Pfsense … Integration in DC Netzwerk



  • Hallo Forum,
    ich bin leider völlig planlos im Umgang mit Firewalls und hoffe auf Hilfe beim Einrichten des 2D13.
    Die Box wird in einem kleinen Firmennetzwerk eingesetzt.
    Im Moment sieht die Konfiguration so aus:

    DC Server mit Windows SBS 2011
    Clienten mit statischer IP 192.168.0.x
    Router ist das Speedport W 723V Typ B
    WLAN ist deaktiviert. Soll dann später über 2 Access Points D-Link DAP-2360 mit integriert werden, sobald die Firewall läuft.

    Wie fange ich am Besten an? Der erste Konfigurationsversuch endete darin, dass meine Mitarbeiter nicht mehr auf ihre Lizenzen für ein Konstruktionsprogramm zugreifen konnten, die auf dem Server laufen. Dabei habe ich nix weiter getan, als die IP de 2D13 in unseren Adressbereich zu ändern, damit ich überhaupt drauf zugreifen kann.

    Bin leider etwas überfordert und leider liegt auch keine Anleitung bei.  :o
    Beste Grüße - Jörg

    EDIT: alternativ wäre natürlich auch eine Einrichtung vor Ort gegen Bezahlung denkbar. PLZ 02730 … einfach PN schreiben.  ;)



  • Was willst Du denn überhaupt genau erreichen und wozu?

    Willst Du den Speedport ersetzen? Du brauchst ein Modem. Der Speedport kann als Modem genutzt werden oder Du nimmst ein "reines" Modem.

    DC und Clients sind im LAN, richtig? (Ein Bild wäre hilfreich.) Hast Du außer Internet nochwas im LAN (Entertain, VoIP)?

    Wenn Du wirklich nur Internet hast und den Speedport als Router durch pfSense ersetzen willst, ist das recht einfach.



  • Wie bereits gefragt, was soll genau erreicht werden?

    Warum hast du am DC kein DHCP aktiv?
    Ist dein DNS richtig konfiguriert?
    Die Lizenzen liegen auf dem SBS?
    Der Speedport soll nur noch Modem sein?
    Stehen sie APs in einen besonderen Zusammenhang zu der pfSense? VLANs?
    Hast du ein managbares Switch, bzw allgemein solche Hardware?



  • Hallo… erreicht werden soll folgendes:

    • Ersetzen des Speedport durch pfsense. Das Speedport soll nur noch Modem sein.

    Die festen IPs sind Überbleibsel aus der Zeit, in der Netzwerkdrucker im nur über statische IP angesprochen werden konnten. Ob die Umstellung auf dynamische Zuweisung funktioniert, kann ich nicht abschätzen. Ich glaube aber, ja - könnte klappen. Die Programme und Geräte sind alle recht modern.

    Auf dem Server läuft Exchange (d.h. es läuft noch nicht. Bin da noch am Einrichten), weiterhin die Lizenzverwaltung von einem Konstruktionsprogramm (proE), eine Firebird Datenbank unseres Abrechnungsprogramms (Amicron faktura - das funktioniert schon) und er fungiert als Dateiablage (funktioniert auch). Also alles relativ einfach.

    Weiterhin läuft auf einem LAN-Recorder eine Videoüberwachung mit 6 Kameras. der Recorder soll von außerhalb über Webinterface (vermutlich über https) erreichbar sein. Das ist allerdings weiter hinten auf der ToDo Liste.

    Ersteinmal muss ich den Server fertig einrichten. Das ist schon schwieriger, als ich dachte. Problematisch ist die Synchronisation sämtlicher IMAP Ordner (also auch Sent, Drafts) mit Exchange ... das artet in Arbeit aus.

    Das Netzwerk sieht so aus:

    
    Speedport
        |
        |
    Lancom GS2326____Server und Clienten 
        | | |
        | | |
        | | |____Lancom GS1224____weitere Clienten
        | |
        | |____Switch____IPCAM 6x
        |        |____Recorder
        |
        |____Telefonanlage octopus-----Systemtelefone und analoge Geräte
    
    

    pfsense soll einfach der I-Net-Router sein, da sämtliche geschäftsrelevante Daten auf dem Server liegen und auch online überwiesen wird. Da solls so sicher wie sinnvoll möglich werden. Im Moment ist nur einfacher Internetzugriff geplant, also surfen, mailen. Eine Einrichtung von Tunnels etc. ist normalerweise nicht geplant. Es gibt keine Zweigstelle, die angebunden werden müsste.
    Das WLAN soll installiert werden, wenn in der Werkstatt mit den Notebooks an den Steuerungen etc. unserer Produkte gearbeitet wird. Einfacher Zugriff auf Netzlaufwerke und I-Net muss möglich sein.

