Netgate Store

Author Topic: PFsense Eignung Heimnetzwerk  (Read 1030 times)

0 Members and 1 Guest are viewing this topic.

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
PFsense Eignung Heimnetzwerk
« on: December 06, 2017, 01:54:51 am »
Moin,

seit einem halben Jahr habe ich meinen VServer bei webtropia aufgrund von Unzuverlässigkeit aufgegeben und betreibe seither auf meinem HTPC neben Windows 7 auch eine Virtual Box Instanz mit dem "guten" und vor Allem alten Windows XP, da ich davon noch eine VB Version hatte. Auf der VB ist ein Vserver gehostet, der einen TeamSpeak un mehrere Gameserver für meinen Clan bereitstellt. Ich bin mit dem Wissen in das Projekt reingegangen, dass das nicht unbedingt sicher für mein Heimnetz ist, gerade weil ich auch einen NAS Server besitze und bei einem eventuellen Hack über die für die Server geöffneten Ports damit meine Daten in Gefahr bringe.

Das möchte ich nun ändern mit einer DMZ und einem separaten PC, auf dem dann nur der dann Rootserver läuft. Leider bin ich bei O2, welche mir so eine dämliche Homebox2 geschickt haben. Aber sogar über die erhältliche Fritzbox wäre nur ein exposed Host möglich. Weil ich die O2 IP Telefonie benutze muss die Homebox leider erhalten bleiben. Meine Vorstellung wäre es, eine PFsense Instanz entweder auf einem extra Gerät oder auch als Virtual Box hinter den O2 Router zu schalten. Wenn ich das richtig sehe, müsste ich dann eher ein neues  Gerät dafür anschaffen, da ich ja auch das WLAN von der DMZ trennen muss, also z.B.

https://www.amazon.de/PC-Engines-Netzteil-Speicher-Gehäuse/dp/B00JR6X0ZK/ref=pd_lpo_vtph_147_tr_t_2?_encoding=UTF8&psc=1&refRID=R3BCY2ZMNW4PWAMBMXCE

sowas mit einer WLAN Integration.

Kann ich dann einfach festlegen, dass der Rechner in der DMZ nicht auf LAN und WLAN zugreifen kann, aber alle Geräte auf die DMZ und das Internet? Sollte doch so möglich sein. Für mein Vorhaben bräuchte ich also demensprechend 3 LAN Ports (LAN, DMZ, Internet), richtig?

Ggf. könnt ihr mir ja auch ein anderes Gerät als das von mir vorgeschlagene empfehlen, allerdings habe ich dazu schon eine Anzeige über ein gebrauchtes Gerät für 89€ gefunden.
Allgemein wollte ich das ganze Vorhaben relativ günstig realisieren.

Ich vertraue auf eure Ahnung und Hilfe, Beste Grüße
Felix

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3358
  • Karma: +224/-8
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #1 on: December 06, 2017, 06:21:49 am »
> sowas mit einer WLAN Integration.

Möchte man nicht. Du möchtest an der Stelle WLAN getrennt handhaben und nicht auf der Box drauf. :)

> Für mein Vorhaben bräuchte ich also demensprechend 3 LAN Ports (LAN, DMZ, Internet), richtig?

Du brauchst 3 Links, ja. Das müssen ggf. je nach Performance nichtmal physikalische Ports sein, das könnten auch VLANs auf der gleichen Gigabit Schnittstelle sein. Hängt vom Performance Wunsch etc. ab.

> Ggf. könnt ihr mir ja auch ein anderes Gerät als das von mir vorgeschlagene empfehlen, allerdings habe ich dazu schon eine Anzeige über ein gebrauchtes Gerät für 89€ gefunden.

Wundert mich nicht, dein Link ist eine APU1(!), die ist End of Life, alt und hat keine Ersatzteile mehr und wurde schon länger durch die APU2 abgelöst. Zudem ist die Performance für heute eher suboptimal. Gebraucht oder nicht.

