dirkfinke
Goto Top

Pfsense im Netz

netzwerk-pfsense
Hallo,
ich möchte mit der Pfsense-Firewall diese 2 Netze betreiben. Das 0er-Netz darf nicht ins Internet und das 2er-Netz darf. Vom Internet soll man jeden PC der beiden Netze über Teamviewer warten können. Was muss ich in der Pfsense einstellen, damit es funktioniert? Die Firewall habe ich schon für LAN0, LAN2 und WAN voll geöffnet... Aber leider komme ich mit Teamviewer nicht auf das 0er-Netz (Wenn das funktioniert, dann werde ich in der Firewall nur noch den Teamviewer-Port zulassen)
Danke für Eure Antworten

Content-Key: 314335

Url: https://administrator.de/contentid/314335

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 03.09.2016 um 11:11:35 Uhr
Goto Top
Hallo Dirk,

bist du dir sicher, dass
a) du das einrichten solltest
b) du gerade TeamViewer Zugriff auf das Netz gewähren lassen willst?

VG
Mitglied: dirkfinke
dirkfinke 03.09.2016 um 11:19:50 Uhr
Goto Top
Ja, warum nicht?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 03.09.2016 um 11:36:06 Uhr
Goto Top
a) deine Frage
b) potentielle Sicherheitslecks.
Mitglied: dirkfinke
dirkfinke 03.09.2016 um 11:50:15 Uhr
Goto Top
a) ja ich möchte das so bauen. Was spricht dagegen?
b) sollte ich ein anderes Tool zur Fernwartung nehmen z.B. VNC?
Mitglied: aqui
aqui 03.09.2016 aktualisiert um 12:17:33 Uhr
Goto Top
Das 0er-Netz darf nicht ins Internet
Vom Internet soll man jeden PC der beiden Netze über Teamviewer warten können.
Das ist so technisch unmöglich !
Solltest du auch von selber drauf kommen wenn man nur mal etwas nachdenkt. Wie jeder weiss, arbeitet Teamviewer mit einem dubiosen Vermittlungsserver um NAT Problematiken zu umgehen für Otto Dummuser.
Du musst also mindestens den Zugriff aus dem 0er Netz auf die Ports oder IP Adressen der Teamviewer Vermittlungsserver erlauben anders ist das ja technisch nicht möglich eine Teamviewer Verbindung aufzubauen. Es sei denn du entscheidest dich für ein anderes Remote Desktop Protokoll wie RDP oder VNC etc.
Generell ist die Lösung sehr bedenklich. Zum Warum siehe unten...
Die Firewall habe ich schon für LAN0, LAN2 und WAN voll geöffnet
Oha...! Hoffentlich nur testweise denn das wäre der größte Blödsinn so und konterkariert dann voll die Firewall als solches.
Mit den richtigen Regeln ist das doch ein Kinderspiel ?? Warum scheiterst du da ?

Du solltest dir generell überlegen ob das die richtige Vorgehensweise ist. Versteht man dich richtig willst du mit simplen Port Forwarding arbeiten. Gefährlich aus Sicherheitssicht, da alle Daten damit ungeschützt über das Internet gehen.
Mal ganz abgesehen von der Tatsache das der Teamviewer höchst problematisch ist mit einem Vermittlungsserver dazwischen. Für Firmennetze ein NoGo.
Nach dem dubiosen Verkauf von Teamviewer an ein US Finanzinvestor sowieso.

Einfache Frage: Warum machst du das nicht mit einem VPN ??
Das ist doch kinderleicht einzurichten auf der pfSense:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Damit ersparst du dir das unsägliche Port Forwarding, bist wasserdicht sicher und kannst jegliches Remote Management RDP, VNC etc. benutzen ohne dubiose Vermittlungsserver dazwischen. Und...kannst mit jedem beliebigen Smartphone, Pad oder PC/Laptop arbeiten.
Warum nicht den Weg ??

Zu deinen FW Regeln:
  • Beim LAN0 Netz musst du eine Regel:
DENY, Source: LAN0_network Destination: LAN2_network
PASS, Source: LAN0_network Destination: Any, Status: Established
einrichten. (ACK Bit in Advanced Options !)
est

  • Beim LAN2 Netz musst du eine einfache Regel:
PASS, Source: LAN2_network Destination: Any, einrichten
  • Wichtig: AM WAN Port durch die Router Kaskade den Haken bei Block RFC 1918 private networks entfernen !
Das wars...
Lässt aber auch keinen Teamviewer für LAN0 durch !
Willst du das musst du die Regel für LAN 0 ändern:
DENY, Source: LAN0_network Destination: LAN2_network
PASS, Source: LAN0_network Destination: Any, Port: TCP UDP 53 (DNS)
PASS, Source: LAN0_network Destination: Any, Port: TCP 5938
PASS, Source: LAN0_network Destination: Any, Status: Established

