Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundfrage zu Pfsense

Frage Netzwerke Router & Routing

Mitglied: nullpeiler

nullpeiler (Level 1) - Jetzt verbinden

04.04.2013 um 11:06 Uhr, 3917 Aufrufe, 32 Kommentare, 1 Danke

Hallo Admins

Folgendes Szenario ist bei mir gegeben. Wir sind über ein Modem und einen Bintec Router ans Internet angebunden.
Derzeit ist die Anbindung direkt vom Router auf unseren Intranet Switch. Dazwischen soll jetzt eine Pfsense Firewall und mit aktivierten Openvpn-Server. Was muss ich beachten das die Packete vom Router über Firewall ins intranet gelangen?
32 Antworten
Mitglied: aqui
04.04.2013, aktualisiert um 11:26 Uhr
Das ist kinderleicht !
Du musst auf dem Bintec nur ein simples Port Forwarding vom Port UDP 1192 auf die pfSense IP Adresse eintragen..fertig !
Details dazu erklärt dir dieses Tutorial:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... (OpenVPN hinter NAT Router)
Weitere grundlegende Infos findest du hier:
http://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 11:41 Uhr
Danke Aqui ich arbeite schon mit deinen totus. Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)
Bitte warten ..
Mitglied: catachan
04.04.2013, aktualisiert um 11:48 Uhr
Ja musst du. Und auf der Firewall trägst du als Gateway den Bintec ein

LG
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 11:57 Uhr
Gut das ist ok. Jetzt noch die frage Was stell ich bei beim WAN Interface ein? Static? Ich will das Gerät nur als Firewall und nicht als Router benutzen.
Bitte warten ..
Mitglied: aqui
04.04.2013, aktualisiert um 12:57 Uhr
.. ."Aber muss ich wenn die firewall dazwischen ist diese als gateway bei den Workststions(die normalen im Intranet) eintragen statt dem Router (derzeit)..."
Die Frage hättest du dir immer leicht selber benatworten können !!
Eine Firewall arbeitet (fast) immer als Router, folglich ist die Antwort von oben korrekt.
Andernfalls wäre die FW dann eine simple Bridge auf Layer 2 (Mac Adress) Basis...was sie aber in deinem Falle nicht ist !

Auch deine 2te Frage ist wieder so eine die du mit eigenem Nachdenken und Überlegen dir selber beantworten kannst....
Generell hast du 2 Optionen: 1.) Dynamisch mit DHCP 2.) Statisch
Du hast aber auf dem Bintec ein festes Port Forwarding mit UDP 1192 auf die pfSense WAN IP Adresse eingestellt. Jetzt stell dir mal vor die pfSense wechselt durch die Dynamik von DHCP jetzt mal die IP !!
Was passiert dann mit deinen Daten die vom Bintec forgewardet werden ?? Siehst du ...die Antwort ist ganz einfach !!
Ausnahme für die vielleicht jetzt hier kommenden "Ja aber.." Einwände:
Ja, wenn der Bintec IPs auf Basis der Mac Adressen vergeben kann (DHCP Nailing) ja in diese Falle ginge dann auch DHCP...aber nur dann !
Außerdem gilt immer die goldene Netzwerk Regel: Router, Server und Netzwerk Infrastruktur haben niemals dynamische IPs !!
Fazit: Immer mal in Ruhe nachdenken und überlegen !!
Bitte warten ..
Mitglied: nullpeiler
04.04.2013, aktualisiert um 15:30 Uhr
Aber welche Einstellung muss ich treffen um nur die Firewall zu nutzen? Openvpn kommt später.
Bitte warten ..
Mitglied: catachan
04.04.2013 um 15:36 Uhr
Hi

Die Firewall ist bei pfsense automatisch aktiviert. Du musst nur noch die richtigen Regeln erstellen um den gwünschten Traffic durchzulassen.

LG
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 15:43 Uhr
naja mein Problem wenn ich ein Trace ins Internet absetze kommt die Firewall und wird nicht zum Router geleitet obwohl der auf WAN Seite als Standart Gateway eingetragen ist.
Bitte warten ..
Mitglied: catachan
04.04.2013 um 16:01 Uhr
Hi

Trace von wo auf was ? Hast du denn Ping nach außen in den Firewall-Regeln freigegeben ?

