Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Angebot für Setup 4x pfSense auf Soekris Hardware

    Deutsch
    4
    15
    10232
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      Guest last edited by

      Hallo,

      wir bieten € für einen erfahrenen pfSense Guru, der für uns
      eine CheckPoop Firewall Konfiguration für 3 Standorte + eine Zentrale auf pfSense 'portiert'.

      Standorte: jeweils 2x LAN und 1x WAN (DSL mit Fixed IP's) + VPN + DHCP
      Zentrale: 3x LAN, 1x WAN (mit 3 Subnets; aus Cisco) + VPN + Roaming-VPN + DHCP

      CheckPoop ist in fwbuilder und als HTML-Export verfügbar, (nein, ist vorab nicht einsehbar)
      soll geprüft und optimiert werden.

      Hardware ist Soekris net5501 + vpn1411, instal auf CF Karten, HW VPN muss laufen.

      Vor Ort Install ist nicht erforderlich.

      Bitte um Angebote mit Referenzen + Aufwandsschätzung + Verfügbarkeit
      mailto:checkpoopsucks [ä] p-a|p-e|r-i|u-m.com  Achtung: s/[-|]//

      • pit
      1 Reply Last reply Reply Quote 0
      • JeGr
        JeGr LAYER 8 Moderator last edited by

        Grüße!

        Was bezeichnet ihr als Guru und wie sähe es mit den Nacharbeiten/Support aus? Oder gehts um ein einmaliges Aufsetzen und ihr/du betreust das dann später selbst weiter?
        Könnte man ein - grobes - Bild bekommen, wie das Konstellationsmäßig aussehen soll und was wo gehen muss um abzuschätzen, was das für ein "Problemfall" werden könnte?
        Wie sollen die VPNs technisch abgefackelt werden? Vorgaben?

        wave
        Grey

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • ?
          Guest last edited by

          @Grey:

          Was bezeichnet ihr als Guru

          der Guru hat schon so oft erfolgreich gefirewallt (i.e. nicht DSL auf den eigenen Gameserver…),
          das er die docs nicht mehr lesen muss, z.B. weil er sie geschrieben hat.
          (man-pages lesen kann ich nämlich selber auch ganz gut :-)

          Außerdem setzt der Guru es nicht nur so auf, das es klappt, sondern das es a) Sinn macht
          und b) später einfach zu Ändern und zu Erweitern ist.

          Darüber hinaus liefert der Guru eine brauchbare Übersichtsdoku zu den ausgeführten
          Tätigkeiten, der Konfig und evtl. Besonderheiten ab.

          @Grey:

          und wie sähe es mit den Nacharbeiten/Support aus? Oder gehts um ein einmaliges Aufsetzen und ihr/du betreust das dann später selbst weiter?

          Wir betreuen das dann selber weiter, Notfallhilfe per Email ist aber erwünscht.
          Gegebenenfalls für neue Standorte oder fundamentale Änderungen gäbe es einen neuen Auftrag.

          @Grey:

          Könnte man ein - grobes - Bild bekommen, wie das Konstellationsmäßig aussehen
          soll und was wo gehen muss um abzuschätzen, was das für ein "Problemfall" werden könnte?

          Prinzipiell wird nur ein bisschen geroutet und es gibt zahlreiche Rules, die Verkehr zwischen
          den LAN's und von den LAN's nach außen regeln.
          Es gibt zahlreiche Ausnahmen. Bestimmte Clients (ID per MAC) haben spezielle regeln.

          In der Zentrale werden offizielle IP's mit Regeln auf private IP's unserer Server
          (in einer VMWare Installation) verbogen und gefiltert.

          Diverse Clients aus bestimmten Netzen dürfen auf bestimmte Dienste.

          LAN's werden getaggt (wegen gesharten Interfaces und virtuellem Switch im BladeCenter)

          Problemfall ist sicher die alte Config, die ist bestimmt unübersichtlich.

          @Grey:

          Wie sollen die VPNs technisch abgefackelt werden? Vorgaben?

