Erstkonfiguration
-
Hallo zusammen,
ich bin neu in den Thema pfsense und habe auch schon sämtliche Videos mir angeschaut und komme leider auf keinen Grünen Zweig.
Nun erstmal mein Netzwerkdiagramm:
Smart4 Router der Telekom (IP 192.168.2.1)
danach kommt die Firewall mit der IP (192.168.211) folgende Hardware: https://www.amazon.de/dp/B0B1LSDR58?psc=1&ref=ppx_yo2ov_dt_b_product_detailsan der Firewall-Hardware sind folgende ETH0-ETH3 belegt
ETH0 habe ich direkt an den Router angeschlossen
ETH1 habe ich einen Switch der in mein Büro geht IP:192.168.2.144
ETH2 habe ich einen Drucker angeschlossen
ETH3 habe ich einen weiteren Switch angeschlossen der an dem auch weitere Endgeräte verbunden sind: 192.168.2.88Ich habe unter pfsense die Schnittstelle ETH0 (WAN) folgendermaßen konfiguriert:
Wenn ich auf meinen Router schaue sind die die Geräte auf ETH1-EtH3 offline.
Diese würde gerne wieder erreichbar machen, damit ich wieder darauf zugriff bekomme.
Einen DNS Server betreibe ich ebenfalls seperat mit der IP 192.168.2.210ETH3 konfiguration:
Vielen Dank schon mal im Voraus. Wenn noch Informationen fehlen sollten einfach bescheid sagen
-
LAN und WAN Seite müssen unterschiedliche Netze aufweisen.
Hintergrund, zwischen LAN und WAN findet per default NAT und Routing statt.So wie du das einsetzt, ist ein Switch das was du an der Stelle der pfSense einsetzten willst.
Was hast du genau vor, das solltest du erstmal darstellen, dann können wir die helfen, wie man das realisiert.
-
Danke für deine Antwort NOCling,
meine Idee war dass ich pfsense als reine Firewall einsetzen wollte ohne die festen IP-Adressen zu ändern die ich in Router vergeben habe. Die Firewall die ich auf meinem Linux-Rechner habe ist leider nicht sehr effektiv und die vom Router kann man vergessen.
-
@Mele90
pfSense ist grundsätzlich ein Router und kein Switch.
Bei einem Router liegt typischerweise jede Netzwerkschnittstelle in einem anderen Netzwerksegment und damit in einem anderen Subnetz.Du kannst zwar auch alle Ports bridgen, aber das ist nicht empfohlen und nicht der Sinn einer Firewall.
Wenn du ein fertig konfiguriertes lokales Netzwerk hast und da nun eine Firewall hinter dem Router reinhängen möchtest, wäre es am einfachsten, das Router LAN zu ändern und mit dem WAN der Firewall zu verbinden und dem Firewall LAN die vormalige IP des Routers zu geben. So kann der Teil des Netzwerks, der im gemeinsamen LAN verbleiben soll, unverändert bleiben.
-
Oder erstmal einfach die pfSense mit dem WAN auf DHCP hinter den bestehenden Router zu hängen, dann einen Client ins LAN zu hängen und einfach mal die pfSense kennen lernen.
Selbst als Netzwerker mit x Jahren Erfahrung macht man das so, wenn man sich ein neue System, gerade eine Firewall anschaut.
Dann lernt man diese erstmal ganz in Ruhe kennen, ohne das hier gleich der gesamte LAN Betrieb von abhängt.
Am besten mit einem Laptop, geht was schief, LAN aus, WLAN an und schon hast du wieder Internet und kannst was suchen.
Oder sogar WLAN an, LAN an aber hier manuelle IP ohne Gateway, so kommst du auf die pfSense aber kannst über die WLAN Karte im Internet surfen.
Lösungen für Probleme suchen, auf die du bei der Einrichtung gestoßen bist.Die pfSense ist das genaue Gegenteil von deinem bisherigem Router, du kannst alles einstellen und bitte lasse die GUI auf English, sonst kann dir niemand helfen, weil die Übersetzung gruselig ist.
Arbeite dich da langsam rein und schalte vor der 2.8 auf keinen fall KEA als DHCP ein.
Edit:
Neue Firewall Installation richte ich/wir im Team generell erstmal so ein und erst wenn da eine brauchbare Konfiguration drauf läuft, kommt die in den Betrieb.
Ob dann noch gewisse Anpassungen auf dem Router davor oder auf der pfSense selber notwendig sind, hängt dann von der Situation ab. -
Vielen Dank für die Info. Ich vermute mal das ist nicht das richtige dass ich gesucht habe bezgl. nur Firewall konfiguriren, ohne an dem bestehenden IP-Adressen etwas zu ändern.
-
@Mele90 said in Erstkonfiguration:
Vielen Dank für die Info. Ich vermute mal das ist nicht das richtige dass ich gesucht habe bezgl. nur Firewall konfiguriren, ohne an dem bestehenden IP-Adressen etwas zu ändern.
Ganz doofe frage, kommst du aus dem Netzwerk Bereich? Was macht den deine jetzige Firewall?
Poste doch mal die Konfiguration.Es wurde dir doch eine gute Möglichkeit gegeben erstmal einen Überblick zu bekommen.
Was spricht dagegen erstmal mit einem minimalen Setup zu starten, so kannst du sehen was die Sense kann (ich hatte auch damals so gestartet).
