Brauche Hilfe beim Routen von Pfsense zur Fritzbox.



  • Hallo,

    habe da ein Problem und brauche eure Hilfe. Ich hoffe Ihr könnt meine Erklärung verstehen bin in Netzwerktechnik nicht so der Fachmann :(
    Habe folgenden Aufbau:
        WAN / Internet
                :
                : PPPoE- zur Telekom
                :
          .–---+-----. DHCP über FB  .-------------.
          |  FB7390  +---------------+PC/Monitoring+(Vollzugriff) 
          '-----+-----' 192.168.1.1/24.-------------.
                |
                |<alix lan1 ="" <br="">            | 192.168.1.20(IP pfSene)
        |
          .-----+-----. ALIX LAN2  .------------.          .--------.
          |  pfSense  +-------------+ LAN-Switch +-----------+ Server +(Gesicherte Server)
          '-----+-----' 10.10.0.1/24'------------'          .--------.
                | 
                |   
                |<alix lan3<br="">            |  10.0.0.1/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients „normale User mit Berechtigungen über PfSense")

    Jetzt habe ich das Problem das der Monitoring PC den Vollen Zugriff auf das Internet "ohne PfSense Firewall" aber eben auch auf die Server/Clients hinter der PfSense haben soll bekomme es aber nicht in der PfSense so eingestellt das Ich auf die Server/Clients zugreifen kann.
    Internet ist ja kein Problem da es ja über die Fritz box läuft.
    Aber aus dem Netzwerk der FB heraus komme ich nur direkt auf die PfSense über die IP die die FB der Pfsense geben kann und plus eine Firewall:rule in der PfSense auf dem Web Port.

    Aber auf die anderen Ip Bereiche komme ich nicht. Könnte Ihr mir weiterhelfen? Firewall Regeln und normale Portweiterleitungen sind ja nicht so das Problem aber mehr Ahnung von Netzwerk habe ich leider nicht.

    </alix></alix>



  • Hi,
    alles etwas mehr wie abstrakt gezeichnet.

    PPPoE- zur Telekom

    OK, macht die Fritzbox. Die arbeitet als Router. PfSense macht NAT, verhindert den Zugriff vom LAN der Fritte auf's LAN hinter der pfSense.
    Umgekehrt kein Problem.
    Normal bei einer Routerkaskade. Da hilft Portforwarding auf der pfSense, damit machst Du aber einen Schweizer Käse draus.

    DHCP über FB

    …keine gute Idee, zumindest solltest Du für die pfSense (WAN) eine statische IP ausserhalb des DHCP-Ranges wählen und das statisch konfigurieren.

    PC/Monitoring+(Vollzugriff)

    …wohl doch nicht wirklich Vollzugriff.

    Firewall Regeln und normale Portweiterleitungen sind ja nicht so das Problem aber mehr Ahnung von Netzwerk habe ich leider nicht.

    Den Satz hättest Du Dir sparen können, Du bist der erste, der Ahnung von Firewallregeln und Portweiterleitung, aber keine Ahnung von Netzwerken hat, ;)
    Das sinnvollste ist, Du baust Dein Netz einfach um, wenn Du die Routerkaskade lassen willst.
    Ins Fritten-Netz, alles was nicht ins geschützte LAN der pfSense soll, wie Plaudertaschen-TV, Handys, etc..
    Das Monitoring hat auch Vollzugriff aus dem pfSense-LAN oder der DMZ.
    Gruß orcape


  • Moderator

    Ins Fritten-Netz, alles was nicht ins geschützte LAN der pfSense soll, wie Plaudertaschen-TV, Handys, etc..

    Gerade den Kram würde ich den Teufel tun und nackt ins Internet hängen. TVs die dann jeden Mist an irgendwelche Werbeträger oder 3rd Party Typen weiterschicken, die dann wissen, was ich anschaue? Finde ich weniger lustig.

    Das sinnvollste ist, Du baust Dein Netz einfach um, wenn Du die Routerkaskade lassen willst.

