PfSense als Router



  • Hallo Leute,

    sitze mittlerweile wirklich lange vor der pfSense und komme aber leider nicht weiter. Habe bei einem Hoster ein Subnetz für meinen ESXi zugewiesen bekommen. Am WAN-If habe ich eine public IP per DHCP zugewiesen bekommen. Am LAN-If habe ich die erste IP des 29iger Subnets anliegen.

    Soweit ist alles gut ich komme von allen Geräten die hinter dem LAN-If sind nach extern. Wenn ich aber versuche vom WAN auf die Ressourcen im LAN zuzugreifen, dann klappt das nicht. Mir fehlt diese eine Regel die den Zugriff erlaubt. Habe als workaround die FW komplett deaktiviert, dies möchte ich aber nicht beibehalten, da ich den Zugriff auf die Adminoberfläche nur über die LAN-IP erlaubt haben möchte. Im prinzip möchte ich also eine klassische Routerfunktionalität haben jedoch mit der Einschränkung des Zugriffs auf die Weboberfläche der pfSense.

    Also zusammengefasst, wie muss die Rule am WAN-IF aussehen? NAT, habe ich schon manuel gestellt und alle automatisch erstellten Regeln gelöscht.

    Vielen Dank für Eure Hilfe

    Markus


  • Moderator

    Hallo Markus,

    erster Schritt ist schon erledigt: NAT ausmachen.
    Was mich wundert: du bekommst der WAN IP per DHCP? Und wie wird nun dein Subnetz geroutet? Irgendwas passt da nicht ganz zusammen, denn kein Hoster den ich kenne routet ein /29er (o.ä.) Subnetz auf eine wechselnde dynamische Adresse (würde keinen Sinn machen, da müsste man ja ständig die Routing Table anpassen lassen).

    Wenn du da ein wenig mehr Infos liefern (oder nachfragen) könntest, wäre das wichtig. Ansonsten muss - bei reinem Routing - die pfSense natürlich auf dem "LAN" (oder wie auch immer du es nennst) eine IP des Subnetzes haben, denn sonst könnte Sie die Pakete nicht routen. Vielleicht kannst du kurz skizzieren oder beschreiben was du aufbaust und wie das funktionieren soll.

    Viele Grüße
    Jens



  • Hi Jens,

    vielen Dank für Deine Antwort.
    Die IP-Adresse am WAN-IF wird per DHCP zugewiesen. Beim Provider wird hier aber am DHCP eine Mac-Adresstable gepfelgt und ich habe am WAN-IF durch die manuelle Vergabe der MAC-Adresse auf der Netzwerkkarte die Sicherheit immer die gleiche IP-Adresse zugewiesen zu bekommen. Auf genau dieses WAN-IP wird das 29iger Subnet geroutet.

    Auf der pfSense habe ich eine Bridge von WAN auf LAN-IF gebaut. Und das LAN-IF hat die erste IP-Adresse des 29iger Subnets.

    Wird es nun klar, oder soll ich kurz mein Visio anwerfen?

    Markus


  • Moderator

    Wuah Bridge. Das böse Wort mit B. OK soll das so sein? Willst du das bridgen? Kann man natürlich machen, aber effektiv tut das in meiner Bekanntheitsphäre niemand. Normal wäre eher LAN eine IP des /29ers binden und den Rest sauber routen. Game over.

    Grüße



  • Hi JeGr,

    grundsätzlich will ich dass die Sache sauber konfiguriert ist und für seinen Zweck die beste Lösung darstellt. Auf die Schnelle war die Bridge und das deaktivieren der Firewall die Lösung die für mich mit dem Subnet am schnellsten zum Ziel geführt hat.

    Das soll heissen ich bin für jede Änderung in die richtige Richtung gerne bereit, ja man kann sogar sagen dankbar  ;D

    Leider bin ich nicht sonderlich dazugekommen mich mit dem Thema grossartige auseinanderzusetzen und daher jetzt halt erstmal dieser Weg. Es sind gerade zuviele Proejkte gleichzeitig, daher jetzt halt mal quick and dirty. Wenn Du mir in ein paar Sätzen aber sagen könntest wie Du es machen würdest, dann setze ich das um. Soll ich vll doch mal den Aufbau in eine Grafik packen, oder ist das bis jetzt geschrieben klar für Dich?

    Gruss und vielen Dank für Deine Hilfe

    Markus


  • Moderator

    Ich kenne das Problem mit dem /29er Netz. Kaum ein Provider rückt gern mehr raus, als das und im Routing Betrieb gehen einem eben eine Adresse blöderweise mit flöten. Da ich nicht weiß inwieweit dein Setup laufen muss und ansonsten nur ESXi gelesen haben, kann ich nur kurz mein damaliges Hetzner-Lab-Setup beschreiben:

    1x IP auf ESXi Hypervisor (fix)
    1x IP zusätzlich, diese bekam die pfSense VM extern, da Hetzner auf MAC Adressen filtert und am Switch deshalb blockt. Auf diese IP wurde dann auch das /29er Netz geroutet
    /29er Subnetz zusätzlich.

