OpenVPN hinter Router - Roadwarrior Zugriff auf WAN Port der Pfsense..?



  • Hallo zusammen.

    Ich habe eine spezielle Anwendung, die ich mal versuche zu skizieren…

    |  Fritzbox |---> S0 ----> ISDN TK 
          '-----+-----'---> Mailserver (Portforw.)
                |
          -----+------.
          | LAN-Switch | ----> Clients + NAS + Printer 192.168.100.0/24
          '-----+------'
                |
          .-----+-----.
          PFSENSE    OpenVPN Server  <---- Roadwarrior mit Zugriff auf NAS usw.
          '-----+-----'
                |

    Die Pfsense soll auf einem KVM mit 2 Schnittstellen laufen. Die erste ist von einer NAS VM genutzt. Die zweite frei.
    Die Roadwarrior müssen das 192.168.100.0 Netz erreichen. Ist sowas lösbar.? Wir zweite eth. genutzt.?

    Die Fritzbox soll "normal" weiter laufen. Nicht nur wegen dem ISDN VOIP, sondern auch weil dort das Portfporwarding zum internen Mailserver etabliert ist. Und die Pfsense würde ja auch als VM laufen. Würde gerne den "single point of failure" vermeiden, falls der KVM Server mal ausfällt. (Proxmox...)

    Machbar, oder unmöglich.??

    Vielen Dank für Tipps und Hinweise.

    --
    Rüdiger



  • Hi!

    Machbar, ja.

    Du willst also nur rein einen VPN Server mit der pfSense realisieren. Dafür gibt es vermutlich schlankere Lösungen, aber da bin ich auch nicht bewandert.

    Ich hatte einmal für 2 Wochen eine solche Konstellation im Einsatz, einen pfSense OpenVPN Server auf KVM, im Zuge der Umstellung der Firewall auf pfSense. Ziel der Aktion war, den Usern Zeit zum einrichten der neuen VPN Verbindung zu geben.
    Dabei hatte ich 2 Interfaces aktiv, WAN u. LAN, und die lagen beide im selben Subnetz. Nicht die empfohlene Methode, hat aber problemlos funktioniert.

    Grundsätzlich sollte es auch mit nur einem Interface funktionieren, weiß aber nicht, ob die pfSense Installationsroutine das auch so sieht. Wäre aber egal, ein zusätzliches virtuelles IF kannst du ja ohne weiteres anlegen.

    Den VPN-Port musst du natürlich auf der FB zur pfSense weiterleiten können. Ob das funktioniert, kann ich dir nicht sagen, kenne die FB nicht, denke aber doch.

    Ich kann aber dieses Post nicht abschließen, ohne zu empfehlen, dir eine Hardware-Firewall zuzulegen und die FB zu bridgen (wenn mgl.). Die HW pfSense könnte dann VPN Server und auch alles übrige machen, vermutlich sicherer und zuverlässiger als die FB. Aber das sei deine Entscheidung.

    Gruß



  • Möglich, das das oversized dann ist.

    Ich wollte dann später das ganze noch erweitern. Am LAN Port der Firewall sollte ein Rechner für Servicezwecke laufen, der vom Rest des Netztes getrennt ist, aber von aussen auch via openvpn erreichbar ist.

    Und die Fritzbox als Modem laufen zu lassen, geht afaik nicht mehr mit aktuellen Firmwareversionen. Und wenn es da eine alternative Firmware geben sollte, würde dann sicher die VOIP ISDN Funktion ausfallen. Das geht mit der Firewall wohl nicht…?!

    --
    Rüdiger



  • Moin nochmal

    Bin grad am Überlegen, was denn die optimale Lösung wäre. Wenn ich jetzt mich dazu durchringen würde, die pfsense an erste Stelle zu setzten, was ja sicher das beste wäre. Wie läuft das denn dann mit dem VOIP bei einem Telekom IP Anschluss.?

    Ich mal etwas gemalt, weil das in Textform zu komplex wird…

    http://rsnetwork.de:8006/f/f55843abcf/


    Rüdiger

    Danke vorab für Hilfestellung.


  • Rebel Alliance Moderator

    @Rudi: Warum nicht den "Standard" Fall umsetzen und die pfSense der Fritzbox direkt nachschalten VOR dem eigentlichen LAN? Das wäre dann zwar je nach Konfiguration eben ein zweiter Router oder gar doppelte NAT, aber das macht meiner Erfahrung nach weniger Probleme (vor allem wenn man dann später noch weitere Funktionen umsetzen möchte) als das virtuell auf Kisten mit Interfaces hinzufriemeln. Außerdem würde ich der FB als Default Router weniger vertrauen als meinem eigenen Gateway, welches ich vollständig kontrolliere. Und eine Hardware Kiste mit pfSense ist mit ~150€ einfach zu realisieren (bspw. APU) und hätte mit 3. Interface dann genau deinen Anwendungsfall noch berücksichtigt, ein extra Service Netz für ein abgesetztes Netz zu realisieren.

    HA (Hochverfügbarkeit) ist immer wünschenswert, keine Frage, aber manches Mal muss dann auch Nutzen/Kosten/Usability mit einbezogen werden und Ausfall von Komponenten abdecken ist schön, aber wenn dir vorne deine (einzige) Fritzbox wegfliegt, ist das Netz auch tot, insofern hilft dir HA hintendran auf KVM Ebene eigentlich gar nichts.

    Grüße
    Jens



  • Ja, das hatte ich jetzt auch in meiner Überlegung so angedacht und aufgezeichnet, wie Du es eben beschrieben hast.

    Also eine eigene Hardware als Firewall. Die Fritzbox davor im DMZ Mode. Kann die dann trotzdem noch QOS wegen dem VOIP?

    Ist denn die doppelte NAT kein Problem.? Vor allem Performance.? Der Mailserver muss unbedingt flott erreichbar sein.

    Wie werden die beiden VPN denn getrennt.? Der Roadwarrior geht ja ins LAN, das Kundensystem mit einem OpenWRT Router soll aber zum
    Service Netz. Wir haben nur einen dyn. Hostnamen. Bei Mail ist das kein Problem übrigens…

    Kann ein Rechner im LAN den Mailserver auch direkt erreichen.? Mit einer Route.? Das wären aber nur ein paar Ausnahmen. Die meisten haben Notebooks und nehmen fürs Mail Webinterface dem dyn. Hostnamen...

