Protectli FW4C - Netzwerkumbau Teil2

Dann mach das auch einfach so.
Genau das ist ja das Problem, dass es eben nicht einfach so geht.
LLA -> klar, danke für den Schubs.
Log in den Regeln ist jeweils angehakt, in den Settings muss ich noch einmal nachsehen.
das du einfach Versuchst, nach dem Try and Error Prinzip ans Ziel zu kommen
Ja, das sehe ich inzwischen auch so. :rolleyes:
Allerdings bin ich mal von recht einfachen Voraussetzungen im Netzwerk ausgegangen.
Die Firewall sollte erst zum Problem werden, wenn ich da an die tatsächlichen regeln will.
Aber das schon Basics nicht funzen. *grrr*
Mir sind sehr wohl OSI-7-Schichtenmodell, Basisfunktionen wie Routing und DNS bekannt, DHCP ist mir auch nicht fremd.
Und gerade deshalb sehen mache Fragen wahrscheinlich recht blöde aus, ich habe aber in der Regel schon viele Hinweise vorab mal getestet.
So kann ich dann an Hand eurer unvoreingenommenen Tipps mich noch einmal verifizieren.
Aktuelles Beispiel, wo ich echt ins Grübeln komme:
Ein Router. (pfsense LAN und OPT1). Die FW-Funktionalität ist mit IP any any nach meinem Verständnis nach ausgehebelt.
Beide bekommen per DHCP eine gültige Adresse, inzwischen ja auch mit Gateway, was auch so ein komisches Ding am Anfang war.:p
2 lokale IF, Ping geht. Webaufruf nicht. Da endet mein Verständnis.
Aber nun genug gejammert, auf jeden Fall auch noch einmal einen Dank an euch, dass ihr euch mit meinem Problem befasst.
Ich melde mich morgen, wenn ich die Logeinstellungen geprüft habe und die Ergebnisse einstellen kann.
 
Moinsen,
na, dann hat sich das Rätsel um die LLA ja geklärt, wäre auch ein Phänomen gewesen, aber es gibt ja nix, was es... ;)
2 lokale IF, Ping geht. Webaufruf nicht. Da endet mein Verständnis.
Du kannst weder aus LAN noch opt1 ins Internet (Seiten aufrufen, surfen)?

Anderes Thema: wenn du deinen AP "MaxMeier" nennst (oder den Namen den der Hersteller wählte), dann muss der auch irgendwo bekannt sein IN der pfsense...
Konkret:
dein IP hat die fiktive IP 172.16.55.2, hostname "meinAP1", im Netz dann "meinAP1.home.arpa"
angenommen du möchtest ihn darunter erreichen...
> Eintrag unter dhcp Server > IF > ganz unten, damit eine IP reserviert wird
und natürlich dann auch
> Eintrag unter dns resolver > ganz unten "host overrides" > hier eintragen
Screenshot-1.png


Screenshot-3.png
 
Moin,
Das erste Zugriffsproblem ist gelöst.
Etwas Ruhe und alles mal anschauen brachte mich im AP 172.16.20.2 zu folgendem Menü:
1694589421413.png
L3 Access war hier der entscheidende Haken!
----
Sachstand:
Internetkonnektivität aus dem Netz 172.16.20.0 funktioniert.
(Wallbox, 2x IP-Cam)
Internetkonnektivität aus dem Netz 192.168.18.0 funktioniert.
(Notebook)
Lokale Konnektivität aus dem 172.16.20.0 in das Netz, was am WAN-IF hängt, funktioniert nicht.
Die IP-Cams bekomme im im NAS (Surveillance Station) und im HomeAssistant nicht.
HA Integrationen, die über das Internet funktionieren (Wallbox) gehen.

Nun wäre meine Vermutung, dass es weitere Einschränkungen auf dem WAN-IF gibt, die eine fließende Nach-und-Nach Portierung erschweren bzw. nicht zulassen.

Sonst wäre nun mein nächster Schritt, das NAS an OPT2 zu bringen.
 