    Der Meinung bin ich auch, aber anders als orcape denke ich, dass es keinen Sinn macht, irgendwas außer zu Diagnosezwecken ins Netz der FB zu hängen. DHCP kann da m.E. an bleiben, aber so konfiguriert, dass DHCP ab IP 20  o.ä. vergeben wird und die ALIX wird mit fixer IP auf .2 gehängt. Punkt. Alles andere macht ständige Probleme, wenn die Alix aus Versehen plötzlich ne andere DHCP IP bekommt, gehen bspw. keine Port Weiterleitungen nach innen mehr ordentlich. Deshalb:

    1. Alix auf fixe IP .2
    2. FB auf DHCP ab IP .10 oder .20
    3. Auf FB generelle Port Weiterleitung (alle Ports, dedizierter Host) auf die .2 (Alix)
    4. Damit dann volle Kontrolle auf der pfSense WAS eigentlich wie wo rein/raus geht (die Firewall der FB kannst du ohne Modifikation in der Pfeife rauchen weil du sie nicht ordentlich beeinflussen oder konfigurieren kannst)

    Dann wäre zu definieren, was Monitoring-PC bedeutet (wegen Vollzugriff). Wenn ich monitore, dann von innen, nicht von außen. Deshalb macht es gar keinen Sinn, den Monitor woanders hin zu packen als zu den Servern oder ins LAN. Je nachdem wie darauf der Zugriff gestattet sein soll, würde ich diesen also ins Server LAN oder Client LAN packen.

    Damit hast du auf der pfSense den zentralen Knotenpunkt auf dem auch WAN/LAN technisch alles ankommt und du kannst auch Zugriffe von außen (via globalem Forwarding auf der FB) oder auch VPNs problemlos einrichten.

    Gruß



  • Gerade den Kram würde ich den Teufel tun und nackt ins Internet hängen.

    Unter nackt verstehe ich, wenn sich ein Rechner/TV, etc. über ein Modem direkt per pppoE beim Provider einwählt.
    Das ist dann so, wie wenn Du Dich  auf die A9 im dicksten Berufsverkehr stellst, und hoffst, das Dich keiner über den Haufen fährt.
    Kann man nun wohl wirklich nicht mit einer Fritte als Router im Homenetz vergleichen.

    Der Meinung bin ich auch, aber anders als orcape denke ich, dass es keinen Sinn macht, irgendwas außer zu Diagnosezwecken ins Netz der FB zu hängen.

    Ein TV oder das Smartphone eines Bekannten, hat nichts in meinem LAN zu suchen. Aber das ist wie immer Ansichtssache.
    Natürlich hat man bei der pfSense noch jede Menge andere Lösungsmöglichkeiten und kann diese entsprechend ausreizen.
    Eine Art DMZ (fürArme) im Netz der Fritte ist nur eine Lösung von vielen und führt zumindest dazu, das man die pfSense nicht unnötig mit Portforwarding belasten muss.
    @JeGr
    Dein Sicherheitsbedürfnis in allen Ehren.
    Wenn es sich um ein Homenetz handelt, was an Hand der Fritte zu vermuten ist, kann man es auch übertreiben…. ;D
    Gruß orcape



  • @orcape:

    Ein TV oder das Smartphone eines Bekannten, hat nichts in meinem LAN zu suchen. […] Natürlich hat man bei der pfSense noch jede Menge andere Lösungsmöglichkeiten […]
    @JeGr
    Dein Sicherheitsbedürfnis in allen Ehren.
    Wenn es sich um ein Homenetz handelt, was an Hand der Fritte zu vermuten ist, kann man es auch übertreiben…. ;D

    Das sind ja zwei komplett unterschiedliche Fragen. Das Smartphone eines Gastes (oder meiner Kinder  ::)) trenne ich ab, um ein unnötiges Risiko für meine eigenen Ressourcen im LAN zu vermeiden. Wenn das in dem oben beschriebenen Szenario vor der pfSense hängt, dann paßt das.

    Den Smart-TV als Datenschleuder privater Daten zu verhindern ist weniger eine Frage der Risiken für andere Teilnehmer im LAN, sondern vielmehr eine Frage der "privacy". Das erreiche ich – wenn überhaupt -- eher mit einem separaten VLAN hinter der pfSense und entsprechend restriktiv eingestellten Regeln.

