Angebot für Setup 4x pfSense auf Soekris Hardware
-
@0xff:
(man-pages lesen kann ich nämlich selber auch ganz gut :-)
Die Frage musste gestellt werden ;)
@0xff:
Darüber hinaus liefert der Guru eine brauchbare Übersichtsdoku zu den ausgeführten
Tätigkeiten, der Konfig und evtl. Besonderheiten ab.Natürlich. Gibt es da Formvorlagen?
@0xff:
Wir betreuen das dann selber weiter, Notfallhilfe per Email ist aber erwünscht.
Gegebenenfalls für neue Standorte oder fundamentale Änderungen gäbe es einen neuen Auftrag.@0xff:
Prinzipiell wird nur ein bisschen geroutet und es gibt zahlreiche Rules, die Verkehr zwischen
den LAN's und von den LAN's nach außen regeln.
Es gibt zahlreiche Ausnahmen. Bestimmte Clients (ID per MAC) haben spezielle regeln.Semi-statisches DHCP per MAC Adresse? Soll das ggf. pfSense selbst übernehmen oder machen das Standortserver?
@0xff:
In der Zentrale werden offizielle IP's mit Regeln auf private IP's unserer Server
(in einer VMWare Installation) verbogen und gefiltert.Also in der Art von 1:1 NAT bzw. Redirects, verstehe ich das korrekt?
@0xff:
Diverse Clients aus bestimmten Netzen dürfen auf bestimmte Dienste.
OK
@0xff:
LAN's werden getaggt (wegen gesharten Interfaces und virtuellem Switch im BladeCenter)
VLANs?
@0xff:
Problemfall ist sicher die alte Config, die ist bestimmt unübersichtlich.
Das vermute ich fast auch.
@0xff:
Soll: IPSec.
Zwischen den Standorten muss automatisch ein VPN Tunnel gehalten werden,
i.e. auch wenn man ein Gerät powercycled, muss sich der Tunnel autom. wieder aufbauen.
Das VPN ist Standortübergreifend und hat von den Standorten Routen und Rules
auf LAN's der Zentrale. (z.B. geht da dann Citrix drüber)Dann geht auch nix anderes als IPSec. OpenVPN könnte man (noch) nicht (Heiko/Holger korrigiere mich) per Regeln eingrenzen. Automatischer Neuaufbau sollte kein Thema sein.
@0xff:
MacOSX und Windows Clients sollen auch von Extern "dial-in" an das VPN
…und alles machen dürfen? Oder ist das wieder per Regel einzudämmen? IPsec würde dann einen Client auf den Mobilen / Home Rechnern erfordern. OpenVPN wäre hier möglich (Tunnelblick für Mac bspw.) aber dann wirds wahrscheinlich kniffliger, die auch einzudämmen.
Prinzipiell, das bemerkt man sicher an meiner Fragerei, wäre ich schon interessiert das selbst oder ggf. mit meinem Kollegen zusammen umzusetzen. Ich Frage so viel, weil ich die Problemzonen für uns oder ggf. andere Interessenten schonmal abklopfen möchte (also sollte jemand anders auch Interesse haben, nur zu und melden). Mein Malus wäre, dass ich die Checkpoint nur vom Hören kenne. Mir war es nicht vergönnt mit den Dingern mal zu arbeiten (oder war das Glück? ;)). Ich bin aber von der Kombi OpenBSD (minimal) + ipf und dann später pf zu pfSense gekommen, insofern habe ich da noch ein wenig Background was Rules und Rulesets erstellen angeht und denke ich kenne mich schon ziemlich mit dem Filter aus. Wir haben auch schon einige kleinere Firewalls draußen (die großen sind leider vom nachfolgenden Dienstleister abgeklemmt worden, weil der Checkpoint oder Cisco verkaufen wollte.. grml).
Wenn du schreibst "Vor Ort Installation nicht erforderlich" - wie würdest du die Konfig haben wollen? Stellt ihr ein/zwei Geräte für die Installation zur Verfügung die man zurückschickt (inkl. CF Karten) oder wie plant ihr das?
Grüße Grey
-
soll das ein bounty sein, wenn ja, was ist die vorstellung, ein budget sollte ja projektmäßig vorhanden sein, grey macht ja schon pre-sales support. ;)
regards
heiko -
Danke Heiko, das wäre die nächste Frage gewesen. Zumindest mal um einen groben Rahmen zu kennen ;)
Gruß Jens
-
sonst ist das nämlich viel vergebene Liebsmüh, wenn das Projekt an etwaigen Rahmenbedingungen scheitert…... ;), das ist nur eine moderierende Aussage, ich greife da nicht ein, da hat "grey" den ersten Zugriff....
Viel Erfolg!
-
@0xff:
Damit man den Aufwand schätzen kann, braucht man zumindestens folgende Infos:
- Netzwerkaufbau inkl aller Netzsegmentene pro Standort.
- Anzahl der existierende Rules.
Ohne die extakte Anzahl der Rules, kann niemand den Aufwand wirklich einschätzen!!!