    Besten Dank!  :D

    EDIT: Die IPs müssen wahrscheinlich doch fest bleiben. Die Telefonanlage möchte eine feste IP haben. Auch die IP-Cams und den Recorder muss ich statisch einrichten. Ich denke, es würde Probleme geben, wenn mehrere DHCP Server laufen. Da die Cams sich direkt am Recorder anmelden und nicht am DC, müssen die wahrscheinlich fest adressiert werden, sonst könnte es zu Überschneidungen kommen.



  • Mein Vorschlag:

    • Einen Zeitraum finden, in dem man sich zwei Stunden Zeit nehmen kann, wo niemand den Internet-Zugang braucht.

    • IP-Adresse des Speedport ermitteln (ziemlich sicher 192.168.0.1).

    • Konfiguration des Speedport sichern.

    • Speedport ausschalten.

    • Schauen, daß alles im eigenen Netz mit Ausnahme des Internetzugangs noch funktioniert. Wenn nicht, das erst reparieren.

    • Einen (Reserve-)PC nehmen, der nicht im LAN hängt, und bei dem es nicht schade ist, wenn er Schadsoftware abkriegt. Damit die pfSense einrichten.

    • Die pfSense mit dem Assistenten einrichten, dabei auf dem LAN-Interface die Adresse zuweisen, die der Speedport auch hat. Beim WAN-Anschluß dürfte PPPoE richtig sein. (Ich nehme einen Telekom-Anschluß an?). Die Internet-Zugangsdaten der Telekom in der pfSense eintragen. Die pfSense abhängen.

    • Den Speedport am PC anschließen und den Speedport auf PPPoE umkonfigurieren. Zugangsdaten aus dem Speedport entfernen. Im Rechner einen Internetzugang per PPPoE konfigurieren (Zugangsdaten der Telekom). Speedport an die Telefondose anschließen und prüfen, ob der Rechner Internetzugang bekommt. Rechner und Speedport trennen.

    • Die pfSense an den Speedport anschließen. Den Reserve-PC an die pfSense anschließen. Prüfen, ob der Rechner auf die pfSense kommt. Prüfen, ob ein Internetzugang möglich ist.

    • Reserve-PC abstöpseln und LAN in die pfSense einstöpseln.

    Jetzt müßte das gehen. Alle Rechner im LAN müßet wie vorher Zugriff in das Internet haben.

    Wenn es nicht klappt, dann den Speedport mit dem Backup der Konfiguration wiederherstellen und es ist erstmal nichts kaputt.

    Alle Sachen im LAN können ihre statischen IP-Adressen behalten. Für manche Sachen ist das nicht verkehrt. Du kannst alternativ später den DHCP-Server so konfigurieren, daß er die Adresszuweisung mit der MAC-Adresse verbindet.



  • Besten Dank für die Kurzanleitung und Entschuldigung für die späte Antwort … zu viel anderes zu tun im Moment.
    Ich werds demnächst mal testen und melde mich dann mit Resultaten bzw. weiteren Fragen.
    Es gibt ne kleine Planänderung bzgl. Server. Ich werde den Server als Virtual Machine laufen lassen und entsprechend einen virtuellen Switch / Netzwerkkarten verwenden.
    Gibt es diesbezüglich im Vorfeld noch irgendetwas spezielles zu beachten? Die Netzwerkkarte hat ja dann quasi zu ihrer Mac verschiedene IPs zugeordnet.
    Die Router soll aber tatsächlich nur gegens Internet sichern. DMZ und andere lokale Subnetze sind nicht in Planung.
    Ich will den Server nur virtualisieren, um die Sicherheit zu erhöhen und die Administierung zu erleichtern.
    Beste Grüße - Jörg


  • Moderator

    Die Netzwerkkarte hat ja dann quasi zu ihrer Mac verschiedene IPs zugeordnet.

    Das hat an der Stelle ja nichts mit VM oder nicht zu tun?

    Gibt es diesbezüglich im Vorfeld noch irgendetwas spezielles zu beachten?

    pfSense erkennt normalerweise selbst, ob bspw. vmware o.ä. als Virtualisierung eingesetzt wird.

    Ich will den Server nur virtualisieren, um die Sicherheit zu erhöhen

    Das ist allerdings ein Irrglaube. Die Sicherheit wird durch Virtualisierung nicht erhöht, sondern bleibt im Normalfall gleich oder wird geringer.

    Grüße



  • Also das mit dem DHCP war nur in Bezug auf die Clients gemeint. Die DHCP-Rolle eines Windows Servers ist mehr oder weinige Pflicht.

    Bezüglich deiner VM. Keine schlechte Idee, aber ich werde zunehmend das Gefühl nicht los, dass dazu viel zu wenig Ahnung vorliegt.

    Das mit der MAC-Adresse ist so weit richtig, dass ein Switch solche verbindet und eine MAC theoretisch beliebig viele IPs haben kann.