    Deine Einschätzung hinsichtlich Sicherheitsbedürfnis in privaten LANs teile ich nicht. Natürlich ist Sicherheit immer ein Kompromiß. Aber wenn ich mir anschaue, wie viel Lebensinhalt sich mittlerweile digital abspielt, halte ich eine hohe Sicherheit auch und gerade im privaten Umfeld für essenziell. Die wenigsten Leute dürften z.B. mal ernsthaft darüber nachgedacht haben, was ihnen alleine der Verlust all ihrer digitalen Fotos bedeuten würde ...

    -flo-



  • Deine Einschätzung hinsichtlich Sicherheitsbedürfnis in privaten LANs teile ich nicht. 
    

    …alles ist relativ.
    Wenn ich sehe, was ich in den letzten Jahren in meinem privaten Netz getan habe, verdiene ich diesen Vorwurf nicht... ;)

    Aber wenn ich mir anschaue, wie viel Lebensinhalt sich mittlerweile digital abspielt,
    

    …auch das ist wieder eine Frage, wie wichtig einem das alles ist.
    Dabei ist natürlich auch das Wissen des Nutzers entscheidend.
    Wer einen Windows7 Rechner und ein Smartphone sein eigen nennt, welches dann beides über einen Zwangsrouter von O²  ins Internet kommt, der wird sicher anders darüber denken, wie ein technisch versierter Zeitgenosse, der in seinem Einfamilienhaus ein ähnliches Netz aufgebaut hat, wie in seiner mittelständigen Firma.

    Die wenigsten Leute dürften z.B. mal ernsthaft darüber nachgedacht haben, was ihnen alleine der Verlust all ihrer digitalen Fotos bedeuten würde …

    …nun, spätestens wenn der einzige Windows-Rechner mit einem Festplattencrash abgeschmiert ist und man hat all seine Daten dem Ding anvertraut, sollte man kuriert sein. ;)
    Gruß orcape



  • @orcape:

    Gerade den Kram würde ich den Teufel tun und nackt ins Internet hängen.

    Unter nackt verstehe ich, wenn sich ein Rechner/TV, etc. über ein Modem direkt per pppoE beim Provider einwählt.

    Das ist für mich nackig und nach Seife gebückt dastehen …
    Fernkonfiguration der Router durch den Dienstanbieter greift immer mehr um sich, d.h. unterm Strich Dienstanbieter kann alles verstellen und ich trage die Verantwortung? >:( das war ein Grund warum ich am KD Anschluß pfSense einsetze.
    Dienstanbieter sind wie Kinder, manchmal muss man klare Grenzen setzen … 8)

    -teddy


  • Moderator

    @orcape: Bitte meinen Kommentar nicht als Kritik, sondern als Kommentar auffassen. Das ist meine Meinung mehr nicht. Aber ich halte es nach allen Sicherheitslücken, die diverseste "SMARTE" Geräte schon (gehabt) haben für nicht sinnvoll, da:

    Unter nackt verstehe ich, wenn sich ein Rechner/TV, etc. über ein Modem direkt per pppoE beim Provider einwählt.
    Nein, das halte ich inzwischen (heutzutage) als fahrlässig. Denn ohne irgendein geartetes Gerät dazwischen, dass in der Lage ist Zugriffe von außen ordentlich zu unterbinden (und ein Login eines Smarten Geräts ist das in den allermeisten Fällen nicht, da hier unter ganz anderen Gesichtspunkten entwickelt wurde), wäre das so, als wenn ich heute noch einen Win95/98/XP PC per PPPoE / nackt ins Internet hänge. 1h maximal, dann ist das Ding ein Bot, eine Wurmschleuder oder sonstwie infiziert.

    Das ist dann so, wie wenn Du Dich  auf die A9 im dicksten Berufsverkehr stellst, und hoffst, das Dich keiner über den Haufen fährt.
    Netter Vergleich ;) s.o.

    Kann man nun wohl wirklich nicht mit einer Fritte als Router im Homenetz vergleichen.
    Doch. Denn die FritzBox ist per Default nur als eingehender Schutz zu verstehen. AUSgehend filtert die per default erstmal gar nichts (was ja klar ist angesichts ihres normalen Einsatzgebietes). Wenn ich aber SMARTe Geräte habe, die Ihrerseits die Verbindung aufbauen, nutzt mir die FB da herzlich wenig. Und ich habe eben keine Lust, wenn ich heute fast schon nicht mehr vermeiden kann, dass das Gerät "Smart" ist, dass dieses dann auch noch irgendwelchen Quatsch sendet. Da gibts nun schon genug Stories von Geräten, die komplettes Senderverhalten schicken (wie lange wurde Sender X gesehen und wohin umgeschaltet), bei dem Dateinamen und IDs angeschlossene USB Geräte an dritte gesendet werden, bei denen Kameras mit integriert sind, die sich aber nicht schlafen legen wie sie sollen und statt dessen fremdaktiviert werden können, und und und.