    Jetzt gabs 3 Wege:

    1. Transparentes Bridging und IPs direkt auf VMs auflegen - unpraktisch, da man zum managen der pfSense VM ein drittes IF benötigt und das dann sinnvollerweise nicht von extern erreichen möchte, also eher interne IPs und VPN sinnvoll wären
    2. Routing: dann würde eine Adresse der kostbaren 6 schon allein auf die pfSense entfallen
    3. BiNAT: eigentlich nicht so schön wie Routing, aber bei wenigen Adressen ein wenig, wirklich ALLE sinnvoll nutzen zu können.

    Ich bin dann mit Weg 3 gegangen und habe die pfSense VM intern an einen vSwitch Port gehängt, der ein VLAN Trunk war. Damit konnte man sogar noch die einzelnen VMs voneinander per VLANs isolieren und über die pfSense gruppieren. Intern wurden dann für VMs Netze à la 10.1.0.0/24 (VLAN 10), 10.3.0.0/24 (VLAN 30), etc. genutzt und per BiNAT (1:1 NAT) die 6 IPs vergeben. Da man ausgehend auf beliebige IPs NAT'ten konnte, war es möglich, intern VMs zu haben, die zwar Internet haben, aber nicht direkt erreichbar sind (typisch für DBs u.a.)

    Damit kann man sich die Spielwiese beliebig gestalten.

    Zusätzlich kommt noch ein kleiner Kniff in die Trickkiste ;) Wenn das /29er Netz wirklich komplett auf die WAN IP geroutet wird (sollte ja der Fall sein), kann man abgehend für die pfSense sogar Rand-Adressen (was normalerweise Netz oder Broadcast wäre) als abgehende NAT Adresse nutzen. Grund ist, dass diese Adressen trotzdem wieder zur pfSense zurückkommen, da das gesamte Netz zu ihr geroutet wird und daher die Pakete wieder ankommen und zugeordnet werden können. Dies ist aber nur für interne Dienste bzw. abgehende NAT möglich (ein kleiner Kniff, den mir dankenswerter Weise die Jungs vom Support mal verraten haben).

    Grüße
    Jens



  • Hi Jens,

    Du bist schon richtig gut. Es handelt sich um einen Hetzner-Server. Habe einen 2. vSwitch erstellt und nun hat die pfSense ein IF am neuen vSwitch1 und eins am alten vSwitch0. Auf eine der der ersten 3IPs von Hetzner wird das Subnet geroutet. Das bei diesem Konstruktu weitere Adressen drauf gehen ist eigentlich egal, so schnell werde ich das nicht "aufbrauchen". Habe ein kleines Problem, da ich mit dem Thema eig. schon produktiv bin und nicht mehr so ohne weiteres an der grundsätzlichen Konfig etwas ändern. kann Mal ne kurze downtime Nachts ok, aber das Konstrukt sollte grundsätzlich erstmal so bestehen bleiben.

    Es wird also aufs Routing rauslaufen und die Bridge muss weg. Aber in ein paar Schritten was muss dann getan werden?

    Gruss

    Markus


  • Moderator

    Du bist schon richtig gut. Es handelt sich um einen Hetzner-Server.

    Naah, ich kenne nur meine Pappenheimer aus langer Erfahrung ;)

    Aber in ein paar Schritten was muss dann getan werden?

    Nunja, die Bridge muss wieder weg. Auf Nummer sicher gehen würde ich indem ich auf dem WAN der pfSense VM den Zugriff per tcp/80,443,22 von deiner IP aus erlaubst (für die Umbauarbeiten), dass für den Fall der Fälle du dich aussperrst du entweder mit vClient oder auf externem WAN wieder auf die Kiste kommst.

    Ansonsten klassisches Setup.

    • Erfragen auf welche IP das Netz geroutet wird
    • Erfragen ob dazu ggf. eine bestimmte MAC benötigt wird
    • diese IP/MAC auf WAN Seite der pfSense konfigurieren
    • LAN Seite mit privatem Netz (oder Netzen - ggf. mit mehreren VLANs) einrichten
    • andere VMs an vSwitch1 hängen, der seinerseits an LAN der pfSense hängen sollte (und an keiner physikalischen NIC des vmware Hosts)
    • 1:1 NAT einrichten mit externer IP aus dem /29er auf die private IP der VM die du ins Netz bringen willst.

    So würde ichs machen. Durch die 1:1 NAT hast du den Vorteil, dass du nicht noch die IP fürs Routing verlierst (die die pfSense selbst dann bräuchte) und du ggf. sogar die Netz- oder Broadcast Adresse für Outbound NAT verwenden kannst (spart noch ne IP Adresse).

    Grüße
    Jens