das ein DNS Problem ist.

    Ich habe das folgendermassen konfiguriert.

    Pfsense100 bekommt auf der Wan Seite den DNS von meinem ISP.
    Dann habe ich auf der Pfsense100 "Enable DNS forwarder" und
    "Allow DNS server list to be overridden by DHCP/PPP on WAN
    If this option is set, pfSense will use DNS servers assigned by a DHCP/PPP server on WAN for its own purposes (including the DNS forwarder). They will not be assigned to DHCP and PPTP VPN clients, though."

    aktiviert. Auf der Lan Seite habe ich keinen DNS Eintrag, weiss auch nicht wo ich den
    Eintrag für die Lan Seite machen kann.

    Pfsense200 hat auf der Wan seite keinen DNS und auf der Lan Seite weiss ich
    auch nicht wo ich den Eintrag machen kann.



  • DNS einträge sind nicht interface spezifisch.

    Die pfSense200 MUSS mindestens einen eintrag haben.

    Hast du was ich oben beschrieben habe gemacht?



  • Hallo

    habe es jetzt ausprobiert mal mit  "Allow DNS server list to be overridden by DHCP/PPP on WAN" aktiviert
    und mal ohne, geht beides nicht. Die URL wird nicht aufgelöst.



  • Und auch auf BEIDEN pfSenses die DNS Einträge auf die IPs oben eingestellt? (vorallem pfSense200)



  • Ja habe ich gemacht,
    ich denke das muss irgendwie an der PFsense200 liegen,
    die weiss nicht wo sie die namen auflösen soll, oder ich habe irgendwie
    eine Option übersehen.



  • Das Problem besteht immer noch, hat sonst niemand eine Idee?



  • Cool schon über 450 Clicks und keiner hat eine weitere idee?
    Benutzen den alle hier die Pfsense?



  • @sascha321:

    Das Problem besteht immer noch, hat sonst niemand eine Idee?

    Hallo
    vielleicht kann ich dir helfen wenn das Problem immer noch besteht.

    wenn du ins DMZ eine Maschine stellts kann die ins Internet ?
    und wie sieht eine Internet anbindung aus - PFsense100 hat ein öffentliche IP
    woher kommt die ?

    Gruss tom



  • Hallo Tom,

    also das Problem besteht immer noch, habe irgendwie einen denkfehler.

    Aslo die Pfsense100 bekommt die IP von meinem ISP.
    Das mit dem Pc in der DMZ muss ich heute mal ausprobieren, werde dir dann hier schreiben.


Log in to reply