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #2 on: December 06, 2017, 04:20:30 pm »
Erstmal danke für die Antwort. Warum WLAN nicht an dieser Stelle? Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

Welche von den Routerboxen ist dann zu empfehlen für die pfsense Software? Würde trotzdem gerne physikalische Schnittstellen haben, da ich vorhabe das ganze in Szene zu setzen im Flur.
Hatte mich übrigens vertan, https://www.ebay-kleinanzeigen.de/s-anzeige/pc-engines-bundle-alix2d13-alugehaeuse-router-firewall-pfsense/769679537-225-2155
Das sollte 2. Generation sein.

Liebe Grüße
« Last Edit: December 06, 2017, 04:43:54 pm by fippox »

Offline mike69

  • Jr. Member
  • **
  • Posts: 86
  • Karma: +10/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #3 on: December 07, 2017, 07:53:18 am »
Mahlzeit.

Die Alix sind noch älter.

Aktuell wäre das hier:
https://www.amazon.de/PC-Engines-APU2C4-Komplett-Alu-Geh%C3%A4use/dp/B01GEIEI7M/ref=sr_1_1?ie=UTF8&qid=1512654543&sr=8-1&keywords=apu2

Zum Thema Gameserver, zufällig was für die PS4 am laufen oder nur PC.


Gruß

DSL-Modem: Draytek Vigor130
pfSense 2.4.3 auf APU1D4
Switch: HP ProCurve 1810 24G
AP: Draytek AP710, FB7490

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3358
  • Karma: +224/-8
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #4 on: December 07, 2017, 08:37:39 am »
> Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

Nein, damit war gemeint, dass die pfSense bzw. das darunterliegende FreeBSD vieles gut kann. WiFi eher nicht. Deshalb würde ich das eher mit einem separaten AP machen, den man zudem dann ordentlich positionieren kann zwecks Abdeckung etc.

> Das sollte 2. Generation sein.

Nein, wie Mike korrekt sagt ist ALIX die Vorgängerin der APU. Bitte bitte - auch an alle die ein Problem haben und ihre Hardware schildern - schaut bei den PCEngines Sachen genau hin. Die Dinger heißen nicht ALIX APU oder sonstwas. Die Geräte von denen sind - dem Alter nach - WRAP (steinalt), ALIX (ganz alt), APU (alt), APU2 (aktuell) und APU3 (aktuell und PRIMÄR als Plattform für LTE/Telefonie gedacht). Irgendeine Kombination der Namen bringt alle nur durcheinander. Und alles was alt oder älter ist, solltest du tunlichst bei einer neuen Installation erstmal vergessen. Das macht IMHO absolut keinen Sinn damit anzufangen.

BTW: bei Amazon sind es meist die Shops selbst, die inserieren, da findet man eigentlich kein wirklich "gutes" Angebot. Dann kann man auch direkt bei den Händlern wie Varia und Co kaufen, meist sind die da noch ein klein bisschen günstiger.

Je nach Wunsch und später angestrebter Bandbreite und Pakete etc. würde ich entsprechende Hardware kaufen. Wenn du bspw. jetzt schon mit 400MBit Kabel oder >500Mbit FTTH planst, solltest du bspw. die APU2 ggf. im Schrank lassen und gleich etwas höher einsteigen. Genauso wenn du bspw. auf 2 Interfaces Gigabit brauchst und hier das Gigabit auch sauber ausnutzen willst oder die großen Pakete mit Snort und Co nutzen möchtest. Aber dann verlassen wir auch den Bereich "sehr günstig" :)

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline rubinho

  • Full Member
  • ***
  • Posts: 169
  • Karma: +5/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #5 on: December 07, 2017, 10:00:17 am »
Ich kann Jens nur Recht geben.

Wlan gehört nicht in die Firewall, dafür gibts Spezialisten wie z.B. Ubiquiti Unifi.

Was die Hardware angeht, ist die APU (2) so ziemlich die unterste Preiskategorie, was sich auch in der Leitsung bemerkbar macht. Wenn man einen Internet-Anschluss größer 200Mbit hat, sollte man auf eine leistungsfähigere Hardware setzen. Sieh dir mal das Board in meiner Signatur an, das wäre z.b. ein paar Leistungsstufen höher, jedoch halt nicht mehr ganz so günstig wie eine APU. Aber mit der entsprechenden Leistung, macht es richtig Spaß die Möglichkeiten von PFsense auszureizen.

