Fritzbox –- PFsense --- 2 getrennte Netzwerke



  • Hallo Liebe Community :),

    Ich bin neu hier im Forum und bin auch neu mit der Pfsense Firewall.
    Ich habe schon einige Threads/ Tutorials auch bei administrator.de gelesen und denke, dass ich hier völlig bei den richtigen Profis bin.

    Ich möchte gerne ein kleines Projekt bei mir Intern aufbauen um:
    1.) Mich mit der PFsense mehr zu befassen und mich einarbeiten.
    2.) Um dieses Projekt später bei meinem Bruder in seiner Firma anzuwenden.

    –-------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Ich habe zur Verdeutlichung ein kleines Schaubild gezeichnet wozu ich Fragen, wie ich die Anforderungen am besten realisiere.

    Es sind überall statische IPv4 Adressen vergeben.
    VPN wird über eine DynDNS Adresse aufgebaut.

    Im Anhang das Schaubild wie das Netz aufgebaut werden soll.

    Kurz das Schaubild erklärt:

    Es handelt sich um 2 Firmen die ein gemeinsames Büro an einem Standort besitzen und über einen gemeinsamen Internetanschluss (Telekom) Verbindung zum Internet aufbauen.

    Die Verbindung wird über eine Fritzbox 7490 aufgebaut.


    Von der Fritzbox wird über den S0 BUS eine Telefonanlage von Simens angesteuert, diese steuert VOiP Telefone und bedient auch die PC´s mit der CTI Funktion.

    Hinter der Fritzbox wird eine Pfsense geschalten, die die zwei Firmen intern voneinander Trennen soll.

    WAN      = WAN Port der PFsense = 192.168.178.2/24
    Firma 1: = LAN1 = 172.31.20.xxx /24
    Firma 2: = LAN2 (OPT1) = 172.31.17.xxx/24 
    Alles wie auf dem Schaubild zu sehen.


    Nun kommt es zu meinen Fragen bzw. Anforderungen wo ich Unterstützung von euch benötige wie ich dies in der Pfsense mit den Firewall Regeln genau einstellen muss.
    Wie diese strukturiert eingestellt werden sollen.


    Anforderung 1)

    Firma 1 und Firma 2 sollen komplett voneinander getrennt werden aber beide über den WAN Port an der PFsense in das Internet kommen.


    Anforderung2)

    Ein Benutzer/PC aus LAN 2 (Steffen PC: 172.31.17.51) muss auf das LAN 1 (172.17.20.xxx)zugreifen dürfen.
    Alle anderen Clients aus LAN 2 dürfen nicht auf das LAN1 zugreifen.

    Hier stellt sich mir die Frage welche Firewall Regeln wie korrekt angewandt werden sollen ??


    Anforderung 3) letzte Prioriät:

    2 PCs stellen eine Client to Site VPN IPsec Verbindung mittels Shrew Soft Client zu der Pfsense her.
    Diese dürfen aber nur auf das LAN 2 zugreifen.

    Eine weitere VPN Verbindung IPSec (Site to Site) wird zur Pfsense hergestellt, diese soll aber nur auf das LAN1 zugreifen dürfen.

    Wie lauten hier die korrekten Firewall Regeln.


    Sry falls es viel ist und teilweise dumme Fragen, ich möchte aber gerne vorweg meine Denkfehler aus dem Weg räumen und mich korrekt in das Thema PFsense einarbeiten.

    Bin für jede Hilfe sehr sehr dankbar.

    Grüße Philipp



  • Moderator

    Hallo Philipp,

    Firma 1 und Firma 2 sollen komplett voneinander getrennt werden aber beide über den WAN Port an der PFsense in das Internet kommen.

    Geht. Dazu einfach am jeweiligen Interface das Netz des anderen Interfaces blocken. Beispiel: LAN 172.31.20.x/24, OPT1 172.31.17.x/24. Auf LAN jetzt als alleroberste Regel eine Block Regel auf Destination "Network 172.31.17.0/24" setzen. Auf OPT1 das Gleiche aber mit .20.0/24.

    Ein Benutzer/PC aus LAN 2 (Steffen PC: 172.31.17.51) muss auf das LAN 1 (172.17.20.xxx)zugreifen dürfen.

