dynamyte
Goto Top

PFSense integrieren in bestehendes Netzwerk, als Sniffer, Regel Pass Any Any

Moin, ich hab mal ne Verständnisfrage da ich mich mit PFSense nicht so gut auskenne.

Ich habe ein Bild angefügt das hoffentlich verdeutlicht wie das Netz aussieht. (Physikalischer Aufbau)

Zur INFO:
Die IP's sind Beispiele.
Ebenfalls ist das mit den Access Ports der aktuelle Stand und da es nur das "Haus Netz" und das "Internetz" gibt wird nicht mit Trunks bearbeitet. (Jeder darf ins Internet.)
Ich weiß das dieser Netzaufbau der totale Schrott ist und das man Server, Rechner, Drucker, etc. trennen sollte. Das ist hier aber nicht gewollt, bzw. wird ggf. bei einer Netzerneuerung umgesetzt.
Ebenfalls ist der Aufbau wie im Bild genauso einzuhalten, eine logische Verschaltung der Firewall kommt nicht in Frage.
Also bitte keine Diskussion dazu anheizen, ich kriege selber jedes Mal Herzklabuster wenn ich an dieses Netz denke...

1. Zu meiner Frage:

Um die Firewall ins Netz zu bringen würde ich den Internetanschluss am L3 ausstöpseln und mit dem WAN der FW verbinden,
als nächstes würde ich den L3 Port mit dem LAN der FW verbinden.
Anpassung FW:
Die FW nimmt hier den Platz des L3 ein und erbt dementsprechend WAN-seitig die IP Adresse und die Route.
In der Firewall trage ich zusätzlich die Route zum internen Netz ein.
Zusätzlich passe ich die LAN IP in die Neue des Transfer-Netzes an.
Als Regel wird eine Pass IPv4+IPV6 ANY ANY mit LOG erstellt.

Anpassung L3:
Am L3 schreibe ich die Route um, das alles (außer intern) an die FW gesendet wird.
Zusätzlich dazu ändere ich die IP des VL3 in die Neue des Transfer-Netzes.

2. Das wäre für mich logisch und müsste soweit auch funktionieren, könnt ihr da zustimmen oder liege ich da falsch?
3. Man sagte mir ich könne die FW auch komplett ohne Anpassung dazwischen hängen,
Nach meiner Logik arbeitet die FW ab L3 IP Basis und muss wissen wo die Daten hinsollen, bzw. was sie damit machen soll.
Das sagt mir das diese Aussage Bullshit ist, ich kann auch bei LAN und WAN keinen gleichen IP Adressbereich vergeben...
Gibt's dafür irgendeinen speziellen Trick um eine intelligente FW dazu zu bringen, dass sie sich nur wie L2 Baumarkt-Switch verhält?
4. Davon ausgehend das Frage 3 mit "Ja das ist Bullshit." beantwortet wird, ist es möglich die Firewall so einzubringen, das man bei Ausfall ohne Konfigurationsaufwand einfach die alte Verkabelung wiederherstellt?

zu 4, in der Theorie könnte ich doch die alte 0.0.0.0 Route als Fallback mit schwächerer Prio einrichten.
Ich lasse das VL3 wie es ist, erstelle stattdessen ein VL4 mit der Transfernetz-IP und ändere den Access Port zum Internet/FW in einen Trunk um. Ja nein vllt? :D

