Neue pfsense firewall am privaten INetzugang - Anfängerfragen…..



  • Hallo, als Einsteiger möchte ich meinen privaten INetanschluss mit einer pfsense Firewall versehen, komme aber nicht weiter.

    Mein Netz sieht folgendermassen aus:

    • KabelBW Anschlus über Fritzbox 6360. Die Fritzbox arbeitet dem verwendeten LAN Anschluss im brigde modus, d.h. sie verhält sich wie ein Kabelmodem ohne Router.
    • an dem LAN Anschuss der Fritzbox sitzt mein WLAN Router (Asus RT-AC68U).
    • an diesem hängen meine Geräte (NAS, 2x TOR Server, Audio Bridge für INet Radio und ca. 20 WLAN Geräte auf 2 WLAN Netzen 2,4GHz und 5GHz.

    Zwischen Fritzbox und Asus Router soll die firewall installiert werden. pfsense 2.1.4 ist installiert auf einem mini ITX Rechner mit 2x onboard Intel LAN Anschlüssen. Ein Anschluss ist als WAN mit DHCP konfiguriert und der andere als LAN mit statisch 192.168.1.1 und DHCP 192.168.1.2 - 192.168.1.254

    Der Asus Router hat 1x WAN Anschluss und 4x LAN. Leider bekomme ich keine INetverbindung, wenn die pfsense box am WAN Anschluss hängt.

    Fragen:

    • Sollte der LAN Ausgang der pfsense Box als DHCP konfiguriert werden oder besser statisch für den Asus Router ?

    • warum klappt das nicht am WAN Anschluss des Asus Routers - habe ich was übersehen ?

    • Wenn ich die pfsense box an einen der 4 LAN Anschlüsse des Routers hänge und die Adressen von der pfsense box vergeben lasse klappt es. Aber dann fehlt mir ein LAN Anschluss am Asus Router…

    • ein (älteres) Macbook hatte Probleme mit der firewall über WLAN. Zunächst hatte ich ein OS upgrade installiert (klappte). Danach konnte ich kurz in INet, dann war Schluss. Das gleiche Gerät unter Win7 (hat dualboot) konnte ebenfalls keine Verbindung mehr herstellen. Ich habe den Verdacht, dass pfsense irgendwie bissig auf das Macbook reagiert hat. Aber wie stelle ich das ab ?

    Auf der pfsense box läuft wie gesagt 2.1.4 als 64 bit Version. Zusätzlich squid und snort.

    Den Haken "Block private Networks" im LAN habe ich immerhin schon raus...hat mich nur 2 Stunden gekostet das zu finden. Daher kann ich immerhin schon mal wieder auf die Konfigurationsoberfläche von pfsense zugreifen...

    Besten Dank für Hinweise....



  • Hej gemm,

    welches Netz hat denn dein eigentliches LAN hinter dem Asus?

    Ich würde ja die Router Funktion vom Asus weg lassen. Also am Asus DHCP aus, die LAN Adresse in selbst Netz hängen 192.168.1.0/24 und die pfsense mit einem LAN Port vom Asus verbinden. (Einen kleinen Switch dazu holen) und den WAN Port komplett ignorieren.

    Somit würde die pfsense das komplette managment deines LAN Netzes übernehmen. Und wenn die DHCP Konfig stimmt sollte auch alles weiterhin laufen.


  • Rebel Alliance Moderator

    Da kann ich Freund Wexxler nur zustimmen. Router hinter Router hinter Router war noch nie eine gute Idee ;) Da ist viel zu viel Overhead im Spiel. Und ich bezweifle, dass die Asus Kiste mit Standard Firmware mehr kann als pfSense -> dann kann man es auch gleich pfSense ordentlich machen lassen und das ASUS WLAN als AP only nutzen.

    Grüße



  • also, ich habe mittlerweile eine menge ausprobiert, aber das eigentliche Problem bleibt.

    Was bisher funktioniert:
    Ein LAN Anschluss der KabelBW Fritzbox im Bridge Modus an den WAN der pfsense Box…passt.
    LAN Ausgang der pfsense Box an einen LAN Anschluss des Asus Routers...passt.
    Die übrigen 3x LAN des Asus Routers an diverse Endgeräte...passt.
    Die beiden WLANs des Asus Routers (2,4 + 5GHz) konfiguriert...passt.

