Protectli FW4C - Netzwerkumbau Teil2

[Fidibus]

Nachdem hier erst einmal alles zurückgebaut wurde und trotzdem noch nicht alles wieder sauber läuft, befolge ich den Ratschlag, einen neuen Thread zu starten.
Also erst einmal ganz einfach.
Ich möchte mein Hausnetz mit einer pfsense schützen.
Die Ausgangslage:

Da in meinem Netz ein Homeassistant, eine PV-Anlage, eine Heizung, diverse Shellys und noch so einiges anderes bereits läuft, möchte ich das eigentliche LAN (192.168.1.0/24) nicht umkonfigurieren.
Um in Zukunft die pfsense an der roten, gestrichelten Linie in den Einsatz zu bringen, möchte ich zuerst die DHCP-Funktion von der Vodafone-Box auf das LAN-Interface der pfsense bringen.
Folgendes ist mir im Thread 1 dabei bereits auf die Füße gefallen:
- Das Standartgateway wird offensichtlich nicht ausschließlich durch Eintrag im pfsense DHCP-Server richtig übermittelt. Dazu muss in der Routenkonfiguration der pfsense die default Route eingetragen werden und die DHCP-Option kann dann leer gelassen werden.
- Es scheint so, dass grundsätzlich der DNS-Server = IP des DHCP-Servers ist, wenn nicht zusätzlich etwas konfiguriert wird.
Und schon bin ich wieder bei einer Aktion, wo es sinnvoll erscheint, 2 Sachen gleichzeitig im Netz zu ändern, obwohl ich weiß, dass das doof ist.
Was würdet ihr machen? Mein Weg wäre:
1. Schritt: Im Netz das DNS auf adGuard ändern. Damit würde diese Konfiguration des DNS auch für alles Weitere bestand haben - nach meiner Überlegung.
2. Schritt: Den DHCP-Server von der Vodafone-Box auf das LAN-Interface der pfsense ziehen, hier dann den DNS Eintrag auf adGuard zeigen lassen.

 

[the other]

Moinsen,
die pfsense schützt dich vor allem dann, wenn du
a) ein Transfernetz hast zwischen Internetrouter und pfsense mit einem eigenen IP Bereich )sagen wir zB 172.16.100.0/24
und b) ein LAN hinter der pfsense nutzt (mit eigenem IP Bereich, sagen wir 192.168.50.0/24

Warum? wenn der Traffic in einem Netzwerk (also alles mit der IP 172.16.100.) läuft, dann schaltet sich da kein Router und keine Firewall zwischen. Du hast dann die pfsense im Netz, die macht aber kein routing oder firewalling.

DHCP:
Du kannst dann im Internetrouter DHCP einfach belassen (dadurch wird das Transfernetz versorgt)
Auf der pfsense (deren WAN IF seine IP durch den DHCP der VFbox erhält bzw diese dort fest reserviert ist) wird dann ein LAN Interface mit der ANDEREN IP genutzt, in dem dadurch aufgespannten Netzwerk kannst du dann den DHCP der pfsense laufen lassen, der bedient dann nur das pfsense Netz (oder später auch mehrere).

DNS:
eigentlich ähnlich...die VFbox macht DNS forwarder (meist) für den Transfernetzbereich, die pfsense mit unbound bietet einen DNS Resolver. Auch hier: die Geräte im LAN hinter der pfsense (vom Internet aus gesehen) bekommen dann den DNS resolver der pfsense mitgeteilt. Also auch hier eine Trennung VFbox (Transfer)LAN und pfsense (Produktiv)LAN. IP des DNS resolvers der pfsense ist dann die IP der pfsense (also IP pfsense LAN IF).
Spielereien wie ADguard würde ich erstmal lassen, bis das LAN selber sauber funktioniert. Dann kann immer noch ein DNS Blocker eingerichtet werden (oder eben der auf der pfsense laufende pfblockerNG, das spart ggf. dein Adguard und ggf auch das dazu benötigte Gerät / Programm).

