Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PaloAlto und Juniper-SA gegen pfSense ersetzen

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      freto
      last edited by

      Hallo,

      wir möchten unsere bestehende Firewall/VPN-Lösung gegen pfSense ersetzen. Aktuell testen wir hierzu die verschiedenen Möglichkeiten von pfsense.

      Wir nutzen eine PA-500 in Kombination mit einer Juniper-SA für die VPN-Einwahl.

      WAN / Internet
                  :
                  : Standleitung Wan-Subnetz: 11.22.33.224/29
                  :
            .–---+-----.
            |  Cisco  |  IP: 11.22.33.225 (Cisco 800 Series)
            '-----+-----'
                    |
          WAN | IP or Protocol
                    |
            |
                    | (Interface 1/8 der PaloAlto / IP: 11.22.33.226)
            |
            .-----+-----.  DMZ 80.100.10.200/29    .----------------.       .-------------------.
            |  PaloAlto |+------------------------------------+ Juniper SA +-------------+  DMZ-Server |
            '-----+-----'  (Interface 1/6 der paloAlto)    '----------------'       .-------------------.
                  |               
                  |
                  |
                  | (Interface 1/1 der PaloAlto / IP: 11.22.33.226)
                  |
                  |
                  | 10.0.10.0/24 (Transfer-Netz, konfig Unter Networks > Virtual Routers > VR-Untrust > Static Routes hinterlegt)
                  |
          |
          |
          |
            .-----+---------.
            | LAN-Switch |
            '-----+---------'
                  |
          ...-----+------... (Clients/Servers)

      80.100.10.200/29 sind öffentliche IP-Adressen
      80.100.10.201
      80.100.10.202
      80.100.10.203
      80.100.10.204
      80.100.10.205
      80.100.10.206

      Das erste Problem haben wir schon bei der WAN-Anbindung. Ich habe im WAN-Interface "static" angegeben und die gleiche IP-Adresse
      wie in der PaloAlto (11.22.33.226), aber es baut sich keine Internetverbindung auf. Ich konnte also keinen PING / Traceroute von der pfSense erfolgreich absetzen.

      Der Cisco (Telekom) ist am LAN-Switch im VLAN "WAN" angeschlossen, im gleichen VLAN auch das Interface 1/8 der PaloAlto. Wenn ich hier jetzt die pfSense WAN-Schnittstelle anschließe,
      bekomme ich keine Internetverbindung.

      Es wurde noch keine eigenen Regeln in der pfSense angelegt.

      Im LAN-Switch ist als Default-Route die PaloAlto hinterlegt, also GW 10.0.10.254.

      Mein erstes Ziel wäre es eine Internetverbindung über die Standleitung zu bekommen und anschließend die Anbindung zum LAN-Switch.

      Sind meine bisherigen Überlegungen korrekt? Anbei ein paar Screenshots. Gerne lade ich noch mehr hoch.

      Bin gespannt auf eure Ideen und danke schon jetzt für eure Hilfe  :)
      firewall-lan.png
      firewall-lan.png_thumb
      firewall-wan.png
      firewall-wan.png_thumb
      lan-interface.png
      lan-interface.png_thumb
      paloalto-interfaces.png
      paloalto-interfaces.png_thumb
      paloalto-trust.png
      paloalto-trust.png_thumb
      paloalto-untrust.png
      paloalto-untrust.png_thumb
      wan-telekom-standleitung.png
      wan-telekom-standleitung.png_thumb

      1 Reply Last reply Reply Quote 0
      • F
        freto
        last edited by

        Hi! Das mit der Standleitung funktioniert jetzt > ein Zahlendreher beim GW ist schuld gewesen  ;) :o

        1 Reply Last reply Reply Quote 0
        • ?
          Guest
          last edited by

          Hallo,

          also ich würde gerne einmal wissen ob Du der Verantwortliche IT Admin für dieses Konstrukts bist?

          Der Cisco 800 macht SPI/NAT und die PA-500 macht bitte was genau? Soll die transparent laufen
          oder macht die auch SPI/NAT? Und wozu die Juniper SA in der DMZ? Als VPN Server? Das kann die
          PA-500 alles und noch viel mehr. Akzeptabel fände ich die PA-500 direkt als Border Firewall und sonst
          nichts weiter. ich denke Du verwechselst hier etwas und zwar lässt Du Dich von den beiden Wörtern
          Firewall täuschen.

          pfSense ist eine reine Software Firewall und die PA-500 ist eine NG Firewall die Applikations basierend
          arbeitet und das auch noch ASIC/FPGA gestützt. Um dort mit pfSense einigermaßen hin zu kommen
          sollte dann schon ein Intel Xeon E3 or E5 eingesetzt werden und genau daher gibt es ja erst überhaupt
          ASIC/FPGA basierende Firewall damit man nicht Serverhardware als Firewall einsetzen muss.