Noch einfacher:
Richte dir einen Alias für die Teamviewer Ports ein:
teamview
Dann musst du nicht immer alle Ports einzeln eintickern. Dann richte den Alias entsprechend in der Regel ein:
teamview2

Großer Nachteil hier:
Für LAN0 ist nun TCP 80 und 443 offen. Das bedeutet das Clients im LAN0 nun frei surfen können face-sad
Um das noch dichter zu machen musst du die Destination IPs auf die Vermittlungshosts IP Adressen von Teamviewer einengen um rein nur Session hierhin zuzulassen.
Du siehst. Das ist mehr oder weniger Blödsinn das so zu machen und erfordert viel Frickelei die am Ende doch nie wasserdicht ist.
Fazit: LAN0 Zugang ganz dicht machen in der Firewall nach draußen und nur mit einem VPN arbeiten.
Am sinnvollsten und komplett wasserdicht und sicher.
Denk also nochmal drüber nach was du wirklich willst...?!
Mitglied: dirkfinke
dirkfinke 03.09.2016 um 12:56:53 Uhr
Goto Top
Danke für die auführliche Antwort. Ich werde es mit VPN und VNC versuchen. Ich hoffe, ich kann dann noch ein paar Fragen stellen ...
Danke
Dirk
Mitglied: aqui
aqui 03.09.2016 aktualisiert um 13:40:52 Uhr
Goto Top
Na aber immer doch !! Dafür sind wir doch da... face-big-smile

Nicht vergessen bei VPNs auf der pfSense und Routerkaskade: Die VPN Protokollports per Port Forwarding auf dem vorgeschalteten Router forwarden auf die FW IP oder Exposed Host auf die FW IP nutzen !
Die FW IP sollte deswegen immer statisch sein und außerhalb der Router DHCP Range liegen.
Alternativ kann man wenn der Router DHCP Nailing anhand der Mac Adresse supportet per DHCP immer eine feste IP auf Basis der WAN Port Mac Adresse am Router vergeben.
Besser wäre natürlich immer ein reines nur Modem am WAN Port zu verwenden statt eines NAT Routers, dann könnte man sich das umständliche und fehlerträchtige Port Forwarding sparen:
https://www.reichelt.de/WLAN-Router-Access-Point/ALLNET-ALL0333C/3/index ...
Mitglied: Pjordorf
Pjordorf 03.09.2016 um 15:48:14 Uhr
Goto Top
Hi,

* Wichtig: AM WAN Port durch die Router Kaskade den Haken bei Block RFC 1918 private networks entfernen !
Du hast aber schon gesehen das sein PFsense WAN Port (192.168.2.100) sich ebenfalls in sein 192.168.2.0/24 Netz (LAN2) befindet genauso wie sein DSL Router mit seiner 192.168.2.1? Frag mich gerade ob diese Konstrukt so funktionieren kann?

Fazit: LAN0 Zugang ganz dicht machen in der Firewall nach draußen und nur mit einem VPN arbeiten.
Aber willst du jeden fremden der per TeamViewer dir mal helfen face-smile will deine VPN Daten geben? Sein Gedanke mit "raus ins Internet drfst du nicht" aber Teamviewer soll grundsätzlich egal woher erlaubt sein. Die Forderung an sich ist ja schon eine Kakastrophe und ohne seine Hintergedanken werden wir hier wohl keine akzeptable Lösung finden.

Gruß,
Peter
Mitglied: aqui
aqui 03.09.2016 aktualisiert um 16:49:29 Uhr
Goto Top
Du hast aber schon gesehen das sein PFsense WAN Port (192.168.2.100) sich ebenfalls in sein 192.168.2.0/24 Netz (LAN2)
Ooops...Recht hast du !!! Das passiert wenn man am Wochenende nicht genau hinsieht... face-big-smile
Böses Faul, das ist natürlich tödlich für das IP Adress Design und muss der TO zwingend in der IP Adressierung ändern.
Eine "0" bei den lokalen LAN Netzen zusätzlich auf .10.0 /24 und .20.0 /24 fixt das schnell.
Passiert immer wieder wenn man diese dümmlichen 192.168er Netze benutzt. Grrr....
Besser sind ein Mix mit 10ern oder 172ern da übersieht man das nicht so leicht.
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
IP Netze müssen einzigartig sein ! ...und natürlich niemals doppelt vorkommen wie oben.
Aber willst du jeden fremden der per TeamViewer dir mal helfen will deine VPN Daten geben?
Der Einwand ist absolut richtig. Man kann es aber auch verstehen das er das IP Segment von remote managen will.
Muss der TO klären...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.09.2016 um 10:44:56 Uhr
Goto Top
Moin,

zusätzlich zu den POunkten die die Kollegen schon genannt haben:

Ich würde den DSL-Router durch ein Modem ersetzen und alle sdurch die pfsense abwicklen.

lks