PaloAlto und Juniper-SA gegen pfSense ersetzen



  • Hallo,

    wir möchten unsere bestehende Firewall/VPN-Lösung gegen pfSense ersetzen. Aktuell testen wir hierzu die verschiedenen Möglichkeiten von pfsense.

    Wir nutzen eine PA-500 in Kombination mit einer Juniper-SA für die VPN-Einwahl.

    WAN / Internet
                :
                : Standleitung Wan-Subnetz: 11.22.33.224/29
                :
          .–---+-----.
          |  Cisco  |  IP: 11.22.33.225 (Cisco 800 Series)
          '-----+-----'
                  |
        WAN | IP or Protocol
                  |
          |
                  | (Interface 1/8 der PaloAlto / IP: 11.22.33.226)
          |
          .-----+-----.  DMZ 80.100.10.200/29    .----------------.       .-------------------.
          |  PaloAlto |+------------------------------------+ Juniper SA +-------------+  DMZ-Server |
          '-----+-----'  (Interface 1/6 der paloAlto)    '----------------'       .-------------------.
                |               
                |
                |
                | (Interface 1/1 der PaloAlto / IP: 11.22.33.226)
                |
                |
                | 10.0.10.0/24 (Transfer-Netz, konfig Unter Networks > Virtual Routers > VR-Untrust > Static Routes hinterlegt)
                |
        |
        |
        |
          .-----+---------.
          | LAN-Switch |
          '-----+---------'
                |
        ...-----+------... (Clients/Servers)

    80.100.10.200/29 sind öffentliche IP-Adressen
    80.100.10.201
    80.100.10.202
    80.100.10.203
    80.100.10.204
    80.100.10.205
    80.100.10.206

    Das erste Problem haben wir schon bei der WAN-Anbindung. Ich habe im WAN-Interface "static" angegeben und die gleiche IP-Adresse
    wie in der PaloAlto (11.22.33.226), aber es baut sich keine Internetverbindung auf. Ich konnte also keinen PING / Traceroute von der pfSense erfolgreich absetzen.

    Der Cisco (Telekom) ist am LAN-Switch im VLAN "WAN" angeschlossen, im gleichen VLAN auch das Interface 1/8 der PaloAlto. Wenn ich hier jetzt die pfSense WAN-Schnittstelle anschließe,
    bekomme ich keine Internetverbindung.

    Es wurde noch keine eigenen Regeln in der pfSense angelegt.

    Im LAN-Switch ist als Default-Route die PaloAlto hinterlegt, also GW 10.0.10.254.

    Mein erstes Ziel wäre es eine Internetverbindung über die Standleitung zu bekommen und anschließend die Anbindung zum LAN-Switch.

    Sind meine bisherigen Überlegungen korrekt? Anbei ein paar Screenshots. Gerne lade ich noch mehr hoch.

    Bin gespannt auf eure Ideen und danke schon jetzt für eure Hilfe  :)















  • Hi! Das mit der Standleitung funktioniert jetzt > ein Zahlendreher beim GW ist schuld gewesen  ;) :o



  • Hallo,

    also ich würde gerne einmal wissen ob Du der Verantwortliche IT Admin für dieses Konstrukts bist?

    Der Cisco 800 macht SPI/NAT und die PA-500 macht bitte was genau? Soll die transparent laufen
    oder macht die auch SPI/NAT? Und wozu die Juniper SA in der DMZ? Als VPN Server? Das kann die
    PA-500 alles und noch viel mehr. Akzeptabel fände ich die PA-500 direkt als Border Firewall und sonst
    nichts weiter. ich denke Du verwechselst hier etwas und zwar lässt Du Dich von den beiden Wörtern
    Firewall täuschen.

    pfSense ist eine reine Software Firewall und die PA-500 ist eine NG Firewall die Applikations basierend
    arbeitet und das auch noch ASIC/FPGA gestützt. Um dort mit pfSense einigermaßen hin zu kommen
    sollte dann schon ein Intel Xeon E3 or E5 eingesetzt werden und genau daher gibt es ja erst überhaupt
    ASIC/FPGA basierende Firewall damit man nicht Serverhardware als Firewall einsetzen muss.

