Angebot für Setup 4x pfSense auf Soekris Hardware



  • Hallo,

    wir bieten € für einen erfahrenen pfSense Guru, der für uns
    eine CheckPoop Firewall Konfiguration für 3 Standorte + eine Zentrale auf pfSense 'portiert'.

    Standorte: jeweils 2x LAN und 1x WAN (DSL mit Fixed IP's) + VPN + DHCP
    Zentrale: 3x LAN, 1x WAN (mit 3 Subnets; aus Cisco) + VPN + Roaming-VPN + DHCP

    CheckPoop ist in fwbuilder und als HTML-Export verfügbar, (nein, ist vorab nicht einsehbar)
    soll geprüft und optimiert werden.

    Hardware ist Soekris net5501 + vpn1411, instal auf CF Karten, HW VPN muss laufen.

    Vor Ort Install ist nicht erforderlich.

    Bitte um Angebote mit Referenzen + Aufwandsschätzung + Verfügbarkeit
    mailto:checkpoopsucks [ä] p-a|p-e|r-i|u-m.com  Achtung: s/[-|]//

    • pit

  • LAYER 8 Moderator

    Grüße!

    Was bezeichnet ihr als Guru und wie sähe es mit den Nacharbeiten/Support aus? Oder gehts um ein einmaliges Aufsetzen und ihr/du betreust das dann später selbst weiter?
    Könnte man ein - grobes - Bild bekommen, wie das Konstellationsmäßig aussehen soll und was wo gehen muss um abzuschätzen, was das für ein "Problemfall" werden könnte?
    Wie sollen die VPNs technisch abgefackelt werden? Vorgaben?

    wave
    Grey



  • @Grey:

    Was bezeichnet ihr als Guru

    der Guru hat schon so oft erfolgreich gefirewallt (i.e. nicht DSL auf den eigenen Gameserver…),
    das er die docs nicht mehr lesen muss, z.B. weil er sie geschrieben hat.
    (man-pages lesen kann ich nämlich selber auch ganz gut :-)

    Außerdem setzt der Guru es nicht nur so auf, das es klappt, sondern das es a) Sinn macht
    und b) später einfach zu Ändern und zu Erweitern ist.

    Darüber hinaus liefert der Guru eine brauchbare Übersichtsdoku zu den ausgeführten
    Tätigkeiten, der Konfig und evtl. Besonderheiten ab.

    @Grey:

    und wie sähe es mit den Nacharbeiten/Support aus? Oder gehts um ein einmaliges Aufsetzen und ihr/du betreust das dann später selbst weiter?

    Wir betreuen das dann selber weiter, Notfallhilfe per Email ist aber erwünscht.
    Gegebenenfalls für neue Standorte oder fundamentale Änderungen gäbe es einen neuen Auftrag.

    @Grey:

    Könnte man ein - grobes - Bild bekommen, wie das Konstellationsmäßig aussehen
    soll und was wo gehen muss um abzuschätzen, was das für ein "Problemfall" werden könnte?

    Prinzipiell wird nur ein bisschen geroutet und es gibt zahlreiche Rules, die Verkehr zwischen
    den LAN's und von den LAN's nach außen regeln.
    Es gibt zahlreiche Ausnahmen. Bestimmte Clients (ID per MAC) haben spezielle regeln.

    In der Zentrale werden offizielle IP's mit Regeln auf private IP's unserer Server
    (in einer VMWare Installation) verbogen und gefiltert.

    Diverse Clients aus bestimmten Netzen dürfen auf bestimmte Dienste.

    LAN's werden getaggt (wegen gesharten Interfaces und virtuellem Switch im BladeCenter)

    Problemfall ist sicher die alte Config, die ist bestimmt unübersichtlich.

    @Grey:

    Wie sollen die VPNs technisch abgefackelt werden? Vorgaben?

    Soll: IPSec.
    Zwischen den Standorten muss automatisch ein VPN Tunnel gehalten werden,
    i.e. auch wenn man ein Gerät powercycled, muss sich der Tunnel autom. wieder aufbauen.
    Das VPN ist Standortübergreifend und hat von den Standorten Routen und Rules
    auf LAN's der Zentrale. (z.B. geht da dann Citrix drüber)

    MacOSX und Windows Clients sollen auch von Extern "dial-in" an das VPN
    connecten können. (nicht PPTP!)


  • LAYER 8 Moderator

    @0xff:

    (man-pages lesen kann ich nämlich selber auch ganz gut :-)

    Die Frage musste gestellt werden ;)

    @0xff:

    Darüber hinaus liefert der Guru eine brauchbare Übersichtsdoku zu den ausgeführten
    Tätigkeiten, der Konfig und evtl. Besonderheiten ab.

    Natürlich. Gibt es da Formvorlagen?

    @0xff:

    Wir betreuen das dann selber weiter, Notfallhilfe per Email ist aber erwünscht.
    Gegebenenfalls für neue Standorte oder fundamentale Änderungen gäbe es einen neuen Auftrag.