LG
Bitte warten ..
Mitglied: nullpeiler
04.04.2013, aktualisiert um 16:10 Uhr
Ja klar ICMP ist Freigegeben sowohl auf LAN und WAN Seite. Ich habe Hier zum einrichten ein laptop und der ist mit der LAN Schnittstelle verbunden und unser (Intranet) auf der WAN Seite wo auch der Router(Gateway) drin ist. Aber komm nicht von LAN auf WAN Schnittstelle.
Bitte warten ..
Mitglied: aqui
04.04.2013, aktualisiert um 16:23 Uhr
Das ist aber immer eine schwere Geburt mit den "Nullpeilern" hier.... Wie war das noch mit dem "Nachdenken" ??

Vermutlich hast du wie immer vergessen DNS und Gateway in der pfSense statisch einzutragen !!!
So sieht dein Netzwerk aus:
d591e930292c3921445a40fd54577d1f - Klicke auf das Bild, um es zu vergrößern

Du musst den Bintec als DNS Server statisch in der pfSense unter "General Setup" eintragen, denn der ist ja DNS Proxy bei dir !!
e915311dd10ded25b958abf88ee3b869 - Klicke auf das Bild, um es zu vergrößern
P.S.: Den Haken "Allow DNS Server be overridden by PPPoE" Kannst du hier entfernen da du eine feste statische Konfig ohne PPPoE hast !

Da dein Transfernetz (Beispiel hier 10.1.1.0 /24) zum Bintec Router vermutlich ein RFC 1918 IP Netzwerk ist (privats IP Netz: http://de.wikipedia.org/wiki/Private_IP-Adresse) musst du hier zwingend die Firewall Regeln unten anpassen (Haken bei "RFC 1918" entfernen !) Zudem siehst du dort auch die statischen Enstellungen des Interfaces !

40c2fd0acd1c843282f3b74bc9cf3f53 - Klicke auf das Bild, um es zu vergrößern

Immer dran denken: Die pfSense ist eine Firewall !!! Da ist alles verboten was nicht erlaubt ist !!
Alle diese Infos findest du auch in diesem Thread hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Damit sind dann wohl nun hoffentlich alle Klarheiten beseitigt, oder ??!!
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 16:26 Uhr
Danke Aqui für diese genaue Anleitung. DNS ist ok außerdem versuche ich bis jetzt nur mit IP Adressen zu arbeiten um das auszuschließen. Mein Problem ist das ich vom LAN auf WAN keine Verbindung hinbekomme. Also LAN Netz bekommt auch keine Verbindung zum Router und damit kein Internet. Also hab ICMP auf beiden Interfaces auf pass gesetzt. Aber bringt nix.
Bitte warten ..
Mitglied: aqui
04.04.2013, aktualisiert um 16:55 Uhr
Normalerweise muss man nix einstellen, denn die pfSense funktioniert im Default schon so. Es kommt allerdings drauf an WAS für einen Interface Port der pfSense du mit deinem lokalen LAN verbunden hast.
Du teilst uns ja leider nicht mit welche HW du verwendest Alix Board ??

Einzig nur das default LAN Interface hat eine Regel das sie any zu any * * alles erlaubt. Nimmst du einen anderen Port ist der blockiert ohne entsprechende Regel !! Klar !
Also deine ToDos sind:
  • WAN Port der pfSense an LAN Port Bintec
  • IP und Gateway sowie DNS statisch auf der pfSense konfigurieren (Gateway u. DNS ist der Bintec !)
  • Statische IP pfSense darf NICHT im DHCP Pool Bintec liegen !!
  • Bestehendes lokales LAN an den LAN Port der pfSense anschliessen.
Achtung: IPs müssen stimmen !! Default benutzt die pfSense hier 192.168.1.0 das darf NICHT identisch zum WAN Transfer Netz sein...klar !
Außerdem rennt der pfSense DHCP Server dort !
Fertig das wars !

  • Testen 1: pfSense in "Diagnostics" gehen dann "Ping" und auf dem WAN Port ! die IP des Bintec anpingen !!
  • Testen 2: pfSense in "Diagnostics" gehen dann "Ping" und auf dem LAN Port ! die IP eines Client anpingen !!
  • Testen 3: Von einem LAN Client den pfSense LAN Port anpingen !
Das muss klappen ! Das Bild oben erklärt ja auch alles.
Sonst brauchst du gar nicht erst weitermachen !
Wichtig auch: Was sagen die Status der Interfaces im Dashbord und unter "Diagnostics" ?? Auch ein Blick ins Log kann nicht schaden !!

