7
Tipp für bessere Netzstruktur gesucht - pfSense und WinServer 2003 und 2 (V)LANs
Dies ist meine erste Frage hier im Forum. Ich versuche möglichst präzise zu sein, aber bitte um Nachsicht falls ich etwas vergessen sollte.
Es geht um Folgendes:
Ich hoffe ich kann hier ein paar Tipps bekommen wie ich unsere Installation hier in unserer Mini-Firma verbessern kann. Es geht um folgendes:
1.) Den Zugang zum Internet haben wir über eine feste IP, daran angeschlossen ist ein pfsense (2.0) Installation die den Zugang für die dahinterliegenden Rechner als Internetgateway realisieren soll. (d.h. nur WAN und LAN Schnittstelle, kein DHCP, kein DNS -> Standardinstallation mit fester IP Adresse 10.10.20.1 auf der LAN Seite)
2.) Es gibt einen Windows Server 2003 (Standard) als DC der die Nutzeranmeldung an allen Rechnern im Netz / Nutzerverwaltung, DHCP, DNS, sowie als Fileserver arbeiten soll. Wenn möglich auch als Exchange Server (ja, OK besser nicht auf dem DC...)
3.) Das (interne) Netz soll aus zwei Teilen bestehen, zwischen den Teilen ist KEIN Routing erwünscht / erforderlich.
3a) der eine Teil (10.10.10.x, rund 15 Rechner in unserem Labor) soll keine Zugang zum Internet haben, aber Daten auf dem Server ablegen können
3b) Der andere Teil (10.10.20.x, knapp 10 Rechner in den Büros) soll Zugang zum Internet haben und mit den Daten auf dem Server arbeiten können
3c) Betriebssysteme auf den Rechnern sind Windows NT4, Windows XP, und Windows 7
Meine Frage ist: Wie realisiere ich sowas am elegantesten ? Bislang haben wir für die Vernetzung relativ einfache Level2 Switche wie HP2900, HP proCurve 1810 und nicht konfigurierbare 3COM Desktop Switche) im Einsatz.
Aktuell ist es wie folgt gemacht:
Der Server 2003 läuft als Multihomed DC, was leider auch so seine Probleme hat (ist hier im Forum ja schon oft angesprochen worden). Ich habe schon hin und her überlegt wie ich es besser machen kann, aber meine (relativ geringe) Erfahrung scheint da nicht auszureichen:
die pfSense Installation, der Server mit einer Karte und die 10 Rechner sind alle in dem 10.10.20.x Netz.
in dem zweiten Netz (10.10.10.x) ist der Server mit der zweiten Karte und die anderen 15 Rechner.
Das klappt zwar einigermassen, aber es kommt immer wieder zu hängern und ich glaube einfach das es da doch auch eine elegantere Lösung geben sollte.
Habt ihr dazu Tipps?
Jetzte bereits Danke!
Gruß
Andreas
Ich hoffe ich kann hier ein paar Tipps bekommen wie ich unsere Installation hier in unserer Mini-Firma verbessern kann. Es geht um folgendes:
1.) Den Zugang zum Internet haben wir über eine feste IP, daran angeschlossen ist ein pfsense (2.0) Installation die den Zugang für die dahinterliegenden Rechner als Internetgateway realisieren soll. (d.h. nur WAN und LAN Schnittstelle, kein DHCP, kein DNS -> Standardinstallation mit fester IP Adresse 10.10.20.1 auf der LAN Seite)
2.) Es gibt einen Windows Server 2003 (Standard) als DC der die Nutzeranmeldung an allen Rechnern im Netz / Nutzerverwaltung, DHCP, DNS, sowie als Fileserver arbeiten soll. Wenn möglich auch als Exchange Server (ja, OK besser nicht auf dem DC...)
3.) Das (interne) Netz soll aus zwei Teilen bestehen, zwischen den Teilen ist KEIN Routing erwünscht / erforderlich.