    --
    Rüdiger



  • Ich habe auch eine Site wo ich pfsense hinter einer Fritzbox betreibe. as NAT überlasse ich der Fritzbox.
    Auf der pfsense habe ich NAT ausgeschaltet.
    Die Fritzbox macht voip und guest-wifi, alle firewall regeln sowie VPN und internal wifi laufen auf der pfsense.

    Ich habe eine andere site in der eine pfsense auf ALIX lediglich als VPN knoten für einen road warrior und eine site-site Verbindung dient.
    Dafür steht die box in diesem Fall mit nur einem Interface auch direkt hinter der fritzbox. Das routing läuft dann für VPN auf dem interface rein und wieder raus.

    -Till



  • Ich sehe schon, das ich noch viel lernen darf. Firewallfunktionen haben demnach nichts mit NAT zu tun.?!

    Das mit dem Guest Wifi ist ja ne gute Idee. Hatte mir schon gedacht, das der Wifi Zugang dann nicht mehr im LAN ist.

    Ist es also so, das alles aus meinem vorausgegangenen Post machbar ist.? Vor allem die zwei getrennten OpenVPN Zugänge.?!


    Rüdiger



  • Nein, Firewall und NAT sind in der Tat zwei paar Schuhe.
    Ich sehe nichts was da nicht umsetzbar ist.
    Wie kommen in deiner Zeichnung die VPN user ins Netz? Gibt es da einen zweiten Internet Zugang?



  • Nein. Nur ein Internet Zugang.

    Die Roadwarrior (Mitarbeiter) bekommen nen Win Client aufs Notebook um ins LAN zu kommen.

    Im Servicenetz sollen die Systeme  von extern sich mit einem Router anmelden. Ziel ist es da, bei den Kunden keine Löcher in deren Firewalls zu bohren um die Systeme zu Supporten, sondern eben eine aktive Einwahl vom Kunden in unser Servicenetz.

    BTW: Wenn es mehr wie 254 Kunden bzw. Systeme sind. Kann da die Maske entsprechend angepasst werden.? 1000 Systeme sollten reichen.


    Rüdiger


  • Rebel Alliance Moderator

    Firewallfunktionen haben demnach nichts mit NAT zu tun.?!

    Ohje. Da hat die Propagandamaschine zugeschlagen (von diversen Providern und Biligrouterherstellern). Nochmal damit das vielleicht auch hier Fuß fasst: NAT ist KEIN Sicherheitsmerkmal und dient lediglich dazu, eine IPv4 Adresse so zu "vergewaltigen", dass man dahinter noch weitere Maschinen packen kann, welche alle über diese eine Adresse geschleust werden. Das ist eine reine IP-Sparmaßnahme. Mit Filterregeln eines Paketfilters hat es dann schon zweimal nichts zu tun, es wird nur von den meisten Paketfiltern mit implementiert, damit man nicht verschiedene Tools nutzen muss. Eine Firewall (eigentlich eine Filter-)Regel definiert, was erlaubt ist oder was nicht. Eine NAT Regel definiert lediglich eine Adressübersetzung, dass bspw. ein internes Subnetz 10.0.0.0/24 auf die externe Adresse x.y.z.a/nn gemappt wird. In dieser Definition ist aber kein erlaubt/nicht erlaubt enthalten, das regeln einzig und allein die Filterregeln.

    NAT wird zwar lang, breit und gerne von wem auch immer gern als Sicherheitsaspekt verkauft (von außen per default keine Verbindung möglich blabla), ist es aber nicht. Heute sind sehr viele Dienste recht schnell dazu in der Lage, von außen Verbindungen aufzubauen, sei es durch Trojaner/Viren oder auch über Dritthosts, die als Connection Server genutzt werden. So bspw. bei TeamViewer und Co. damit die Fernwartung etc. auch durch "Firewalls" hindurch möglich ist.

    Also eine eigene Hardware als Firewall. Die Fritzbox davor im DMZ Mode. Kann die dann trotzdem noch QOS wegen dem VOIP?

    Die Fritzbox macht weiterhin Ihren Kram, inklusive QOS für VOIP.

    Ist denn die doppelte NAT kein Problem.? Vor allem Performance.? Der Mailserver muss unbedingt flott erreichbar sein.

    Nein, wie oben beschrieben wird lediglich eben zweimal ein Paket umgeschrieben (Absender geändert), ob flott oder nicht ist dabei völlig unerheblich. Viele nutzen das genau so weil sie hinter einem Zwangsrouter bei VDSL oder Kabel sitzen und diesen eben nur minimal bis gar nicht konfigurieren können und ggf. auch dem Provider keinen Einblick in die interne Netzstruktur geben möchten (bei ner doppelten NAT sieht der Providerrouter nur das WAN der pfSense, bei reinem Routing natürlich auch die anderen Maschinen).

    Wie werden die beiden VPN denn getrennt?

    Welche beiden? Du sprachst oben nur von einem, welches du auf der pfSense laufen lassen möchtest.

    Ich hätte die pfSense als Dreibein implementiert:

          WAN / Internet
                :
                : DialUp-/PPPoE-/Cable-/whatever-Provider
                :
          .-----+-----.
          |  Gateway  |  (Fritzbox mit VoIP)
          '-----+-----'
                |
            WAN | IP Transfernetz
                |
          .-----+-----.  priv. DMZ  .------------.
          |  pfSense  +-------------+ DMZ-Server |
          '-----+-----' 172.16.16.1 '------------'
                |
            LAN | 192.168.100.1/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients/Servers)
    
    

    Dazu genügen auch 2 OpenVPN Server, die man in der pfSense definiert. Einer für die Roadwarrior, die Einwahl ins LAN brauchen. Einen macht man dann mit entsprechend großer Netzmaske für das Servicenetz (auch wenn ich >100 Tunnel dauerhaft aktiv für unrealistisch halte, weil dafür dann schon etwas bessere Hardware dastehen sollte).

    PS: würde ich das lokal bei den Kunden auch mit einer pfSense machen. Kleine APU oder wenns billiger sein muss eine Alix mit vorkonfigurierter pfSense, notfalls auf das LAN des Kunden anpassen und vorkonfigurierter Tunnel mit der Endstelle bei euch. Fertig. Da braucht man kein OpenWRT Router Gedöns und hat alles mit der gleichen Software am Start.
    Machen wir für diverse Kunden ebenfalls so.