Den WAN Port der pfSense kannst du so ohne ICMP allow Regel NICHT pingen ! Das ist im Default verboten !!
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 17:15 Uhr
Also Hardware ist wie bei dir im Tutorial ein Alix Board. Hab sie auch danach installiert super Tutorial hat alles funktioniert. Ok ich glaub ich sollte mal zwei verschieden Netzwerke nehmen.
Bitte warten ..
Mitglied: catachan
04.04.2013 um 17:24 Uhr
Hi

Das glaube ich. Sonst wird das nie was !!

LG
Bitte warten ..
Mitglied: nullpeiler
04.04.2013, aktualisiert um 17:30 Uhr
Mein Problem ist das die Firewall in ein bestehendes Netzwerk integriert werden muss. Ich kann aber nicht einfach das Intranet komplett umstrukturieren. Wäre also der Router den wollt ich eigentlich erstmal in Ruhe lassen da die Einrichtung mein Vorgänger gemacht hat.
Bitte warten ..
Mitglied: catachan
04.04.2013 um 17:33 Uhr
Hi

Eine andere Möglichkeit wäre eine transparente L2 Firewall zu verwenden. Ich glaube bei pfsense musst du dann die beiden Interfaces bridgen.

LG
Bitte warten ..
Mitglied: nullpeiler
04.04.2013, aktualisiert um 17:39 Uhr
Naja bin froh das ich diese Lösung(pfsense) gefunden habe da sie Preiswert ist und außerdem ein Openvpn Server läuft und es wohl möglich ist ein Squid drauf zu nutzen. Also All-in-one Lösung.
Bitte warten ..
Mitglied: aqui
04.04.2013, aktualisiert um 17:48 Uhr
... ."ich glaub ich sollte mal zwei verschieden Netzwerke nehmen."" Bitte wie jetzt... ?? Das meinst du nicht im Ernst, oder ??
Jetzt erzähl bitte nicht das wir uns hier die Finger wundtippen wie die &/§%$§ und du hast nichtmal die banalsten Regeln der IP Grundschule umgesetzt ??!
Nun hast du aber fast allen Forumskredit verspielt hier...

Das LAN IP Netz kannst du so lassen wie es ist ! Wenn das auch die IP 192.168.1.0 /24 benutzt musst du nichtmal was ändern !! Ansonsten passt du nur die IP des LAN Interfaces an wenn du lokal ein anderes Netzwerk nutzt !
Das Transfernetz musst du anpassen !! Das darf natürlich NICHT 192.168.1.0 /24 sein !! Das weiss jeder Azubi im ersten Lehrjahr, denn wie sollte damit eine eindeutige Wegefindung im IP möglich sein....dzzzzz
Und da sind wir wieder: "Wie war das mit dem NACHDENKEN ??"
Setz im Bintec die IP auf 192.168.10.1 und entsprechend im pfSense passend dazu den WAN Port auf 192.168.10.254 wie oben beschrieben...oder nimm das 10.1.1.er Netz...du hast die freie Auswahl !!
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 17:47 Uhr
Es muss in das Netzwerk integriert werden. Die Workstation auf einen anderen Gateway umstellen ist kein Problem aber der Rest soll so bleiben wie es ist.
Bitte warten ..
Mitglied: aqui
04.04.2013 um 17:50 Uhr
Nicht mal das musst du machen wenn du der pfSense am LAN Port dieselbe IP gibst wie vorher der Bintec hatte !!
Nur das Transfer IP Netz musst du umstellen, also LAN Port Bintec und passend dazu WAN Port pfSense !!
Eine Sache von 3 Minuten und 4 Mausklicks !
Bitte warten ..
Mitglied: catachan
04.04.2013 um 17:51 Uhr
HI

entweder du änderst das Netz zwischen Bintec und pfsense (Rest kannst du so lassen)
oder du konfigurierst die Firewall als transparent (dann musst du nichts ändern, empfehle ich aber nicht)