    Eine weitere Regel VOR der Regel aus der letzten Frage einfügen und zwar auf dem Interface, auf dem der PC hängt (LAN2/OPT1). Dort dann ÜBER der Block Regel eine Allow Regel mit Source "H_steffen" -> Alias auf die genannte IP und mit Destination wieder das Netz von LAN1.
    Wichtig dass der Allow VOR dem Block kommt, damit wird sichergestellt, dass erst der einzelne PC erlaubt, dann alles restliche verboten wird. Dann kommt darunter wahrscheinlich noch die Allow Any Regel fürs Internet.

    2 PCs stellen eine Client to Site VPN IPsec Verbindung mittels Shrew Soft Client zu der Pfsense her.
    Diese dürfen aber nur auf das LAN 2 zugreifen.

    Dann muss das auf dem IPSec Interface entsprechend konfiguriert werden. Dort werden die verbundenen Clients voraussichtlich aufploppen. Ich würde zwar eher OpenVPN bevorzugen, aber das sei mal nebenangestellt.

    Eine weitere VPN Verbindung IPSec (Site to Site) wird zur Pfsense hergestellt, diese soll aber nur auf das LAN1 zugreifen dürfen.

    Auch das kein (großes) Problem, auch hier wieder: Muss unter dem Reiter "IPSec" dann konfiguriert werden, der dann auftaucht, sobald der erste IPSec Kram konfiguriert ist (wird dann als virtuelles Interface 1:1 wie WAN/LAN1/LAN2 gehandhabt).

    Vorteil an der Stelle von OVPN vs. IPSec: IPSec kann hier nur als eine Einheit auftauchen (ein Reiter, ein virt. Interface). Bei OVPN kann je nach Konfiguration mehrere getrennte Interfaces erstellt werden. Ebenso ist mit ein wenig Feinkonfiguration möglich, eingeloggten Clients immer die gleiche IP zuzuweisen, womit man feingranularer die Rechte auf vorhandene Systeme vergeben kann.

    Grüße
    Jens



  • Servus Jens,

    vorerst Danke Danke, dass du dich durch mein etwas größer ausgefallenen Tex geschlagen hast :D
    Danke auch für die Super Antworten.

    –--

    --> Wenn ich nun eine Block Regel auf das jeweils andere Netz erstelle, muss ich dann als source any oder das Source Netz auch mit angeben ? Oder muss ich bei Source dann garnichts angeben ?

    z.B. Source 172.31.17.0 --> Destination 172.31.20.0 ??


    Wenn ich darüber dann eine Pass Regel erstelle mit von LAN1 auf LAN2/OPT1:

    Source:172.31.17.150 / Port: Any  ----> Destination: 172.31.20.0

    Muss ich dann auf der Gegenseite LAN2/OPT2 auch eine Regel für die Rückantwort erstellen ??

    Dann kommt darunter wahrscheinlich noch die Allow Any Regel fürs Internet.

    Wie soll diese Regel genau lauten=???
    Wenn ich nun nach den Block Regeln den Rest erlaube ist ja eigentlich alles offen, bis auf die oben geblockten Regeln ?


    Zu dem Thema mit dem IPSec hätte ich noch eine Verständnissfrage:
    Wenn ich nun 2 CLient to Site und eine Site to Site Verbindung mit der Pfsense herstelle tauchen alle 3 IPSec Verbindungen als ein gemeinsames neues Interface auf (wie du beschrieben hast).

    Nun stellt sich mir aber hier die Frage, wie ich nun die 2 Client to Site Verbindungen nur in das Netzwerk LAN2 / OPT1 bekomme und die Site to Site Verbindung nur in das Netz LAN1 ??

    Wenn es ein gemeinsames Interface ist ??  :o :(

    Open VPN meinst du ist die bessere alternative  :-, werde ich mir dann auch mal noch ansehen.
    Das Problem ist, dass an der anderen Stelle von wo aus eine Site to Site Verbindung aufgebaut werden soll ein Draytek 2925 Router steht der leider kein OPenVPN unterstützt.

    Ich könnte theoretisch auch die Site to Site Verbindung mit IPSec herstellen und die zwei Client to Site Verbindungen mit OPen VPN oder ???

    Danke nochmals...

    Grüße Philipp



  • Hi Philipp,

    zur Anforderung 3 ist es ziemlich egal das es das selbe 'Interface' ist.

    Die Clients welche sich als mobile Clients einwählen und deine Site-to-Site Verbindung arbeiten in zwei verschiedenen Subnetzen.

    Daher brauchst du nur im IPSec Interface Regeln zu setzen die aussehen wie:

    Client-Subnet pass LAN2
    Client-Subnet block LAN1
    Site1-Subnet pass LAN1
    Site1-Subnet block LAN2

    Wenn es nur die Regeln gibt ist die Reihenfolge ziemlich egal.