3a) der eine Teil (10.10.10.x, rund 15 Rechner in unserem Labor) soll keine Zugang zum Internet haben, aber Daten auf dem Server ablegen können
3b) Der andere Teil (10.10.20.x, knapp 10 Rechner in den Büros) soll Zugang zum Internet haben und mit den Daten auf dem Server arbeiten können
3c) Betriebssysteme auf den Rechnern sind Windows NT4, Windows XP, und Windows 7
Meine Frage ist: Wie realisiere ich sowas am elegantesten ? Bislang haben wir für die Vernetzung relativ einfache Level2 Switche wie HP2900, HP proCurve 1810 und nicht konfigurierbare 3COM Desktop Switche) im Einsatz.
Aktuell ist es wie folgt gemacht:
Der Server 2003 läuft als Multihomed DC, was leider auch so seine Probleme hat (ist hier im Forum ja schon oft angesprochen worden). Ich habe schon hin und her überlegt wie ich es besser machen kann, aber meine (relativ geringe) Erfahrung scheint da nicht auszureichen:
die pfSense Installation, der Server mit einer Karte und die 10 Rechner sind alle in dem 10.10.20.x Netz.
in dem zweiten Netz (10.10.10.x) ist der Server mit der zweiten Karte und die anderen 15 Rechner.
Das klappt zwar einigermassen, aber es kommt immer wieder zu hängern und ich glaube einfach das es da doch auch eine elegantere Lösung geben sollte.
Habt ihr dazu Tipps?
Jetzte bereits Danke!
Gruß
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 178672
Url: https://administrator.de/contentid/178672
Printed on: April 25, 2024 at 12:04 o'clock
7 Comments
Latest comment
Du hast doch schon alles dafür am Laufen:
PfSense mit 3 Interfaces:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dafür kannst du dann eines fürs Labor benutzen und wasserdicht abtrennen.
Falls du mehrere Segmente benötigst als die 3 festen Ports arbeitest du mit VLANs !
Deine billigen 3Com und HP Gurken supporten das allemal, da bist du also besten gerüstet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
So kannst du weitere Segmente sicher abtrennen und/oder den Internet Zugang damit regeln wie z.B. ein Gäste WLAN oder Gäste LAN mit einem CP wie im Tutorial beschrieben.
Wo ist denn nun dein wirkliches Problem ??
PfSense mit 3 Interfaces:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dafür kannst du dann eines fürs Labor benutzen und wasserdicht abtrennen.
Falls du mehrere Segmente benötigst als die 3 festen Ports arbeitest du mit VLANs !
Deine billigen 3Com und HP Gurken supporten das allemal, da bist du also besten gerüstet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
So kannst du weitere Segmente sicher abtrennen und/oder den Internet Zugang damit regeln wie z.B. ein Gäste WLAN oder Gäste LAN mit einem CP wie im Tutorial beschrieben.
Wo ist denn nun dein wirkliches Problem ??
Vermutlich bin ich einfach zu blöd:
erstmal vielen Dank für die konstruktive Kritik an meinen Gurken
Bislang haben die ganz gut gearbeitet, aber zugegebenermassen sinds keine echten Profigeräte. Naja, wir sind halt auch sehr klein. Aber zu deiner Frage:
Prinzipiell läuft es ja auch, allerdings habe ich halt momentan im Windows DC zwei Netzwerkkarten (Labor und Büro/Internet) drin und zwei im pfSense rechner (WAN und LAN)
OK du hast natürlich prinzipiell recht: ich kann eine weitere Karte in den pfSense Rechner einbauen und dann das Labornetz an eine Karte hängen und den Server und das Büronetz an die andere. pfSense kann dann dazwischen routen. genau Das die Laborrechner nicht ins Internet kommen müsste dann vermutlich über (interne) Firewall Regeln einstellen !?
Wie erreiche ich aber das die Laborrechner (NUR) auf den Server zugreifen können und nicht auf die Bürorechner und Die Bürorechner auf den Server und nicht auf die Laborrechner? Was ich mir evtl. vorstellen kann ist bestenfalls folgendes (wie gesagt ich habe leider nicht ganz so viel Ahnung):
Drei Netze erstellen:
LAN: 10.10.10.x LABOR
LAN: 10.10.20.x Büros
LAN: 10.10.30.x Server
WAN: fixe Adresse (a.b.c.d)
Und alle it pfSense verbinden (dazu bräuchte ich dann entweder vier Karten in dem rechner oder ich müsste es über VLANs und einen der HP Switche machen).
