VPN auf Basis von PFSense aufbauen, ohne Veränderung am vorhandenen Netzwerk.



  • Hallo in die Runde,

    mein Anliegen ist (wharscheinlich) recht simpel, ich traue mich aber  ;)

    Es geht um folgendes. Es ist ein Netzwerk mit Standardkonfiguration gegeben das NICHT ANGEPASST werden darf.

    IST Zustand:

    Standard Telekom Router mit DHCP auf On. Firewall etc. läuft ebenfalls über die Box.

    PFSense soll "nur" auf einem Raspberry PI installiert werden und an einen freien Port des Routers angeschlossen werden. Gibt es hier spezielle Fallstricke zu beachten?

    Die Umsetzung auf "Hardwarebasis" ist zwingende Voraussetzung.

    Über eine Antwort würde ich mich freuen  :D



  • Hi!

    Outgoing und/oder Incoming VPN?

    Wenn es um Clients's geht, die von draußen reinkommen sollen, dann würde ich wie folgt vorgehen:

    1.) Fixe IP des pfsense ausserhalb der DHCP range.
    2.) Default GW und DNS auf den Telekom Router zeigen lassen.
    3.) Port forwarding auf dem Telekom Router einrichten (nennt sich, glaube ich, lokale Dienste)
    4.) Passende Regeln im pfsense, um den Trafiic einzuschränken (z.B. VPN Clients bekommen nur Zugriff auf einen bestimmten Host)
    5.) dynDNS oder no-ip.net oder ähnliches, um einen eindeutigen Namen für den Zugriff zu haben (falls Du dynamische IP's vom Provider bekommst) - kann die pfsense machen.

    Geht's um Outgoing, wird's spannend:
    Dann musst Du dem Telekom Router beibringen, dass bestimmte Netze über die pfsense zu routen sind. Ob Du auf dem Telekom Router statische Routen eintragen kannst, weiß ich nicht …

    Just my 2c
    Thomas



  • Es sollen sich (zum Glück) nur Clients einloggen können, deine Punkte sind alle verständlich. Ja, es ist ein Anschluss mit Dynamischer IP Adresse.

    Ich bekomme in Kürze alle notwendigen Daten des Netzwerks und kann evt. hier weiter darauf eingehen. Vielen Dank für den schnellen Post  :D

    @tbrandner:

    2.) Default GW und DNS auf den Telekom Router zeigen lassen.

    Thomas



  • Hi!

    @tbrandner:

    5.) dynDNS oder no-ip.net oder ähnliches, um einen eindeutigen Namen für den Zugriff zu haben (falls Du dynamische IP's vom Provider bekommst) - kann die pfsense machen.

    Wie soll das die pfSense machen, wenn die im LAN hängt und von der dynamischen Public IP gar nichts weiß? Dazu müsste die pfSense einen exernen Dienst abfragen, der ihr die public IP zurück gibt. Solche Dienste gibt es zwar, wüsste aber nicht, dass pfSense mit einem dieser kompatibel wäre. Hab ich ein Wissensdefizit?

    Besser ist wohl Aufgabe des Telekom Router.



  • Moin,

    @viragomann:

    Wie soll das die pfSense machen, wenn die im LAN hängt und von der dynamischen Public IP gar nichts weiß? …

    Sollte kein Problem sein, siehe https://forum.pfsense.org/index.php?topic=94858.msg528006#msg528006
    Ich hatte es kurzzeitig am laufen mit dem kostenpflichtigen dyn DNS Angebot von Selfhost, einwandfrei.
    War halt auf eine Fritzbox als DSL Modem angewiesen weil das reine Modem im Poststreik fest hing :(

    -teddy



  • Thx.  Mit Cron Abfrage. Alles klar. Aber wie du schreibst, nur wenn es nicht anders geht.

    Themen, die "FritzBox" beinhalten, beachte ich einfach nicht. Manchmal könnte ich davon aber doch auch was lernen.  ;)


  • Moderator

    PFSense soll "nur" auf einem Raspberry PI installiert werden und an einen freien Port des Routers angeschlossen werden. Gibt es hier spezielle Fallstricke zu beachten?

    Mal von allen anderen Antworten abgesehen, sticht doch das hier am meisten raus: Das wird nicht gehen. Ich wüsste nicht, dass der ARM Port von pfSense a) production ready ist und b) es überhaupt sauber auf einem RasPi läuft. Zudem wäre die Kiste nicht in der Lage den NIC ordentlich auszufüllen.

    Daher -> Sorry.



  • Hi,

    Standard Telekom Router mit DHCP auf On. Firewall etc. läuft ebenfalls über die Box.

    Dann schalte DHCP ab und häng halbwegs vernünftige Hardware mit der pfSense dahinter.
    Das geht bei einem ALIX2D13 los, besser APU….
    Wie das @JeGr schon richtig gepostet hat, ich gehe da noch weiter, ist eher was für den Gartenanbau..... ;D
    https://www.google.de/search?q=Raspberry&tbm=isch&tbo=u&source=univ&sa=X&ved=0CDkQsARqFQoTCImMx43hh8cCFQayFAodkuIAuA&biw=1390&bih=724
    Wie das mit einem ALIX zu machen ist steht hier.....
    http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
    Wenn das hier ernst gemeint ist….

