A1 Buisness Anschluss , Heimnetz und jetzt soll eine Firewall dazwischen



  • Hallo Gemeinde!

    ich bin recht neu hier. Hab mich aber schon etliche Treeds angesehen und durchgelesen.

    Ich habe ein "Privates" Netz übernommen - bei dem ich jetzt eine " provesionellere " Firewall verwenden möchte.

    Kurz Zum Aufbau:

    Ich habe einen A1 Business Anschluss mit Fixer IP. Der Router ist auf Routing gestellt. Dahinter habe ich einen Cisco Router mit DDWRT. 192.168.0.1–----> DHCP / DNS Server ist die 192.168.0.2 -- > danach etliche Lan Clients und AP's

    SO nun will ich das ganze aber so gestalten, dass ich eben die PF Sense Firewall vor dem DDWRT Router setzen will.

    GIbs es hier irgendwie ein paar nützliche TUT ? Welche Konfig ( exakt gleiche wie der DDWRT - den dann rausnehmen ) VLAN mäßig ?? Default Einstellungen auf der PF Sense ?

    Mir gehts hier eigentlich um ein Richtiges Konzept der neuen Konfiguration...

    Mir ist auch schon klar, das ich einfach drauf los basteln kann , jedoch finde ich Erfahrungen und Meinungen sehr wichtig und hätt hier auch gerne die ein oder andere!

    Vielen dank für eure Rückmeldungen.


  • Rebel Alliance Moderator

    Ahoi,

    Ich habe einen A1 Business Anschluss mit Fixer IP. Der Router ist auf Routing gestellt. Dahinter habe ich einen Cisco Router mit DDWRT. 192.168.0.1–----> DHCP / DNS Server ist die 192.168.0.2 -- > danach etliche Lan Clients und AP's

    Und wie soll das Netzt dann nachher aussehen? Und wo hast du hier VLANs verbaut (da du später nach VLAN Konfiguration fragst)?

    Wenn du uns erstmal sagst genau wie es jetzt ist und wie es später deiner Meinung nach aussehen sollte, können wir da sicher weiterhelfen.

    Viele Grüße
    Jens


  • Rebel Alliance Moderator

    Ich hätte jetzt erwartet, dass du so etwas bauen möchtest?

    
          WAN / Internet
                : DialUp-/PPPoA-/Cable-/whatever-Provider
          .-----+-----.
          |  Gateway  |  (or Router, CableModem, whatever)
          '-----+-----'
            WAN | IP or Protocol
          .-----+-----.
          |  pfSense  |
          '-----+-----'
            LAN | 10.0.0.1/24
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients/Servers)
    
    


  • hi, ja also ziel sollte folgendes sein:

    WAN / Internet
                : DialUp-/PPPoA-/Cable-/whatever-Provider
          .–---+-----.
          |  Gateway  |  (or Router A1)
          '-----+-----'
            WAN | IP or Protocol
          .-----+-----.
          |  pfSense  | --> neu
          '-----+-----'
            LAN | 192.168.0.1 /24
          .-----+------.
          | LAN-Switch | Vlan /
          '-----+------'
                |
        ...-----+------... (Clients/Servers)

    Also VLan um einen IP6 Tunnel für ein Projekt zu realisieren und VLAN um ein 2Tes Wlan zu gestalten ( Free Hotspot )

    ich weiß nicht wie genau ich dir das jetzt erklären kann / soll / muss - da ich ja nur weiß a) was ich habe und b was ich brauche - aber wie ich da jetzt genau hinkommen - das hätte ich gerne einen ansatz ;)

    DANKE


  • Rebel Alliance Moderator

    Also wenn du WLAN von deinem vorhandenen LAN getrennt haben möchtest, muss nicht zwangsläufig ein VLAN her, denn du kannst auch eine pfSense Hardware mit mehr als 2 Interfaces nutzen und dann den WLAN Hotspot daran anschließen. Damit ist der Hotspot dann an einem eigenen getrennten Interface und hat dementsprechend eigene Regeln. Ich vermute mal du hast hier einen entsprechenden AccessPoint/Router der WLAN macht?

    Ein IPv6 Tunnel kannst du direkt auf der pfSense terminieren lassen (sofern du das möchtest). Ist das Projekt dann auch im LAN oder soll das ein getrenntes Subnetz sein? Vielleicht kannst du das noch erläutern.

    Grüße



  • soo ich glaub ich muss hier noch etwas weiter ausholen.

