PaloAlto und Juniper-SA gegen pfSense ersetzen

freto

Hallo,

wir möchten unsere bestehende Firewall/VPN-Lösung gegen pfSense ersetzen. Aktuell testen wir hierzu die verschiedenen Möglichkeiten von pfsense.

Wir nutzen eine PA-500 in Kombination mit einer Juniper-SA für die VPN-Einwahl.

WAN / Internet
            :
            : Standleitung Wan-Subnetz: 11.22.33.224/29
            :
      .–---+-----.
      |  Cisco  |  IP: 11.22.33.225 (Cisco 800 Series)
      '-----+-----'
              |
    WAN | IP or Protocol
              |
      |
              | (Interface 1/8 der PaloAlto / IP: 11.22.33.226)
      |
      .-----+-----.  DMZ 80.100.10.200/29    .----------------.       .-------------------.
      |  PaloAlto |+------------------------------------+ Juniper SA +-------------+  DMZ-Server |
      '-----+-----'  (Interface 1/6 der paloAlto)    '----------------'       .-------------------.
            |               
            |
            |
            | (Interface 1/1 der PaloAlto / IP: 11.22.33.226)
            |
            |
            | 10.0.10.0/24 (Transfer-Netz, konfig Unter Networks > Virtual Routers > VR-Untrust > Static Routes hinterlegt)
            |
    |
    |
    |
      .-----+---------.
      | LAN-Switch |
      '-----+---------'
            |
    ...-----+------... (Clients/Servers)

80.100.10.200/29 sind öffentliche IP-Adressen
80.100.10.201
80.100.10.202
80.100.10.203
80.100.10.204
80.100.10.205
80.100.10.206

Das erste Problem haben wir schon bei der WAN-Anbindung. Ich habe im WAN-Interface "static" angegeben und die gleiche IP-Adresse
wie in der PaloAlto (11.22.33.226), aber es baut sich keine Internetverbindung auf. Ich konnte also keinen PING / Traceroute von der pfSense erfolgreich absetzen.

Der Cisco (Telekom) ist am LAN-Switch im VLAN "WAN" angeschlossen, im gleichen VLAN auch das Interface 1/8 der PaloAlto. Wenn ich hier jetzt die pfSense WAN-Schnittstelle anschließe,
bekomme ich keine Internetverbindung.

Es wurde noch keine eigenen Regeln in der pfSense angelegt.

Im LAN-Switch ist als Default-Route die PaloAlto hinterlegt, also GW 10.0.10.254.

Mein erstes Ziel wäre es eine Internetverbindung über die Standleitung zu bekommen und anschließend die Anbindung zum LAN-Switch.

Sind meine bisherigen Überlegungen korrekt? Anbei ein paar Screenshots. Gerne lade ich noch mehr hoch.

Bin gespannt auf eure Ideen und danke schon jetzt für eure Hilfe  :)

freto

Hi! Das mit der Standleitung funktioniert jetzt > ein Zahlendreher beim GW ist schuld gewesen  ;) :o

Guest

Hallo,

also ich würde gerne einmal wissen ob Du der Verantwortliche IT Admin für dieses Konstrukts bist?

Der Cisco 800 macht SPI/NAT und die PA-500 macht bitte was genau? Soll die transparent laufen
oder macht die auch SPI/NAT? Und wozu die Juniper SA in der DMZ? Als VPN Server? Das kann die
PA-500 alles und noch viel mehr. Akzeptabel fände ich die PA-500 direkt als Border Firewall und sonst
nichts weiter. ich denke Du verwechselst hier etwas und zwar lässt Du Dich von den beiden Wörtern
Firewall täuschen.

pfSense ist eine reine Software Firewall und die PA-500 ist eine NG Firewall die Applikations basierend
arbeitet und das auch noch ASIC/FPGA gestützt. Um dort mit pfSense einigermaßen hin zu kommen
sollte dann schon ein Intel Xeon E3 or E5 eingesetzt werden und genau daher gibt es ja erst überhaupt
ASIC/FPGA basierende Firewall damit man nicht Serverhardware als Firewall einsetzen muss.