    PS2: Wie berücksichtigt ihr dann bspw. den Fall, dass 10 Kunden alle das gleiche lokale Netz haben? (10.0.0.0/24 bspw.)? Wie wollt ihr euch - wenn alle Kunden ihre Tunnel ständig offen haben - dann bei Kunde 1 auf 10.0.0.10 einwählen (nur Beispiel) und dann bei Kunde 2 auf 10.0.0.10? Da müsst ihr den VPN Tunnel ja lokal nochmal NATten damit ihr eindeutige Netze habt!?

    Grüße



  • Vielen Dank für die ausführliche Erklärung.!

    Ja, ich hatte erst das Servicenetz unter den Tisch fallen lassen. Hab mich dann aber umorientiert. Wie in meiner Skizze (Photo) zu sehen, sind ja neben dem LAN und der DMZ auch noch das Servicenetz. Braucht es dann nicht ein "Vierbein".?

    Entsteht bei den Tunneln des Service Netz so viel Traffic.? Da sind ja keine PC dran, sondern IP Wählgeräte. Da passiert nicht viel bzw. garnichts.

    Und klar. Diese APU sind ja viel besser geeignet. Als die Idee reifte, dachte ich an meine Freifunkrouter mit ihrem OpenVPN.

    Wichtig ist nur für den Einsatz beim Kunden, das das System neben dem Tunnel auch noch ins Internet zu externen Wachzentralen kommt. Das aber nur ausgehend.

    Die IP des Kundensystem kann ich doch frei wählen. Da sollten sich Kollisionen doch vermeiden lassen.?! Das LAN ist in dieser Konstellation doch egal, oder nicht.?

    Der Aufbau wäre dann so:

    Kundensystem–-----Pfsense------------LAN Switch------Router(Kunde)----DSL

    Wir wollen ja auf keinen Fall mit dem Kundennetz was zu tun haben. Ausser das das Kundensystem raus ins Internet muss, und wir via VPN rein. Mache ich einen Gedankenfehler.?

    --
    Rüdiger



  • Hi,

    Ich hätte die pfSense als Dreibein implementiert:

    ..genauso habe ich das auch am laufen.
    Fritte 7490 als Zwangsbox mit Portforwarding der Tunnelports + NAS.
    LAN der Fritte  192.168.223.1 /24 DHCP (1x reserviert für pfsense WAN 192.168.223.2)
    …am LAN dann...

    • für den Medien-Schrott TV etc.
    • bei Bedarf noch einen Gäste-WLAN Zugriff (haben bei mir im LAN nix zu suchen ;))
    • Verbindung zum WAN der pfSense

    pfSense auf einem ALIX (APU kommt vielleicht irgendwann auch noch) 3NIC´s...

    • WAN (statisch 192.168.223.2)
    • LAN  192.168.xxx.0/24 (2 Clients)
    • DMZ (opt1) NAS 172.16.x.0/24
    • WLAN (DHCP) 192.168.XX.0/24 (für 2 Laptops Family)
    • 3 x OpenVPN-Server 10.0.x.0/24 etc.

    Braucht es dann nicht ein "Vierbein".?

    ..wäre das dann wohl… ;)

    ....und schon ist dem "Sicherheitswahn" genüge getan..;-)
    2 x NAT stellt bei einer 25 VDSL-Verbindung kein Problem dar, zumindest ist das nur geringfügig.
    Gruß orcape


  • Rebel Alliance Moderator

    Ja, ich hatte erst das Servicenetz unter den Tisch fallen lassen. Hab mich dann aber umorientiert. Wie in meiner Skizze (Photo) zu sehen, sind ja neben dem LAN und der DMZ auch noch das Servicenetz. Braucht es dann nicht ein "Vierbein".?

    Warum 4? So werd ich aus der Skizze nicht schlau, dass ich 4 Beine sehen würde!?

    Entsteht bei den Tunneln des Service Netz so viel Traffic.? Da sind ja keine PC dran, sondern IP Wählgeräte. Da passiert nicht viel bzw. garnichts.

    Nein nicht viel Traffic, aber verschlüsselte Tunnel oben zu halten kostet eben auch ein paar Ressourcen. Wenn da kaum Traffic drüber fließt, kann das klappen, ich wollte es aber erwähnt haben.

    Die IP des Kundensystem kann ich doch frei wählen. Da sollten sich Kollisionen doch vermeiden lassen.?! Das LAN ist in dieser Konstellation doch egal, oder nicht.?

    Ich hatte das anders verstanden, dass ihr bei Kunden selbst ein Device reinpacken wollt, dass den Tunnel aufbaut und ihr ins Kundennetz müsst. Wenn ihr euer zu wartendes Gerät hinter eine pfSense beim Kunden packt, dann ist das was anderes, klar.

    Aber da wäre es praktischer wenn du dazu mal ein paar Skizzen zeichnen könntest (bspw. mit Gliffy o.ä.), dass man den Kram besser versteht ;)



  • Die 4 Beine sind nach meiner Ansicht:

    • Fritzbox/Modem
    • DMZ
    • Servicenetz
    • Lan

    Ich war bisher der Ansicht, das ich pro Subnetz auch einen Ethernet Port brauche.

    Mit Skizze meine ich nicht die ASCII Grafik, sondern das Photo von hier.

    http://rsnetwork.de:8006/f/f55843abcf/

    Ich hoffe es wird deutlicher.


    Rüdiger


  • Rebel Alliance Moderator

    Ah, ja dann wäre es ein 4-Bein. Das ist aber irrelevant, das können ja auch VLANs sein, das müssen nicht alles auch physikalische Interfaces sein.



  • Müsste jetzt noch eben wissen, ob es mit dem 3 Port langt, oder ob es doch 4 sein müssen für das Scenario in meinem letzten Post. Und welche Hardware es jetzt sein soll.?

    Der hat 3x Ethernet.
    http://www.miniserver.it/popular-products/firewall-entry-level-3-nic.html

    Der Preis gefällt. Sehe aber keine 4 Port Variante…

    --
    Rüdiger



  • @RudiOnTheAir:

    Ich denke das bei normalen ADSL/VDSL Anbindungen sogar eine Hardwarefirewall mit 2 (oder im Extremfall sogar mit einem einzigen Netzwerkport  :o ) reicht.

    Mach dich mal zu dem Thema VLAN schlau, http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

    du kannst mit einem 25€ Switch http://www.amazon.de/TP-LINK-TL-SG105E-Gigabit-lüfterloses-Passivkühlkonzept/dp/B00N0OHEMA/ref=sr_1_9?ie=UTF8&qid=1420885942&sr=8-9&keywords=tp-link+switch der konfigurierbar ist VLANs einrichten, verwalten etc.. (nicht was ein Cisco oder Juniper kann aber genug um über einen einzigen Port der pfSense Firewall auf der LAN Seite an mehrere komplette Netzwerke, DMZs etc.. anzuschliessen.