    Das ist soweit auch die Option, die Wexxler oben erwähnt hatte.

    ABER... ich brauche eben 4x LAN am Asus Router für Endgeräte. Daher hätte ich gerne den LAN Ausgang der pfsense Box am separaten WAN Eingang des Asus Routers und damit die 4x LAN am Asus Router frei. Und das klappt leider nicht.
    Außerdem hat der Asus Router ein sehr gutes WLAN. Diese Option möchte ich nicht an die pfsense Box vergeben, da ich dann erst WLAN Karte und Antennen beschaffen muss. Und dann ist nicht sicher, ob ich die Funktionalität/Durchsatz des Asus WLAN überhaupt erreiche....ich habe eine Datenrate beim Kopieren großer Dateien von 45 MB/s (Megabyte/s ) von meinem NAS zu meinem Desktop (NAS hängt per LAN am Asus und der Desktop hängt per WLAN am Asus).

    Die LAN IP des pfsense ist statisch (192.168.1.1), der DHPC Server des pfsense ist aktiv und vergibt Adressen im Bereich von 192.168.1.10 - 245. Der DHCP des Asus Routers ist dementsprechend deaktiviert. Die Firewall vom Asus ebenfalls aus (ist sowieso sinnlos, denn die arbeitet nur zwischen WAN des Asus und LAN/WLAN des Asus..und den WAN nutze ich ja nicht). Und...wozu habe ich schliesslich die pfsense firewall; die ist wesenlich besser zu konfigurieren.

    Sobald ich den WAN Eingang am Asus Router verwende, findet der Asus Router kein Internet. Und auch die pfsense Webseite erreiche ich nicht. Auch wenn ich den DHCP der pfsense deaktiviere und dafür den DHCP des Asus Routers aktiviere klappt es nicht. Auch dann nicht, wenn ich das interne LAN am Asus Router auf einen anderen IP Adressbereich lege (192.168.3.x)

    BtW. Ich habe mittlerweile das Routermodell gewechselt auf einen Asus RT-AC87U - in erster Linie wegen des WLANs. Dieser Router versorgt mein Haus so, wie ich das erwarte und auch mit der Geschwindigkeit die ich erwarte. Zweiter Pluspunkt ist die integrierte Traffic Priorisierung ("Adaptive QoS") basierend auf einer Deep Packet Inspection engine (Trend Micro). Das könnte ich ggf auch mit der pfsense Box erreichen, aber der Router hat das vorkonfiguriert und es funktioniert gut (WENN ich den WAN Port des Asus Routers verwende, natürlich).
    Auf der pfsense Box läuft noch ein Virenscanner und SNORT (fast alle Regeln aktiviert...nur TOR ist ausgenommen). Leistung ist offenbar aber kein Problem, denn die CPUs dümpeln meist so bei 25-50% herum (Supermicro X10SBA-O mit Celeron J1900).



  • So, jetzt funktioniert es. Ich habe gestern nochmal alles neu aufgesetzt und die Routerfirmware aktualisiert.

    WAN am pfsense steht auf DHCP
    LAN IP am pfsense ist 192.168.1.1; DHCP ist aktiv, aber nur von 192.168.1.2 - 192.168.1.2 (also eine Adresse - ob das sinnvoll ist muss ich noch testen)

    WAN IP am Router steht fest auf 192.168.1.2; "enable static routes" ist aktiviert.
    LAN IP am Router ist auf 10.10.10.1 gesetzt;
    DHCP am Router ist aktiv im Berich 10.10.10.10 - 10.10.10.100
    DNS Server und Gateway am Router stehen auf 192.168.1.1

    Verbindung ins Netz klappt, auch wenn mir der erste Seitenaufruf noch ein wenig zögerlich vorkommt. Die Geschwindigkeit meiner Kabelleitung (50/5 MBit/s) wird laut ookla Speedtest erwartungsgemäß auch über die pfsense Box erreicht.

    Ich vermute den Eintrag "enable static routes" am Asus Router als Ursache. Ob ich diesen Punkt in der alten Firmware nicht als Option verfügbar hatte oder ob ich das schlicht übesehen hatte kann ich leider nicht mehr sagen…


Log in to reply