Umzug:
Entweder du vergibst deinen Geräten komplett neue IPs (was zunächst etwas aufwändig erscheint, andererseits baust du dein Netzwerk ja gerade vollständig um, manchmal bietet sich dann auch an, alles einmal überlegt und durchdacht neu einzurichten, alte Ärgernisse / Fehler damit zu eliminieren)...
Oder du behältst die vorhandene Adressierung...dann wandern die Geräte eben nach der Umstellung HINTER die pfsense, dort trägst du die jeweiligen MAC Adressen unter "host override" ein und weist die gewünschte IP zu (reservierte IP Adresse) und trägst hostname usw ein.
Ich persönlich würde in den sauren Apfel beißen und
...mir einen Plan machen
...das pfsense LAN einrichten mit DHCP DNS usw
...die Geräte dann auflisten (Zettel) mit ihrer MAC
..und diese dann (nach und nach) in das neue pfsense LAN umziehen.
...testen, ob das Gerät dort angekommen ist (IP? Verbindung Internet wenn nötig/gewünscht)? Pingbar? Funktion?
...dann das nächste Gerät.

Dauert zwar, aber so hat es von Anfang an Ordnung, du kannst nebenbei deine Schritte dokumentieren und hast so bessere Übersicht.
Und die Netze laufen entspannt nebeneinander her, bis alles umgezogen ist.
jm2c

 

[the other]

Moinsen,
hier nochmal als einfaches Schaubild:

Die IPs sind nur Beispiele...hier dazu:
https://www.heimnetz.de/anleitungen...-adressen-und-adressbereiche-im-heimnetzwerk/

 

[Tommes]

Ich würde auch gerne mal ein Bild dazusteuern in der Hoffnung, das sich einige Dinge klären. Wie @the other bereits sagte, DHCP macht bei mir jedes Subnet für sich selbst. Das heißt, das ich im Transfernetz (bei mir Fritzbox, bei dir Vodafone-Box) alles so gelassen habe wie es war mit allem pi-pa-po. Dann habe ich der Protectli eine Statische IP aus dem LAN der Fritzbox gegeben und hinter der Protectli zwei bzw. 3 eigenständige Subnetze geschaffen, wo jedes Subnetz seinen eigenen DHCP Bereich inne hat. Im Prinzip läuft das alles genauso, wie in deinem bestehenden Transfernetz. Das einzige was anders ist, ist der Gateway. Für die pfSense ist das immer die IP deiner Vodafone-Box. Auch der DNS-Server der pfSense zeigt bei mir auf diese IP. Hier mal eine schematische Darstellung meines Netzwerkes, wobei ich die IPs bereits deinen Anforderungen entsprechend angepasst habe. Vielleicht hilft dir das ja einwenig...

 

[the other]

Moinsen,
Ob du dns im forwarder (Anfragen gehen zb zu deinem ISP, googleDNS, cloudflareDNS, datenschutzfreundliche DNS) machst oder als resolver (Anfragen gehen zu den Authoritative DNS Servern)...das ist am Ende fürs funktionieren egal, sag ich mal so.
Was du willst ist dann deine Entscheidung. @Tommes macht es per forwarder, ich per unbound resolver.

Filter wie pihole, Adguard, pfblockerng würd ich erstmal rauslassen, wie gesagt. Ist dann der nächste Schritt.

 

[Fidibus]

Moin,
danke für eure Hinweise, aber ich entnehme daraus, dass ich mich immer noch unverständlich ausdrücke.
Der finale Aufbau, wie auf den Bildern von euch dargestellt, ist mir klar und auch angestrebt.
Ich möchte gerne mit euch den Weg dahin für mich recht einfach gestalten.
Daher möchte ich das bestehende Netz mit dem IP-Bereich 192.168.1.0/24 für die laufenden Clients erhalten.