Naja, Du solltest Dir überlegen, was "wirklich" worauf Zugriff braucht (im Hinblick u.a. auf die internen Netze). Kleines Beispiel dazu:

LAN -> Überall Zugriff
OPT1 -> (maximal) Internet (und somit nicht ins LAN und nicht in das WAN-Netz der Firewall)

Keine Ahnung, ob man bei der pfSense "Gruppen" erstellen kann, aber die RFC1918 beschreibt die privaten Adressbereiche, ich würde mir eine entsprechende Gruppe anlegen. Um das jetzt mal "ganz grob" runterzubrechen, könnten entsprechende Firewall-Regeln wie folgt aussehen:

(Quell-Netz -> Protokoll -> Ziel-Netz -> erlauben/verbieten)

LAN -> alle -> alle -> erlauben
RFC1918 -> alle -> RFC1918 -> verbieten
RFC1918 -> alle -> alle -> erlauben

Wenn wir jetzt mal davon ausgehen, dass Deine IP-Cams an OPT1 hängen und das NAS an OPT2 brauchst Du logischerweise noch eine Regel, welche besagt, dass das NAS von OPT1 auf die Cams in OPT2 zugreifen darf. Das kannst Du entweder sehr granular machen (NAS -> Protokoll/Port -> IP-Cam1 + NAS -> Protokoll/Port -> IP-Cam1), oder Du gibst dem NAS über das gewünschte Protokoll Zugriff auf das gesamte OPT1-Netz (NAS -> Protokoll/Port -> OPT1), oder das gesamte NAS-Netz (OPT2) darf nur über das gewünschte Protokoll in das OPT1-Netz (OPT2 -> Protokoll/Port -> OPT1), oder... (dann sind wir aber auch fertig... 😅 ) das OPT2-Netz darf - mit egal was - ins OPT1 Netz (OPT2 -> alles -> OPT1). Grundsätzlich gilt "je feiner/granularer, desto besser/sicherer", wie Du das für Dich intern umsetzen möchtest, bleibt Dir überlassen. So könnte das "neue" Regelset (s.o.) dann z.B. wie folgt aussehen:

LAN -> alle -> alle -> erlauben
NAS -> Protokoll -> Cam1 -> erlauben
NAS -> Protokoll -> Cam2 -> erlauben
RFC1918 -> alle -> RFC1918 -> verbieten
RFC1918 -> alle -> alle -> erlauben

Falls das mit den Gruppen hinhaut, kannst Du die Cams auch einfach in eine Gruppe stecken und den Zugriff auf die Gruppe erlauben, je nachdem.

Ein "schönes" Beispiel wäre übrigens noch folgendes bzgl. der Firewall-Regeln: HomeAssistant. HomeAssistant muss im Normalfall an alles mögliche an Smarthome-Zeugs ran. Das kann man z.B. alles in ein eigenes Netz packen. HomeAssistant muss logischerweise Zugriff auf dieses Netz haben. Zugriff aus dem LAN brauchst Du sicherlich auch auf das Smarthome-Netz (z.B. für die Einbindung/Einrichtung neuer Gerätschaften, wie auch immer).

Nun gibt es aber noch mehr Netze als z.B. das LAN. Vielleicht gibt es ein Netz für die Kinder, die auch Dein smartes Zuhause steuern können sollen. Diese brauchen jetzt aber "keinen" Zugriff auf das Smarthome-Netz, sondern lediglich Zugriff via http/https auf die HomeAssistant-Instanz. Gleiches gilt vermutlich auch für WLAN-Clients, welche eher nichts im Smarthome-Netz zu suchen haben, aber Zugriff via http/https auf die Smarthome-Instanz brauchen (ansonsten wäre die HomeAssistant-App ja auch recht witzlos). Irgendwelche Gäste brauchen sicherlich auch keinen Zugriff auf Deine Wallbox, usw. usw. usw.

Da kommt also schon einiges zusammen, daher auch die Sache bzgl. "Zettel und Stift" - soll bedeuten: erstmal in Ruhe hinsetzen, drüber nachdenken und einen "Plan" machen (das ist auch die "eigentliche" Arbeit dabei).

