Fragen bezügl pfsense in größerer Infrastruktur



  • Hallo Community…

    Ich stehe vor einer Herausforderung...Ich kam als Admin in ein total beschissenes (Sry) Netzwerk.

    Jetzt habe ich die Aufgabe alles mal richtig zu konfigurieren.

    Es wurden erst mal 8 ordentliche HP Switches bestellt, und ein 10Gbit CX4 Kupfer Backbone aufgebaut.

    Sprich im Racke steht ein Switch der via CX4 10Gbit an seine Kammeraden geht die im haus verteilt sind. So weit so gut.

    Das ganze ist noch nicht eingebaut, wird nächste Woche gemacht.

    Momentan läuft pfsense testweise auf einem VMWare ESX Server mit 6 NICs. (Da müssen noch 2 Wlan Netze dran und bla bla).

    Da es aber meiner Meinung nach suboptimal ist pfsense auf Dauer auf einem ESX Host(der in anderen Bereichen auch produktiv ist) laufen zu lassen, organisier ich nächste Woche einen Rechner für pfsense.

    Sicherheit ist eine große Sache in dem Unternehmen(Gibt aggressive Versuche der Konkurrenz das ganze zu sabotieren).

    Grob bräuchte ich 4 Lines: WAN an den Glasfaserrouter, LAN fürs Firmennetz, DMZ für die Server, WLan fürs Wlan. (Sind zig APs an den Switches.)

    Im Optimalfall würde ich aber gerne trennen in:

    LAN 1 (Mitarbeiter a)
    LAN 2 (Mitarbeiter b)
    DMZ (Server)
    Drucker
    Kameras
    Wlan (Mitarbeiter)
    Wlan (Extern)

    Die Ports könnte ich ja entsprechend via VLAN schalten.

    Also meinetwegen an Buchse 1 auf Switch B hängt ein Drucker, den Port am patchpanel einfach als VLAN deklaieren. So würde ich am liebsten global verfahren.

    Problem: Die Server ( DCs, Kleinkram und eine riesige NAS ) müssen von beiden Mitarbeiterklasse, den Mitarbeiter Wlan, den Cams und den Druckern gesehen werden.

    Der "einfache Weg" wäre alles mit der Netmask 255.255.0.0 laufen zu lassen, was aber nicht gerade sicher wäre. Deswegen würde ich am liebsten alles über Firewall Regeln verteilen. Nun ist das aber zb bei der NAS blöde weil die mit 4 Gbit (Bonding) angebunden sein soll....

    Nun meine Frage:

    Wie würdet ihr das machen...

    Und vor allem, wie soll ich den Rechner für die Firewall ausstatten? Ich war schon am überlegen ob ich eine Gibt NIC für WAN einbauen lasse, und für den Rest ein 10Gbit Anschluss an den Switch...Und dann über VLANs den 10gbit "aufsplittern". So könnte man ja theoretisch alles über die FW Routen?

    Btw: Was brauch die FW für eine Power?

    Viele Grüße



  • Hi,
    ​ich arbeite mich selbst gerade in PFsense ein, weil ich "nebenberuflich" noch das Netzwerk von einem Bekannten administriere.
    Da geht es um 2 Subnetze, eine Net2Net Verbindung und einige normale VPN Clients. 
    Die Sicherheitsanforderung sind moderat, SLAs sind keine definiert und das Budget ist knapp, hier passt PFsense super.

    Du redest von einer mittelständischen Umgebung, die wohl schon etwas unstrukturiert ist und bereits unter Beschuss steht.
    Versteh mich nicht falsch, ich möchte damit nicht sagen, dass mit PFsense euer Netzwerk unsicherer ist als mit Astaro, Watchguard oder was auch immer.
    Aber wie sieht es bei einer weiteren Bastellösung unter deiner Verantwortung mit deiner Arbeitsplatzsicherheit aus, falls es tatsächlich zu Sicherheitsproblemen kommt?