Da in meinem Netz ein Homeassistant, eine PV-Anlage, eine Heizung, diverse Shellys und noch so einiges anderes bereits läuft,

Daher mein Ansatz, erst im finalen Schritt die Firewall mit dem Transitnetz und der VF-Box zu verbinden.
Im Vorgängerthread habe ich eigentlich soweit schon den DHCP Dienst am Funktionieren gehabt, nur der VPN-Kanal für's Homeoffice hat nicht stabil funktioniert.
Da sind mir als Probleme wie oben schon genannt:
- DNS als Mitgabe beim DHCP
- Gatewayfunktionalität aufgefallen.
Reingespackt kann auch Ipv6 haben, da auf vielen Gräten beide Stacks aktiv sind, die IPv4 Adressen aus der pfsense zwar gezogen wurden, aber eben aus IPv6 offensichtlich durch die Vodafone-Box ebenfalls verteilt wurden.
Meine Betrachtung bezieht sich ausschließlich auf IPv4.
Ok, der Ansatz war, über einen neuen Dienst DNS über eine neue, feste IP dann per DHCP zu verteilen.
Damit wäre es in Zukunft egal, ob DHCP von der Vodafone-Box oder pfsense kommt.
Ihr sagt, ich soll das erst mal lassen, ist bestimmt eine gute Idee, auch wenn mein Plan hier erst einmal wäre, keinerlei Filterung einzubauen.
AdGuard läuft aktuell unkonfiguriert auf meinem HA-Raspi mit, wäre also kein Mehraufwand.
Es könnte aber ebenso ein Dienst auf dem Protectli sein, Ansatz wäre der Selbe.
Nun also zum DHCP. Ich möchte den von der Vodafone-Box auf das LAN der protectli bringen.
Dazu fällt mir gerade ein, wenn ich später auf der pfsense die 192.168.1.1 als gateway möchte, kann ich heute schon der Vodafone-Box die 192.168.1.7 verpassen, dann brauche ich auf der pfsense da nix mehr umkonfigurieren.
Da ich aktuell ein massives Verständnisproblem habe, was IPv6 in meinem Netz wie macht, werde ich wohl doch noch einmal darüber nachdenken:

Ich persönlich würde in den sauren Apfel beißen und
...mir einen Plan machen
...das pfsense LAN einrichten mit DHCP DNS usw
...die Geräte dann auflisten (Zettel) mit ihrer MAC
..und diese dann (nach und nach) in das neue pfsense LAN umziehen.
...testen, ob das Gerät dort angekommen ist (IP? Verbindung Internet wenn nötig/gewünscht)? Pingbar? Funktion?
...dann das nächste Gerät.

Wobei - Doku und Plan ist alles vorhanden, weil eigentlich sehr überschaubar.

 

[Tommes]

Was hast du eigentlich die ganze Zeit mit dem DHCP. Der DHCP ist doch erstmal total unwichtig. Du richtest für jedes Subnet einen eigenen DHCP Server ein und gut ist. Ein DHCP Server arbeitet nicht Subnetübergreifend.

Wie gesagt… du hängst in deinem VF-LAN die pfSense einfach als normalen Client rein, mit z.B. der festen IP (jenseits des DHCP Servers) 192.168.1.254. Aus deinem VF-LAN hast du erstmal keinen Zugriff auf die pfSense, das geht nur über ein Subnet hinter der pfSense. Dieses Subnet, welches du bei der Einrichtung der pfSense angeben musstest, verwendet dabei seinen eigenen DHCP Server, wenn du ihn denn einschalten und verwenden möchtest und das war‘s erstmal. Je nach Rules Vergabe kommst du aus dem Subnet hinter der pfSense sowohl auf die pfSense als auch auf deinen VF-Router sowie auf alle Geräte in diesem Netz, umgekehrt geht das aber nicht.

Dein VF-LAN ist somit ein komplett eigenständiges Subnet, so wie es vor der pfSense auch war, auch wenn wir das hier halt nun Transfernetz nennen. Denn eigentlich sollte im Transfernetz überhaupt kein Client angesiedelt sein. Du und ich nutzen es aber als vorgeschaltetes LAN und somit als DMZ, mit allem was auch immer du da rein stellen möchtest.