    Die Daten auf der LAN Seite teilen sich natürlich ein Kabel, die Datenübertragungsrate des Ports, also nichts für jemanden der da Wahnsinns Datenraten braucht, aber wie geschrieben, für eine ADSL/VDSL Leitung reicht das IMHO locker.

    Mann könnte sogar mit einem pfSense Hardware mit einem einzigen Netzwerkport auskommen, dann müsste der WAN Anschluss auch noch auf den Smarten Switch, der diesen Daten das entsprechende VLAN Tag verpasst und dann gehen die Daten über ein und das selbe Patchkabel in die pfSense Box rein und gefiltert, geroutet, etc. wieder raus an die verschiedenen Empfänger im Netzwerk.

    Gruss Auric



  • Oh, sorry

    Habe Posts übersehen.

    Ja, ich lese mich da eben ein…!

    Danke



  • Interessant Sache.

    Dann kann ich also dem o.g. portbasiertem Switch 4 VLAN zuordnen, und dann in der pfsense zuordnen.?

    Das ist auch diese Abfrage der pfsense bei der Schnittstellen Zuordnung.? Das hab ich immer übersprungen.!

    Die Pfsense gibt dann auf z.B. einem Port was raus, was zum Subnetz XY gehört und der Switch weiss wo das dann hin muss.?


    Rüdiger



  • Die pfSense gibt die Daten aus und gibt jedem Datenpaket eine Information mit für welches VLAN das Paket gedacht ist.

    Der Switch schaut nach den Informationen (Tags) und gibt das Datenpaket an die Ports aus die du dazu berechtigt hast.

    Zusätzlich kann der Switch (und macht der Switch üblicherweise) diese neu hinzu gefügen Tags aus jedem einzelnen Datenpaket wieder entfernen (Untag Funktion), sodass der Empfänger der Datenpakete überhaupt nichts von der ganzen Aktion merkt.

    Die pfSense Box benötigt für all das nur ein einzigen Netzwerkport !

    Der Switch nimmt die Daten von der Fritte entgegen und gibt ihnen z.B. das Tag mit der Nummer 10 (PVID-Funktion im Switch), der Switch schickt diese Daten an alle Ports die du dafür aktiviert hast (also z.B. nur den Port an dem die pfSense hängt) der Switch soll die Tags allerdings diesmal nicht entfernen.

    Der Switch nimmt die Daten von deinem Netzwerk an einem anderen Port entgegen und gibt ihnen die Nummer 20 und schickt diese Daten auch an den Port an dem die pfSense sitzt und lässt die Tags dran

    All das geht mit fast beliebig vielen anderen Netzen (DMZ, Servicenetz für Maschinen,etc..)

    Die pfSense Box nimmt die ganzen Daten entgegen die auf dem einen, einsamen Netzwerkport rein kommen und fängt an zu sortieren….

    Alle Daten die mit der Nummer 10 getagt sind gehen an den WAN Interface,
    alle Daten die mit der Nummer 20 getagt sind gehen an das LAN Interface

    und so weiter und so fort.

    So ganz grob funktioniert das so:

    Also jemand aus dem LAN will eine Information aus dem Internet...

    Er schickt die Anfrage in sein Netzwerk, der Switch verpasst ihnen die Nummer 20 und schickt die Daten an die pfsense Box, die erkennt, es kommt von LAN und routet die Daten zum WAN , und dazu nimmt sie den Daten die Nummer 20 weg und gibt ihnen bevor sie die pfSense verlassen die Nummer 10 und schickt sie zurück zum Switch.

    Der Switch durchsucht die Daten, stellt fest sie haben die Nummer 10, also gehen sie nachdem der Switch die Nummer 10 entfernt hat zum Port an dem die Fritte hängt, und die macht ihren Job.

    Du siehst über ein und das selbe Kabel zwischen Switch und pfSense Box gehen gehen die verschiedensten Daten hin und her, und kein einziges Datenpaket geht verloren oder wird verändert, kein einziges Datenpaket beeinflusst das andere, einzig ist die Datenmenge die über die Hardware physikalisch passt ist deswegen nicht grösser, aber wenn du mal überlegst das ein veralteter Fast Ethernet Port 100 Mbit an Daten GLEICHZEITIG senden und Empfangen kann (Full Duplex) sind die Daten aus einem normalen ADSL/VDSL kein Problem für einen nicht all zu langsamen Rechner auf dem die pfSense Software läuft.

    ein 180€ Mini-PC mit ordentlicher CPU und einem Gigabit-Ethernet Port verarbeitet auf dem einen Port bis zu einem GBit/s

    So eine (ich glaube die nennt man auch Hairpin???) Verbindung ist IMHO sinnvoller als dem Mini-PC einen USB-Netzwerkadapter zu verpassen.

    Gruss Auric



  • Das auf der Pfsense zu konfigurieren ist sicher nicht ganz trivial.

    Diese Hardware geht aber doch trotzdem, auch wenn sie zu "viele" ;) Ports hat.?

    http://www.miniserver.it/popular-products/firewall-entry-level-3-nic.html

    Gefällt mir, weil da nichts drin dreht und weil ich das ja auch als VPN Client beim Kunden hinstellen will.!

    Dann kann der dritte Port die DMZ und das Servicenetz bedienen…

    --
    Rüdiger



  • Gefällt mir, weil da nichts drin dreht und weil ich das ja auch als VPN Client beim Kunden hinstellen will.!

    Das ist das ALIX, das neue APU ist bedeutend schneller, was die CPU betrifft. Natürlich 50€uronen teurer.:-(
    http://www.amazon.de/PC-Engines-Nachfolger-erfolgreichen-ALIX-Board/dp/B00JR6X0ZK
    http://www.apu-board.de/produkte/apu1d4.html
    Wenn Du die Beschreibung dazu brauchst…
    http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall-im-eigenbau-oder-fertiggerät-149915.html
    ...ist eine gute Anlaufstelle.
    Gruß orcape



  • @RudiOnTheAir:

    Das auf der Pfsense zu konfigurieren ist sicher nicht ganz trivial.

    in dem Video https://www.youtube.com/watch?v=DY6ykBG5VCk

    Geht das von 3:45 bis 4:45 also eine Minute  8)

    @RudiOnTheAir:

    Diese Hardware geht aber doch trotzdem, auch wenn sie zu "viele" ;) Ports hat.?

    http://www.miniserver.it/popular-products/firewall-entry-level-3-nic.html

    Gefällt mir, weil da nichts drin dreht und weil ich das ja auch als VPN Client beim Kunden hinstellen will.!