          Soll: IPSec.
          Zwischen den Standorten muss automatisch ein VPN Tunnel gehalten werden,
          i.e. auch wenn man ein Gerät powercycled, muss sich der Tunnel autom. wieder aufbauen.
          Das VPN ist Standortübergreifend und hat von den Standorten Routen und Rules
          auf LAN's der Zentrale. (z.B. geht da dann Citrix drüber)

          MacOSX und Windows Clients sollen auch von Extern "dial-in" an das VPN
          connecten können. (nicht PPTP!)

          1 Reply Last reply Reply Quote 0
          • JeGr
            JeGr LAYER 8 Moderator last edited by

            @0xff:

            (man-pages lesen kann ich nämlich selber auch ganz gut :-)

            Die Frage musste gestellt werden ;)

            @0xff:

            Darüber hinaus liefert der Guru eine brauchbare Übersichtsdoku zu den ausgeführten
            Tätigkeiten, der Konfig und evtl. Besonderheiten ab.

            Natürlich. Gibt es da Formvorlagen?

            @0xff:

            Wir betreuen das dann selber weiter, Notfallhilfe per Email ist aber erwünscht.
            Gegebenenfalls für neue Standorte oder fundamentale Änderungen gäbe es einen neuen Auftrag.

            @0xff:

            Prinzipiell wird nur ein bisschen geroutet und es gibt zahlreiche Rules, die Verkehr zwischen
            den LAN's und von den LAN's nach außen regeln.
            Es gibt zahlreiche Ausnahmen. Bestimmte Clients (ID per MAC) haben spezielle regeln.

            Semi-statisches DHCP per MAC Adresse? Soll das ggf. pfSense selbst übernehmen oder machen das Standortserver?

            @0xff:

            In der Zentrale werden offizielle IP's mit Regeln auf private IP's unserer Server
            (in einer VMWare Installation) verbogen und gefiltert.

            Also in der Art von 1:1 NAT bzw. Redirects, verstehe ich das korrekt?

            @0xff:

            Diverse Clients aus bestimmten Netzen dürfen auf bestimmte Dienste.

            OK

            @0xff:

            LAN's werden getaggt (wegen gesharten Interfaces und virtuellem Switch im BladeCenter)

            VLANs?

            @0xff:

            Problemfall ist sicher die alte Config, die ist bestimmt unübersichtlich.

            Das vermute ich fast auch.

            @0xff:

            Soll: IPSec.
            Zwischen den Standorten muss automatisch ein VPN Tunnel gehalten werden,
            i.e. auch wenn man ein Gerät powercycled, muss sich der Tunnel autom. wieder aufbauen.
            Das VPN ist Standortübergreifend und hat von den Standorten Routen und Rules
            auf LAN's der Zentrale. (z.B. geht da dann Citrix drüber)

            Dann geht auch nix anderes als IPSec. OpenVPN könnte man (noch) nicht (Heiko/Holger korrigiere mich) per Regeln eingrenzen. Automatischer Neuaufbau sollte kein Thema sein.

            @0xff:

            MacOSX und Windows Clients sollen auch von Extern "dial-in" an das VPN

            …und alles machen dürfen? Oder ist das wieder per Regel einzudämmen? IPsec würde dann einen Client auf den Mobilen / Home Rechnern erfordern. OpenVPN wäre hier möglich (Tunnelblick für Mac bspw.) aber dann wirds wahrscheinlich kniffliger, die auch einzudämmen.

            Prinzipiell, das bemerkt man sicher an meiner Fragerei, wäre ich schon interessiert das selbst oder ggf. mit meinem Kollegen zusammen umzusetzen. Ich Frage so viel, weil ich die Problemzonen für uns oder ggf. andere Interessenten schonmal abklopfen möchte (also sollte jemand anders auch Interesse haben, nur zu und melden). Mein Malus wäre, dass ich die Checkpoint nur vom Hören kenne. Mir war es nicht vergönnt mit den Dingern mal zu arbeiten (oder war das Glück? ;)). Ich bin aber von der Kombi OpenBSD (minimal) + ipf und dann später pf zu pfSense gekommen, insofern habe ich da noch ein wenig Background was Rules und Rulesets erstellen angeht und denke ich kenne mich schon ziemlich mit dem Filter aus. Wir haben auch schon einige kleinere Firewalls draußen (die großen sind leider vom nachfolgenden Dienstleister abgeklemmt worden, weil der Checkpoint oder Cisco verkaufen wollte.. grml).