Zu guter Letzt fehlt dann noch ein managebarer Switch (z.B. Dlink DGS1100er Series), um die unterschiedlichen Netze des WLan APs an die PFsense zu bekommen.

Gruß
Rubinho
[Pfsense 2.4] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.4] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #6 on: December 07, 2017, 12:58:45 pm »
Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht? Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

Ich habe 50Mbit, vllt nächstes Jahr 100Mbit. Die Server sind rein für PC, keine Konsolen.

Also die APU2 würde mir dann reichen.


Wie gesagt, habe leider 0 Ahnung davon und müsste mich bei pfsense auch reinlesen und Tutorials gucken bei Sachen, die ich nicht durch mein eigenes Verständnis hinbekomme.
Ich danke euch für eure Antworten, wenigstens mal ein Forum in dem man schnelle Hilfe bekommt..

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3358
  • Karma: +224/-8
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #7 on: December 08, 2017, 02:33:45 am »
> Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht?

Natürlich. Wenn ich eine ordentliche Firewall HINTER den Provider-Murks klemme, dann macht die auch alle Jobs. Und nicht die Murkskiste vornedran, der ich nicht vertrauen kann, weil sie nicht in meine Zuständigkeit gehört. Da der Provider da die Finger drauf hat, sehe ich die Box als WAN/Internet/potentiell gefährdend an, weil ich nicht genau sagen kann, wer was wo wie warum mit ihr macht. Da genügt mal wieder ein ISP und/oder Hersteller FuckUp und Upsi wird da WLAN drauf angemacht, ist eine Hintertür via TR069 oder sonst irgendein Murks offen, weil der Provider mal wieder ein ganz wichtiges Update remote eingespielt hat. Wenn man für sein Netz Ordnung schaffen und es absichern möchte, dann zieht man ja nicht unbedingt Dienste VOR die Firewall, die eigentlich dahinter laufen sollten.

> Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

Schön aber da oben irrelevant. Das einzige was ich auf der Box / mit dem WLAN des Provider-Routers abwickeln würde (wenn überhaupt), ist ein Gäste WLAN, die sind selbst für ihren Kram verantwortlich :) Aber meine Sachen haben schön hinter der pfSense zu spielen und nicht davor.

Ansonsten ist der ganze Stunt ja ziemlich wiedersinnig. Du hast dann einen Netzbereich hinter deinem Providerrouter, in welchem irgendwelche WLAN Devices herumspuken, dann die pfSense, dahinter dann eine DMZ und ein LAN. Und wenn die WLAN Geräte dann in die DMZ bzw. ins LAN müssen, musst du dich erst von WAN Seite her durch die Firewall bohren. Eher nicht so schön. Sinnvoller ist alle Netze terminieren auf der pfSense und von da geht der Traffic dann über die Providerbox nach draußen und fein :) - zumal es eh ein Krampf wäre, die Netze hinter der pfSense dann via DHCP Relay nach vorne zur Providerbox zu geben.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #8 on: December 08, 2017, 11:53:17 am »
Stabil.

Also auf der Wunschliste für Weihnachten stehen somit APU2, AP und ein NUC von Intel für den Rootserver. Von der Homebox verbinde ich mit dem WAN der APU2, von dort ein link zum NUC und eins zum Switch, an dem dann der AP und das restliche LAN hängt.

Dann fehlt mir jetzt nur noch das Wissen was ich denn später in pfsense einstellen muss. Falls ich was nicht hinbekomme melde ich mich nochmal wenn ihr gewillt seid, sowas zu beantworten, aber dafür sollte das Forum ja da sein oder gibts dafür schon ein vergleichbares Thema/ Anleitung niedergeschrieben?

Liebe Grüße

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #9 on: January 27, 2018, 08:27:29 pm »
Moin!

Erstmal danke nochmal für die bisherige Hilfe.