Danke für eure Hilfe!
netz

Content-Key: 585002

Url: https://administrator.de/contentid/585002

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: aqui
Lösung aqui 05.07.2020 aktualisiert um 16:04:59 Uhr
Goto Top
Deine Schritte zur Integration sind allesamt richtig !
Zu den Punkten...
2.)
Wir können 100% zustimmen.
3.)
Ja, das ist richtig. Die pfSense arbeitet mit der Default Konfig schon fix und fertig out of the Box. FW Regeln am Default LAN Port sind entsprechen passend fertig voreingestellt. Allerdings....
  • Das LAN Interface rennt Default mit einer IP von 192.168.1.1 /24. Das musst du ggf. an deine bestehenden Verhältnisse anpassen.
  • Der WAN Port der pfSense rennt im Default im DHCP Client Mode, versucht sich also dort eine IP zu ziehen. Je nachdem WAS du als WAN Infrastruktur hast (leider oben keinerlei Angaben face-sad ) musst du das anpassen. Das hiesige pfSense_Tutorial hat die WAN Port Details dazu.
  • Wenn dein L3 Switch VLANs routet muss auf der pfSense entsprechende Routen in diese Netze eingetragen sein.
  • Die Default Route des L3 Switch muss auf die LAN IP der pfSense zeigen.
Diese kleinen kosmetischen Anpassungen musst du natürlich zusätzlich zur Default Konfig machen. Wie so ein passendes Design dazu aussieht zeigen dir HIER ein paar bunte Bilder und Text.
Bullshit wäre also etwas zu hart formuliert. Mit den o.a. kleinen Anpassungen rennt auch die Default Konfig in deinem Design. face-wink
4.)
Ja, das ist kinderleicht !
Dabei sollte das Koppelnetz zur FW eine identische IP Adressierung haben wie jetzt. Dann muss man schlicht und einfach nur umstecken ohne weiteren Aufwand. Die pfSense verhält sich ja identisch wie jede FritzBox oder Baumarkt Router. Weiss man aber auch als Netzwerker...!
in der Theorie könnte ich doch die alte 0.0.0.0 Route als Fallback mit schwächerer Prio einrichten.
Nicht nur in der Theorie sondern auch in der Praxis ! Klar, das funktioniert natürlich auch problemlos.
Mit anderen Worten: Alles richtig gemacht !
Mitglied: Dynamyte
Dynamyte 05.07.2020 um 23:36:31 Uhr
Goto Top
Alles klar danke, das Problem ist eben manchmal, dass, wenn tausend Leute auf einen einreden, man iwann daran zweifelt ob die evtl doch Recht haben mit dem Unsinn den die da verzapfen!
Ich wollte mich einfach nochmal rückversichern, gerade weil ich die PFSense nicht kenne, hätte ja tatsächlich sein können das man die einfach ohne IP-Konfiguration als sniffer dazwischen schieben kann.

Danke für die Hilfe.

Ich hätte noch eine Frage, die PFSense hat mir bei der Einrichtung angeboten vlans anzulegen, wollte da aber direkt auch eine Anbindung haben, ich hab die natürlich nicht direkt am Switch konfiguriert.. Die Vlan Netze mache ich bei der Fw einfach bekannt, oder kann ich mir das sparen?
Noch mal zur Info, sie soll nichts tun außer loggen und natürlich wissen was das interne und externe Netz ist.
Mitglied: aqui
aqui 06.07.2020 aktualisiert um 14:48:08 Uhr
Goto Top
gerade weil ich die PFSense nicht kenne
Dazu muss man sie auch nicht kennen. Es reicht völlig wenn man andere Firewalls kennt oder jeden beliebigen Baumarkt Router. Alle verhalten sich in der IP Adressierung ja immer gleich und so wie oben beschrieben. face-wink
Ich hätte noch eine Frage
Immer gerne...
die PFSense hat mir bei der Einrichtung angeboten vlans anzulegen
Kannst du beruhigt ignorieren oder verneinen. Du routest die VLANs ja zentral auf dem L3 Routing Switch. Die Firewall braucht also keine VLANs.
Die Vlan Netze mache ich bei der Fw einfach bekannt
Ja, mit einer einfachen statischen Route unter System --> Routing.
oder kann ich mir das sparen?
Kannst du dir auch sparen wenn du ein dynamisches Routing Protokoll wie z.B. RIPv2 oder OSPF nutzt auf Switch und Firewall.
Je nachdem was dir lieber ist. face-wink
Noch mal zur Info, sie soll nichts tun außer loggen und natürlich wissen was das interne und externe Netz ist.
Ahhhsooo !!!
Dann vergiss bitte ALLES was oben steht. Sorry, das habe ich missverstanden !
"Transparent Firewall" ist dann das Zauberwort !!!
Dann musst du aber schon etwas verändern im Firewall Setup. So out of the Box geht das dann nicht.
Sieh dir das u.a. YouTube Video an dort wird alles explizit erklärt für exakt genau die Anforderung (reine Überwachung) die du planst !!

Dann definierst du die pfSense natürlich als einfache Bridge:
https://www.youtube.com/watch?v=1EXgyvwJZ6k
https://docs.netgate.com/pfsense/en/latest/book/bridging/index.html
Sorry für die Verwirrung....
Dann kannst du die Firewall natürlich auch mit einfachen Patch Kabel überbrücken als simpler Fallback.