    Im Anhang ist mal mein Netzdesign wie es derzeit der stand ist.

    Nun Sollte folgendes dabei rauskommen. 1. Ein komplett eigenes Vlan ( mit IP6 Tunnel  der direkt ins Internet geht ) Da soll eine Automatische sache laufen.. ( muss nur die Infra zur Verfügung stellen)

    Dann das Netz was wir jetzt haben in ein Eigenen VlAn Geben ( Default Lan )  z.b plus Ein Wlan Was wir jetzt schon haben….

    Zusätzliches Public Wlan. --> ohne Autentifizierung ( cool wäre eine Leas out sache )

    und VPN müsste das werkle dann auch mal können.  Wenn ein Proxy auch noch machbar wäre - dann wäre das ja wirklich toll ^^^

    --> ist es jetzt verständlicher ?

    ![2015-03-26 18.38.26.jpg](/public/imported_attachments/1/2015-03-26 18.38.26.jpg)
    ![2015-03-26 18.38.26.jpg_thumb](/public/imported_attachments/1/2015-03-26 18.38.26.jpg_thumb)



  • Hallo,

    hmm also das hier ist das pfSense Forum und in Deiner letzten Zeichnung von einem
    Netzwerk ist gar keine pfSense zu sehen? Und einige andere Ungereimtheiten kommen
    dann noch "on top" dazu, das ich mir jetzt einfach mal die zeit nehme um das anzusprechen.

    Ja es gibt tatsächlich gute Gründe eine "Dual Homed Lösung" bzw. eine Router oder Firewallkaskade
    aufzubauen, nur das muss nicht immer gemacht werden und ist in einigen Situationen auch eher
    hinderlich als das sie als Zielführend bezeichnet werden kann. Es muss nicht alle Hardware verbaut
    werden die man so herumliegen hat.

    Ich würde wie folgt vorgehen wollen;

    • A1 Router in den so genannten "Bridged Modus" versetzen und Ihn nur als Modem benutzen!
    • Dahinter eine pfSense Firewall aufsetzen und dort lege ich zwei DMZ Zonen an und eine LAN Zone
      Alix APU 1D4 wenn VPN kein Rolle spielt oder ein Board mit C2xxx CPU die AES-NI und Intel QA hat
    • Dann nimmt man einen Switch dazu hinter der pfSense und kann sicherlich dort ein LAN für
      den privaten Bereich und eines für die Arbeit aufsetzen, fertig Man kann dazu auch VLANs benutzen
      und sicherlich auch andere Methoden verwenden, nur das sollte eigentlich immer so sauber wie möglich
      und so übersichtlich wie möglich gestaltet und auch umgesetzt werden soll.
      Und wenn man nun den DD-WRT Router noch benutzen möchte kann man ihn sicherlich als WLAN AP
      verwenden und gut ist es.

    Ich habe ein "Privates" Netz übernommen - bei dem ich jetzt eine " provesionellere " Firewall verwenden möchte.

    Jo und wie übernimmt man ein privates Netzwerk? Das ist doch Dein Heimnetzwerk oder?

    Ich habe einen A1 Business Anschluss mit Fixer IP.
    OK

    Der Router ist auf Routing gestellt.
    Macht der also kein SPI/NAT?

    SO nun will ich das ganze aber so gestalten, dass ich eben die PF Sense Firewall vor dem DDWRT Router setzen will.

    Lass das lieber sein und nimm nur die pfSense oder nur den DD-WRT Router.

    GIbs es hier irgendwie ein paar nützliche TUT ? Welche Konfig (exakt gleiche wie
    der DDWRT - den dann rausnehmen ) VLAN mäßig ?? Default Einstellungen auf der PF Sense ?
    Das wirst Du Dir dann wohl eher hier zusammen suchen müssen oder aber anlesen müssen oder
    aber was auch noch gehen würde, wäre das pfSense Buch zu kaufen, das bringt wenigstens etwas.

    Mir gehts hier eigentlich um ein Richtiges Konzept der neuen Konfiguration…
    A1 Router als Modem --- pfSense Firewall --- LAN Switch --- VLAN20 privat, VLAN30 arbeit, VLAN40 WLAN, VLAN50 WLAN Gäste, ginge auch ist aber auch mitunter der Umgebung geschuldet.

    Mir ist auch schon klar, das ich einfach drauf los basteln kann , jedoch finde ich Erfahrungen und
    Meinungen sehr wichtig und hätt hier auch gerne die ein oder andere!
    Meine Meinung ist dazu, mach es so einfach und so übersichtlich wie möglich, denn immer wenn
    etwas hinzukommt und man hat vorher "gefrickelt", wird das Netzwerk immer instabiler und unübersichtlicher.