Wichtig ist die Reihenfolge der Regeln (das erste zutreffende gewinnt!), insofern würde dieses Beispiel hier NICHT funktionieren:

LAN -> alle -> alle -> erlauben
NAS -> Protokoll -> Cam2 -> erlauben
RFC1918 -> alle -> RFC1918 -> verbieten
NAS -> Protokoll -> Cam2 -> erlauben
RFC1918 -> alle -> alle -> erlauben

Regel 4 würde hier nicht mehr greifen, da durch Regel 3 schon der Zugriff von sämtlichen privaten Adressen auf sämtliche private Adressen verboten wurde (und damit ist auch schon Ende bei der Abarbeitung der Firewall-Regeln und die Pakete werden verworfen).
 
Moinsen,
es lassen sich Gruppen erstellen, also Geräte zu einem "Alias" zusammenfassen:
unter Firewall > Aliases > hier nach IP (geht aber auch für zB Ports oder URLs).
Gruppe (Alias) anlegen "RFC1918" zb, hier dann die privaten IP Bereich rein, Regel mit Alias anlegen, fertig.
:)
Warum dies
Lokale Konnektivität aus dem 172.16.20.0 in das Netz, was am WAN-IF hängt, funktioniert nicht.
so ist, verstehe ich auf Anhieb ohne weitere Infos nicht, denn der Zugriff auf "...was am WAN-IF hängt" funktioniert ja durchaus, denn da hängt auch "das Internet" dran, was ja funktioniert.
Was versuchst du denn zu erreichen? Die VFbox? Andere Clients im TransferLAN? Haben die ggf. eine Zugriffsbeschränkung, wenn die Anfragen aus anderen Netzen kommen? Anhand der zuletzt von dir geposteten Regeln sollte das nämlich funktionieren...
 
Danke und kurze Zwischenmeldung - die Arbeit kann einem ja den ganzen Tag versauen.
Ich habe mit einem Hau-Ruck nun den Netzumbau komplettiert.
Aktuell scheint alles Relevante so langsam wieder ans Leben zu kommen.
Ich erkenne gerade kein hartes Problem.
Zu den anderen Themen und Hinweisen melde ich mich.
 
und was ist jetzt mit dem WAN IF Zugriffsproblem geworden??
Moin, kurze Wasserstandsmeldung dazu: Ich habe mich entschlossen, das jetztige Transportnetz pfsense -> Vodafone-Box (also Internet) auf Schlag leerzuräumen (dahin gabe es ja die Probleme). Somit ist das kein Problem mehr, da sich kein Client im 192.168.1.0 befindet, außer die .1 (VF-Box) und die .49 pfsense.
Inzwischen habe ich fast alle Automationen, wo IP-Adressen hinterlegt waren, wieder am Laufen, denke ich zumindest.
Dazu werde ich bestimmt noch einmal die Testmöglichkeiten abfragen, das habe ich noch nicht wirklich verstanden.
Ein paar Integrationen fehlen noch, da musste ich auch recht rabiat mit umgehen, da ich oft die Konfigurationsoptionen für IP-Adressen nicht gefunden habe - also schnell neu.
 
Vergiss bei all den ganzen Umbauten nicht, dass Du mal zwischen durch wieder mal ein Backup machst (und es Dir auch auf den Rechner/das NAS legst) ;)
 
Moin,
da ich heute - und leider auch bis nächste Woche - erst mal keinen Konfigurationszugriff habe, bleibt Zeit für Doku :rolleyes: und Überlegungen.
Etwas beschäftigt mich, ihr habt es auch schon angesprochen - wie mache ich aus dem Durchlauferhitzer nun im nächsten Schritt eine Firewall.
Prinzipiell ist mir das Prinzip Quelle->Ziel:port und für die Rückrichtung sorgt die FW für die reflexive Freischaltung bekannt.
Nun erscheint mir das Live-Log im bisherigen Umfang sehr rudimentär.
Allein aus dem Mitlesen der jeweils aktuellen Anwendung/Verbindung auf die benötigten Freischaltungen zu kommen, erscheint mir aktuell echt try and error.
Weiterhin bitte ich um Nachsicht, dass auch bei Verwendung aller IF, ein doch etwas chaotischer Netzaufbau entstanden ist.
Mein Haus ist 30+, ich habe keine strukturierte Verkabelung, ich war damals mit in jeden Raum verlegtes BNC-Kabel echt fortschrittlich. :ROFLMAO:
Historisch bin ich auch ehr ein Freund des Kabels und nicht des WLAN's, was dazu geführt hat, dass alle TV z.B. am Kabel hängen....wer streamt schon über WLAN war mein Argument, was eine Aufteilung auch nicht einfacher macht.
Ich habe alle notwendigen Dinge, um sie am Notstrom der PV + USV zu betreiben, in den HWR gezogen.
Daher habe ich nun (Bild erstelle ich gerade noch) eine recht unkonventionelle Aufteilung meines Netzes.
LAN: alles was im Haus erreicht werden muss. (TV, GS, WLAN, HA, Heizung, PV, Shelly, AVR what ever)
OPT1: Alles, was über PoE versorgt wird, ist passiger Weise auch fast alles im Carport
OPT2: Jo, war halt am LAN-Switch kein Port mehr frei, also das NAS hier angeschlossen.
Gäste-WLAN stellt die Vodafone-Box, ist mir sozusagen egal, Gäste kommen nicht ins Hausnetz.