Was ich allerdings dann nicht m,ehr auf die Reihe bekomme ist, wie ich das Routing so einstelle, dass:
a) Labor Zugriff auf Server hat, aber nicht auf Internet
b) Büro Zugriff auf Server und Internet hat
c) Labor keinen Zugriff auf Büro hat und umgekehrt.
vermutlich ist das für einen mit mehr Erfahrung ganz einfach, für mich leider nicht...
Trotzdem schon einmal vielen Dank das du dich überhaupt gemeldet hast, das ist nicht immer selbstverständlich.
Gruß
Andreas
erstmal vielen Dank für die konstruktive Kritik an meinen Gurken
Bislang haben die ganz gut gearbeitet, aber zugegebenermassen sinds keine echten Profigeräte. Naja, wir sind halt auch sehr klein. Aber zu deiner Frage:Prinzipiell läuft es ja auch, allerdings habe ich halt momentan im Windows DC zwei Netzwerkkarten (Labor und Büro/Internet) drin und zwei im pfSense rechner (WAN und LAN)
OK du hast natürlich prinzipiell recht: ich kann eine weitere Karte in den pfSense Rechner einbauen und dann das Labornetz an eine Karte hängen und den Server und das Büronetz an die andere. pfSense kann dann dazwischen routen. genau Das die Laborrechner nicht ins Internet kommen müsste dann vermutlich über (interne) Firewall Regeln einstellen !?
Wie erreiche ich aber das die Laborrechner (NUR) auf den Server zugreifen können und nicht auf die Bürorechner und Die Bürorechner auf den Server und nicht auf die Laborrechner? Was ich mir evtl. vorstellen kann ist bestenfalls folgendes (wie gesagt ich habe leider nicht ganz so viel Ahnung):
Drei Netze erstellen:
LAN: 10.10.10.x LABOR
LAN: 10.10.20.x Büros
LAN: 10.10.30.x Server
WAN: fixe Adresse (a.b.c.d)
Und alle it pfSense verbinden (dazu bräuchte ich dann entweder vier Karten in dem rechner oder ich müsste es über VLANs und einen der HP Switche machen).
Was ich allerdings dann nicht m,ehr auf die Reihe bekomme ist, wie ich das Routing so einstelle, dass:
a) Labor Zugriff auf Server hat, aber nicht auf Internet
b) Büro Zugriff auf Server und Internet hat
c) Labor keinen Zugriff auf Büro hat und umgekehrt.
vermutlich ist das für einen mit mehr Erfahrung ganz einfach, für mich leider nicht...
Trotzdem schon einmal vielen Dank das du dich überhaupt gemeldet hast, das ist nicht immer selbstverständlich.
Gruß
Andreas
Nein, nein zu blöd nicht aber manchmal sieht man halt den Wald vor lauter Bäumen nicht....
Das die Laborrechner nur mit dem Server kommunizieren können erreichst du ganz einfach durch eine Firewall Regel an der pfSense indem du Traffic nur für die IPs der Laborrechner (Source) auf die Server IP (Destination) freigibst. Idealerweise schränkst du auch noch die Ports ein damit die wirklich nur das tun was sie dürfen.
Was die Infrastruktur anbetrifft bist du auf dem richtigen Wege.
Ob du nun 3 oder 4 LAN Segmente oder analog VLANs einrichtest ist eher eine kosmetische Frage. Das hängt davon ab wieviel Bürorechner im Segment sind. Der Break Even liegt so bei 50 Geräten.
Es ist also durchaus denkbar und sinnvoll das du die Server einfach mit ins Büro Segment nimmst und nur das Labor Netz separierst sofern du nur 1 oder 2 Server hast.