    Grüße Janos



  • Hey,

    naja, es gibt einige Funktionen in pfsense die ich sehr gerne nutzen würde.

    Meine Frage ist hauptsächlich, wie ich oben genanntes umsetzen kann, bzw. wie ich die Netzwerke am sinnvollsten verbinde….Über den Switch? Alles via pfsense...?

    Und macht es Sinn eine Firewall per CX4 an den Backbone anzuschließen und dann mit VLans den CX4 10Gbit Anschluss quasi zu unterteilen?

    Viele Grüße



  • @janos:

    Aber wie sieht es bei einer weiteren Bastellösung unter deiner Verantwortung mit deiner Arbeitsplatzsicherheit aus, falls es tatsächlich zu Sicherheitsproblemen kommt?

    Der Gedanke ist sicher auch immer eine Überlegung wert und nicht auf die leichte Schulter zu nehmen. Den Begriff Bastellösung sehe ich an dieser Stelle aber übertrieben. Wer Unterstützung bei pfSense bezahlen kann und will, kann ja die enstpr. Angebote wahrnehmen.

    Wenn ich da nur an unsere 2 Drecks Cisco ASAs im HA Verbund sehe … wenn das Zeug nicht schon da und konfiguriert wäre, hätte ich den Mist schon lange rausgeschmissen und gegen 2 pfSense ausgetauscht. Da wäre ich sogar noch flexibler. Ging damals aber nicht anders, da auf Basis pfSense 1.2.3 einige Dinge noch gefehlt hatten, die ich gebraucht hätte (mittlerweile aber 2.0 kann). Damals hatte auch dieser Gedanke mit reingespielt, da unser HW Partner (der dann kurz danach Pleite ging) diese Cisco Mißgeburt als die eierlegende Wollmilchsau verkauft hat und ich mir dachte ... wenn's nicht klappt, dann auf jeden Fall nicht deshalb, weil ich lieber pfSense gehabt hätte. Heute würde ich das anders machen.

    @ozric:

    Und macht es Sinn eine Firewall per CX4 an den Backbone anzuschließen und dann mit VLans den CX4 10Gbit Anschluss quasi zu unterteilen?

    Jetzt für mich schwer einzuschätzen ob es Sinn macht oder nicht. Fakt ist, dass Du da schon ein bisschen Dampf auf der Hardware dahinter brauchst, wenn Du wirklich in der Lage sein willst, die 10GBit/s über pfSense zu routen. Da würd ich mal in der Hardware Rubrik im englischen Forum reinschauen, dort laufen immer wieder solche Diskussionen.

    ps: Schau Dir auch an, ob überhaupt eine NIC mit CX4 Anschluß in der HW Kompatibilitätsliste gelistet ist ;)



  • Hi,

    du solltest bei deiner geforderten Bandbreite davon Abstand nehmen, die verschiedenen Subnetze (Mitarbeiter A und B, NAS usw.) direkt über pfsense laufen zu lassen. Normale PC-Hardware ist nicht dafür ausgelegt, so eine Bandbreite zu routen. Dazu nimmt man L3 routing switches (HP macht da feine Geräte).

    Was die Sicherheit angeht, würde ich an deiner Stelle in Erwägung ziehen, mit Radius und Zertifikaten und darauf basierten Berechtigungen im Netzwerk zu arbeiten. Das lässt sich mit routing switches ohne Bandbreitenverlust gut realisieren.

    Pfsense kannst du dann wunderbar für WAN, DMZ und WLAN benutzen. Denk übrigens daran, nicht nur einen, sondern zwei Rechner für pfsense zu organisieren, denn du willst sicher die ganze Sache auch noch per CARP redundant haben :-)

    Ich würde pfsense übrigens nicht als Bastellösung bezeichnen. Das ist so ein deutsches Phänomen… wenn's nichts kostet / Open Source ist, kann's nicht taugen ;-)


Log in to reply