Support PFSense Einrichtung - Fehlendes Verständnis

[seriousNoob]

Nabend Elite,

nach vielen Jahren immer nur betreiben von Servern ohne eigene Firewall, außer den Standard Absicherungen wie IPTables, Fail2Ban, RKHunter etc. pp. beschäftige ich mich aktuell endlich mal mit dem Thema Firewall, Packetfilter, DMZ und was eben alles dazu gehört. Quasi den Network Grundlagen, die ich bisher leider völlig außer Acht gelassen habe.

Um mir ein eigenes kleines Testsystem fertig zu machen, bastle ich gerade mit der Hetzner Cloud an einer PFSense Firewall und einem Private Client. Hierzu verwende ich das von Hetzner selbst Online gestellte Tutorial:

https://community.hetzner.com/tutorials/how-to-route-cloudserver-over-private-network-using-pfsense-and-hcnetworks

Aktuell bin ich an folgender Stelle hängen geblieben:

Before applying the changes, go to System -> Routing -> Static Routes and create a new route:

Destination network: 10.0.0.0/16
Gateway: 10.0.0.1
Description: Make private network reachable for pfSense

Apply the changes and go back to Interfaces -> LAN and also apply the changes.

Mir fällt in dem Zuge auf, dass Gateway mit der IP 10.0.0.1 nicht vorhanden ist. Ausschließlich folgende:

WAN_DHCP 172.32.1.1
WAN_DHCP6 -
Null4 - 127.0.0.1
Null6 - ::1

Muss hier das Gateway mit der internen IP 10.0.0.1 erst noch angelegt werden oder wie soll sonst die Auswahl erfolgen?

Denn entweder steig ich noch gar nicht durch oder ich bin einfach nur zu blöd :smiley: Denn im Tutorial weiter oben wird ja noch gesagt:

The usage of 10.0.0.1 is not possible because this ip is already used to route the packages over multiple hosts.

und jetzt soll ich aber das Gateway für die static route auf 10.0.0.1 legen, welche im Interface nicht mal vorhanden ist und somit auch unmöglich ein Gateway anzulegen mit dieser IP Geschweige denn auszuwählen??


Entschuldigt, falls ich mich da etwas ungeschickt anstelle - im Thema Networking/Firewall bin ich wie gesagt noch ziemlich neu. Würde mich sehr über eine Erklärung zur eventuellen Lösung meines Problems freuen, damit ich gleich verstehe wieso/wesshalb/warum^^

Beste Grüße
seriousNoob

 

[axel]

Hi,

das hier musste ich erst 2x lesen, um zu verstehen: Wozu..?

Why should a server route the traffic over a private network?

The advantage to route the traffic over private networking is that the client servers can be protected by a firewall and are only accessible through the internal IP address. If the public interface of the client servers is disabled, the only access is via the router. It uses NAT (...) to hide the internal network from the public Internet.

Ich verstehe es ehrlich gesagt immer noch nicht(??).

Mit pfSense und Netzwerktechnik kenne ich mich allerdings halbwegs aus (komm mir jetzt bloß keiner mit CCNA Gedönse! )

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[seriousNoob]

Woran scheitert es denn zu verstehen?

Das Tutorial geht um die Konfiguration eines privaten Netzwerks, welches nur je nach Regelungen nach außen telefonieren kann - allerdings eben nur über das PFSense Gateway. Denn Standardmäßig sind die Cloud Server von Hetzner Public und somit per öffentlicher IP erreichbar - das Ziel ist, eine PFSense Firewall zu haben, dessen Clients (Die Server für Web-, Mail-, etc) erst über das Gateway müssen - Inbound und Outbound.

Ich versteh eben nicht wie ich das Gateway 10.0.0.1 anlegen soll, wenn laut Tutorial:

The usage of 10.0.0.1 is not possible because this ip is already used to route the packages over multiple hosts.

 

[axel]

Hi,

Zuhause und in Unternehmen macht das Sinn, und nennt sich schlicht und ergreifend Gateway/Router.

Wozu das in einer Cloud, oder mehreren Rootservern?

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[seriousNoob]

Wozu das in einer Cloud, oder mehreren Rootservern?

Weils Unternehmensserver werden, die eine entsprechende Absicherung benötigen um eben z.B. Packetfilter etc. einsetzen zu können und am Gateway bereits zu prüfen statt auf dem entsprechenden System. Beziehungsweise - was spricht dagegen?

 

[conga]

Gateway auf dem Router für das Private Network in alle Netze 0.0.00/24 ist die ip 10.0.0.2
To route the whole traffic to the router in private network, a route is needed. The destination is 0.0.0.0/0(every ip in every subnet) and the gateway is 10.0.0.2 (the router).

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

auf der pfSense wird eine Route angelegt 10.0.0.2 für das Netz für das Netz 10.0.0.0/16

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

Für das Private Network wird die iP 10.0.0.1 als Gateway angegeben

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[seriousNoob]

Erstmal muss das LAN Interface scheinbar konfiguriert werden (War nicht wie das WAN vorkonfiguriert). Passt das so?

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[conga]

Ist das die Konfiguration für der Client Server?

@axel kann ich garnicht glauben, dass du das nicht verstehst, bei deinen Beiträgen (Ironie) :smile::smirk:

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[seriousNoob]

Das ist erstmal nur die Konfiguration des LAN Interface innerhalb der PFSense

Siehe:

Sie müssen registriert sein, um Links zu sehen.