    Es ist ein Netzwerk mit Standardkonfiguration gegeben das NICHT ANGEPASST werden darf.

    ….dann lass einfach die Finger davon. ;)
    Gruß orcape



  • Hallo, mach doch einfach den Telekom Router zu einem "nur" Modem, (bridged mode) und lass
    Ihn einfach vor der pfSense "stehen", fertig ist der Lack. Kein normaler Netzwerker hat solche
    Vorgaben zu erfüllen.

    Sollte das aber wirklich nicht anders erlaubt sein kann man gerne auch einen kleinen VPN Server
    hinter dem Telekom Router laufen lassen, mittels "port foward" sollte das möglich sein, ist aber immer
    etwas dumm wenn man vorne am WAN Interface Ports öffnet. Dann lieber einen kleinen RaspBerry PI 2
    mit Raspian Linux dahinter und OpenVPN Server drauf. Dazu braucht es dann auch nicht pfSense mit
    dem ganzen Ballast dazu und der so oder so nicht auf dem RAPI läuft.

    Der RAPI2 kostet um die 50 €, dann spare leiber etwas und kaufe Dir wie schon angesprochen wurde
    eine kleine Alix APU Kiste mit pfSense drauf oder sogar gleich eine SG-2220.

    Den Telekom Router als Modem nutzen wäre hier aber die einfachste Variante.

    Es ist ein Netzwerk mit Standardkonfiguration gegeben das NICHT ANGEPASST werden darf.

    Das hört sich ja auch an,…. Gut manchmal weiß man es eben nicht besser zu formulieren.

    Das ist wie; "Die normale Straßenbahn zum Einheitspreis."

    • Der Preis dafür ist in jedem Bundesland unterschiedlich
    • Und die Bahn selber sieht auch immer unterschiedlich aus

  • Moderator

    @BlueKobold:

    pfSense ist ja ein abgespecktes FreeBSD um gerade keinen unnötigen Balast zu haben. Aber seis drum, selbst wenn du mit einem Raspian auf den Raspi um die Ecke kommst, ist der Netzwerkport immer noch auf der gleichen Schiene wie USB2 etc. angebunden und packt schonmal keine 100MBit vollständig. Da ist allein schonmal ne Bremse drin. Gut, die braucht man vielleicht nicht wenn man ein paar Bit VPN haben will, aber da ist das erste Bottleneck. Das zweite ist der SOC. Das Ding ist nicht für Enc/Dec Power optimiert und gebaut, sondern mehr ein Allzweck und Günstig SOC.

    Die letzten Tests die ich gesehen habe, rangieren einen Raspi 1 bei rund 5-10MBit MAX Durchsatz bei VPN und das bei 100% CPU Last, da es keinen Beschleuniger gibt, der genutzt werden kann. Und das hängt davon ab, welches Encoding genutzt wird (Default AES-128-CBC oder AES-256-CBC)
    Raspi2 soll laut https://i.imgur.com/6Dk3QMk.png bei rund 30MBit/s liegen, das würde dann wohl aber auch Max sein und die CPU hängt am Anschlag.

    Wenn das in Ordnung ist, dann kann man das so gern nutzen, aber solche Installationen haben meiner Erfahrung nach die Tendenz zu wachsen (Hey da können wir noch X mit machen). Und beim Raspi ist der Ofen eben aus, da durch das geteilte Layout des Busses, nie auch nur 100MBit erreicht werden.

    Grüße


  • Moderator

    @Blue: Ich habe jetzt erstmal keine Ahnung - vielleicht hab ich was in der Eile überlesen - was du mit einem USB Modem willst. Ich lese da nur was von Standard Telekom Router der ggf. als Modem funktioniert. Da ist nirgends was von USB Modem am Start?

    Natürlich wäre es dann sinnvoller überhaupt Connect zu haben als keinen. Aber wie gesagt kann ich das, was du gerade schreibst nicht in Einklang bringen mit dem was der OP oben angefragt hat :) Ich habe mit meiner Aussage auch nicht bestritten, dass man mit Raspi + Linux ggf. (andere) Fälle abdecken kann, ich sehe nur nicht, was das im vorliegenden Fall bringt - vielleicht hast du ja hier was aus einem anderen Thread mit reininterpretiert? Geht mir mitunter auch so ;)

    Ich wollte lediglich anmerken, dass zum einen der Raspi rausfällt, da pfSense nicht drauf läuft und zum anderen, er rein von der Leistung her die schlechteste Option ist, sowas zu basteln, wenn man keine Insellösung will die definitiv nicht wachsen kann. (Durchsatz/CPU)
    Wenn das kein Problem ist - los gehts. Aber dann wirds wohl auch ein anderes Thema werden mit Linux auf Raspi, und das ist dann nicht mehr unbedingt Thema für dieses Forum hier :)



  • Danke, war im falschen Beitrag!