    Ein Problem an der ganzen smarten Heimtechnik ist, dass hier Leute mit einem ganz anderen Fokus entwickeln. Ich habe das selbst in Industrieanlagen gesehen. Hey, da können wir ja nen Ethernet Port dran schrauben, dann können wir das via TCP/IP bespielen! Cool! Und nachher hängen solche Dinger mit gar keiner oder 08/15 Login Masken dann am Internet, weil keine Sau drüber nachgedacht hat, dass das ja andere Leute auch ausprobieren können. Oder anderer Zweig: Bioinformatik. Gerade erst wieder einige nette neue Ideen gehört. Netzwerk der Dinge etc. (ich sage absichtlich nicht Internet der Dinge) und wie man bspw. ne Insulinpumpe mit Kurzstreckenfunk/BT direkt mit der Control App oder einem extra Controller verbunden werden kann. Ohne Kabel! Tolle Erleichterung für den Patienten. Ja super und im Test hat sich gezeigt, dass das Ding aus 5m Entfernung noch bespielt werden kann. Ein "Wardriver" (um den alten WIFI Begriff zu nutzen) kann dann an jemand vorbei fahren und scannen ob er BT/Funk Geräte empfängt und (ebenfalls möglich) die Sequenz mitschneidet, wie der Benutzer gerade die Insulindosis erhöht hat. Signal nochmals replizieren und 5x abschicken, BUMMs Patient am Boden. Pumpe hat zu viel Insulin ausgeschüttet.

    Mögen abscheifende Zeilen sein, aber leider ist es heute immer häufiger der Fall, dass zuerst coole neue hippe Ideen implementiert werden, BEVOR mal jemand kurz inne hält und drüber nach denkt wie, wie man ordentliche Security, Authentifizierung und/oder Autorisierung realisiert und das Produkt abhärtet. Es wird leider immer noch davon ausgegangen, dass das Netz in dem sich das Gerät bewegt vollständig trustworthy ist.
    Noch ein wenig mehr OT: Google bspw. (ja man mag von denen halten was man will) hat begonnen annähernd alle internen Services public available zu machen. Nicht FÜR die Öffentlichkeit, aber ohne zusätzliche Barrieren wie VPNs, getrennte Netzwerke etc. Begründung: Das alte Prinzip mit VPN, etc. geht davon aus, dass ich einen sicheren (LAN) und einen unsicheren Teil des Netzes habe. Inzwischen ist aber auch mein eigentlich sicheres LAN nicht mehr wirklich sicher, da es genügend Methoden gibt, auch von dort aus initiierte Verbindungen zu nutzen und somit einen Rückkanal zu haben. Ich muss also davon ausgehen, dass es nicht sicher ist und entsprechend handeln und bewerten. Wenn aber LAN auch nicht sicher ist, kann ich es auch wie WAN behandeln (und aus IPv6 Sicht wird das später eh so). Somit muss ich mich um Autorisierung, Authentifizierung und Verschlüsselung kümmern. Das macht Google. Sobald das Gerät und der Benutzer authentifiziert und autorisiert wurde, wird über verschlüsselte Verbindungen Zugriff auf den Service gestattet. Somit ist es egal, ob ich unterwegs bin oder nicht. Aber das war nun wirklich OT und nur als Seiteninfo, warum die A, A & V wichtig sind, aber viel zu oft ignoriert werden.

    Ein TV oder das Smartphone eines Bekannten, hat nichts in meinem LAN zu suchen. Aber das ist wie immer Ansichtssache.
    Da stimme ich bspw. auch komplett zu :) Gäste WLAN ist aber m.M.n. eine andere Anforderung als Geräte wie TVs o.ä. zu isolieren. Vor allem deren Zugriff zum Internet zu unterbinden, aber ggf. (weil evtl. benötigt) ihre Verbindung zu anderen internen Diensten zu erlauben. (Bspw. Smartphone Fernbedienungs App für Fernseher).