Aus meiner Erfahrung: ich habe Ende letzten Jahres meine Sense komplett neu konfiguriert und habe über 10 Stunden gebraucht alles zum laufen zu bringen. Wenn du keine Erfahrung hast (davon gehe ich erstmal aus) wirst du noch länger brauchen. Das willst du deiner Familie nicht antun.Damit wir dein Problem verstehen können bitte mal einen GRAFISCHEN NETZWERKPLAN mit genauer Bezeichnung (herstellen/model) deiner Netzwerk Komponenten .
Was ist der ist Zustand & was ist dein Ziel
Ich hänge mal einen etwas älteren netzwerkplan von mir an damit du eine Vorstellung bekommst was man machen kann (meins ist noch recht simpel gehalten, da sind andere noch extremer unterwegs)┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoE) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ │ ┌────────────────┐ ┌────────────────┐ │ │ │ │ Switch │ ╔════════╩══════════════ pfSense+ ════════╗ Stand: ─ ─ ┐ │ TrueNAS ├───┤ USW-Flex-XG ├─────────╣ ║ │ │ │ │ │ ║ Netgate 6100║ 17.11.2023 │ └────────────────┘ └───┬────┬───────┘ ║ LAN: 192.168.3.0/24║ │ ┌────────────────┐ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ │ UBNT │ │ │ ║ IoT WLAN (VLAN34): 192.168.34.0/24║ │UniFI AP AC Pro ├───────┘ │ ║ DynDNS über deSEC mit eigener Domain║ │ │ │ ║ VPN's:║ └────────────────┘ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ ║ 1 x WireGuard Road Warrior║ │ ║ (172.16.33.0/24)║ │ ╚═════════════════════════════════════════╝ │ ┌────────────────┐ ┌────────┴───────┐ ┌────────────────┐ ┌────────────────┐ │ Fritzbox 7490 │ │ Switch │ │ UBNT │ │ 1 x UBNT │ │ (Nur VoIP) ├───┤ USW-Flex-XG ├─┤USW-ENTERPRISE-8├─┤UniFi AP-Flex-HD│ │ │ │ │ │ -POE │ │ │ └────────────────┘ └────┬───────────┘ └──────┬─────────┘ └────────────────┘ ┌────────────────┐ │ │ │ UBNT │ │ │ ┌───────────┐ │UniFI AP AC Pro ├────────┘ │ │ │ │ │ └────┤ Clients │ └────────────────┘ │ │ └───────────┘
-
@micneu
Vielen Dank für dein Netzwerkplan und die Info.Meine aktuelle Firewall ist nur die von meinem Standart-Router.
Deshalb war meine Überlegung wahrscheinlich auch mein Fehldenken. Ich wollte die Firewall-Hardware wie ein Switch benutzen, damit ich die Geräte dort anschließen kann und meine Firewall-Regeln nicht über ufw oder iptable schreiben muss. (Ich vermute dass mir da nichts anderes übrig bleiben wird als dies so zu tun)Das ist momentan mein Heimnetzwerk.
Alles im selben LAN. Das sollte wenn möglich auch so bleiben.
Und zu deiner Frage nein das möchte ich weder meiner Familie noch meinem Freundeskreis antun, dass ich Wochen damit beschäftigt bin. -
In dem Fall schließt du WAN am Speedport an und LAN an einem der Switche, dann den anderen Switch an diesem Switch und die Clients alle an diesen beiden Switchen, wo Platz ist.
Speedport <-> pfSense <-> Switch 1 <-> Switch 2 <-> Clients
Auf deinem Bild musst du eine Bridge erzeugen, das bedeutet jedes Packet zwischen diesen beiden Ports muss durch die CPU, da eine pfSense keine ASICS verwendet im Gegensatz zu einem Switch.
Ein ASIC ist ein Microchip der auf Layer 2, dem MAC Layer, die Adressen lernt und aus den Headern auslesen kann wer mit wem sprechen will und dann diese an den jeweiligen Port weiter leitet.
Das geht dann so gut wie Latenzfrei von statten.Bei einer Bridge kostet es CPU Zeit und das geht auf die Latenz, das merkt man nicht, aber es ist halt nicht im Ansatz so effektiv wie eine aktueller ASIC, sprich du brauchst mehr Energie für die gleiche Arbeit.
Daher Firewall=Router und beides ist ungleich Switch.Willst du hingegen alles in 3 verschieden Netzte Aufteilen, passt deine Einrichtung.
So hast du ein Netz für den TP-Link und dessen Clients, ein Druckernetz und ein Netz für den Netgear und dessen Clients.
Also Clients, NAS/Server links, Drucker in der Mitte und den IoT Kram dann rechts.
Dazwischen steuerst du die Zugriffe über Regelwerk.
-
@NOCling Ergänzung da die Kiste 4 NICs hat: wenn man sie als transparente Bridge reinhängen will, geht das auch. ETH0 als LAN/MGMT konfigurieren auf eine 192er IP aus dem LAN. An den Switch anklemmen ganz normal. ETH 2+3 als Bridge konfigurieren, zwischen Switch und Router hängen und auf der Bridge dann filtern.
Allerdings ist Bridge setup hochgradig advanced was das Setup und die Regeln angeht, da wird der OP kaum Spaß dran haben wenn man nicht aus dem Netzwerk kommt weil das ziemlich schwer verständlich ist und es kein gutes "in/out" gibt was man unterscheiden kann (außer man ändert noch weitere sysctl Einstellungen um auf den Bridge Members zu filtern...)
Daher würde ich stark abraten da als Anfänger im Heimnetz zu bridgen und filtern.
Lieber den Router davor ändern von der IP, pfSense übernimmt dann die alte Rolle des bisherigen Routers und fein.Cheers