  • ok ich hab mich hier wirklich wohl etwas ungeschickt ausgedrückt.

    ich meine natürlich die Pfsense anstatt dem ddwrt router.

    Das ist ein kleines Netzwerk einer freiwilligen Organisation, nicht unbedingt mein Privates Netzwerk !

    es geht halt darum, dass ich wirklich 3 Getrennte Netze Habe.

    1x LAN + Wlan ( gleichem Netz)
    1x Wlan nur Internet
    1x  LAN für Ipsec Tunnel - was für ein Projekt eben benötigt wird.

    mir gehts da jetzt eigentlich auch mehr um die Grund Konfig wie ich was wo auf der PFsenes Konfigurieren soll / muss !

    Vielen dank für deine HILFE !



  • 1x LAN + Wlan ( gleichem Netz)
    1x Wlan nur Internet
    1x  LAN für Ipsec Tunnel - was für ein Projekt eben benötigt wird.

    Ich würde Dir dringend dazu raten wollen, das pfSense Buch zu kaufen und/oder
    durchzulesen denn, dann ist Dir vieles klarer und Du kannst es nachlesen und
    musst nicht immer nachfragen, anbei noch ein paar Links zu richtig guten Anleitungen
    betreffend Deines Vorhabens und pfSense.

    Kopplung von 2 Routern am DSL Port
    VLAN Installation und Routing mit pfSense
    OpenVPN Server installieren auf pfSense Firewall
    IPsec VPN mit pfSense Firewall und Shrew u. Smartphone Client Software
    WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

    Ist alles in deutscher Sprache und hübsch bebildert.


  • Rebel Alliance Moderator

    @BlueKobold: Buch lesen ist ja schön und gut, aber dafür gibt es eben landessprachlich ergänzend das Forum. Und er hat ja ein konkretes Problem geschildert. Dann kann man da auch konkret Antworten und ihn nicht mit Links und Lesebefehl sich selbst überlassen. Natürlich schadet einlesen/bilden nicht, aber deshalb kann man ja freundlich fragen, was andere Leute in diesem konkreten Fall empfehlen würden. Das pfSense Buch schreibt auch nicht "für den Fall einer privaten Hilfsorganisation mit Requirement X wähle Variante in Schaubild 7a" ;) Zudem er hier nicht gefragt hat, wie es bspw. ein VPN einrichtet etc. sondern konkret wie er sinnvoll die Architektur lösen soll bzw. was andere meinen. Deine Links sind damit zwar gut und hilfreich - danke dafür! - aber klären nicht das Problem :)

    @stefan
    Also mit der pfSense vornedran, würde ich das mit 4 Interfaces aufziehen.

    1. WAN via PPPoA/A1
    2. LAN (und dort dann ein WLAN AP so abgesichert, dass Clients in das LAN gebridgt werden, dafür aber ordentlich angemeldet sein müssen. WPA2 Minimum, WPA2/Enterprise + Radius evtl?)
    3. WLAN only (eigener AP für public WLAN)
    4. Test-LAN für Tunnel/Projekt/whatever

    2/3/4 jeweils an eigenem Switch oder zumindest eigenes VLAN auf entspr. Switch. Zudem würde ich WLAN auf extra APs abwickeln, nicht auf der pfSense selbst. Beim Portal kommts drauf an, ob du die Funktion brauchst oder nur "public WLAN ohne Anmeldung o.ä. sein soll. Da ist dann ggf. etwas mehr Aufwand nötig, je nachdem was du an Public WLAN bauen willst

    Grüße



  • Hallo u danke für die zahlreichen Infos zur Architektur!

    Soweit läuft mal alles wie geplant.  Das einzige was ,ihr Grad zu schaffen macht ist die Performance!

    Mir kommt vor, dass nach dem Update auf das neue Release die pfsense nicht mehr den vollen Durchsatz hat.
    Pings auf Google reißen ab. Downloads haben 50 kbits bei ner 30/8 MBit Leitung!

    Irgendwelche Ansätze?

    Ach ja ich hab keine Geschwindigkeit Grenzen eingestellt, zumindest nicht aktiv!


  • Rebel Alliance Moderator

    Da ich nicht weiß auf WAS eigentlich deine pfSense gerade läuft wird das schwer…


Log in to reply