    @0xff:

    Prinzipiell wird nur ein bisschen geroutet und es gibt zahlreiche Rules, die Verkehr zwischen
    den LAN's und von den LAN's nach außen regeln.
    Es gibt zahlreiche Ausnahmen. Bestimmte Clients (ID per MAC) haben spezielle regeln.

    Semi-statisches DHCP per MAC Adresse? Soll das ggf. pfSense selbst übernehmen oder machen das Standortserver?

    @0xff:

    In der Zentrale werden offizielle IP's mit Regeln auf private IP's unserer Server
    (in einer VMWare Installation) verbogen und gefiltert.

    Also in der Art von 1:1 NAT bzw. Redirects, verstehe ich das korrekt?

    @0xff:

    Diverse Clients aus bestimmten Netzen dürfen auf bestimmte Dienste.

    OK

    @0xff:

    LAN's werden getaggt (wegen gesharten Interfaces und virtuellem Switch im BladeCenter)

    VLANs?

    @0xff:

    Problemfall ist sicher die alte Config, die ist bestimmt unübersichtlich.

    Das vermute ich fast auch.

    @0xff:

    Soll: IPSec.
    Zwischen den Standorten muss automatisch ein VPN Tunnel gehalten werden,
    i.e. auch wenn man ein Gerät powercycled, muss sich der Tunnel autom. wieder aufbauen.
    Das VPN ist Standortübergreifend und hat von den Standorten Routen und Rules
    auf LAN's der Zentrale. (z.B. geht da dann Citrix drüber)

    Dann geht auch nix anderes als IPSec. OpenVPN könnte man (noch) nicht (Heiko/Holger korrigiere mich) per Regeln eingrenzen. Automatischer Neuaufbau sollte kein Thema sein.

    @0xff:

    MacOSX und Windows Clients sollen auch von Extern "dial-in" an das VPN

    …und alles machen dürfen? Oder ist das wieder per Regel einzudämmen? IPsec würde dann einen Client auf den Mobilen / Home Rechnern erfordern. OpenVPN wäre hier möglich (Tunnelblick für Mac bspw.) aber dann wirds wahrscheinlich kniffliger, die auch einzudämmen.

    Prinzipiell, das bemerkt man sicher an meiner Fragerei, wäre ich schon interessiert das selbst oder ggf. mit meinem Kollegen zusammen umzusetzen. Ich Frage so viel, weil ich die Problemzonen für uns oder ggf. andere Interessenten schonmal abklopfen möchte (also sollte jemand anders auch Interesse haben, nur zu und melden). Mein Malus wäre, dass ich die Checkpoint nur vom Hören kenne. Mir war es nicht vergönnt mit den Dingern mal zu arbeiten (oder war das Glück? ;)). Ich bin aber von der Kombi OpenBSD (minimal) + ipf und dann später pf zu pfSense gekommen, insofern habe ich da noch ein wenig Background was Rules und Rulesets erstellen angeht und denke ich kenne mich schon ziemlich mit dem Filter aus. Wir haben auch schon einige kleinere Firewalls draußen (die großen sind leider vom nachfolgenden Dienstleister abgeklemmt worden, weil der Checkpoint oder Cisco verkaufen wollte.. grml).

    Wenn du schreibst "Vor Ort Installation nicht erforderlich" - wie würdest du die Konfig haben wollen? Stellt ihr ein/zwei Geräte für die Installation zur Verfügung die man zurückschickt (inkl. CF Karten) oder wie plant ihr das?

    Grüße Grey



  • soll das ein bounty sein, wenn ja, was ist die vorstellung, ein budget sollte ja projektmäßig vorhanden sein, grey macht ja schon pre-sales support.  ;)

    regards
    heiko


  • LAYER 8 Moderator

    Danke Heiko, das wäre die nächste Frage gewesen. Zumindest mal um einen groben Rahmen zu kennen ;)

    Gruß Jens



  • sonst ist das nämlich viel vergebene Liebsmüh, wenn das Projekt an etwaigen Rahmenbedingungen scheitert…... ;), das ist nur eine moderierende Aussage, ich greife da nicht ein, da hat "grey" den ersten Zugriff....

    Viel Erfolg!



  • @0xff:

    Damit man den Aufwand schätzen kann, braucht man zumindestens folgende Infos:

    • Netzwerkaufbau inkl aller Netzsegmentene pro Standort.
    • Anzahl der existierende Rules.

    Ohne die extakte Anzahl der Rules, kann niemand den Aufwand wirklich einschätzen!!!

    Eine Info über die Höhe des Budgets wäre sicher auch nicht schlecht

    Deine Hardwareauswähl finde ich übrigens bemerkenswert. Da sind Performance-Problem in Richtung der Server
    in der Zentrale schon vorprogrammiert. Ich sage nur 100MBit und dann noch gefiltert von einer Kiste mit 500 Mhz.  ???