    Dann kann der dritte Port die DMZ und das Servicenetz bedienen…

    --
    Rüdiger

    Natürlich geht das mit Hardware auch, nur warum so eine langsame? mittlerweile doch recht in die Jahre gekommene?

    Gruss Auric



  • @Auric:

    @RudiOnTheAir:

    Das auf der Pfsense zu konfigurieren ist sicher nicht ganz trivial.

    in dem Video https://www.youtube.com/watch?v=DY6ykBG5VCk

    Geht das von 3:45 bis 4:45 also eine Minute  8)

    LOL.

    Kein Wunder. Um dem Video sinnvoll folgen zu können, muss man ja ne Slowmotion anwerfen..;))

    Irgendwie hat er da nen Win8 Server als DHCP Server genommen für die beiden vlan. Ist es da nicht besser die pfsense selber damit zu beauftragen.? Da hatter ja nen DHCP Relais verwendet.?! Komisch.

    Und am Anfang diese Konsole.? War das die von der pfsense.?


    Rüdiger


  • Rebel Alliance Moderator

    Hallo Rüdiger,

    da hat Auric recht, für ~150€ macht die Alix keinen Sinn (zumal es die billiger gibt), dafür bekommst du bspw. beim Varia Store schon eine APU mit mehr Power!

    Siehe: http://j.mp/apu_2gb bzw. http://j.mp/apu_4gb

    Zusätzlich würde ich für das kleine Setup als VLAN Switch den 8er HP empfehlen: http://j.mp/hp1810-8g-v2

    Ist aber nur eine Empfehlung aus meiner Erfahrung und da es ein lüfterloser Switch ist ohne großen Schnickschnack aber gute Laufzeit ohne Ausfälle. Wie gesagt, nur meine Idee.

    In deinem Fall würde ich aber auch den DHCP Server auf der pfSense laufen lassen, da ja noch die VPN Verbindungen dazu kommen, da lohnt sich das m.E. schon.

    Grüße



  • Hallo!

    @RudiOnTheAir:

    Kann ein Rechner im LAN den Mailserver auch direkt erreichen.? Mit einer Route.? Das wären aber nur ein paar Ausnahmen. Die meisten haben Notebooks und nehmen fürs Mail Webinterface dem dyn. Hostnamen…

    Ja, natürlich. Dazu bedarf es keiner Routen. Wenn der Server eine IP aus einem Subnetz hat, das auf einem Interface der pfSense konfiguriert ist, weiß die pfSense ohnehin wo der Traffic hin muss. Du musst nur die entsprechenden Regeln einrichten, um dies zu erlauben, aber das ist ja Sinn einer Firewall.

    @RudiOnTheAir:

    Im Servicenetz sollen die Systeme  von extern sich mit einem Router anmelden. Ziel ist es da, bei den Kunden keine Löcher in deren Firewalls zu bohren um die Systeme zu Supporten, sondern eben eine aktive Einwahl vom Kunden in unser Servicenetz.

    BTW: Wenn es mehr wie 254 Kunden bzw. Systeme sind. Kann da die Maske entsprechend angepasst werden.? 1000 Systeme sollten reichen.

    Was du da genau mit dem Servicenetz vorhast, habe ich leider noch nicht durchschaut. Vielleicht kannst du das nochmals genau erklären.
    Da sollen sich hunderte Kunden via VPN bei euch einwählen und auf einem bestimmten Server zugreifen oder umgekehrt?

    Die Netzwerkmaske kannst du natürlich entsprechend anpassen oder auch gleich von vornherein groß genug auslegen. Die Netzdefinition alleine frisst ja noch keine Ressourcen.

    @RudiOnTheAir:

    Entsteht bei den Tunneln des Service Netz so viel Traffic.? Da sind ja keine PC dran, sondern IP Wählgeräte. Da passiert nicht viel bzw. garnichts.

    Keine Ahnung, was du mit IP Wählgeräte meinst.
    Nein, Systemleistung wird nur für Traffic benötigt. Wenn nichts drüberläuft, hat auch die CPU nichts zu tun. Die offenen Tunneln benötigen lediglich ein paar kB RAM. Und darum würde ich für dein Netz zu einer APU raten, die normale ALIX hat nur 256 MB.
    Ich habe allerdings keine Erfahrung mit einer derartigen Anzahl an VPN Tunneln und weiß nicht, wie die pfSense das verträgt. In den Systemvoraussetzungen oder Leistungsdaten ist in Bezug auf OVPN nur von Datendurchsatz die Rede.

    @RudiOnTheAir:

    Wichtig ist nur für den Einsatz beim Kunden, das das System neben dem Tunnel auch noch ins Internet zu externen Wachzentralen kommt. Das aber nur ausgehend.

    Das sollte kein Problem darstellen.

    @RudiOnTheAir:

    Die IP des Kundensystem kann ich doch frei wählen. Da sollten sich Kollisionen doch vermeiden lassen.?! Das LAN ist in dieser Konstellation doch egal, oder nicht.?

    Die Sache wurde schon angesprochen. Kommt darauf an, was du über die VPN machen möchtest.
    Frei wählen kannst du das VPN Netz, aber auch das sollte beim Kunden nicht in Verwendung sein, und dann eben auch nicht dein Servicenetz, sonst könnte es Probleme mit dem Routing geben.

    @RudiOnTheAir:

    Wir wollen ja auf keinen Fall mit dem Kundennetz was zu tun haben. Ausser das das Kundensystem raus ins Internet muss, und wir via VPN rein. Mache ich einen Gedankenfehler.?

    Läuft da also bei den Kunden ein Service, den ihr kontaktiert? Dann wäre es einfacher, ihr baut aktive die Verbindung auf.
    Wer konfiguriert die VPN / Firewall beim Kunden?

    @RudiOnTheAir:

    Das auf der Pfsense zu konfigurieren ist sicher nicht ganz trivial.

    Pro Netz ist das gerademal ein Schritt mehr. Danach verhält sich das VLAN wie ein anderes Interface.
    Zusätzlich musst du halt auch noch dem Switch beibringen, was wohin geroutet werden soll.

    Grüße



  • @viragomann:

    Was du da genau mit dem Servicenetz vorhast, habe ich leider noch nicht durchschaut. Vielleicht kannst du das nochmals genau erklären.
    Da sollen sich hunderte Kunden via VPN bei euch einwählen und auf einem bestimmten Server zugreifen oder umgekehrt?