Und kurzer Sachstand: Es scheint (!) alles zu funktionieren, der Denon zickt noch etwas im HA, aber ich denke, das gibt sich noch.
Was mir negativ aufgefallen ist, dass der WLAN-AP, der über OPT1 die Wallbox versorgt (diese Idioten von Entwickler haben der Wallbox kein Kabelanschluss gegeben) offenbar nach einer Zeit den Dienst einstellt. DHCP steht dann auf inaktiv und die Wallbox ist somit nicht erreichbar. Vorher gab es dieses Problem nicht. Ich möchte nun nicht mit Dauerping über HA das Teil so am Leben halten, es muss was mit der FW zu tun haben.

Für das weitere Vorgehen stelle ich mir nun vor, Anwendung für Anwendung zu betrachten, um nur das Notwendige frei zu schalten.
1. Cloudbasierte Anwendungen, wie PV, GS, Shelly, Heizung, Reolink Cam's (alles im LAN)
2. TV-Gedöhns, Denon AVR
3. AdGuard oder ein anderes Tool
4. VPN-Server aufsetzen
 
Moinsen,
kurz (und rein theoretisch) zu
wie mache ich aus dem Durchlauferhitzer nun im nächsten Schritt eine Firewall.
und
Allein aus dem Mitlesen der jeweils aktuellen Anwendung/Verbindung auf die benötigten Freischaltungen zu kommen, erscheint mir aktuell echt try and error.
Das kommt am Ende mal wieder auf deinen individuellen Anspruch an.
Es gibt Menschen, die organisieren die Regeln rein nach Subnetz/Vlan (Beispiel: VLAN PC darf alles auf VLAN NAS und VLAN IOT, VLAN IOT darf nix in andere usw). Fertig.
Andere granulieren das etwas feiner und sagen: VLAN 5 darf auf VLAN 10 mit TCP und zwar nur Port XY.
Oder auch: Client mit IP xyz im VLAN 5 darf auf Client ABC in VLAN 8 alle/einige Ports.

Du siehst, da gibt es nicht die EINE generelle Antwort.
DAher ja auch der hier bereits oft wiederholte Tipp:
Zettel, Stift, Skizze.
Dann mal überlegen, was habe ich für Geräte, welche Anwendungen, was muss, darf nicht, usw.

Dann gilt natürlich auch immer zu beachten: auf der Linie zwischen Sicherheit-------------und--------------Anwendungsfreundlichkeit...
wo befinde ich mich, wo will ich hin, wie sicher muss es sein.
Beispiel: oft empfohlen wird, das NAS in ein eigenes Netz zu packen. Toll, aber wenn ich von dem NAS streame auf den TV in VLAN MEDIA dann wird das schon etwas schwierig. Außerdem: WENN die Firewall greift (verschiedene Netzsegmente überbrücken) dann macht das Arbeit, kostet Geschwindigkeit...und wenn die Regeln am Ende dann dutzend ALLOWs enthalten, dann muss auch gefragt werden: brauch ich diese Trennung wirklich??

