Erstkonfiguration
-
Moin,
entschuldigung, wenn ich das Ding hier noch einmal aufmache. Aber ich bin in der gleichen Situation als Newbe und knapp vor dem Verzweifeln, weil ich fast schon mal alles fertig hatte und jetzt nix me´hr geht und ich weiß nicht warum.Sachverhalt:
Nach einem Angriff traue ich der FB nicht mehr so richtig. Deshalb pfSense hinter einer FB mit Exposed host.
Netzwerk:fb 7490 --------------------------- pfSense -------------------------------- Heimnetz
Server Proxmox 3VM
192.168.1.254 192.168.1.1 192.168.0.228 192.168.0.0/24
Exposed host Hunsn Box 4x 2,5GB NIC Workstation/Notebook
WLan aus Celeron n5105 Quadcore Drucker / NAS
8GB RAM 128GB SSD Scanner
UniFi AP WLanIch hatte keine Ahnung und habe mich drangetraut das oben so einzurichten. pfSense mit Snort und pfBlockerNG ist geplant und wenn ich es hinbekommen habe soll auch noch das NAS in eine DMZ wandern.
Nun habe ich über eine Woche lang Foren und How to gelesen, Stunderund Videos geschaut und war der Meinung, nun bekomme ich das hin.
Aber der Liebe Gott hatte andere Pläne.
Mitte der Woche hatte ich fast alles ferig und warschon ganz stolz. Dann Snort und Blocker drauf und nix ging mehr und ich weiß nicht warum oder was falsch ist. Ich habe seit Mittwoch bestimmt alles dreimal auf Factory default zurück gesetzt. Aber ist sitze jetzt wohl gedanklich in einem deadlock fest.
Nachdem ich hier ähnliche Probleme gelesen hatte fasse ich jetzt einfach den Mut hier mal um Beistand zu fragen. Die Hardware ist wie oben beschrieben installiert und ich bin hier jetzt über LTE im Netz.
Vor allem habe ich nächste Woche keine Zeit mehr hier zu probieren.Standardinstallation (nach Assistent) Default Routen IPv4 sind vorhanden lockout Regel und Port 53 wg DNS ist offen mit TCP/UDP in beide Richtungen (gibts da niht was besserens?).
Ich bekomme keine Internetverbindung, ob wohl das vorher schon mal funktionierte. Pingen kann ich bis 192.168.1.1, aber die FB erreiche ich nicht.
Die FB (19.168.1.254) ist bei WAN (19.168.1.1) als WANGW eingetragen. Die Adressen sind fest vergeben. Das ist hier im gesamten Netz so und hat sich bewährt.
Wo bitte muss ich nachsehen was nicht richtig ist? Die beiden Haken bei WAN für das Sperren der internen Netze und Bogon habe ich rausgenommen weil das letztens der Blocker war.Wer hilft? Dank schon mal im voraus.
papajuliett -
Jetz ist mein schönes Bild komplett zersemmelt. Wie bekomme ich denn jetzt das Netzwerkbild hier hoch?
Wie man sieht, bin ich nicht so derjenige, der Foren erfahrung hat. -
@papajuliett Moinsen,
meist benötigt es ein paar upvotes, damit deine Reputation soweit steigt, dass ein Bild veröffentlicht werden kann (war meine ich jedenfalls mal so...) Daher bekommst du dein erstes ...klick...JETZT.
Frohe Ostern! -
@the-other zum Inhalt deiner Frage:
- versuchst du den Ping auf die fritzbox con einem clilent aus (pc o.a.)?
- hast du mal versucht, von der pfsense aus (Diagnostics > Ping) aus die Fritzbox zu pingen (mal von dem Interface, mal von nem anderen)?
- was meinst du mit DNS Port 53 in "beide Richtungen"? Wo hast du die Regel (auf welchem Interface)?
- du kannst (jaja, böses Doppel NAT) die pfsense als exposed host eintragen, musst es aber nicht zwingend. Hier zB hängt die hinter einer 7490 ohne exposed host...
- wenn du gerade erst anfängst mit pfsense...dann gleich snort...steile Lernkurve (oder kennst du snort schon?). Erstmal gaaanz langsam machen, wäre mein Tip. Die Grundbasis aufbauen, schauen, was alles so geht, wie und ob das DEINEN Bedürfnissen entspricht. Wenn das Gerüst steht, kannst du immer noch Extras hinzufügen.
Ich selber mache hier nix mit IDS/IDP a la snort, höre und lese aber immer wieder, dass das schon ...nunja, etwas aufwändiger ist ;).
Pfblocker dagegen ist IMHO super und hat hier pihole abgelöst. Zumindest aktuell. Aber auch da: mach dich erst mal in Ruhe mit den Funktionen und Arbeitsweisen der pfsense vertraut, dann fällt auch die weitere Konfiguration leichter.
Eigentlich sollte die pfsense im out-of-the-box Zustand aus dem LAN problemlos ins Netz kommen können (und damit auch den Ping an die Fritzbox zulassen).
Hast du denn irgendwelche extra Regeln aktiv (auf dem LAN Interface oder als floating rule)? -
Moin,
Keine Erreichbarkeit, 100% loss- vom WAN aus
- vom LAN aus
Ich schrieb ja auch bereits, out of the box hat vermutlich mal funktioniert. Aber warum jetzt nicht mehr?
Mittwoch hatte ich mit 2x ein Video angesehen bei dem der Blocker vorgestellt wurde. Das sah machbar aus und so bin ich da bei gegangen. Bis nix mehr ging.
Gestern habe ich dann neu installiert und heute zweimal auf Factory default zurück gesetzt.
Immer das gleiche Ergebnis. Es ist frustrierend.Danke für die schnelle Antwort. Das senkt den Blutdruck erheblich.
papajuliett
-
@papajuliett Moin :)
Snort ist gruselig, würde ich gerade zu Beginn erstmal HART davon abraten den anzufassen. Erstmal Grundsetup wieder herstellen und ordentlich ans Fliegen bekommen, dann mit pfB-NG nachlegen und warm werden mit dem Ganzen.
Wo klemmt es denn jetzt genau noch, wo stehst du bzw. wo kann man helfen?
Cheers