    Naja im laufe der Zeit werden es schon ein paar mehr werden. Und grundsätzlich würde ich gerne aktiv die Verbindung aufbauen. So ist es ja jetzt auch. Die Systeme haben jetzt fast alle ISDN Wählgeräte, die eine Meldung zu einem Wachdienst über ISDN absetzen können. Da ISDN aber abgängig ist, und die neuen Wählgeräte alle mit einer IP Schnittstelle daher kommen, muss das mit dem Fernsupport eben anders geregel werden. Ausgehend zum Wachdienst ist ja kein Problem. Aber wie ohne Portforwarding auf dem Router des Kunden das Ding für den Service erreichen.? Das ist nämlich oft nicht gestattet. Was verständlich ist. Daher die Idee mit dem Tunnel.

    @viragomann:

    Keine Ahnung, was du mit IP Wählgeräte meinst.
    Nein, Systemleistung wird nur für Traffic benötigt. Wenn nichts drüberläuft, hat auch die CPU nichts zu tun. Die offenen Tunneln benötigen lediglich ein paar kB RAM. Und darum würde ich für dein Netz zu einer APU raten, die normale ALIX hat nur 256 MB.
    Ich habe allerdings keine Erfahrung mit einer derartigen Anzahl an VPN Tunneln und weiß nicht, wie die pfSense das verträgt. In den Systemvoraussetzungen oder Leistungsdaten ist in Bezug auf OVPN nur von Datendurchsatz die Rede.

    Diese Wählgeräte sind im Grunde nur Bausteine, die in die Systeme (Brandmeldeanlagen, Einbruchmeldezentralen usw) eingebaut werden, oft seriell mit der Zentrale sprechen und über ISDN bzw. Ethernet ansprechbar sind. Im Moment werden Portforw. TCP 5000+- verwendet. Aber das ist eben nicht optimal.

    @viragomann:

    Läuft da also bei den Kunden ein Service, den ihr kontaktiert? Dann wäre es einfacher, ihr baut aktive die Verbindung auf.
    Wer konfiguriert die VPN / Firewall beim Kunden?

    Ja, die Fernsupportschnittstelle. Darüber werden vor Ort die Kisten auch parametriert.
    Aktiv klingt gut. Aber wie geht das.? Ich habe idR keinen Zugriff auf die FW des Kunden. Bekomme nur eine feste IP aus dem Kundennetz. Internet geht also. Das Wählgerät kann rauswählen.! Aber umgekehrt.??



  • @JeGr:

    da hat Auric recht, für ~150€ macht die Alix keinen Sinn (zumal es die billiger gibt), dafür bekommst du bspw. beim Varia Store schon eine APU mit mehr Power!

    Siehe: http://j.mp/apu_2gb bzw. http://j.mp/apu_4gb

    Bei der Speicherkarte hat man noch die Wahl. mSATA oder eine SD Karte. 8 GB.?

    @JeGr:

    In deinem Fall würde ich aber auch den DHCP Server auf der pfSense laufen lassen, da ja noch die VPN Verbindungen dazu kommen, da lohnt sich das m.E. schon.

    Und jedes Vlan bekommt einen eigenen DHCP Server.? Falls erforderlich… Eine DMZ mit Servern und alle mit fixen IP braucht das dann ja nicht. Kann man das alles frei zuordnen.?



  • @RudiOnTheAir:

    @Auric:

    @RudiOnTheAir:

    Das auf der Pfsense zu konfigurieren ist sicher nicht ganz trivial.

    in dem Video https://www.youtube.com/watch?v=DY6ykBG5VCk

    Geht das von 3:45 bis 4:45 also eine Minute  8)

    LOL.

    Kein Wunder. Um dem Video sinnvoll folgen zu können, muss man ja ne Slowmotion anwerfen..;))

    Irgendwie hat er da nen Win8 Server als DHCP Server genommen für die beiden vlan. Ist es da nicht besser die pfsense selber damit zu beauftragen.? Da hatter ja nen DHCP Relais verwendet.?! Komisch.

    Und am Anfang diese Konsole.? War das die von der pfsense.?


    Rüdiger

    Die "Konsole" war wohl die krude Methode wie Profis ihre sauteuren Netzwerkswitche einrichten, (ich hab nur Switche die über den eingebauten Webserver oder eine Userfreundliche Software eingerichtet werden) ich hab mir das Video nicht ganz angeschaut, und auf meiner pfSense hat jedes VLAN seinen DHCP Server natürlich auf der pfSense-APU, also keine Ahnung was der da bastelt.

    Was die Frage SD vs mSATA-SSD angeht ist die Frage ob du irgend welche regelmässig anfallende Schreibvorgänge haben wirst. Wenn die Logs nur auf der RAMdisk sind und beim herunterfahren gelöscht werden geht IMHO eine SD Karte. willst du die Logs willst du Squid Snort & Co hat eine SSD eine grössere Lebensdauer.

    Gruss Auric



  • @RudiOnTheAir:

    @viragomann:

    Läuft da also bei den Kunden ein Service, den ihr kontaktiert? Dann wäre es einfacher, ihr baut aktive die Verbindung auf.
    Wer konfiguriert die VPN / Firewall beim Kunden?

    Ja, die Fernsupportschnittstelle. Darüber werden vor Ort die Kisten auch parametriert.
    Aktiv klingt gut. Aber wie geht das.? Ich habe idR keinen Zugriff auf die FW des Kunden. Bekomme nur eine feste IP aus dem Kundennetz. Internet geht also. Das Wählgerät kann rauswählen.! Aber umgekehrt.??

    Ich habe das nun so verstanden, ihr stellt den Kunden Router ins Netz, die sich dann zu eurem Netzwerk via VPN verbinden sollen und über diese Verbindung greift ihr auf diverse Geräte zur Fernwartung zu.
    Die Box, die ihr dem Kunden ins Netz stellt, könnte eben so gut VPN-Server sein, mit dem ihr euch verbindet. Dann könnte die Route auch gleich über die VPN-Konfiguration gesetzt werden. Je nach Client geht aber auch in der Client-Konfiguration. Aber ich weiß noch nicht, ob überhaupt eine Route ins Remotenetz gewünscht ist.