Das ist mehr oder weniger eine kosmetische Frage und von dir abhängig was du sinnvoller findest... Sinnvoll ist aber immer die Server NICHT mit 2 NICs zu betreiben und das gesamte Routing und Firewalling der pfSense zu überlassen, denn die kann das besser und erheblich sicherer als der Server.
Was das Netzwerk Design anbetrifft hast du nun genau 2 Optionen:
Option 1.)
Du belässt deine HW wie sie derzeit ist und richtest auf deinen 2 Switches die 3 (oder 4) VLANs ein. Das kannst du im laufenden Betrieb schon nebenbei machen.
Die Switches brauchen einen tagged Uplink womit sie untereinander verbunden werden um alle VLANs über die Switches transparent im Zugriff zu haben.
Eine weiteren tagged Uplink verbindest du mit einem Port, sprich dem LAN Port auf der pfSense.
Dann richtest du auf der pfSense auf dem LAN Port einen tagged Port ein und generierst dort die VLAN Interfaces. Machst also diesen Port auch tagging fähig um so alle VLANs erreichen zu können.
Physisch gesehen hat die pfSense dann in jedem VLAN ein Interface und kann so routen bzw. firewallen zwischen den Segmenten OHNE das du in neue HW investieren musst oder den pfSense Rechner anfassen musst was wenig Aufwand bedeutet.
Den pfSense hängst du über ein Modem (bevorzugt) bzw. Router mit dem WAN Port direkt an das Internet.
Wie man pfSense für VLANs einrichtet findest du hier genau erklärt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hast du alles richtig gemacht sieht das dann so aus:
(Die VLANs sind hier nur stilisiert dargestellt sie sind natürlich auf beiden Switches transparent verfügbar !)
Option 2):
Da müsstest du Hardware in die Hand nehmen und den pfSense Rechner um 1 oder 2 NIC Karten aufrüsten.
Die ToDos sind dann die gleichen wie beim VLAN Design oben nur der Unterschied ist das jedes Segment seine eigene NIC hat im pFsense.
Das gleicht den leichten Nachteil aus das beim obigen VLAN Design jeglicher Traffic auch der zwischen den VLANs über einen einzelnen Link geht.
Ist das Traffic Volumen zwischen Labornetz und Server gering und benutzt du GiG Interfaces ist das aber vernachlässigbar.
Die Zugriffsregeln wie die oben genanten a.) , b.) und c.) richtest du dann ganz einfach mit ein paar Firewallregeln in den jeweiligen Interfaces an der pfSense per WebGUI und Mausklick ein.
In den Logs kannst du sogar sehen wer der böse Buhmann der Kollegen ist der trotzdem versucht zuzugreifen
Damit kannst du zentral die Kommunikation auf einem Gerät (der pfSense) verwalten und das grafisch mit ein paar Mausklicks. Zudem kannst du die Zugriffsregeln auch überwachen und alle Verstösse dokumentieren !
Auch ein Gäste WLAN oder LAN mit Hotspot und Einmalpasswörtern ist so zusätzlich noch problemlos möglich:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Du kannst auch eine Konfig fahren aus Option 1 und 2 also das du ein Interface dediziert laufen lässt und eins dann mit VLANs.
Das hängt davon ab was du an HW Recourcen hast und wie genau du dein Netzwerk letztlich segmentieren willst.
Im Grunde hast du alles parat, du musst nur ein wenig umkonfigurieren...das ist alles !
Auch mit wenig Erfahrung ist das schnell machbar. Die o.a. Tutorials helfen dir dabei das schnell und problemlos umzusetzen !
Das die Laborrechner nur mit dem Server kommunizieren können erreichst du ganz einfach durch eine Firewall Regel an der pfSense indem du Traffic nur für die IPs der Laborrechner (Source) auf die Server IP (Destination) freigibst. Idealerweise schränkst du auch noch die Ports ein damit die wirklich nur das tun was sie dürfen.
Was die Infrastruktur anbetrifft bist du auf dem richtigen Wege.
Ob du nun 3 oder 4 LAN Segmente oder analog VLANs einrichtest ist eher eine kosmetische Frage. Das hängt davon ab wieviel Bürorechner im Segment sind. Der Break Even liegt so bei 50 Geräten.