    Also wenn das alles nicht reicht sollte man mal über eine PA-3020 nachdenken und eventuell einen
    VPN Server in der DMZ aufstellen der dann alles erledigt. Wenn man eine Applikations basierende Firewall
    benötigt geht man nicht wieder einen Schritt zurück zu einer normalen Software basierenden Firewall.



  • Guten Morgen,

    Danke für deine Antwort - wir haben das System so übernommen.

    Die PaloAlto kann kein VPN für externe Mitarbeiter, sondern nur IPSec Tunnel für externe Standorte. Aus diesem Grund die Juniper-SA für SSL-VPN für die externen User.

    Ich würde das ganze gerne vereinfachen indem ich beide Geräte gegen eine pfSense eintausche und hier OpenVPN einrichte

    Bei den Filtern genügt (uns) Squidguard+Squid mit ein paar Reg-Expression sowie pfBlockNG.

    Meine Frage ist daher, wie ich vorgehen muss, um die aktuelle Konfig aus 2x Geräten (PaloAlto+Juniper-SA) in 1x Gerät(pfSense) zu packen?

    Wie gehe ich am besten mit den externen IP-Adresse vor? Leite ich diese per 1:1 NAT auf die internen Server weiter? Was ist am sichersten?




  • Meine Frage ist daher, wie ich vorgehen muss, um die aktuelle Konfig aus 2x Geräten (PaloAlto+Juniper-SA) in 1x Gerät(pfSense) zu packen?

    Wie gesagt ich würde die PA-500 lieber behalten und in die DMZ lieber einen VPN Server stellen,
    aber gut wie Du willst. Du brauchst zuerst einmal eine richtig starke Hardware vor Ort die das ganze
    auch wirklich alles wuppen und stemmen kann! Sonst wird das hinten und vorne nichts.

    Hier kann man sehr schön und vor allem Step-by-Step nachvollziehen wie es dann weitergeht.
    SSL VPN migration zu pfSense



  • Hey super! Danke für den Link, schaue ich mir gleich mal an  :)

    Als Hardware steht uns eine HP Maschine mit Intel i5 und 4GB Ram zur Verfügung.

    Folgende Fragen hätte ich noch:

    Wie stelle ich das mit der DMZ ein? Nach meinem Verständnis:

    Die externen IP-Adressen (80.100.10.202, 80.100.10.203, 80.100.10.206) werden als Virtuelle IPs (Alias verwenden) in der pfSense hinterlegt.

    Anschließend erfolgt ein 1:1 NAT – Beispiel:
    80.100.10.203 > 172.0.0.25 bzw. mail.domain.org
    80.100.10.206 > 172.0.0.13 bzw. webserver.domain.org

    Wie gehe ich bei der VPN-Anbindung vor (OpenVPN)? Ist folgendes korrekt?

    VLAN (am Hauptswitch konfiguriert "LAN-Switch")

    Subnetz: 172.0.20.0/23

    Konfiguration VLAN:
    VLAN ID 11
    IP 172.0.20.0/23
    GW 172.0.20.254

    VPN nutzt folgende Konfig:
    Öffentliche IP-Adresse: 80.100.10.202 (vpn.domain.org)

    Gebe ich dann bei der Installation des OpenVPN-Server (per Wizard) unter "Local Network" das zuvor erstelle VLAN (ID 11) an ?

    Oder benötige ich das VLAN garnicht sondern gebe unter "Local Network" einfach direkt "172.0.20.0/23" ein?

    Ich danke für eure Geduld



  • Auch wenn es nicht reinpasst und gefragt ist…

    Eine Palo Alto durch eine pfSense ersetzen?
    Ich bin entsetzt!

    Warum macht man sowas bitteschön?



  • Eine Palo Alto durch eine pfSense ersetzen?
    Ich bin entsetzt!

    Warum macht man sowas bitteschön?

    Weil die Lizenzen zu teuer sind?

    Als Hardware steht uns eine HP Maschine mit Intel i5 und 4GB Ram zur Verfügung.