Also wenn das alles nicht reicht sollte man mal über eine PA-3020 nachdenken und eventuell einen
VPN Server in der DMZ aufstellen der dann alles erledigt. Wenn man eine Applikations basierende Firewall
benötigt geht man nicht wieder einen Schritt zurück zu einer normalen Software basierenden Firewall.

freto

Guten Morgen,

Danke für deine Antwort - wir haben das System so übernommen.

Die PaloAlto kann kein VPN für externe Mitarbeiter, sondern nur IPSec Tunnel für externe Standorte. Aus diesem Grund die Juniper-SA für SSL-VPN für die externen User.

Ich würde das ganze gerne vereinfachen indem ich beide Geräte gegen eine pfSense eintausche und hier OpenVPN einrichte

Bei den Filtern genügt (uns) Squidguard+Squid mit ein paar Reg-Expression sowie pfBlockNG.

Meine Frage ist daher, wie ich vorgehen muss, um die aktuelle Konfig aus 2x Geräten (PaloAlto+Juniper-SA) in 1x Gerät(pfSense) zu packen?

Wie gehe ich am besten mit den externen IP-Adresse vor? Leite ich diese per 1:1 NAT auf die internen Server weiter? Was ist am sichersten?

Guest

Meine Frage ist daher, wie ich vorgehen muss, um die aktuelle Konfig aus 2x Geräten (PaloAlto+Juniper-SA) in 1x Gerät(pfSense) zu packen?

Wie gesagt ich würde die PA-500 lieber behalten und in die DMZ lieber einen VPN Server stellen,
aber gut wie Du willst. Du brauchst zuerst einmal eine richtig starke Hardware vor Ort die das ganze
auch wirklich alles wuppen und stemmen kann! Sonst wird das hinten und vorne nichts.

Hier kann man sehr schön und vor allem Step-by-Step nachvollziehen wie es dann weitergeht.
SSL VPN migration zu pfSense

freto

Hey super! Danke für den Link, schaue ich mir gleich mal an  :)

Als Hardware steht uns eine HP Maschine mit Intel i5 und 4GB Ram zur Verfügung.

Folgende Fragen hätte ich noch:

Wie stelle ich das mit der DMZ ein? Nach meinem Verständnis:

Die externen IP-Adressen (80.100.10.202, 80.100.10.203, 80.100.10.206) werden als Virtuelle IPs (Alias verwenden) in der pfSense hinterlegt.

Anschließend erfolgt ein 1:1 NAT – Beispiel:
80.100.10.203 > 172.0.0.25 bzw. mail.domain.org
80.100.10.206 > 172.0.0.13 bzw. webserver.domain.org

Wie gehe ich bei der VPN-Anbindung vor (OpenVPN)? Ist folgendes korrekt?

VLAN (am Hauptswitch konfiguriert "LAN-Switch")

Subnetz: 172.0.20.0/23

Konfiguration VLAN:
VLAN ID 11
IP 172.0.20.0/23
GW 172.0.20.254

VPN nutzt folgende Konfig:
Öffentliche IP-Adresse: 80.100.10.202 (vpn.domain.org)

Gebe ich dann bei der Installation des OpenVPN-Server (per Wizard) unter "Local Network" das zuvor erstelle VLAN (ID 11) an ?

Oder benötige ich das VLAN garnicht sondern gebe unter "Local Network" einfach direkt "172.0.20.0/23" ein?

Ich danke für eure Geduld

shiversc

Auch wenn es nicht reinpasst und gefragt ist…

Eine Palo Alto durch eine pfSense ersetzen?
Ich bin entsetzt!

Warum macht man sowas bitteschön?

Guest

Eine Palo Alto durch eine pfSense ersetzen?
Ich bin entsetzt!

Warum macht man sowas bitteschön?

Weil die Lizenzen zu teuer sind?

Als Hardware steht uns eine HP Maschine mit Intel i5 und 4GB Ram zur Verfügung.

