pfSense und Netzwerk Fragen

    Hallo zusammen


    Ich würde sehr gerne die Netzwerkfunktionen vom NAS (und generell) etwas besser verstehen und habe mich deswegen einem kleinen Projekt angenommen.


    Mein Ziel ist es, das Web-GUI eines Containers über WAN aufrufen können. Voraussetzung ist jedoch, dass die Verbindung zuerst über pfSense in der Virtualization Station als Software Firewall geleitet wird, damit ich dort ein paar Restriktionen vornehmen kann.

    Leider ist das das Thema Netzwerk ein Fass ohne Boden und für mich nicht ganz einfach zu verstehen. Es scheint mir einiges an grundlegendem Wissen zu fehlen, welches ich bereits vorab erfolglos versucht habe, mir autonom anzueignen.



    Wie ihr dem ersten Screenshot entnehmen könnt, ist pfSense in der Virtualization Station zwei virtuellen Netzwerken zugewiesen. Nur das erste Netzwerk ist auch effektiv per LAN im Heimnetz und damit auch mit dem Internet verbunden.


    In pfSense wurde der Virtuelle Switch 1, welcher im Heimnetz, und dadurch auch über das Internet erreichbar ist, als WAN Interface und der Virtuelle Switch 2 als LAN Interface eingerichtet.


    Nun wird mir in pfSense die WAN v4 IP 192.168.1.44 und die LAN v4 IP 192.168.1.1 angezeigt.

    Auf das GUI komme ich aber leider nicht.


    Fragen:

    1) Weswegen kann ich per WAN v4 IP 192.168.1.44, welche am Virtual Switch 1 angebunden ist, welcher wiederum über den Adapter 1 läuft und somit im gleichen Netzwerk sein sollte wie meine anderen Geräte, nicht vom PC aus zugreifen (auch nicht anpingen)?

    Auch in der Netzwerkübersicht scheint keine IP zugewiesen worden zu sein.


    2) Verstehe ich es richtig, dass ich den Container, welcher auch von ausserhalb erreichbar sein sollte, an den Virtual Switch 2 (LAN in pfSense) anbinden muss. Anschliessend braucht es eine Portweiterleitung vom Router zum pfSense zur WAN IP und in pfSense eine weitere Portweiterleitung zum Container über das LAN Netzwerk (Virtual Switch 2)?


    3) Wie kann ich einen Container, welcher per Docker-Compose ausgeführt wird, auch dem Virtual Switch 2 zuweisen?



    Ich wäre sehr dankbar, wenn mich hier jemand in die richtige Richtung leiten könnte.

    Zunächst einmal: der Ansatz ist m.E. vollkommen falsch!

    Was willst Du mit einer Firewall auf dem NAS?

    Die gehört auf den Router!


    Mit dem vSwitch Krempel von QNAP kenne ich mich nicht aus, aber der zweite Fehler (nach Firewall auf NAS ;)) ist, das WAN und LAN IP im selben Subnetz sind. Wie soll das gehen? Dann braucht die Firewall auch nichts mehr routen/blocken. Das geht nur zwischen verschiedenen Netzwerken.


    Wenn Du schon pfSense einsetzt, dann kaufe Dir einen kleinen PC mit mind. zwei LAN Schnittstellen (die werden auch oft in der Bucht verhökert), Größenordnung < 100€, und setze den PC als Firewall hinter den Router. Dann wirst Du doppeltes NAT haben (Router-Kaskade), aber wesentlich mehr Sicherheit, und dafür macht man das ja.


    Die in meinen Augen beste Lösung wäre ein reines DSL Modem und dahinter die pfSense als Router/Firewall, so läuft es bei mir (mit einer Netgate Appliance).


    Gruss

    Das liegt am WAN, welches du Inside als LAN verwendest, denn per definition kommt man von WAN Seite niemals auf eine Firewall, bis man selber Löcher über ACLs reinbohrt.

    Ich habe zum Testen auch eine Virtuelle pfSense auf dem NAS.

    Hier habe ich dann das LAN intern an den vSwitch gekoppelt der mit meinem normalen LAN verbunden ist und nutze das für Management usw.


    Zudem kann ich mir so Netze zur virtuellen, in meinem fall pftest, routen.

    Auf der pfTest gibt es dann ein WAN interface, welches als Dummy vorhanden ist, ich aber nicht benötige, da die ja in meinem LAN hängt und ich keinen Internetanschluss habe der als echtes WAN fungiert.