zum Beispiel:
VLAN 10: alles für den Nachwuchs, kein Zugriff benötigt auf andere VLANs
VLAN 20: mobile CLients (Handy, tablet) mit potentiell doofem (Updateaktualität) Androids....darf nur in bestimmte andere VLANs
VLAN 30: NAS, darf nirgendwo hin außer ins VLAN 50 und 40 (holt sich das Backups von PC und home asssistant)
VLAN 40: IoT, darf nirgendwo hin, nicht einmal ins Internet (Plappermäulern die Schna$%§ stopfen), nur ein Client (Raspi mit home assistant) darf ins Internet für Updates
VLAN 50: PC darf zum NAS, Internet, IoT...
VLAN 60: Gäste, dürfen ausgewählte Ports ins Internet nutzen, andere nicht...dürfen in kein VLAN
VLAN 25: Management VLAN (hier sind switche, APs usw)
VLAN 99: blackhole VLAN (native), hier landen Clients, die "nicht ins LAN gehören"...sollte ein Besuch mal einfach die WandLANdose ungefragt nutzen, dann kommt dieses Gerät direkt ins VLAN 99, bekommt dort aber die komplette Sperre, darf nirgendwo hin, bekommt kein DHCP, bekommt kein DNS usw...
VLAN 1 ist als default vlan vorhanden, hier läuft aber kein produktiver Traffic, lediglich die Daten, die im Hintergrund ausgetauscht werden...

In manchen Regeln ist der Zugriff auf das je vollständige andere Segment erlaubt, die mobilen Clients dürfen nur auf ausgewählten Ports zum NAS (hier dann schauen, welche Dienste genutzt werden und welche Ports diese Dienste benötigen...)
Am Anfang habe ich auch sehr grob unterteilt, im weiteren Verlauf dann nach und nach feinjustiert.
 
Moin,
Danke für deine Hinweise.
Wie oben geschrieben, ist es mir leider nicht möglich, das Netz mittels VLAN wirklich sinnvoll zu strukturieren, da ich meine Switche ehr aus baulichen Gründen eingesetzt habe und diese ziemlich doof sind.
Aber da nun gleich Besuch einrückt, komme ich vor Dienstag eh nicht dazu.
Ich ringe noch mit mir, nicht doch zuerst den VPN-Server aufzusetzen....
 
Moinsen,
das sollte auch nur ein Beispiel dafür sein, wie die Firewall dann später mehr als nur "Durchlauferhitzer" ist. Kannst du analog dann auf die Subnetze (LAN, opt1, op2) anwenden.
Aber, wie du ja selber schreibst, ist dafür die Voraussetzung, dass die Geräte nach eigenem Zweck in diese Subnetze aufgeteilt werden.

Natürlich kannst du schon mal mit den diversen VPN Möglichkeiten der pfsense rumspielen... hast du dich denn schon für eine VPN Art entschieden?
Viel Spaß mit dem Besuch... :)
 
Moin,
eine kurze Zwischenmeldung.
Es funktioniert alles im neuen Design.
Die Hinweise zu Gruppierungen in VLAN's kann ich leider auf Grund von baulichen Gegebenheiten und dummen Switchen nicht so umsetzen, wie es vielleicht Sinn machen würde.
Aktuell taste ich mich im Regelwerk voran.
Auch da ist mir einiges unklar, warum das so und nicht anders passiert.
Eine erste Frage habe ich aber schon:
1695104239306.png
Gibt es eine Möglichkeit die States zurückzusetzen, ohne die Regel zu bearbeiten?
hast du dich denn schon für eine VPN Art entschieden?
Nein, es soll einfach funktionieren....aber da ich bis zur nächsten Abwesenheit nur noch einige tage habe, wird das wohl vorher ehr nichts werden.
 
Bzgl. 2-Stunden-Versatz könnte es gut sein, dass die Zeit nicht aktualisiert wurde (ggf. Abweichung zu groß), setz die einmal händisch auf ungefähr die korrekte Zeit und dann schau später nochmal rein :)
 
Ja, du kannst die states zurück setzen...
Das klappt nicht so, wie es für mich aktuell sinnvoll ist.
Ich kann das nicht regelbezogen finden, sondern nur auf Verbindungen.
Beispiel, ich möchte hier den Counter auf Null setzen, um zu sehen, ob die vorgeschalteten Regeln nun alles herausfischen:
1695132363717.png
Nach dem Reset habe ich zwar alle aktuellen Verbindungen genullt, aber der Bytecounter bleibt.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.914
Beiträge
57.758
Mitglieder
5.873
Neuestes Mitglied
fsprwrixyzcctma
Zurück
Oben