          Also wenn das alles nicht reicht sollte man mal über eine PA-3020 nachdenken und eventuell einen
          VPN Server in der DMZ aufstellen der dann alles erledigt. Wenn man eine Applikations basierende Firewall
          benötigt geht man nicht wieder einen Schritt zurück zu einer normalen Software basierenden Firewall.

          1 Reply Last reply Reply Quote 0
          • F
            freto
            last edited by

            Guten Morgen,

            Danke für deine Antwort - wir haben das System so übernommen.

            Die PaloAlto kann kein VPN für externe Mitarbeiter, sondern nur IPSec Tunnel für externe Standorte. Aus diesem Grund die Juniper-SA für SSL-VPN für die externen User.

            Ich würde das ganze gerne vereinfachen indem ich beide Geräte gegen eine pfSense eintausche und hier OpenVPN einrichte

            Bei den Filtern genügt (uns) Squidguard+Squid mit ein paar Reg-Expression sowie pfBlockNG.

            Meine Frage ist daher, wie ich vorgehen muss, um die aktuelle Konfig aus 2x Geräten (PaloAlto+Juniper-SA) in 1x Gerät(pfSense) zu packen?

            Wie gehe ich am besten mit den externen IP-Adresse vor? Leite ich diese per 1:1 NAT auf die internen Server weiter? Was ist am sichersten?

            paloalto-nat.png
            paloalto-nat.png_thumb

            1 Reply Last reply Reply Quote 0
            • ?
              Guest
              last edited by

              Meine Frage ist daher, wie ich vorgehen muss, um die aktuelle Konfig aus 2x Geräten (PaloAlto+Juniper-SA) in 1x Gerät(pfSense) zu packen?

              Wie gesagt ich würde die PA-500 lieber behalten und in die DMZ lieber einen VPN Server stellen,
              aber gut wie Du willst. Du brauchst zuerst einmal eine richtig starke Hardware vor Ort die das ganze
              auch wirklich alles wuppen und stemmen kann! Sonst wird das hinten und vorne nichts.

              Hier kann man sehr schön und vor allem Step-by-Step nachvollziehen wie es dann weitergeht.
              SSL VPN migration zu pfSense

              1 Reply Last reply Reply Quote 0
              • F
                freto
                last edited by

                Hey super! Danke für den Link, schaue ich mir gleich mal an  :)

                Als Hardware steht uns eine HP Maschine mit Intel i5 und 4GB Ram zur Verfügung.

                Folgende Fragen hätte ich noch:

                Wie stelle ich das mit der DMZ ein? Nach meinem Verständnis:

                Die externen IP-Adressen (80.100.10.202, 80.100.10.203, 80.100.10.206) werden als Virtuelle IPs (Alias verwenden) in der pfSense hinterlegt.

                Anschließend erfolgt ein 1:1 NAT – Beispiel:
                80.100.10.203 > 172.0.0.25 bzw. mail.domain.org
                80.100.10.206 > 172.0.0.13 bzw. webserver.domain.org

                Wie gehe ich bei der VPN-Anbindung vor (OpenVPN)? Ist folgendes korrekt?

                VLAN (am Hauptswitch konfiguriert "LAN-Switch")

                Subnetz: 172.0.20.0/23

                Konfiguration VLAN:
                VLAN ID 11
                IP 172.0.20.0/23
                GW 172.0.20.254

                VPN nutzt folgende Konfig:
                Öffentliche IP-Adresse: 80.100.10.202 (vpn.domain.org)

                Gebe ich dann bei der Installation des OpenVPN-Server (per Wizard) unter "Local Network" das zuvor erstelle VLAN (ID 11) an ?

                Oder benötige ich das VLAN garnicht sondern gebe unter "Local Network" einfach direkt "172.0.20.0/23" ein?

                Ich danke für eure Geduld

                1 Reply Last reply Reply Quote 0
                • S
                  shiversc
                  last edited by

                  Auch wenn es nicht reinpasst und gefragt ist…

                  Eine Palo Alto durch eine pfSense ersetzen?
                  Ich bin entsetzt!

                  Warum macht man sowas bitteschön?

                  1 Reply Last reply Reply Quote 0
                  • ?
                    Guest
                    last edited by

                    Eine Palo Alto durch eine pfSense ersetzen?
                    Ich bin entsetzt!