Es ist also durchaus denkbar und sinnvoll das du die Server einfach mit ins Büro Segment nimmst und nur das Labor Netz separierst sofern du nur 1 oder 2 Server hast.
Das ist mehr oder weniger eine kosmetische Frage und von dir abhängig was du sinnvoller findest... Sinnvoll ist aber immer die Server NICHT mit 2 NICs zu betreiben und das gesamte Routing und Firewalling der pfSense zu überlassen, denn die kann das besser und erheblich sicherer als der Server.
Was das Netzwerk Design anbetrifft hast du nun genau 2 Optionen:
Option 1.)
Du belässt deine HW wie sie derzeit ist und richtest auf deinen 2 Switches die 3 (oder 4) VLANs ein. Das kannst du im laufenden Betrieb schon nebenbei machen.
Die Switches brauchen einen tagged Uplink womit sie untereinander verbunden werden um alle VLANs über die Switches transparent im Zugriff zu haben.
Eine weiteren tagged Uplink verbindest du mit einem Port, sprich dem LAN Port auf der pfSense.
Dann richtest du auf der pfSense auf dem LAN Port einen tagged Port ein und generierst dort die VLAN Interfaces. Machst also diesen Port auch tagging fähig um so alle VLANs erreichen zu können.
Physisch gesehen hat die pfSense dann in jedem VLAN ein Interface und kann so routen bzw. firewallen zwischen den Segmenten OHNE das du in neue HW investieren musst oder den pfSense Rechner anfassen musst was wenig Aufwand bedeutet.
Den pfSense hängst du über ein Modem (bevorzugt) bzw. Router mit dem WAN Port direkt an das Internet.
Wie man pfSense für VLANs einrichtet findest du hier genau erklärt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hast du alles richtig gemacht sieht das dann so aus:
Option 2):
Da müsstest du Hardware in die Hand nehmen und den pfSense Rechner um 1 oder 2 NIC Karten aufrüsten.
Die ToDos sind dann die gleichen wie beim VLAN Design oben nur der Unterschied ist das jedes Segment seine eigene NIC hat im pFsense.
Das gleicht den leichten Nachteil aus das beim obigen VLAN Design jeglicher Traffic auch der zwischen den VLANs über einen einzelnen Link geht.
Ist das Traffic Volumen zwischen Labornetz und Server gering und benutzt du GiG Interfaces ist das aber vernachlässigbar.
Die Zugriffsregeln wie die oben genanten a.) , b.) und c.) richtest du dann ganz einfach mit ein paar Firewallregeln in den jeweiligen Interfaces an der pfSense per WebGUI und Mausklick ein.
In den Logs kannst du sogar sehen wer der böse Buhmann der Kollegen ist der trotzdem versucht zuzugreifen
Damit kannst du zentral die Kommunikation auf einem Gerät (der pfSense) verwalten und das grafisch mit ein paar Mausklicks. Zudem kannst du die Zugriffsregeln auch überwachen und alle Verstösse dokumentieren !
Auch ein Gäste WLAN oder LAN mit Hotspot und Einmalpasswörtern ist so zusätzlich noch problemlos möglich:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Du kannst auch eine Konfig fahren aus Option 1 und 2 also das du ein Interface dediziert laufen lässt und eins dann mit VLANs.
Das hängt davon ab was du an HW Recourcen hast und wie genau du dein Netzwerk letztlich segmentieren willst.
Im Grunde hast du alles parat, du musst nur ein wenig umkonfigurieren...das ist alles !
Auch mit wenig Erfahrung ist das schnell machbar. Die o.a. Tutorials helfen dir dabei das schnell und problemlos umzusetzen !
drei kurze Ergänzungsfragen:
1.) DNS und DHCP macht der Windows Server 2003 oder doch besser pfSense ?