            Wenn du schreibst "Vor Ort Installation nicht erforderlich" - wie würdest du die Konfig haben wollen? Stellt ihr ein/zwei Geräte für die Installation zur Verfügung die man zurückschickt (inkl. CF Karten) oder wie plant ihr das?

            Grüße Grey

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • H
              heiko last edited by

              soll das ein bounty sein, wenn ja, was ist die vorstellung, ein budget sollte ja projektmäßig vorhanden sein, grey macht ja schon pre-sales support.  ;)

              regards
              heiko

              1 Reply Last reply Reply Quote 0
              • JeGr
                JeGr LAYER 8 Moderator last edited by

                Danke Heiko, das wäre die nächste Frage gewesen. Zumindest mal um einen groben Rahmen zu kennen ;)

                Gruß Jens

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • H
                  heiko last edited by

                  sonst ist das nämlich viel vergebene Liebsmüh, wenn das Projekt an etwaigen Rahmenbedingungen scheitert…... ;), das ist nur eine moderierende Aussage, ich greife da nicht ein, da hat "grey" den ersten Zugriff....

                  Viel Erfolg!

                  1 Reply Last reply Reply Quote 0
                  • K
                    KoalaTNR last edited by

                    @0xff:

                    Damit man den Aufwand schätzen kann, braucht man zumindestens folgende Infos:

                    • Netzwerkaufbau inkl aller Netzsegmentene pro Standort.
                    • Anzahl der existierende Rules.

                    Ohne die extakte Anzahl der Rules, kann niemand den Aufwand wirklich einschätzen!!!

                    Eine Info über die Höhe des Budgets wäre sicher auch nicht schlecht

                    Deine Hardwareauswähl finde ich übrigens bemerkenswert. Da sind Performance-Problem in Richtung der Server
                    in der Zentrale schon vorprogrammiert. Ich sage nur 100MBit und dann noch gefiltert von einer Kiste mit 500 Mhz.  ???

                    1 Reply Last reply Reply Quote 0
                    • JeGr
                      JeGr LAYER 8 Moderator last edited by

                      Gebe ich dir z.T. recht, Koala.
                      Die Hardware kann reichen, wenn bspw. VPN nicht 100MBit ist. Es gab allerdings keine Angabe zu Anbindungsbreite in den Außenstellen bzw. Zentrale, insofern muss das VPN wohl ggf. keine 100MBit/s schaffen. Da ja mit den MiniPCI Karten VPN Beschleuniger dabei sind, wirds nicht ganz so schlimm. Aber je nach Regelset und Einfachheit dessen kann da schon ein wenig Latenz reinkommen.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • K
                        KoalaTNR last edited by

                        @Grey:

                        Ich meine das anders…

                        Er schreibt, daß er 3x LAN in der Zentrale hat. Das könnte beispielsweise ein User-LAN, ein Server-LAN und eine DMZ sein.

                        Beispiel: User-LAN 1 GBit <--> Firewall 100 MBit <--> DMZ 1 Gbit

                        ... dann ist die Hardware defintiv ein Flaschenhals.

                        1 Reply Last reply Reply Quote 0
                        • H
                          heiko last edited by

                          eine unnütze diskussion wenn sich der originäre verfasser dieses threads nicht äußert..theoreme sind keine fakten…
                          regards
                          heiko

                          1 Reply Last reply Reply Quote 0
                          • JeGr
                            JeGr LAYER 8 Moderator last edited by

                            In der Tat, Heiko. Schade drum.