  • LAYER 8 Moderator

    Gebe ich dir z.T. recht, Koala.
    Die Hardware kann reichen, wenn bspw. VPN nicht 100MBit ist. Es gab allerdings keine Angabe zu Anbindungsbreite in den Außenstellen bzw. Zentrale, insofern muss das VPN wohl ggf. keine 100MBit/s schaffen. Da ja mit den MiniPCI Karten VPN Beschleuniger dabei sind, wirds nicht ganz so schlimm. Aber je nach Regelset und Einfachheit dessen kann da schon ein wenig Latenz reinkommen.



  • @Grey:

    Ich meine das anders…

    Er schreibt, daß er 3x LAN in der Zentrale hat. Das könnte beispielsweise ein User-LAN, ein Server-LAN und eine DMZ sein.

    Beispiel: User-LAN 1 GBit <--> Firewall 100 MBit <--> DMZ 1 Gbit

    ... dann ist die Hardware defintiv ein Flaschenhals.



  • eine unnütze diskussion wenn sich der originäre verfasser dieses threads nicht äußert..theoreme sind keine fakten…
    regards
    heiko


  • LAYER 8 Moderator

    In der Tat, Heiko. Schade drum.

    Gruß Jens



  • Servus,

    sorry das ich mich nicht gemeldet hab, aber ich bin etwas in Overload (darum suche ich ja jemanden)

    Bestehende Doku gibt es, die wird aber gekübelt, da sehr unübersichtlich und falsch.
    Auch wird die alte Config verworfen. Ist m.E. unbrauchbar.

    Aktuell hat laut unserem Dienstleister die Checkpoop Config für alle Standorte ca. 40 Rules.
    (Ich hab aber keine Ahnung von diesem Checkdings)
    Das klingt jedenfalls plausibel, weil es ist nicht sehr komplex.

    Ich werde gemeinsam mit einem potentiellen Auftragnehmer definieren, was von
    welchem Netz in welches dürfen soll. (lustige Formulierung :) Das ist es dann auch schon.

    Das die Soekris Boxen für die Zentrale zu klein sein werden ist mir klar,
    in den Standorten haben wir derzeit langsamere Kisten ohne HW-VPN und die sind ausreichend.
    Wenn die Config mal auf CF's ist, kann man die ja woanders einbauen.
    Ist eine definierte Platform denn nicht eigentlich super?

    Also, ich kann hier natürlich alles aufschreiben, was gefragt wird/wurde, aber es fällt mir
    Anhand der detaillierten Fragen, die ich für eine relativ einfache, straight-forward Sache
    (siehe mein erster Post) hier bekomme schon auf, das es entweder sehr kompliziert sein
    muss oder der/die Interessenten nicht ausreichend qualifiziert sind bzw. das noch nie gemacht hat.

    Erwartet hätte ich eigentlich auch, eine Mail mit Referezen zu bekommen...
    (Ich hoffe meine Regex ist nicht falsch)

    Ich mein, ich hab sowas bisher nur mit Linux gemacht, aber über 4 Standorte mit VPN im
    Rahmen der von mir bereits genannten Bedingungen und Netze zu konfigurieren, sollte eigentlich
    relativ trivial sein, wenn man mit pfSense vertraut ist und eine Aufwandsschätzung ermöglichen.
    (z.B. mit Testumgebung in VM's und VSwitch)

    Ein Budget habe ich nicht vorgesehen, da es nicht dringlich ist, nur komme ich nicht dazu.
    Aber ich werde sicher fair und leistungsbezogen zahlen.

    Eigentlich hätte ich da schon eine konkretere Antwort erwartet, aber somit sehe ich das
    völlig emotionslos als folgenden, zu beantwortenden Fragenkatalog:

    1. Ich kenne pfSense funktional zu ___% und habe davon ___% schon praktisch eingesetzt
    2. Ich kann die Anforderungen erfüllen und die pfSense Boxes konfigueriern
          [] JA [] Warscheinlich [] Nein
    3. Ich kann fertig sein innerhalb max. __ Wochen

    Greets & Schönes WE,

    • pit


  • Hallo,

    wenn doch das alles "relativ trivial" ist und Du den besten Überlick dabei hast, warum machst Du die Sache denn nicht selber, vor allem vor dem Hintergrund, dass Du mit dem potentiellen Auftragnehmer eh das Ruleset im VPN definieren willst, dann kannst Du das doch eh gleich selber machen.

    Wie auch immer…., hast Du ne alte "einigermaßen" brauchbare config, schick Sie mir, ich erstelle Dir ein hoffentlich brauchbares Ruleset-Beispiel als xml-file für pfsense daraus, wenn Du magst, Kosten fallen da nicht an, vielleicht kommste in der Sache dann weiter.....

    Regards
    Heiko



  • so dringend kann das hier nicht sein, keine antworten, keine dringlichkeiten, da antworten weniger als sporadisch, ersparen wir uns aufwand ohne ergebnisse…der thread ist gelockt!


Log in to reply