    LAN bekommt dann eine Route mit 0.0.0.0 0.0.0.0 auf meine echte pfSense, die im LAN Gateway ist.


    Dann kann man jetzt noch VLANs aufbauen und mit einer weiteren Netzwerkkarte am NAS arbeiten und hier einen weiteren SDN Switch anlegen und da dann die DMZ Interface drauf legen. Für dich würde ja ein SDN im NAS reichen, an den du den Conti hängst.


    Wie das mit dem Skript geht, frage ich mich auch, die Option habe ich bisher noch nicht sauber hin bekommen. Würde meine Contis auch gern mit einer eigenen IP laufen lassen, da ich dann deutlich mehr mit anstellen kann. Was die Conti Station jedoch leider auf dem NAS noch immer nicht kann, ist nativ mit VLANs verbunden zu werden.


    Fahre also die VM runter, baue das die LAN Ports entsprechend um und starte sie wieder.

    Dann weise über die Console die Ports den Interfaces neu zu, vergebe eine LAN IP an die du ran kommst und los geht es.

    Vielen Dank für eure Antworten.


    FSC830

    Es geht mir darum, dass ich es vermeiden möchte eine Firewall zwischen NAT und allen Geräten zu hängen.

    Ich werde hier vermutlich nicht auf viel Verständnis stossen, aber für mich ist eine Firewall im Heimnetz, besonders wenn keine Ports geöffnet sind, unnötiges verkomplizieren. Zumindest bei einem so "flachen" Setup, wie ich es bei mir zu Hause habe.


    Vielleicht schreibe ich das aber auch nur, weil ich eine Firewall von Ubiquiti installiert hatte und immer wieder Probleme dadurch entstanden sind.


    Warum auch immer - ich würde sehr gerne den Ansatz versuchen, dass ich einen oder zwei Ports öffnen kann und diese vom Router auf die (Software) Firewall und von dort zu den Containern weiterleite, ohne dass die anderen Clients von der Firewall eingeschränkt werden. Dies gäbe mir die Möglichkeit ein paar Ports mit ausreichenden Sicherheitsmassnahmen zu öffnen, ohne dass ich beim restlichen Netzwerk im Konfigurationschaos ende.


    Falls dieser Ansatz aber zu Sicherheitslücken führen kann, so lasse ich mich sehr gerne belehren.


    Crazyhorse

    Vielen Dank. Dass das GUI nicht per WAN erreichbar ist, leuchtet mir jetzt ein und erklärt meine Fehlüberlegung.


    Ich glaube ich verstehe nun den Ansatz davon WAS ich umsetzen muss, aber leider noch nicht ganz WIE das gemacht wird.

    Ich habe nun alles umgesetzt, soweit ich das verstanden habe und mein Wissensstand dafür ausgereicht hat.

    An diesem Punkt wäre ich Dir aber sehr dankbar, wenn Du mir nochmals weiterhelfen könntest.


    Was ich gemacht habe:


    Ich habe in der Virtualization Station drei Netzwerkadapter hinzugefügt.

    Wie das in der Virtualization Station aussieht, ist auf dem angehängten Bild ersichtlich.


    Virtual Switch 1 - Für das LAN1, bzw. das Web GUI von pfSense

    Virtual Switch 1 - Für das "WAN" in pfSense (Port-Weiterleitung vom Router auf diese IP)

    Virtual Switch 8 - Für ein weiteres LAN in pfSense, wo ich dann gerne die Container zur weiteren Port-Weiterleitung anbinden würde


    Der Virtual Switch 1 ist im "normalen" Heimnetz mit der IP 192.168.1.214 konfiguriert (hier erreiche ich auch das NAS GUI)


    Der Virtual Switch 8 habe ich mit folgenden Daten eingerichtet:

    Statische IP

    IP: 192.168.10.1

    Subnetz: 255.255.255.0/24

    Standard-Gateway: 192.168.10.1

    DNS: 8.8.8.8

    IPv6 Auto-Konfiguration (Stateless)

    NAT Aktiviert


    DHCP Server wie folgt aktiviert:

    IP Bereich: 192.168.10.2 - 192.168.10.250

    Subnetz: 255.255.0.0/16

    Standard-Gateway: 192.168.10.1

    Primärer DNS Server: 192.168.10.1

    Sekundärer DNS Server: 8.8.8.8


    Besonders bei der DHCP Server Einstellung habe ich ehrlich gesagt keine Ahnung, ob das so richtig ist.