Jedes Subnet hinter der pfSense bildet ebenfalls jeweils ein eigenständiges LAN und du kannst damit das gleiche machen, wie mit deinem VF-LAN inkl. DHCP Server, DNS und was weiß ich. Von daher… wie im anderen Thread bereits angesprochen. Du kannst die pfSense völlig unabhängig von deinem VF-LAN betreiben. Alles was du hinter der pfSense machst, ist deinem VF-LAN erstmal total egal. Erst wenn du damit anfängst, Subnetzübergreifende Regeln und Portweiterleitungen zu erstellen, wird es interessant. Aber da bist du noch garnicht. Du bist zunächst an dem Punkt hinter der pfSense Subnetze zu erstellen und Verbindungen ins Internet über deinen VF-Router einzurichten. Dafür benötigst du DNS und Gateway… aber kein DHCP.

Oder habe ich jetzt irgendwas nicht verstanden, da du dich

…immer noch unverständlich ausdrücke…

Ach und…

Daher mein Ansatz, erst im finalen Schritt die Firewall mit dem Transitnetz und der VF-Box zu verbinden.

Ohne die Verbindung der pfSense zur VF-Box wird dein Vorhaben nicht funktionieren bzw. nur lokal, ohne Internet und DNS.

Tommes

 

[Fidibus]

du hängst in deinem VF-LAN die pfSense einfach als normalen Client rein

Ja, vergleiche obiges Bild in post #1. Beachte interne IP! Nicht WAN-IP.
Nun soll dieses interne IF mit der internen IP, die auch immer dort bleiben soll, den DHCP-Dienst von der VF-Box übernehmen, damit

Ein DHCP Server arbeitet nicht Subnetübergreifend.

und in Zukunft

VF-LAN ist somit ein komplett eigenständiges Subnet, so wie es vor der pfSense auch war, auch wenn wir das hier halt nun Transfernetz nennen

also ich dann das WAN-Interface der pfsense mit dem LAN der VF-Box, dann auch gerne über DHCP verbinden kann.

Entweder wir reden etwas aneinander vorbei oder ich habe einen Knoten im Hirn.
Die Hinweise auf die Netzwerktopologie etc sind alle richtig und mir klar.

 

[Tommes]

Ich verstehe nur Bahnhof. Vielleicht bin ich auch derjenige, der einen Knoten im Kopf hat. Keine Ahnung. Aber du fängst schon wieder mit deinem DHCP an. Der DHCP-Server spielt bei dem eigentlichen Setup überhaupt keine Rolle. Der DHCP-Server weißt einem Client aus einem bestimmten Adressbereich eine dynamische IP Adresse zu. Hängst du diesen Client in ein anderes Subnet, dann erhält dieser von dem DHCP-Server dieses Subnet ebenfalls eine dynamische IP aus einem Pool von Adressen, die aber anders lautet, als im vorherigen Subnet. Das ist ja der Sinn eines DHCP-Servers (Laienhaft und mit meinen Worten ausgedrückt) Daher macht dein Vorhaben…

Nun soll dieses interne IF mit der internen IP, die auch immer dort bleiben soll, den DHCP-Dienst von der VF-Box übernehmen, damit

… überhaupt keinen Sinn. Ebensowenig wie dieser Satz…

das WAN-Interface der pfsense mit dem LAN der VF-Box, dann auch gerne über DHCP verbinden kann.

… keinen Sinn ergibt. Oder wie gesagt… vielleicht verstehe ich dich auch einfach nur nicht und ich bin hier derjenige, der einen Knoten im Kopf hat.

 

[the other]

Moinsen,
also: dein Ziel ist es (so ich dich denn richtig verstehe), dass alle Geräte (clients) zukünftig dieselben IPs haben wie jetzt?
Also soll der IP Bereich, den jetzt die VFbox ausgibt (192.168.1.0/24) später hinter der pfsense sein.

Ich würde dann die pfsense solange gar nicht groß ins Netz bringen (außer, um damit herumzuspielen).
Das ganze DHCP / DNS Thema würde ich ebenfalls nicht anfassen aktuell.