    Liebe Grüße



  • Hi Wexxler,

    danke für deine Hilfe.

    IPSec Regeln werde ich testen, wenn ich die Netze voneinander getrennt bekomme.

    Ich habe gestern die Netztrennung zwischen LAN1: 172.31.20.0 /24 und LAN2/OPT1: 172.31.17.0 /24 veruscht, leider ohne Erfolg.

    Ich werde heute oder morgen alles nochmasl komplett neu einrichten und ggfs hier screenshots hochladen, damit ihr mir beim Troubleshooting helfen könnt.

    Grüße Philipp


  • Moderator

    Hallo nochmal,

    ich hab jetzt deine Hauptprobleme mal kurz in ein paar Screenshots verpackt. Sorry, die sind von meiner Testmaschine mit pfSense 2.3RC, deshalb sehen die schon etwas anders aus, aber ich denke man kann das abstrahieren ;)

    Bitte das MGMT Interface ignorieren, das ist mein "LAN" bzw. Management Interface über welches die pfSense administriert wird, deshalb ist auf einem der LANs nicht die Anti-Lockout Regel zu sehen, die sonst dort zu finden wäre.

    1. NAT: Erstmal deine NAT Einstellungen prüfen, dass beide LANs sauber ins Internet via WAN dürfen. Sollte in etwa so aussehen wie im Bild, jeweils zwei Regeln mit den LAN Netzen und WAN als Gateway für NAT.

    2. Alias anlegen: Hier ein Alias für mgmt Hosts anlegen, die dann eben vom LAN2 ins LAN1 dürfen, in dem Fall erstmal nur der PC Steffen.

    3. WAN Regeln: Sind leer, es soll ja nichts vom Internet rein dürfen (VPN jetzt mal ausgenommen). Standard Bogon und Private Blocks sind an, es sei denn du bekommst das Internet selbst über einen zweiten Router und private Adressen, dann muss der Haken natürlich raus.

    4. LAN1 Regeln: Sehen wahrscheinlich nach Neuinstallation so aus wie im "PRE" Screenshot: Default IPv4 und IPv6 allow any Regeln für transparenten Zugriff ins Internet - und ins LAN2, was wir nicht wollen

    5. LAN1 Regeln danach: So blockst du den Zugriff ins LAN 2. Von LAN1 net nach LAN2 net - Rejecten/Blocken. Und die Regel muss natürlich ÜBER also VOR der allow any Regel sein, damit zuerst geblockt wird.

    6. LAN2 Regeln: 1:1 wie auch auf dem LAN1 wird LAN2 konfiguriert mit einer Ausnahme. Wir fügen als oberste Regel noch die Erlaubnis für die Mgmt Hosts ein, dass diese ins LAN1 rüber dürfen, danach wird der Zugriff vom Rest des LAN2->LAN1 unterbunden und danach wird der Rest der Welt (Internet) freigegeben.

    Das wars. So sollte es im Normalfall funktionieren. :)














  • Hallo  :P

    WOOOOOOW großes großes Danke  Jens…  :)

    Da werde ich mich doch gleich mal ans Werk machen und alles testen.

    Grüße Philipp



  • Guten morgen zusammen,

    ich habe gestern Abend nochmals die Pfsense komplett neu aufgesetzt und alles nochmals korrekt eingerichtet.

    Siehe da es funktioniert nun so wie es sein soll.
    Die Netze LAN2 und LAN1 sind voneinander abgeschottet, der Client aus LAN2 darf aber auf LAn1 zugreifen.

    Nun eien Frage:

    Ich habe ja dem Client aus LAN2 generell eine Regel mit Any gegeben.
    Wenn ich ihm nur den Zugriff auf die Freigaben von LAN1 geben möchte (d.h. auf SMB Share) welche Ports muss ich denn dann freigeben ?

    Ich habe schon wie Wild rumgetestet. UDP Port 137 - 138,  TCP Port 139 und 445. Leider alles ohne Erfolg.

    Sobald ich die Ports wieder auf any konfiguriere komme ich ohne Probleme auf die Freigaben drauf mhh

    Muss ich zusätzlich noch Ports freigeben ?

    –----------------

    Auch die IPSec VPN Verbindung funktioniert hinter der Fritzbox einwandfrei.

    Sollte ich bei der IP Sec VPN Verbindung immer MUtual PSK + Xauth benutzen oder reicht auch nur Mutual PSK ??