                    Warum macht man sowas bitteschön?

                    Weil die Lizenzen zu teuer sind?

                    Als Hardware steht uns eine HP Maschine mit Intel i5 und 4GB Ram zur Verfügung.

                    Ein Intel Core i5-2500k @3,7 GHz kann einfach alles wuppen was die pfSense so anbietet und man
                    als Paket installieren kann. Snort, Suricata, Squid, SuiqdGuard, SRAG, ClamAV, OpenVPN,…....
                    Nur RAM würde ich mehr rein packen wollen und auch eine SSD das sollte heute schon
                    so sein und beschleunigt nicht zu guter Letzt auch einfach das gesamte System.

                    Wie stelle ich das mit der DMZ ein?

                    Man setzt einfach zwei unterschiedliche IP Netzwerke auf, fertig.

                    • Layer3 Switch am LAN Port und dann mittels VLANs oder aber auch ohne weiter - 192.xx.xx
                    • Layer2 Switch am DMZ Port - 172.xx.xx

                    Die externen IP-Adressen (80.100.10.202, 80.100.10.203, 80.100.10.206)
                    werden als Virtuelle IPs (Alias verwenden) in der pfSense hinterlegt.

                    Jo.

                    Anschließend erfolgt ein 1:1 NAT – Beispiel:
                    80.100.10.203 > 172.0.0.25 bzw. mail.domain.org
                    80.100.10.206 > 172.0.0.13 bzw. webserver.domain.org

                    80.100.10.203:80 > 172.0.0.25:80
                    80.100.10.203:443 > 172.0.0.25:443

                    Nur was nötig und wirklich gebraucht wird würde ich nach hinten weiterreichen, alles andere nicht!
                    Was muss für einen Mail Server alles an Ports offen und durchgereicht werden?
                    Braucht man nur zwei oder drei Ports reicht man auch nur diese durch!

                    Das mit dem VPN soll Dir wer anders erklären wir haben das nicht mehr auf der
                    pfSense laufen sondern einen VPN Server in der DMZ das alles abhandelt!

                    Überlege Dir auch ob das für die Firma nicht ruhig nach und nach was vernünftiges sein soll
                    pfSense XG-1540
                    pfSense SG-8860 oder C2758 1U

                    Alternativ kann man auch einen Intel Xeon E3-1286v3 & x GB ECC RAM & SSD & Zippy Dual und HotSwap
                    PSU & Gigabyte GA-6LISL nach und nach aufsetzen das ist dann wenigstens etwas vernünftiges.

                    1 Reply Last reply Reply Quote 0
                    • F
                      freto
                      last edited by

                      @shiversc:

                      Auch wenn es nicht reinpasst und gefragt ist…

                      Eine Palo Alto durch eine pfSense ersetzen?
                      Ich bin entsetzt!

                      Warum macht man sowas bitteschön?

                      Wie BlueKobold es schon vermutet hat, spielen die Lizenzgebühren ein Rolle, aber es gibt noch einiges mehr:

                      • hohe Lizenzkosten
                      • hohe Hardwarekosten
                      • für HA benötigt man beides noch einmal (logisch  ;) )
                      • die PA-500 ist extrem langsam > ein "commit" dauert bei kleinen Änderungen schon ca. 10-15Minuten > also z.B. einen Port freigeben etc
                      • Community-Support ist praktisch nicht vorhanden
                      • Support läuft über wenige Dienstleister hier in DE > hier wird keine, auch die kleinste Frage nicht beantwortet ohne gleich auf einen wahnwitzigen Stundenlohn hinzuweisen. Hier wollte ich nur eine kurze Info bezüglich einem Firmware-Upgrade…

                      Bezüglich der Performance würde eine größere PA sicherlich schneller sein, aber das steht dann in keinem Verhältnis mehr.

                      Lieber investiere ich 100Euro im Jahr in den Gold Support bei pfSense. Die Community ist auch 1000mal besser - bin erst seit kurzem hier angemeldet, aber lese schon länger fleißig mit  :)

                      Ich werde mit squidguard und ein paar Reg-Expressions den Traffik etwas reglementieren, z.B. Erotik filtern, Dateianhänge, Teamviewer  und Co blocken.

                      Für den Rest haben wir ja noch eine Antivirensoftware.

                      Wer Interesse hat kann uns ja die PA nach der Umstellung ;D abkaufen

                      1 Reply Last reply Reply Quote 0
                      • F
                        freto
                        last edited by

                        @BlueKobold:

                        Danke für deine Info zu DMZ und Co  - hatte ich fast vergessen mich zu bedanken  :)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.