Dann (wenn genug Zeit ist, Wochenende):
1. Doku kontrollieren (alle MACs und gewünschten IPs enthalten?), dann nochmal kontrollieren
2. Alle Geräte bis auf home office (zur Not belassen) ausschalten / vom Netzwerk entfernen
3. switch von VFbox entfernen

4. wenn die VFbox dann alleine im Netzwerk ist...hier den LAN IP Bereich anpassen (was anderes als das, was dann hinter der pfsense als IP Bereich genutzt wird)
5. Der VFbox und der pfsense in der VFbox reservierte IPs aus dem neuen IP Bereich vergeben.
6. Pfsense anschließen (WAN IF) und anschalten, LAN IF konfigurieren (mit dem gewünschten IP Bereich)
7. TEST: komme ich auf die pfsense aus dem pfsense LAN (dazu PC und switch anschließen)

8. LAN der pfsense konfigurieren mit DHCP und DNS
9. DHCP: hier in der pfsense dann die aus der Doku entnommenen MACs und IPs eintragen für die clients (müssen nicht angeschlossen sein)
10. Rest feinjustieren (in den folgenden Wochen)

So ganz grob. Jetzt mit dem DHCP der pfsense rumzuspielen bringt (bis auf Kennenlernen der GUI) nicht so viel IMHO. Warum?
Du kannst nur zum Lernen mal einen IP Bereich auf LAN legen (der später vorgesehene bringt nix, da der ja schon VOR der pfsense genutzt wird und über die VFbox verwaltet wird).
Vorbereiten (das meinte ich weiter oben in den vorherigen Posts) kannst du nicht viel. Zumindest nicht praktisch...

So oder so: falls du eh vorhast mit anderen Subnetzen oder VLANs zu arbeiten...dann musst du spätestens dann wieder ran an das Einrichten (neuer IP Bereich, Geräte einpflegen, verbinden, testen usw).
Will damit sagen: du kannst das alles erst von VFbox LAN zu pfsense LAN umziehen, musst es aber später wieder neu anfassen.
Oder du machst es ganz anders: Lebst damit, dass deine Geräte eh langfristig andere IPs haben werden (falls subnetze usw) und nimmst das in Kauf. Dann kannst du die pfsense einfach mit reservierter WAN IF IP dranhängen, konfigurierst dir dein LAN (und andere bzw VLANs) schon jetzt (ohne Geräte dran) vorbereitend fertig....und wenn das erledigt ist, dann stöpselst du nur den switch von VFbox an die pfsense und alles organisiert sich...per DHCP mit den nötigen Angaben wie reservierte IP, DNS...

Alle Wege führen nach Rom, nicht alle sind für alle gleichermaßen geeignet, manche gehen direkter, andere über Helsinki...
Mach am (funktionierenden VFbox Router nix und nimm für den Rest neue IPs, dann kannst du auch nach und nach umzuziehen und belässt die wichtigen Sachen bis zum Ende an der VFbox...als Sicherheitsnetz.

 

[Tommes]

Moment!
Der DHCP-Server weißt einem Client aus einem definierten IP-Adressbereich eine dynamische IP zu, die aber nicht in Stein gemeißelt ist. Das heißt, ist der Client eine gewisse Zeit offline (Leastime) wird die dynamisch vergebene IP wieder freigegeben und kann einem anderen Client zugeteilt werden.

9. DHCP: hier in der pfsense dann die aus der Doku entnommenen MACs und IPs eintragen für die clients (müssen nicht angeschlossen sein)

Wenn du das machst, sollten die vergeben IP-Adressen außerhalb des vom DHCP-Server verwalteten Adresspool liegen und somit statisch vergeben werden. Siehe hierzu auch diesen Artikel

Man kann zwar sagen, das einem Client immer die gleiche IP Adresse zugewiesen werden soll, dann darf diese aber nicht im Adresspool des DHCP Servers liegen.

Daher verstehe ich die ganze Diskussion um den DHCP auch nicht, da man einem Client in zwei unterschiedlichen Subnetzen nicht die gleiche IP über den DHCP geben kann, da dieser eine IP automatisch zuweist. Das ist ja auch der Sinn eines DHCP-Servers, das dieser einem Client einfach eine IP-Adresse zuweisen kann. Hätte der Client stattdessen eine statische IP eingestellt die nicht der Range des zu verbindenden Netzwerkes entspricht, wird dieser auch nie von diesem Netzwerk aufgenommen.