    Die Fragen nach dem IP Bereichen der Kundennetze, die du bislang noch nicht beantwortet hast, war eben, weil man üblicherweise mit der VPN-Verbindung eine Route setzt und über die VPN als Gateway direkt auf eine Remote-IP zugreift. Das muss aber nicht so sein.
    Wird keine Route gesetzt, so sind die Subnetze der Kunden tatsächlich egal. Der Kunden-VPN Client bekommt bei der Einwahl eine IP und die kann dort auch per NAT auf eine andere IP im Remotenetz weitergeleitet werden. Das geht aber dann nur mit einer IP, oder ihr richtet für jede IP eine Port-Forward Regel ein. Das will aber auch alles erst mal konfiguriert werden und könnte dann schnell unübersichtlich werden.



  • Nur kurz. Muss gleich zur Arbeit.
    Aus meiner Sicht ist das Hauptproblem , das ich keinen Einfluss auf das Kunden Netz habe. Weder auf den Adressbereich noch kann ich an deren Router irgendwas drehen. Der Kunde gibt mir nur Zugang zu seinem Netz , ich erhalte eine feste IP und ein Gateway ins Internet. Die z.B. Brandmeldeanlage , die ich eingebaut habe , bekommt die Pfsense eingebaut. Am Wan Port kommt der gestellte Anschluss aus dem KundenNetz. An den Lan Port das Wahlgerät mit der Schnittstelle zum Brandmeldessystem.

    Der Adressbereich des KundenNetz ist nicht zu beeinflussen und bei jedem Kunden anders. Der Bereich am Lan Port der FW ist dagegen in meinem Einfluss.



  • @RudiOnTheAir:

    Der Adressbereich des KundenNetz ist nicht zu beeinflussen und bei jedem Kunden anders. Der Bereich am Lan Port der FW ist dagegen in meinem Einfluss.

    Na, dann hast du ja alle Möglichkeiten offen. Du möchtest ja nur deine Hardware bei dir ins Servicenetz einbinden.
    Da sehe ich keine Probleme.


  • Rebel Alliance Moderator

    @Auric:

    Die "Konsole" war wohl die krude Methode wie Profis ihre sauteuren Netzwerkswitche einrichten,

    Die Konsole ist DIE Methode wie (so ziemlich) alle Profis ihre Netzwerkswitche betreuen, es sei denn es sind billige Teile, die nur eine (oftmals verkrüppelte) WebUI zur Verfügung haben. Und ja das ist kniffliger, deshalb sind das auch Profis. Das hat jetzt gar nichts mit sauteuer oder nicht zu tun, sondern mit der Einfachheit. Sicher sind die Kommandos teils schwer zu begreifen, aber wenn ich mit 1-2 Kommandos schnell das erreiche, wo ich in (den meisten) WebOberflächen 20x klicken, neuladen, sonstwas muss, ist das extrem nervig und auch nicht gut orchestrierbar. In einem guten Netz sind da nämlich alle Komponenten orchestriert und deployed. Da greift man selten zum Gerät selbst, sondern passt das Deployment oder Logging an. Aber sowas braucht auch KnowHow, völlig klar. Krude ist das aber nicht im Geringstens, eher Standard. Ich finds persönlich eher schade, dass pfSense keine richtige CLI hat um bspw. schnell per SSH Regeln oder Aliase anzulegen.

    @virago

    Da sehe ich keine Probleme.

    Genauso sehe ich das auch, mein Denkfehler war ebenfalls vorher, dass das zu wartende Gerät im Kundennetz steht und er mit der pfSense vor Ort ins Kundennetz Tunneln muss. DAS ist ein Albtraum, da man zig Adressbereichs-Überschneidungen hat. So kann er sich aber selbst ein großes Subnetz nehmen (10.x bspw.) und dann anfangen die Kundennetze nach Kunde durchzunummerieren (10.101.1.0, 10.101.2.0, 10.101.255.0, 10.102.0.0, …). Damit ist dann der Tunnel auch kein großes Problem, da das LAN des Kunden nur als ein weiteres Transfernetz mitgenutzt wird.

    Grüße



  • @Jens:

    Ist mir schon klar dass der CLI Kram "besser" ist "mehr drauf hat"  ;)

    Alles eine Frage des Know-Hows des Betrachters.

    Die Vollprofis benötigen vermutlich auch keine pfSense Firewall sondern haben richtige "Männer, höhöhö" Firewalls mit selbst selbstgeschrieben iptable (oder wie der Kram heisst)

    Die pfSense ist halt irgend wie dazwischen, viel mehr als das anklicken des Firewall Kästchens im WLAN Modem-Router, aber immer noch fast Dummie-tauglich.

    Gruss Auric



  • @all

    Dann ist ja alles in trockenen Tüchern.

    Muss schon sagen, ein super Forum. Hier trifft man auf geballte Fachkompetenz, ohne das Neulinge wie ich es bin in Sachen
    Firewall und VPN mit einem RTFM abgewimmelt werden. Oder noch schlimmer, wo 50 Leute den Post gelesen haben, aber niemand was dazu sagen möchte.  Das frustriert.

    Ich werde jetzt den Chef zwecks Bestellung der Hardware ansprechen, und dann kann es los gehen. Scheint echt ne spannende Sache zu werden.

    Vielen Dank und ich melde mich wieder ;)


    Rüdiger


  • Rebel Alliance Moderator

    Die Vollprofis benötigen vermutlich auch keine pfSense Firewall sondern haben richtige "Männer, höhöhö" Firewalls mit selbst selbstgeschrieben iptable (oder wie der Kram heisst)
    Ehrlich? Nein. Ich würde mich durchaus zu der Kategorie (semi) Profi Netzwerker zählen ;) und wir haben im Datacenter 2 große Kübel mit pfSense stehen.
    Warum? Weil dat Dingens fast das gleiche kann, wie eine Juniper oder Cisco zu einem Zehntel / Fünftel des Preises (wenn man potente Hardware druntersetzt). Das ist dann wirklich ne Abschätzung: Warum soll ich 50k ausgeben für Juniper, wenn ich für 10k gute Hardware bekomme und pfSense draufschrauben kann? :)

    Allerdings sind wir da eben auch auf Layer 3 aufwärts. Für L2/L3 Switching etc. nimmt man dann eben Asics und spezielle Hardware und deren GUI ist mitunter eben wirklich grausam. Bestes Beispiel sind da Juniper Switche, die man über spezielle Mechanismen stacken kann (6-8 Stück). Mit jedem Switch wird die GUI langsamer und langsamer weil er von jeder Backplane alle Ports abrufen muss. CLI/SSH ist blitzschnell weil er den Kram erst dann abruft wenn er ihn braucht (wenn überhaupt). Das meinte ich mit kranken GUIs ;)