PFSense und Rootserver sind aufgesetzt. Um so wenig Unterbrechung wie möglich zu haben bei den Servern die ich hoste möchte ich gleich alle WAN Einstellungen richtig machen.
Bisher habe ich dem Interface eine statische IPv4 gegeben, die nicht mit dem bisherigen Heimnetz interferriert. 192.168.0.1 ist die WAN IP. Der o2 Router muss dann so konfiguriert werden, dass er im 0er Bereich DHCP betreibt? Obwohl das könnte ja auch deaktiviert sein, da ja sowieso nur ein Gerät (nämlich der PFSense Router) sich dort befindet.

Muss sonst noch etwas getan werden am WAN Eingang?

Das LAN und DMZ Netzwerk habe ich schon voll konfiguriert.

lg Fippox

Offline mrsunfire

  • Full Member
  • ***
  • Posts: 215
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #10 on: January 29, 2018, 12:44:38 am »
Schau Dir mal die Mini PC von Qotom an. Die APU1 wird ab pfSense 2.5 nicht mehr unterstützt da kein AES-NI.
Eine APU2 sollte reichen, bietet aber kaum Leistungsreserven.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3358
  • Karma: +224/-8
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #11 on: January 29, 2018, 04:57:41 am »
> PFSense und Rootserver sind aufgesetzt | 192.168.0.1 ist die WAN IP.

@fippox Wenn du genauer sagen kannst, was du jetzt bauen möchtest nach dem Neu-Aufsetzen, geht das sicher. Aber im Prinzip muss auf der pfSense WAN Seite nicht viel gemacht werden. Da vornedran der O2 Router sitzt, muss der lediglich exposed Host / DMZ / whatever-it-is-called machen um quasi alles was reinkommt an die Sense weiterzuleiten. DHCP o.ä. brauchst du eigentlich nicht, nein. WAN statisch vergeben und die IP dann auf dem O2 Router eintragen, dass er alles dahin schickt.


> Schau Dir mal die Mini PC von Qotom an. Die APU1 wird ab pfSense 2.5 nicht mehr unterstützt da kein AES-NI.

@mrsunfire: Er schreib ja schon APU2, APU1 sollte heute eh kein Thema mehr sein, da das Gerät schon lange EOL ist und keine Ersatzteile etc. mehr am Start sind. Ich würde zwar auch eher etwas mit mehr Leistung bevorzugen (bzw. besserer Verarbeitung) aber das ist subjektives Empfinden und die Geräte sind zum Einsteigen eben günstig.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #12 on: February 06, 2018, 09:06:27 pm »
Moin moin,

habe jetzt soweit alles aufgebaut und eingerichtet. Internetzugang habe ich sowohl übers LAN als auch über die DMZ. Allerdings bekomme ich das Portforwarding noch nicht hin. Habe schon diverse Threads durchgelesen aber nichts davon hilft mir.

Zur Übersicht:

O2 Router mit IP 192.168.0.1
DHCP IPv4 ab 0.3 für eventuelle Gastbenutzer im O2 WLAN

pfsense Router mit IP 192.168.0.2 am WAN Port statisch vom O2 Router vergeben.
LAN Netzwerk mit IP 192.168.1.1 und DHCP ab 1.10, alle anderen PCs in meinem LAN habe ich statisch verteilt genauso wie den AP mit .1.254

DMZ mit IP 192.168.2.1
dahinter der NUC mit IP 192.168.2.2

Für einen TeamSpeak 3 Server habe ich beispielsweise am O2 Router den Port 8084 auf die pfsense weitergeleitet und von dort in der Firewall bei NAT Portforward eine Regel erstellt den Port 8084 auf die DMZ IP .2.2 umzuleiten.

Portcheck sagt der Port ist zu.

Bei Outbound im NAT habe ich in einem Thread gelesen, dass dort eine Regel von WAN zu dem LAN des ersten Routers eingerichtet werden muss - habe ich aber entweder misconfiguriert oder funktioniert nicht.

Ansonsten habe ich probiert alle Ports vom ersten Router auf den zweiten und dann an die DMZ weiterzuleiten, auch per Alias, aber beides ohne Erfolg. Nichteinmal wenn ich den Port 80 von dem ersten Router auf die WAN IP des pfsense umleite kann ich extern auf den pfsense zugreifen und der Port ist zu.