Ein Intel Core i5-2500k @3,7 GHz kann einfach alles wuppen was die pfSense so anbietet und man
als Paket installieren kann. Snort, Suricata, Squid, SuiqdGuard, SRAG, ClamAV, OpenVPN,…....
Nur RAM würde ich mehr rein packen wollen und auch eine SSD das sollte heute schon
so sein und beschleunigt nicht zu guter Letzt auch einfach das gesamte System.

Wie stelle ich das mit der DMZ ein?

Man setzt einfach zwei unterschiedliche IP Netzwerke auf, fertig.

• Layer3 Switch am LAN Port und dann mittels VLANs oder aber auch ohne weiter - 192.xx.xx
• Layer2 Switch am DMZ Port - 172.xx.xx

Die externen IP-Adressen (80.100.10.202, 80.100.10.203, 80.100.10.206)
werden als Virtuelle IPs (Alias verwenden) in der pfSense hinterlegt.

Jo.

Anschließend erfolgt ein 1:1 NAT – Beispiel:
80.100.10.203 > 172.0.0.25 bzw. mail.domain.org
80.100.10.206 > 172.0.0.13 bzw. webserver.domain.org

80.100.10.203:80 > 172.0.0.25:80
80.100.10.203:443 > 172.0.0.25:443

Nur was nötig und wirklich gebraucht wird würde ich nach hinten weiterreichen, alles andere nicht!
Was muss für einen Mail Server alles an Ports offen und durchgereicht werden?
Braucht man nur zwei oder drei Ports reicht man auch nur diese durch!

Das mit dem VPN soll Dir wer anders erklären wir haben das nicht mehr auf der
pfSense laufen sondern einen VPN Server in der DMZ das alles abhandelt!

Überlege Dir auch ob das für die Firma nicht ruhig nach und nach was vernünftiges sein soll
pfSense XG-1540
pfSense SG-8860 oder C2758 1U

Alternativ kann man auch einen Intel Xeon E3-1286v3 & x GB ECC RAM & SSD & Zippy Dual und HotSwap
PSU & Gigabyte GA-6LISL nach und nach aufsetzen das ist dann wenigstens etwas vernünftiges.

freto

@shiversc:

Auch wenn es nicht reinpasst und gefragt ist…

Eine Palo Alto durch eine pfSense ersetzen?
Ich bin entsetzt!

Warum macht man sowas bitteschön?

Wie BlueKobold es schon vermutet hat, spielen die Lizenzgebühren ein Rolle, aber es gibt noch einiges mehr:

• hohe Lizenzkosten
• hohe Hardwarekosten
• für HA benötigt man beides noch einmal (logisch  ;) )
• die PA-500 ist extrem langsam > ein "commit" dauert bei kleinen Änderungen schon ca. 10-15Minuten > also z.B. einen Port freigeben etc
• Community-Support ist praktisch nicht vorhanden
• Support läuft über wenige Dienstleister hier in DE > hier wird keine, auch die kleinste Frage nicht beantwortet ohne gleich auf einen wahnwitzigen Stundenlohn hinzuweisen. Hier wollte ich nur eine kurze Info bezüglich einem Firmware-Upgrade…

Bezüglich der Performance würde eine größere PA sicherlich schneller sein, aber das steht dann in keinem Verhältnis mehr.

Lieber investiere ich 100Euro im Jahr in den Gold Support bei pfSense. Die Community ist auch 1000mal besser - bin erst seit kurzem hier angemeldet, aber lese schon länger fleißig mit  :)

Ich werde mit squidguard und ein paar Reg-Expressions den Traffik etwas reglementieren, z.B. Erotik filtern, Dateianhänge, Teamviewer  und Co blocken.

Für den Rest haben wir ja noch eine Antivirensoftware.

Wer Interesse hat kann uns ja die PA nach der Umstellung ;D abkaufen

freto

@BlueKobold:

Danke für deine Info zu DMZ und Co  - hatte ich fast vergessen mich zu bedanken  :)