    Ein Intel Core i5-2500k @3,7 GHz kann einfach alles wuppen was die pfSense so anbietet und man
    als Paket installieren kann. Snort, Suricata, Squid, SuiqdGuard, SRAG, ClamAV, OpenVPN,…....
    Nur RAM würde ich mehr rein packen wollen und auch eine SSD das sollte heute schon
    so sein und beschleunigt nicht zu guter Letzt auch einfach das gesamte System.

    Wie stelle ich das mit der DMZ ein?

    Man setzt einfach zwei unterschiedliche IP Netzwerke auf, fertig.

    • Layer3 Switch am LAN Port und dann mittels VLANs oder aber auch ohne weiter - 192.xx.xx
    • Layer2 Switch am DMZ Port - 172.xx.xx

    Die externen IP-Adressen (80.100.10.202, 80.100.10.203, 80.100.10.206)
    werden als Virtuelle IPs (Alias verwenden) in der pfSense hinterlegt.

    Jo.

    Anschließend erfolgt ein 1:1 NAT – Beispiel:
    80.100.10.203 > 172.0.0.25 bzw. mail.domain.org
    80.100.10.206 > 172.0.0.13 bzw. webserver.domain.org

    80.100.10.203:80 > 172.0.0.25:80
    80.100.10.203:443 > 172.0.0.25:443

    Nur was nötig und wirklich gebraucht wird würde ich nach hinten weiterreichen, alles andere nicht!
    Was muss für einen Mail Server alles an Ports offen und durchgereicht werden?
    Braucht man nur zwei oder drei Ports reicht man auch nur diese durch!

    Das mit dem VPN soll Dir wer anders erklären wir haben das nicht mehr auf der
    pfSense laufen sondern einen VPN Server in der DMZ das alles abhandelt!

    Überlege Dir auch ob das für die Firma nicht ruhig nach und nach was vernünftiges sein soll
    pfSense XG-1540
    pfSense SG-8860 oder C2758 1U

    Alternativ kann man auch einen Intel Xeon E3-1286v3 & x GB ECC RAM & SSD & Zippy Dual und HotSwap
    PSU & Gigabyte GA-6LISL nach und nach aufsetzen das ist dann wenigstens etwas vernünftiges.



  • @shiversc:

    Auch wenn es nicht reinpasst und gefragt ist…

    Eine Palo Alto durch eine pfSense ersetzen?
    Ich bin entsetzt!

    Warum macht man sowas bitteschön?

    Wie BlueKobold es schon vermutet hat, spielen die Lizenzgebühren ein Rolle, aber es gibt noch einiges mehr:

    • hohe Lizenzkosten
    • hohe Hardwarekosten
    • für HA benötigt man beides noch einmal (logisch  ;) )
    • die PA-500 ist extrem langsam > ein "commit" dauert bei kleinen Änderungen schon ca. 10-15Minuten > also z.B. einen Port freigeben etc
    • Community-Support ist praktisch nicht vorhanden
    • Support läuft über wenige Dienstleister hier in DE > hier wird keine, auch die kleinste Frage nicht beantwortet ohne gleich auf einen wahnwitzigen Stundenlohn hinzuweisen. Hier wollte ich nur eine kurze Info bezüglich einem Firmware-Upgrade…

    Bezüglich der Performance würde eine größere PA sicherlich schneller sein, aber das steht dann in keinem Verhältnis mehr.

    Lieber investiere ich 100Euro im Jahr in den Gold Support bei pfSense. Die Community ist auch 1000mal besser - bin erst seit kurzem hier angemeldet, aber lese schon länger fleißig mit  :)

    Ich werde mit squidguard und ein paar Reg-Expressions den Traffik etwas reglementieren, z.B. Erotik filtern, Dateianhänge, Teamviewer  und Co blocken.

    Für den Rest haben wir ja noch eine Antivirensoftware.

    Wer Interesse hat kann uns ja die PA nach der Umstellung ;D abkaufen



  • @BlueKobold:

    Danke für deine Info zu DMZ und Co  - hatte ich fast vergessen mich zu bedanken  :)