    Ich habe in alten Tagen auch OpenBSD Router/Firewalls gebaut und die pf Regelsets noch per Hand getunet. War spaßig und kann extrem viel, aber bei größeren Setups ist das dann einfach zu viel und da bin ich dann über gute GUIs oder CLIs froh. Am Besten beides :)

    Aber genug OT ;)

    @Rüdiger:

    Ein gutes Forum ist eine Sache, man sollte sich ggf. aber auch Support mit einplanen oder einkaufen. Sei es von einem kompetenten Netzwerker / Freelancer, der sein Geld wert ist und sich auskennt und ggf. auch Architektur gleich ordentlich mit aufbaut und das dann betreuen kann wenn man mal Hilfe braucht. Das haben zum Großteil nun zwar wir im Thread schon geleistet, aber so jemanden auf Standby zu haben ist nie verkehrt ;) (und ohne für böse Werbung jetzt geschlagen zu werden, ja mich kann man durchaus auch mieten :P)

    Oder/Und von den pfSense Jungs & Mädels wenns eben mal wirklich hapert und man einen Bug gefunden hat.
    Ich war bspw. sehr froh dass ich Live Support hatte beim Upgrade von 2.1.3->2.1.4 als alle Alias IPs weg waren. Das ging 10min und ich hatte die wieder.

    Grüße
    Jens



  • @JeGr:

    Genauso sehe ich das auch, mein Denkfehler war ebenfalls vorher, dass das zu wartende Gerät im Kundennetz steht und er mit der pfSense vor Ort ins Kundennetz Tunneln muss. DAS ist ein Albtraum, da man zig Adressbereichs-Überschneidungen hat. So kann er sich aber selbst ein großes Subnetz nehmen (10.x bspw.) und dann anfangen die Kundennetze nach Kunde durchzunummerieren (10.101.1.0, 10.101.2.0, 10.101.255.0, 10.102.0.0, …). Damit ist dann der Tunnel auch kein großes Problem, da das LAN des Kunden nur als ein weiteres Transfernetz mitgenutzt wird.

    Zu der Aufteilung habe ich noch ne Frage. Die Hardware kommt Montag, und ich bin schon am theoretischen durchspielen.

    Bei 10.101.1.0/24 habe ich pro Kunde 254 Host IP Adressen zur Wahl, was dicke ausreicht, weil es meist nur eine oder zwei sind.

    Das sind ja alles verschiedene Subnetze. Lassen die sich denn alle auch von einer Service Maschine aus erreichen.?

    Wo ist der Unterschied zu einem /20er Netz mit 4096 Hosts. Das würde bis zu meiner Rente und der meines AZUBI reichen… ;)

    --

    Rüdiger


  • Rebel Alliance Moderator

    Wo ist der Unterschied zu einem /20er Netz mit 4096 Hosts. Das würde bis zu meiner Rente und der meines AZUBI reichen… ;)

    Du mißverstehst da etwas. Klar, dir würden 4096 Hosts ausreichen, aber du musst diese alle erreichen können. Da du aber verschiedene Standorte hast wo jeweils ein oder zwei Geräte hängen, und nicht einen, brauchst du mehrere Netze zur Unterscheidung! Jede APU vor Ort wählt sich bei dir zentral ein und macht einen Netz-zu-Netz Tunnel, gibt also bspw. das hinter ihr liegende 10.101.1.0/24 an dich zentral weiter. Die nächste APU gibt dann 10.101.2.0/24 frei. Dadurch hast du

    a) ganz klar definiert wo sich bspw. dein Gerät 10.101.1.11 befindet (nämlich an Standort 1, das erste Gerät wenn du bspw. ab >10 anfängst deine Geräte zu numierieren)
    b) und ganz klare Abgrenzungen, damit nicht versehentlich Geräte von Standort 1 mit Standort 2 reden könnten (auch wenn nur theoretisch möglich).

    Ein einziges großes Netz zu verwenden das auf allen APUs als LAN definiert wird geht nicht. Warum? Ganz klar, weil dein Rechner ja wissen muss, über WELCHE APU er denn zum Gerät 10.0.1.234/20 gehen muss. Das tut er aber nicht. Also fragt er die pfSense bei dir zentral. Die weiß es aber auch nicht, weil JEDE APU bei ihm sich mit lokalem Netz 10.0.0.0/20 anmeldet. Wohin soll er das Paket jetzt senden?
    Das geht - einfach - routingtechnisch gar nicht. Sicher kannst du lokal immer hinter den APUs das gleiche Netz verwenden, das ist aber genau der Albtraum den ich anfangs schon meinte. Dann hast du nämlich den Salat und musst lokal das VPN nochmals NATten um herauszubekommen, woher die Zugriffe kommen oder wohin sie gehen.
    Zusätzlich müsstest du dann (um nicht ganz in die Kacke zu kommen) aufpassen, dass du auch ja immer andere IPs aus dem /20er Netz vergibst, damit du nicht 2x ein Gerät wie 10.0.1.234 hast (was dann ja durchaus möglich wäre).

    Deshalb - für jede APU die sich einwählt einfach ein sinnvolles dediziertes LAN verwenden, dass via VPN gekoppelt wird. Dann kannst du dir ne große Liste machen mit Kunden <-> IP Netzen und hast das sauber getrennt. Und da es private Adressen sind, ist es völlig wurscht, ob du das halbe 10.0.0.0/8er Netz dafür verballerst solange du nicht an mehreren Enden das gleiche Netz hast. Deshalb würde ich nicht mit 10.0.0 anfangen, sondern bspw. mit 10.20/50/100.x.y oder auch 172.16/20/27.x.0/24. Also Netzen, die nicht so oft per default irgendwo auf 08/15 Routern definiert sind wie bspw. 192.168.0/1/168/178 oder auch 10.0.0

    Grüße



  • Danke.

    Sehr informativ.

    Diese Erkenntnisse hätte ich wohl erst nach dem ersten Problem gewonnen. Und das soll ja nicht sein..

    Hab die Tage schonmal nach einem Grundlagen Buch für die aktuelle pfsense gesucht. Scheint nur an Gold Member zu gehen, oder veraltet zu sein.
    Und nur in English, was keine riesige, aber eine vorhandene Hürde ist.
    Aber die "Grundlagen" muss ich unbedingt mal erarbeiten… Alleine wegen der Begriffe.. (Inbound...) Eingehender Traffic.? :)

    --
    Rüdiger


Log in to reply