To configure the interface for static IPv4 on an internal interface (e.g. LAN, DMZ):

• Select Static IPv4 under IPv4 Configuration Type
• Enter the IPv4 address for the interface into the IPv4 address box
• Choose the appropriate subnet mask from the CIDR drop-down after the address box
• Do not select an IPv4 Upstream Gateway

Hier die Netzwerk Konfiguration bei Hetzner (Layer 3):

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

//Edit

Nein, ist nicht richtig - im Tutorial stehts ja:

Go to Interfaces -> Assignments and add the interface vtnet1. Now, go to Interfaces -> LAN and configure it.
Set the IPv4 Configuration Type to DHCP and check Enable interface.

Ich sollte einfach mal die Augen auf machen - danke fürs auf die Sprünge helfen ^^ Ich glaub es geht jetzt gerade voran

 

[conga]

Ein Tipp noch, wenn es Unternehmensserver sind die später im Produktiv Einsatz laufen, rate ich dir zu einer ausgedehnten Testphase um zu verstehen, wie das Ganze funktioniert um keine Sicherheitslücken einzubauen. :smirk:

 

[seriousNoob]

Genau das passiert gerade quasi - hab mich vorher noch nie groß mit Networking/Routing groß beschäftigt und deswegen - bevor die Dinger produktiv gehen, wird erstmal ausgiebig getestet und neues dazu gelernt

Eine Frage hätte ich noch zu folgender Aussage:

It may happen that the browser is caching the session. In this case, close the browser and re-open it. The pfSense UI should not reachable with the public IP address anymore.

Wenn ich es richtig verstehe, ist das PFSense UI jetzt nicht mehr Public erreichbar sondern nur noch lokal. Wie kriege ich jetzt am besten Zugriff vom Heim PC bzw. von meinem Office Cloud PC Zugriff auf das UI für eben Dinge wie Regelpflege, einbinden neuer Systeme etc.?

 

[axel]

Jetzt dämmerts langsam, was gemeint ist.

Weitermachen & Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[conga]

Wenn ich es richtig verstehe, ist das PFSense UI jetzt nicht mehr Public erreichbar sondern nur noch lokal. Wie kriege ich jetzt am besten Zugriff vom Heim PC bzw. von meinem Office Cloud PC Zugriff auf das UI für eben Dinge wie Regelpflege, einbinden neuer Systeme etc.?

Regeln (Port Forwarding) erstellen auf einen Rechner der hinter der pfSense steht und von das aus lokal auf die pfSense zugreifen.

 

[axel]

Hi,

hier wird (zumindest vom Verständnis meiner Wenigkeit) zu viel auf einmal versucht und auch erklärt.

Worum dreht es sich denn, über welche "Dimensionen" sprechen wir denn bei einem (unkoventionellem A Klasse) Netz?

Ansonsten reicht da ein vorgefertigtes Image für die jeweilige Architektur.

Gruß

PS: Jep, den Sch.. muss man dann auch noch konfigurieren.

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[conga]

Meine Vermutung ist (kein Hetzner Kunde), dass es sich um Hetzner Cloud Networks handelt, wo Server in der Cloud über 3 verschiedene Standorte verbunden werden können. Die Server können hinter der pfSense in einen private network gestellt werden, was auch immer das heisen soll. Hetzner schreibt, dass der Datenverkehr nicht verschlüsselt ist im private network:

Spoiler: Ist der Datenverkehr innerhalb von Hetzner Cloud Networks verschlüsselt?

Der Datenverkehr zwischen Cloud-Servern innerhalb eines Network ist privat und isoliert, aber nicht automatisch verschlüsselt. Wir empfehlen Ihnen, TLS oder ähnliche Protokolle zu verwenden, um vertraulichen Datenverkehr zu verschlüsseln.

Das ganze ist/sieht für mich erstmal nach einen Sicherheitsalbtraum aus, private Netze die der Kunde Verschlüsseln soll, Server in der Cloud und sehr wahrscheinlich eine Firewall die in einer Virtuellen Umgebung abgebildet wird. Was läuft in der Cloud des Provider? Wie bekommt man so was sicher konfiguriert?

Hier die Angaben vom Provider, wie groß die Netze werden können:

Spoiler

Sind irgendwelche IP-Adressen reserviert?

Die folgenden IP-Adressen können Ihrem Server nicht zugewiesen werden:

• Die erste IP-Adresse Ihres Network-IP-Bereichs. Als Beispiel in `10.0.0.0/8` können Sie `10.0.0.1` nicht benutzen.
• Die Netzwerk- und Broadcast-IP-Adressen eines beliebigen Subnets. Als Beispiel in `10.0.0.0/24` können Sie `10.0.0.0` und `10.0.0.255` nicht benutzen.
• Die spezielle private IP-Adresse `172.31.1.1`.Diese IP-Adresse wird als Standard-Gateway der öffentlichen Netzwerkschnittstelle Ihres Servers verwendet.

Gibt es Limits für die Nutzung von Netzwerken?

• Sie können bis zu 100 Server an ein Network anschließen.
• Jeder Server kann zusätzlich zu seiner privaten Haupt-IP bis zu 5 Alias-IPs haben.
• Sie können bis zu 50 Subnets erstellen (pro Network)
• Sie können bis zu 100 Routes erstellen (pro Network

hier weitere Informationen:

Sie müssen registriert sein, um Links zu sehen.