    Viele Grüße Philipp



  • Moin Gerber,

    TCP 445 sollte vollkommen ausreichen bei Betriebssystemen Windows 7+, Windows 2008 R2+ für einen direkten Zugriff auf ein gemaptes Share.

    Das Xauth steht für eine Benutzerauthentifizierung, sprich ein Benutzernamen und Passwort bei der Anmeldung im VPN Netz.
    Das Mutual PSK ist die Authentifizierung für Client und Server.


  • Banned

    Genau, für Samba-Zugriff reicht eine einzig Regel mit ALLOW TCP/UDP port 445 an dem Interface, an dem der ANFRAGENDE Rechner sitzt (nicht das Samba-share…)



  • Morgen zusammen,

    Danke euch.

    Das komische ist.
    Wenn ich den TCP/UDP Port 445 per Pass erlaube.

    Komme ich eben nicht auf die Freigaben des Rechners.

    Erst wenn ich wieder den Port auf Any umändere –-> verstehe ich nicht  ??? ???


    @ Wexxler:

    Alles klar, weis ich beim IPSec bescheid.

    Grüße Philipp



  • @Gerber:

    Das komische ist.
    Wenn ich den TCP/UDP Port 445 per Pass erlaube.

    Komme ich eben nicht auf die Freigaben des Rechners.

    Erst wenn ich wieder den Port auf Any umändere –-> verstehe ich nicht  ??? ???

    Was meinst Du denn ganz genau mit 'komme nicht auf Freigaben'? Kannst Du nur die Shares im Browser / Explorer nicht sehen, oder ist ein Zugriff auch nicht möglich, wenn Du ein Share direkt eingibst?



  • Hi,

    Was meinst Du denn ganz genau mit 'komme nicht auf Freigaben'?

    Wenn ich im Explorer die Freigabe über "\172.31.20.150" zugreifen will bekomme ich eine Fehlermeldung.

    Wenn ich nun die Port Regel Any einstelle und wieder auf die Freigabe "\172.31.20.150" zugreifen will, bekomme ich die Freigaben angezeigt.


  • Banned

    …na dann würde ich mal nachschauen (firewall log), welche Anfragen geblockt werden, wenn nur 445 freigegeben ist ;-)



  • Ich habe den Log von dem Host schon mitgeschnitten.

    Jedoch zeigt der Log nix an.
    Welcher Log eignet sich denn dafür am besten ?


  • Banned

    Status -> System logs -> Firewall

    ggf. in Status -> System logs ->  Settings

    "Log packets matched from the default block rules put in the ruleset"

    mal das Häckchen (wieder?) setzen.

    Aber nochmal: Ich kommen mit der 445-Regel mit einem Win7 64 auf einen Linux Samba share im anderen Netzwerk…



  • Okay danke dir…

    Status -> System logs -> Firewall

    ggf. in Status -> System logs ->  Settings

    Ich werde heute Abend das ganze nochmals im Log nachsehen, habe sie leider nicht auf der Arbeit dabei :D :D

    Aber nochmal: Ich kommen mit der 445-Regel mit einem Win7 64 auf einen Linux Samba share im anderen Netzwerk…

    Mhh selstam, die Regel ist auch bei mir an erster Stelle, d.h. es kann keine andere Regel dazwischen funken.

    Grüße Philipp



  • @Gerber:

    Hi,

    Was meinst Du denn ganz genau mit 'komme nicht auf Freigaben'?

    Wenn ich im Explorer die Freigabe über "\172.31.20.150" zugreifen will bekomme ich eine Fehlermeldung.

    Wenn ich nun die Port Regel Any einstelle und wieder auf die Freigabe "\172.31.20.150" zugreifen will, bekomme ich die Freigaben angezeigt.

    Hast du denn das Share mal gemapt? Ich wäre mir nicht so sicher ob Windows vor dem Zugriff auf 445 nicht noch was anderes abfragen möchte für seine Statistiken/Heimnetze/Boradcast.

    net use X: \172.31.20.150\share /user:username password



  • Hey,

    danke an alle.

    Ooooo man bin ich blööde.
    Ich hatte einen ganz dummen Denkfehler :D sryyyy. :-\ :-\

    –> Ich hatte den TCP 445 Port bei Source mitgegeben und nicht auf Destination  :-X.

    Korrekte Portregel:

    Source LAN2 Netz / Protokoll: any / Destination: LAn1 Net /Protokoll: TCP 445

    Danke nochmals an alle für die Hilfe.

    Grüße Philipp