Portweiterleitungen in der O2 Box hatte ich bisher ja auch, aber irgendwie ist dort in der Weiterleitung der Wurm drin. Leider kann ich in der Kiste nur auf IPs mit dem gleichen Adressbereich umleiten, also in diesem Falle .0.X


Für euch ist das bestimmt ein Klacks und ich hab einfach irgendwas vergessen.


Zudem habe ich eine Regel bei den FW Rules gesetzt für die DMZ, dass sie nur ins WAN funken darf. Ich glaube die hat schon funktioniert, aber könnte mir die Regel trotzdem nochmal jemand verklickern was ich da einzustellen habe? Dann kann ich das ggf, abgleichen.

Beste Grüße
Felix

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3358
  • Karma: +224/-8
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #13 on: February 07, 2018, 04:12:16 am »
> LAN Netzwerk mit IP 192.168.1.1 und DHCP ab 1.10, alle anderen PCs in meinem LAN habe ich statisch verteilt genauso wie den AP mit .1.254

DHCP "ab .1.10"? Bis wohin? Hoffentlich hast du den Bereich abgegrenzt damit er nicht mit deinen statischen IPs kollidiert?

> Für einen TeamSpeak 3 Server habe ich beispielsweise am O2 Router den Port 8084 auf die pfsense weitergeleitet und von dort in der Firewall bei NAT Portforward eine Regel erstellt den Port 8084 auf die DMZ IP .2.2 umzuleiten.

Und wie sieht die NAT Regel aus? In 90% der Fälle in denen es heißt "Das Forwarding geht nicht" ist schlicht die Forward Regel falsch.

> Ansonsten habe ich probiert alle Ports vom ersten Router auf den zweiten und dann an die DMZ weiterzuleiten, auch per Alias, aber beides ohne Erfolg. Nichteinmal wenn ich den Port 80 von dem ersten Router auf die WAN IP des pfsense umleite kann ich extern auf den pfsense zugreifen und der Port ist zu.

Da die pfSense per default nicht auf 80 sondern 443/HTTPS hört, kann das gut sein, es sei denn du hast deine wieder auf 80 konfiguriert.
Dann würde ich mir mal den O2 Router genauer ansehen, ob der kein exposed Host Setting hat, manchmal falsch auch DMZ genannt oder sowas, womit du alle Ports UND Protokolle auf die pfSense auf der .2 weiterleiten kannst. Dann kannst du in den Firewall Logs der Sense sehen ob das erfolgreich war, denn dann müsste am WAN Port einiges Grundrauschen ankommen.

> Leider kann ich in der Kiste nur auf IPs mit dem gleichen Adressbereich umleiten, also in diesem Falle .0.X

Das ist auch OK und völlig normal, ansonsten müsstest du ja direkte Routen eintragen können, was die meisten 08/15 SOHO Router gar nicht wollen, dass ein Kunde das kann :)

Grüße
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline fippox

  • Newbie
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #14 on: February 07, 2018, 06:45:57 pm »
Erstmal danke!

zu 1: die statischen IPs habe ich in der Sense von 1.2-1.9 verteilt, also vorm DHCP Bereich, bei sowas kenne ich mich aus. Der DHCP Bereich endet bei 250 und danch habe ich Platz für Netzwerkgeräte, die keine PCs darstellen, also zB den AP

zu 2: genau das ist meine Frage. Ich habe mehrere Varianten probiert und keine davon hat funktioniert. Quelle müsste ja das WAN sein, Ziel das DMZ net und dann als Umleitungsziel die NUC IP. So würde ich das verstehen. Vielleicht könnt ihr mir ein Beispiel nennen, die ich das Konfigurieren muss bzw was ich wo eintragen muss..

zu 3: das macht natürlich Sinn über HTTPS, garnicht drauf gekommen.. aber ein guter Weg, um meine Portregeln jetzt zu prüfen. Ist die Konfigurationsseite der PFSense denn per default erreichbar oder ist das deaktiviert für externe Zugriffe? Exposed Host hat der O2 Router nicht, deswegen habe ich ja mit der PFSense Sache angefangen. Keine halben Sachen.

zu 4: Das habe ich mir gedacht, aber wollte es dennoch erwähnen.

Grüße :)