2.) Unter der Annahme das ich das Labornetz (10.10.10.x) und das Server+Büronetz habe (10.10.20.x) muss ich
- Die Firewall so einstellen das die 10.10.10.x recner nur auf die Server IP zugreifen können
- pfSense ist für alle Rechner Standard Gateway
- Generell muss ich pfSense so einrichten, dass ein Routing vom 10.10.10.x in das 10.10.20.x Netz und zurück stattfindet. Richtig? Da muss ich nochmal nachlesen wie man das genau machen muss, den Link hattest du ja oben schon angegeben... nochmal ganz herzlichen Dank!
3.) Zugriff vom WAN aus auf den Windows Server (Exchange) müsset man wohl am besten über einen VPN Zugang realisieren können oder? Es geht darum ggf. Mitarbeitern von unterwegs einen Zugang zu ermöglichen. Da müsste doch z.B. VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP gut passen oder?
Danke!
Gruß
Andreas
1.) DNS und DHCP macht der Windows Server 2003 oder doch besser pfSense ?
2.) Unter der Annahme das ich das Labornetz (10.10.10.x) und das Server+Büronetz habe (10.10.20.x) muss ich
- Die Firewall so einstellen das die 10.10.10.x recner nur auf die Server IP zugreifen können
- pfSense ist für alle Rechner Standard Gateway
- Generell muss ich pfSense so einrichten, dass ein Routing vom 10.10.10.x in das 10.10.20.x Netz und zurück stattfindet. Richtig? Da muss ich nochmal nachlesen wie man das genau machen muss, den Link hattest du ja oben schon angegeben... nochmal ganz herzlichen Dank!
3.) Zugriff vom WAN aus auf den Windows Server (Exchange) müsset man wohl am besten über einen VPN Zugang realisieren können oder? Es geht darum ggf. Mitarbeitern von unterwegs einen Zugang zu ermöglichen. Da müsste doch z.B. VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP gut passen oder?
Danke!
Gruß
Andreas
Drei kurze Ergänzungsantworten:
1.) pfSense kann keinen vollen DNS ersetzen, es kann nur Proxy DNS sein, das sollte dir klar sein ! Wenn du eine dynamische DHCP zu DNS Auflösung hast ist es besser den Winblows das machen zu lassen und dem in der DNS Konfig einen Weiterleitung auf die lokale pfSense IP Adresse einzutragen, der dann Proxy ins Internet macht !
2.)
- a.) Ja richtig, denn die Firewall Regeln greifen immer nur inbound d.h. eingehend ! Also immer jede einzelne Labor Rechner IP 10.10.10.x (Source) auf die Server IP (Destination) eintragen und sonst nix. Evtl. noch den Port limitieren.
Achtung die FW Regeln werden immer der Reihe abgearbeitet, Reihenfolge zählt also auch in der Logik !
- pfSense ist für alle Rechner Standard Gateway A.: Ja, richtig ! (was auch sonst ?!!)
- Nein, das ist Blödsinn. Alle Netze sind ja direkt an der pfSense physisch angeschlossen. pfSense "kennt" allso alle IP Netze !
Ein Routing zu konfigurieren wäre hier also Unsinn denn pfSense macht das schon richtig für dich. Wichtig ist nur die gateway IP auf den Clients das die zur pfSense IP zeigt im jeweiligen Segment s.o.!
3.) Ja, VPN wäre aus Sicherheitssicht das Allerbeste und Ja das o.a.Tutorial beschreibt dir die genaue Vorgehensweise.
pfSense supportet auch IPsec als VPN protokoll aber dafür erfordert es immer einen externen Client wie z.B. den freien Shrew Client:
http://www.shrew.net/support/wiki/HowtoPfsense
PPTP hat den Vorteil das alle Geräte am Markt wie Smartphones, Winblows, Apple Linux und Co diese PPTP Clients schon im Betriebssystem an Bord haben und die VPN Einrichtung erheblich vereinfachen !
Denk aber beim VPN IP Design zwingend an das hier:
VPNs einrichten mit PPTP
Abgsehen davon kannst du auch mit Port Forwarding an der pfSense arbeiten, was dann den direkten Zugriff aus dem Internet erlaubt.