    Natürlich hat man bei der pfSense noch jede Menge andere Lösungsmöglichkeiten und kann diese entsprechend ausreizen.
    Nicht unbedingt pfSense bezogen (meine Kommentare) aber ja, ich würde es hinter die pfSense hängen :)

    Eine Art DMZ (fürArme) im Netz der Fritte ist nur eine Lösung von vielen und führt zumindest dazu, das man die pfSense nicht unnötig mit Portforwarding belasten muss.
    Also wenn die pfSense durch Forwardings belastet wird, hast du ein ganz anderes Problem. Der Filter kann locker mehr States verwalten als ein Heimnetzwerk produziert :) Wenn die pfS durch das bisschen Mehraufwand von ein zwei VLANs/Interfaces in die Knie geht, ist beim Sizing ordentlich was schief gegangen :D

    Wenn es sich um ein Homenetz handelt, was an Hand der Fritte zu vermuten ist, kann man es auch übertreiben…. ;D
    Jein. Klar ist, man kann immer übertreiben. Problem ist: es wird oft einfach viel zu lax vorgegangen und Probleme übersehen oder ignoriert (teils auch, weil sie gar nicht als Problem wahrgenommen werden).

    Fernkonfiguration der Router durch den Dienstanbieter greift immer mehr um sich...
    Was magicteddy dazu schreibt ist auch noch ein Punkt. Gerade eine FB von Kabelanbietern, bei der ich eh nur die Hälfte der Konfiguration machen kann, ist für mich schwer einzuschätzen. Ich habe das in der Praxis schon gesehen, wie da fernkonfiguriert wird und via Diagnose kann da auch schonmal lustig ein TCPDUMP laufen oder es wird abgerufen/angeschaut, welche Geräte da dran hängen.
    Noch frecher: es wird teils das integrierte WLAN abgeschaltet und der Login der Box modifiziert, dass du keinen Einfluss darauf hast. Dann wird das "WLAN" als Zusatzfeature mit monatlichen Kosten verkauft, nur dass die Jungs vom ISP da den Haken in der GUI wieder reinmachen und die Konfigseite wieder aktivieren, damit du PW etc. einstellen kannst.
    Mit dem was der ISP/Provider damit schon alles auf der FB machen kann, traue ich dem Gerät somit keinen Meter weiter. Für ein Gäste WLAN genügt es, der Gast weiß, dass er hier keine Sicherheit erwarten kann und nur Netzanschluß bekommt. Auch nicht anders als McD, Starbucks o.ä. öffentliche HotSpots.

    Und Aluhut auf ein Kabelanbieter, der einen SmartTV an seine Box angeschlossen sehen kann... könnte das für den interessant sein zu sehen, was der User da anschaut drauf? Aluhut abnehm :D

    Vom Aluhut abgesehen: Ich denke schon, dass man mit manchen Dingen heute etwas bewusster umgehen und sich bewusst machen sollte, was man wo wie warum vertrauen kann. :)

    Grüße Jens



  • Hi Jens,

    Mit dem was der ISP/Provider damit schon alles auf der FB machen kann, traue ich dem Gerät somit keinen Meter weiter.

    ..unter Internet-Zugangsdaten-Anbieterdienste ist bei der 7490 bei mir alles abgeschaltet, ob's was bringt oder ob das schon modifiziert wurde, kann ich bei meinem Provider mit dem großen O zum Quadrat natürlich nicht sagen.
    Er hat sich noch nicht beschwert, das ich das gemacht habe. ;)
    Es läuft aber auch eine andere, nicht vom Provider modifizierte Fritte an dem Anschluß, dürfte also nicht so extrem sein.

    Vom Aluhut abgesehen: Ich denke schon, dass man mit manchen Dingen heute etwas bewusster umgehen und sich bewusst machen sollte, was man wo wie warum vertrauen kann.