Du hast die freie Auswahl. Beides gleichzeitig geht halt nicht

LG
Bitte warten ..
Mitglied: nullpeiler
04.04.2013 um 17:55 Uhr
Ok danke ich werde den Bintec umstellen muss mir nur anschauen was mein Vorgänger da eingestellt hat. Portfordwarting und Routing
Bitte warten ..
Mitglied: nullpeiler
05.04.2013, aktualisiert um 10:30 Uhr
Hallo nochmal, was ist wenn ich die Firewall transparent setze die Filterregeln funktionieren dennoch? Wie kann ich Pfsense bridgen (also Transparent machen hab nur ein altes Tutorial gefunden das stimmt mit der 2.02 nicht überein.
Bitte warten ..
Mitglied: nullpeiler
05.04.2013 um 11:56 Uhr
Also hab jetzt zum Test mal Bridge an. WAN:192.168.190 und LAN:192.168.0.189. Der Verkehr geht durch und die Firewallregeln greifen. Was sollte jetzt der Nachteil sein?
Bitte warten ..
Mitglied: aqui
05.04.2013 um 12:00 Uhr
Layer 3 und 4 Regeln sollen greifen ?? Bist du dir da ganz sicher ?? Das sollte nicht der Fall sein ?! Was sagt denn die Session Table unter "Diagnostics" ?? Zeigt die entsprechende SPI Tabellen für die Sessions an ??
Bitte warten ..
Mitglied: nullpeiler
05.04.2013 um 12:14 Uhr
Ich hab z.B. ftp geblockt und das griff, ICMP freigegeben und konnte pingen.
Bitte warten ..
Mitglied: catachan
05.04.2013 um 12:21 Uhr
Hi

@aqui: Eine transparente (l2) Firewall arbeitet genauso mit einem L3/L4 Regelwerk
@nullpeiler: Hier Kannst du die Vor- und Nachteile nachschlagen http://etherealmind.com/11-things-about-using-a-transparent-or-layer-2- ...


LG
Bitte warten ..
Mitglied: nullpeiler
08.04.2013 um 12:49 Uhr
Hallo nochmal welches Image brauch ich für die Installation auf Alixboard mit der Option Pakete nachzuladen?
Bitte warten ..
Mitglied: aqui
08.04.2013, aktualisiert um 16:54 Uhr
Steht alles im Tutorial bitte LESEN...das hilft wirklich !
Ab der 2.0.2er Version geht das. Je nach Größe deiner Flash Karte brauchst du die NanoBSD Images OHNE VGA.
2 für 2 GiG, 4 für 4GiG usw. Beispiel 4G CF Flash = pfSense-2.0.2-RELEASE-4g-i386-nanobsd.img.gz
Du kannst auch einfach eine Installation der Vollversion auf dem ALIX machen. Wie das geht steht hier:
http://www.administrator.de/contentid/184648
Bitte warten ..
Mitglied: nullpeiler
08.04.2013, aktualisiert um 17:51 Uhr
Hallo Aqui das hab ich gelesen hab aber eine anderen Thread gesehen wo es hieß das es bei dem Embedded Versionen nicht geht. Aber wenn es ab 2.0.2 doch funktioniert hätte ich mir den Kauf der 16GB CF Karte sparen können ;)
Bitte warten ..
Mitglied: aqui
09.04.2013 um 10:08 Uhr
Lies dir die Release Notes durch zur 2.0.2 auf der pfSense Sete da steht das drin.
Wenn du aber einen Proxy mit Cache drauf laufen lassen willst ist es besser eine kleine USB Platte anzuschliessen oder über einen IDE SATA Adapter eine kleine SSD oder SATA 2,5 Zoll Platte.
In sofern ist der Kauf der 16GB Karte NICHT falsch sondern eher genau richtig wenn du es dennoch mit der embedded Version testen willst, denn du brauchst diesen Speicher bei einem Web Proxy. Eher mehr als 16 GB.
So oder so wie du es löst war die Investition aber nicht falsch !!
Für Kleinstinstallationen reicht das aber bei größeren solltest du eine Platte, egal welcher Couleur, bei Proxy Betrieb vorziehen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Vlan Routing Pfsense APU2 vs L3 (6)

Frage von TimMayer zum Thema Netzwerkgrundlagen ...

Router & Routing
Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren (5)

Frage von Roland30 zum Thema Router & Routing ...

Netzwerkgrundlagen
PFSense kein Internet Zugang (6)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Firewall
gelöst Apu2c4 pfsense Hardwareauswahl SSD? (9)

Frage von TimMayer zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...