Nachteil dabei ist aber immer das man damit ein Loch in seine pfSense Firewall bohren muss und so den Exchange Server bzw. Windows einem Sicherheitsrisiko aussetzt. Für den OWA Zugriff ist das ggf. noch tolerabel da HTTPS. Das musst du letztlich aber selbst entscheiden.
1.) pfSense kann keinen vollen DNS ersetzen, es kann nur Proxy DNS sein, das sollte dir klar sein ! Wenn du eine dynamische DHCP zu DNS Auflösung hast ist es besser den Winblows das machen zu lassen und dem in der DNS Konfig einen Weiterleitung auf die lokale pfSense IP Adresse einzutragen, der dann Proxy ins Internet macht !
2.)
- a.) Ja richtig, denn die Firewall Regeln greifen immer nur inbound d.h. eingehend ! Also immer jede einzelne Labor Rechner IP 10.10.10.x (Source) auf die Server IP (Destination) eintragen und sonst nix. Evtl. noch den Port limitieren.
Achtung die FW Regeln werden immer der Reihe abgearbeitet, Reihenfolge zählt also auch in der Logik !
- pfSense ist für alle Rechner Standard Gateway A.: Ja, richtig ! (was auch sonst ?!!)
- Nein, das ist Blödsinn. Alle Netze sind ja direkt an der pfSense physisch angeschlossen. pfSense "kennt" allso alle IP Netze !
Ein Routing zu konfigurieren wäre hier also Unsinn denn pfSense macht das schon richtig für dich. Wichtig ist nur die gateway IP auf den Clients das die zur pfSense IP zeigt im jeweiligen Segment s.o.!
3.) Ja, VPN wäre aus Sicherheitssicht das Allerbeste und Ja das o.a.Tutorial beschreibt dir die genaue Vorgehensweise.
pfSense supportet auch IPsec als VPN protokoll aber dafür erfordert es immer einen externen Client wie z.B. den freien Shrew Client:
http://www.shrew.net/support/wiki/HowtoPfsense
PPTP hat den Vorteil das alle Geräte am Markt wie Smartphones, Winblows, Apple Linux und Co diese PPTP Clients schon im Betriebssystem an Bord haben und die VPN Einrichtung erheblich vereinfachen !
Denk aber beim VPN IP Design zwingend an das hier:
VPNs einrichten mit PPTP
Abgsehen davon kannst du auch mit Port Forwarding an der pfSense arbeiten, was dann den direkten Zugriff aus dem Internet erlaubt.
Nachteil dabei ist aber immer das man damit ein Loch in seine pfSense Firewall bohren muss und so den Exchange Server bzw. Windows einem Sicherheitsrisiko aussetzt. Für den OWA Zugriff ist das ggf. noch tolerabel da HTTPS. Das musst du letztlich aber selbst entscheiden.
Mittlerweile habe ich alles wie oben beschrieben umgesetzt und es läuft prima!
Probleme gab es primär noch beim einrichten von RPC over HTTP mit Exchange 2003 auf Windows Server 2003. Die Ursache war nach langer Fehlersuche das IPv6 Protokol auf dem Server 2003. Einfach komplett deinstallieren und alles läuft. Scheinbar ist bei einem Single Server Scenario trotz aktuellem Patch stand da eine Inkompatibilität. Im Netzt findet man ja einiges zum Exchange 2007 und diesem Problem bei 2003 scheint der Fehler aber nicht so bekannt zu sein. Evtl. hilft es ja irgendwem weiter.
Vielen Dank nochmal insb. @aqui
Andreas
Probleme gab es primär noch beim einrichten von RPC over HTTP mit Exchange 2003 auf Windows Server 2003. Die Ursache war nach langer Fehlersuche das IPv6 Protokol auf dem Server 2003. Einfach komplett deinstallieren und alles läuft. Scheinbar ist bei einem Single Server Scenario trotz aktuellem Patch stand da eine Inkompatibilität. Im Netzt findet man ja einiges zum Exchange 2007 und diesem Problem bei 2003 scheint der Fehler aber nicht so bekannt zu sein. Evtl. hilft es ja irgendwem weiter.
Vielen Dank nochmal insb. @aqui
Andreas
immer gerne wieder 