    Etwas mit dem Virtual Switch 8 scheint sicherlich noch nicht zu stimmen.

    Zumindest wird in pfSense keine IP Adresse für diesen "LAN" Adapter hinzugefügt.


    Das WAN, so wie das LAN1 scheint aber korrekt zu funktionieren und auf das WEB-GUI komme ich nun wie gewollt.


    An diesem Punkt komme ich aber leider nicht mehr weiter.


    1. Wie kann ich den Virtual Switch 8 richtig einstellen, dass darüber ein eigenes Sub-Netz läuft?

    Im Anhang habe ich noch einen Screenshot von der Zusammenfassung meiner Einstellungen.


    2. Wie kann ich die Container (laufen per docker-compose) so einrichten, dass diese über das Sub-Netz vom Virtual Switch 8 laufen?

    Oder alternativ: wie kann ich mein normal verwendetes Netzwerk auch über das separate Sub-Netz vom Virtual Switch 8 erreichbar machen?

    Wenn das GW von Ui bei dir Probleme macht, dann hattest du irgendwo nen Wurm konfiguriert, denn bei mir gibt es mit der pfSense als zentrales Gateway nur mal ein Problem bezüglich DNS Blocking, was ich aber extra so eingestellt habe um Werbung und Schadcode usw. zu blocken.


    Ohne den pfBlockerNG würde sich meine Sense so verhalten wie eine Fritz und alles von LAN -> WAN durch lassen, da hier per default eine Any Regel eingetragen ist.


    Du brauchst in der VM 3 Interface.

    LAN, WAN, DMZ.


    Im LAN ist dein normales Heimnetz und das hängt am vSwitch der mit deinem normalem Netzwerk verbunden ist.


    Für WAN und DMZ benötigst du extra SDN Switche auf dem NAS, die keinen LAN Adapter zugewiesen bekommen! Das ist ganz wichtig.

    Denn für WAN brauchst du in deinem Setup nix, da man die Sense zwar Multihomes betreiben kann, das aber nicht sonderlich viel Sinn ergibt.


    Das DMZ Netz wird auf der pfSense angelegt und hier wird der DHCP Server aktiviert und diese ist dann Router für das Netz in dem sich der Conti befinden wird.

    Nur so hast du dann den Firewall Schutz und kannst die Zugriffe granular steuern.


    Also Conit -> DMZ Int pfSense -> LAN Int pfSense -> Router -> Internet


    So ist der Datenfluss.

    Dazu benötigst du aber einen kleinen Netzplan und eine Route in deinem Internetrouter zur pfSense.

    Denn du routest auf der Sense und setzt nicht per NAT um, weil du es nicht musst!


    Setzt du also das 192.168.0.0/24 für dein LAN ein, kannst du z.B. das 192.168.4.0/24 für die DMZ nutzen, dann hast du auch für das LAN noch die Möglichkeit mehrere Netze verwenden zu können, sprich bis zu einem /22 hoch.

    Im bisherigem Router dann eintragen 192.168.4.0 255.255.255.0 -> IP LAN Pfsense.



    Und ja, eine richtige Firewall im Heimnetz zu betreiben kann schon mal eine Störung geben, wenn man mal mit dem Regelwerk rumspielt und etwas testet, hält man das flach wie bei einer Fritz, dann passiert jedoch nix.

    Man kann aber x Netze mit VLANs einsetzen und IoT Device sauber vom Rest trennen und noch ganz vieles mehr.

    Man hat mit so einem Teil aber einen ganz anderen Sicherheitsbaukasten zur Verfügung als mit so einer Plastekiste. Da bekomme ich die Kriese, weil die alles was ich einstellen will entweder irgendwo sinnfrei versteckt oder gar nicht erst kann...:cursing:

    Crazyhorse


    Nochmals Dankeschön.


    Ich habe heute gerade festgestellt, dass QNAP irgendwann innerhalb der letzten paar Monaten eine neue Firewall App (QuFirewall) veröffentlicht hatte, welche an sich genau die Basic Regeln unterstützt, welche ich benötige.


    Regeln:

    1. Erlaube Port XY, wenn von IP XY

    2. Blocke alles andere aus dem WAN


    Da ich bei der pfSense sonst an sich auch nicht mehr eingestellt hätte, reicht mir das so vorerst auch aus und ist zudem noch Resourcenschonender, als wenn ich extra eine VM dafür laufen lassen muss.