    Da muss ich Dir natürlich recht geben.
    Leider sind die Leute, die so darüber denken in der Minderzahl und…
    ...dazu gehört eben aber auch immer eine gehörige Portion Wissen, die "Otto Normalverbraucher" wohl nicht hat.
    Wie dann darauf reagiert wird, auch wenn das Wissen da ist, steht wieder auf einem anderen Blatt.
    Oder steigst Du in kein Flugzeug mehr, nur weil Du irgendwann mal gehört hast, das da irgendein Hacker mal die Schubkontrolle eines Jets unter seiner Kontrolle hatte. (klingt verlockend, da mal Gas zu geben.. )
    Ich steige da schon wieder ein, nicht ganz ohne Hintergedanken, logisch.
    Aber bevor ich vielleicht in meinem Provinznest noch von einem Dachziegel erschlagen werde.;D
    Ich werde aber mein Konzept noch mal überdenken.
    Gruß Peter


  • Moderator

    ..unter Internet-Zugangsdaten-Anbieterdienste ist bei der 7490 bei mir alles abgeschaltet, ob's was bringt oder ob das schon modifiziert wurde, kann ich bei meinem Provider mit dem großen O zum Quadrat natürlich nicht sagen.
    Ist das deine 7490 oder hast du die von O2 bekommen? Wenn letzteres kann der Hersteller selbst m.W. über definierte Schnittstellen drauf zugreifen bzw. es konfigurieren dass das möglich ist, das muss aber nicht so sein. Ist bei DSL auch immer noch anders gelagert als bei Kabel, wo du als Endkunde auf den Kabel-Part ja wenig Einfluß hast. :)

    …dazu gehört eben aber auch immer eine gehörige Portion Wissen, die "Otto Normalverbraucher" wohl nicht hat.

    Ich denke es ist nicht unbedingt notwendig, großes Wissen dazu zu haben, sondern mehr eine gesunde Portion Skepsis (nicht Angst/Panik) mit zu bringen bzw. auch einfach mal zu hinterfragen. DAS ist aber leider heute auch schon für viele "zu viel verlangt" :(

    Oder steigst Du in kein Flugzeug mehr, nur weil Du irgendwann mal gehört hast, das da irgendein Hacker mal die Schubkontrolle eines Jets unter seiner Kontrolle hatte. (klingt verlockend, da mal Gas zu geben.. )

    Ich fliege von Berufswegen her nicht und privat sehr wenig ;) Aber ansonsten - nein. Allerdings habe ich sicher ein mulmiges Gefühl, wenn ich in eine große Boeing müsste und weiß, dass da die Bordcomputer ausfallen können wenns doof läuft... Ich hab eigentlich keine große Lust, privat IRL "Stranded Deep" zu spielen ;)

    Was ich eigentlich mit meinen Zeilen ausdrücken wollte ist die Hoffnung (ich bin Optimist), dass eben doch mal mehr Leute hinterfragen, überhaupt fragen oder nachdenken, ob und wie es Sinn macht, wenn mehr und mehr Dinge vernetzt werden (prinzipiell nichts schlechtes) und Daten untereinander getauscht werden (dito). Und ob das dann so gesund ist, die Sachen dann oftmals einfach platt ans Internet zu hängen (eher nicht so gut). :D
    Und zwar nicht mehr wie früher aus Angst, dass von außen jemand zugreift, sondern eher aus der Skepsis, dass Daten von innen nach außen geschickt werden, von denen ich das aber nicht will. Deshalb hat sich die Sicht heute etwas umgekehrt bzw. angeglichen (Thema unsicheres Netz / sicheres Netz). Und inzwischen betrachtet man ja schon fast alle Seiten als unterschiedlich stark unsicher.

    Grüße
    Jens



  • Wir sind zwar mittlerweile etwas Off Topic…. ;)

    …dass Daten von innen nach außen geschickt werden, von denen ich das aber nicht will.

    Als Optimist und Realist, weist Du ja was Du tust und handelst entsprechend.

    ….dass eben doch mal mehr Leute hinterfragen, überhaupt fragen oder nachdenken, ob und wie es Sinn macht, wenn mehr und mehr Dinge vernetzt werden (prinzipiell nichts schlechtes) und Daten untereinander getauscht werden (dito).

    Da sollten sich einige Gedanken machen müssen. Nicht nur was das eigene LAN betrifft.
    Facebook und Co. sind eigentlich ein absolutes No-Go und trotzdem postet fast jeder seinen privaten Develey und regt sich dann über
    die Abhöraffäre des NSA auf.
    Gruß Peter