                            Gruß Jens

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            1 Reply Last reply Reply Quote 0
                            • ?
                              Guest last edited by

                              Servus,

                              sorry das ich mich nicht gemeldet hab, aber ich bin etwas in Overload (darum suche ich ja jemanden)

                              Bestehende Doku gibt es, die wird aber gekübelt, da sehr unübersichtlich und falsch.
                              Auch wird die alte Config verworfen. Ist m.E. unbrauchbar.

                              Aktuell hat laut unserem Dienstleister die Checkpoop Config für alle Standorte ca. 40 Rules.
                              (Ich hab aber keine Ahnung von diesem Checkdings)
                              Das klingt jedenfalls plausibel, weil es ist nicht sehr komplex.

                              Ich werde gemeinsam mit einem potentiellen Auftragnehmer definieren, was von
                              welchem Netz in welches dürfen soll. (lustige Formulierung :) Das ist es dann auch schon.

                              Das die Soekris Boxen für die Zentrale zu klein sein werden ist mir klar,
                              in den Standorten haben wir derzeit langsamere Kisten ohne HW-VPN und die sind ausreichend.
                              Wenn die Config mal auf CF's ist, kann man die ja woanders einbauen.
                              Ist eine definierte Platform denn nicht eigentlich super?

                              …

                              Also, ich kann hier natürlich alles aufschreiben, was gefragt wird/wurde, aber es fällt mir
                              Anhand der detaillierten Fragen, die ich für eine relativ einfache, straight-forward Sache
                              (siehe mein erster Post) hier bekomme schon auf, das es entweder sehr kompliziert sein
                              muss oder der/die Interessenten nicht ausreichend qualifiziert sind bzw. das noch nie gemacht hat.

                              Erwartet hätte ich eigentlich auch, eine Mail mit Referezen zu bekommen...
                              (Ich hoffe meine Regex ist nicht falsch)

                              Ich mein, ich hab sowas bisher nur mit Linux gemacht, aber über 4 Standorte mit VPN im
                              Rahmen der von mir bereits genannten Bedingungen und Netze zu konfigurieren, sollte eigentlich
                              relativ trivial sein, wenn man mit pfSense vertraut ist und eine Aufwandsschätzung ermöglichen.
                              (z.B. mit Testumgebung in VM's und VSwitch)

                              Ein Budget habe ich nicht vorgesehen, da es nicht dringlich ist, nur komme ich nicht dazu.
                              Aber ich werde sicher fair und leistungsbezogen zahlen.

                              Eigentlich hätte ich da schon eine konkretere Antwort erwartet, aber somit sehe ich das
                              völlig emotionslos als folgenden, zu beantwortenden Fragenkatalog:

                              1. Ich kenne pfSense funktional zu ___% und habe davon ___% schon praktisch eingesetzt
                              2. Ich kann die Anforderungen erfüllen und die pfSense Boxes konfigueriern
                                    [] JA [] Warscheinlich [] Nein
                              3. Honorarnote [ ] Rechnung [ ] Ferienjob/400€ Job
                              4. Ich kann fertig sein innerhalb max. __ Wochen

                              Greets & Schönes WE,

                              • pit
                              1 Reply Last reply Reply Quote 0
                              • H
                                heiko last edited by

                                Hallo,

                                wenn doch das alles "relativ trivial" ist und Du den besten Überlick dabei hast, warum machst Du die Sache denn nicht selber, vor allem vor dem Hintergrund, dass Du mit dem potentiellen Auftragnehmer eh das Ruleset im VPN definieren willst, dann kannst Du das doch eh gleich selber machen.

                                Wie auch immer…., hast Du ne alte "einigermaßen" brauchbare config, schick Sie mir, ich erstelle Dir ein hoffentlich brauchbares Ruleset-Beispiel als xml-file für pfsense daraus, wenn Du magst, Kosten fallen da nicht an, vielleicht kommste in der Sache dann weiter.....

                                Regards
                                Heiko

                                1 Reply Last reply Reply Quote 0
                                • H
                                  heiko last edited by

                                  so dringend kann das hier nicht sein, keine antworten, keine dringlichkeiten, da antworten weniger als sporadisch, ersparen wir uns aufwand ohne ergebnisse…der thread ist gelockt!

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post