Eine Info über die Höhe des Budgets wäre sicher auch nicht schlecht
Deine Hardwareauswähl finde ich übrigens bemerkenswert. Da sind Performance-Problem in Richtung der Server
in der Zentrale schon vorprogrammiert. Ich sage nur 100MBit und dann noch gefiltert von einer Kiste mit 500 Mhz. ??? -
Gebe ich dir z.T. recht, Koala.
Die Hardware kann reichen, wenn bspw. VPN nicht 100MBit ist. Es gab allerdings keine Angabe zu Anbindungsbreite in den Außenstellen bzw. Zentrale, insofern muss das VPN wohl ggf. keine 100MBit/s schaffen. Da ja mit den MiniPCI Karten VPN Beschleuniger dabei sind, wirds nicht ganz so schlimm. Aber je nach Regelset und Einfachheit dessen kann da schon ein wenig Latenz reinkommen. -
Ich meine das anders…
Er schreibt, daß er 3x LAN in der Zentrale hat. Das könnte beispielsweise ein User-LAN, ein Server-LAN und eine DMZ sein.
Beispiel: User-LAN 1 GBit <--> Firewall 100 MBit <--> DMZ 1 Gbit
... dann ist die Hardware defintiv ein Flaschenhals.
-
eine unnütze diskussion wenn sich der originäre verfasser dieses threads nicht äußert..theoreme sind keine fakten…
regards
heiko -
In der Tat, Heiko. Schade drum.
Gruß Jens
-
Servus,
sorry das ich mich nicht gemeldet hab, aber ich bin etwas in Overload (darum suche ich ja jemanden)
Bestehende Doku gibt es, die wird aber gekübelt, da sehr unübersichtlich und falsch.
Auch wird die alte Config verworfen. Ist m.E. unbrauchbar.Aktuell hat laut unserem Dienstleister die Checkpoop Config für alle Standorte ca. 40 Rules.
(Ich hab aber keine Ahnung von diesem Checkdings)
Das klingt jedenfalls plausibel, weil es ist nicht sehr komplex.Ich werde gemeinsam mit einem potentiellen Auftragnehmer definieren, was von
welchem Netz in welches dürfen soll. (lustige Formulierung :) Das ist es dann auch schon.Das die Soekris Boxen für die Zentrale zu klein sein werden ist mir klar,
in den Standorten haben wir derzeit langsamere Kisten ohne HW-VPN und die sind ausreichend.
Wenn die Config mal auf CF's ist, kann man die ja woanders einbauen.
Ist eine definierte Platform denn nicht eigentlich super?…
Also, ich kann hier natürlich alles aufschreiben, was gefragt wird/wurde, aber es fällt mir
Anhand der detaillierten Fragen, die ich für eine relativ einfache, straight-forward Sache
(siehe mein erster Post) hier bekomme schon auf, das es entweder sehr kompliziert sein
muss oder der/die Interessenten nicht ausreichend qualifiziert sind bzw. das noch nie gemacht hat.Erwartet hätte ich eigentlich auch, eine Mail mit Referezen zu bekommen...
(Ich hoffe meine Regex ist nicht falsch)Ich mein, ich hab sowas bisher nur mit Linux gemacht, aber über 4 Standorte mit VPN im
Rahmen der von mir bereits genannten Bedingungen und Netze zu konfigurieren, sollte eigentlich
relativ trivial sein, wenn man mit pfSense vertraut ist und eine Aufwandsschätzung ermöglichen.
(z.B. mit Testumgebung in VM's und VSwitch)Ein Budget habe ich nicht vorgesehen, da es nicht dringlich ist, nur komme ich nicht dazu.
Aber ich werde sicher fair und leistungsbezogen zahlen.Eigentlich hätte ich da schon eine konkretere Antwort erwartet, aber somit sehe ich das
völlig emotionslos als folgenden, zu beantwortenden Fragenkatalog:- Ich kenne pfSense funktional zu ___% und habe davon ___% schon praktisch eingesetzt
- Ich kann die Anforderungen erfüllen und die pfSense Boxes konfigueriern
[] JA [] Warscheinlich [] Nein - Honorarnote [ ] Rechnung [ ] Ferienjob/400€ Job
- Ich kann fertig sein innerhalb max. __ Wochen
Greets & Schönes WE,
- pit
-
Hallo,
wenn doch das alles "relativ trivial" ist und Du den besten Überlick dabei hast, warum machst Du die Sache denn nicht selber, vor allem vor dem Hintergrund, dass Du mit dem potentiellen Auftragnehmer eh das Ruleset im VPN definieren willst, dann kannst Du das doch eh gleich selber machen.
Wie auch immer…., hast Du ne alte "einigermaßen" brauchbare config, schick Sie mir, ich erstelle Dir ein hoffentlich brauchbares Ruleset-Beispiel als xml-file für pfsense daraus, wenn Du magst, Kosten fallen da nicht an, vielleicht kommste in der Sache dann weiter.....
Regards
Heiko -
so dringend kann das hier nicht sein, keine antworten, keine dringlichkeiten, da antworten weniger als sporadisch, ersparen wir uns aufwand ohne ergebnisse…der thread ist gelockt!