 

[the other]

Moinsen,
das ist in der Tat eine nicht unwichtige Ergänzung...
Deswegen die sich wiederholenden Hinweise, eine gute Planung und Doku parallel konsequent als ersten Schritt (noch vor dem unboxing ) vorzunehmen.
Problem ist eben der gewünschte Umzug des IP Bereiches...also nicht wirklich Problem, aber es wäre wesentlich einfacher, im pfsense Netzwerk einen neuen IP Bereich zu nehmen. Gerade als beginnender Mensch mit dem Umzug...
Und Knoten hatte ich beim Einstieg mehr als nur einen im Kopf.

 

[Tommes]

Ich habe auch lange Zeit versucht, meine Frau davon zu überzeugen, mit all ihren Gerätschaften aus dem Fritzbox (W)LAN in ein Subnet hinter die pfSense zu ziehen. Keine Chance. Da die meisten Geräte eh per WLAN angebunden sind, habe ich einfach die SSID meines Subnet mit der meiner Fritzbox getauscht und schwupps… alles erledigt… auch dank des DHCP-Servers.

Meine Frau weiß bis heute nicht, das sie schon lange mit ihren Geräten umgezogen ist, auch wenn sie das nicht wollte. Sie hat sich bisher aber auch noch nicht beschwert, das irgendwas anders ist.

Für sowas ist ein DHCP-Server der ideale Weggefährte und genau dafür ist er gemacht.

Tommes

 

[Fidibus]

Moin,
danke für eure Beiträge. Ich habe mich aktuell zusätzlich etwas verzettelt, ich sortiere mich erst einmal.

 

[Fidibus]

Moin,
nachdem ich heute Vormittag mein Netz erst einmal komplett reparieren musste, scheint nun alles wieder zu funktionieren.
Warum mein Gedankengang nicht funktioniert hat, keine Ahnung.
Ich folge jetzt mal eurem Ansatz.
Dazu dieses aktuelle Bild:

Leider ist mein Client, der per DHCP im neuen Netz 192.168.18.0/24 versorgt wird, nicht in der Lage das Netz zu verlassen und in das Netz 192.168.1.0/24 zu pingen etc.

 

[the other]

Moinsen,
wird in der pfsense im Protokoll dazu was angezeigt unter
Status > Systemlogs > Firewall?
Wie sehen deine Regeln für LAN aus in der pfsense?

Was versuchst du anzupingen? Nicht dass das Gerät ggf. eine eigene Firewall hat und einfach deshalb nicht reagiert auf PING aus einem anderen Netzwerk...

Von wo versuchst du zu Pingen? Von einem PC oder direkt von der pfsense unter Diagnostics > PING? Versuch ggf. mal letzteres und sag, was passiert ist...

 

[Fidibus]

Moin,

Status > Systemlogs > Firewall?

Wie sehen deine Regeln für LAN aus in der pfsense?

Was versuchst du anzupingen?

Gute Idee...daher 2 unterschiedliche Ziele (Internes LAN-Bein der VF-Box und NAS)

Diagnostics > PING?

 

[Fidibus]

Update:
Mein Fehler (aus vorgegangenen Tests)

Da hatte ich was eingetragen.
das Ergebnis nach dem Rauslöschen:

 

[Fidibus]

Zwischeninfo: Dieser post kommt aus dem neuen Netz hinter der FW.

 

[the other]

Moinsen,
joa, ein Gateway muss da nicht hin.
Geht denn nun alles?
BTW: das was du als Antwort auf meine Firewallregeln-Frage gepostet hast sind die Angaben zum Routing...ist jetzt aber auch egal, denn offensichtlich hast du keine Regeln erstellt bisher. Die pfsense ist im default nach erstem Einschalten so eingerichtet, dass Verkehr von LAN ins WAN passieren darf. Daran lag es also nicht.