Protectli FW4C - Netzwerkumbau

[Fidibus]

Moin,
das ist die Weiterführung von diesem Thread.
Bevor es ans Stecken und Konfigurieren geht, zuerst etwas Theorie.
Ich habe mein "Netz neu" mal skizziert.
Daraus resultieren die ersten 2 Fragen, die ich erst einmal nicht recherchieren konnte (rote Pfeile).
1. Ist auf dem Protectli, wo ich pfsens und einen VPN-Server laufen lassen möchte, ein DHCP-Server verfügbar?
2. Auf meinem HA-Raspi läuft schon ein AdGuard (im Moment umsonst) mit. Lässt sich das so mit einkonfigurieren?

Was ist sonst noch auffällig?

 

[the other]

Moinsen,
zu 1) pfsense bringt natürlich einen DHCP Server mit. Hier kannst du dann auch alles einrichten, also den zu vergebenden dynamischen Bereich sowie reservierte IPs für die Clients (host override).

zu 2) du kannst die pfsense so einrichten, dass diese einen DNS Forwarder nutzt, welcher dann auf die IP des AdGuard verweist. Du kannst aber (je nach Geschmack, Lust, Laune, Vorliebe) auch den AdGuard ganz rausschmeißen und alternativ auf der pfsense das Paket pfblockerNG nutzen. Diese blockt anhand von Listen bestimmte DNS Anfragen. Zusätzlich kann auch eingehend und/oder ausgehend die (wieder auf Listen enthaltene) IP geblockt werden.

Wenn du AdGuard zunächst auf dem Raspi behalten willst, dann ist das jedenfalls auch möglich.

 

[Fidibus]

Diese blockt anhand von Listen bestimmte DNS Anfragen.

Ich bin mal faul - werden diese ggf. irgendwo gepflegt und bereitgestellt? Gerne automatisch updatebar (geiles Wort) so wie HA je auch rund um sich selber sorgt, Dank einiger fleißiger User.

 

[Tommes]

Ich bin auch mal faul *klick* … hab grad aber wirklich keine Zeit, das weiter auszuführen. Wichtig ist jedoch, das du das Paket pfblockerNG-devel nimmst, steht aber auch im verlinken Beitrag

 

[blurrrr]

https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-ip-blocklisten-einrichten/ ? Sollte ja auch so funktionieren

 

[the other]

Moinsen,
heute letzter Urlaubstag, daher auch etwas faul (und latent panisch vor morgen):
du kannst seit CE 2.7 wohl vom Unterschied pfblockerNG und pfblockerNG_dev absehen. Die sind wohl angepasst, so dass es nun auch mit der Version ohne "dev" identisch ist.
Quelle u.a.: https://www.patreon.com/posts/pfblockerng-and-79012538?l=es

Die Listen sind als "Feed" erhältlich. Du kannst auch GeoIP Listen (zur Steuerung von IP-basierten Zugriffen) laden (aktuell kostenfrei von MaxMInd).

Neben den bekannten Listen (SteceBlack) gibt es auch viele andere...sollte dir aber nach Installation auch angezeigt werden. Zu bedenken ist hierbei (wie auch bei ähnlichen Programmen): NICHT ALLE LISTEN nutzen...das kostet dann nämlich Power (und generiert eine nicht unerhebliche Anzahl an false positives)...

 

[the other]

Moinsen,
ich würde am Anfang ruhig erstmal die pfblocker Nummer rauslassen, es sind ja genug andere Dinge einuzrichten (Interfaces, Regeln, DHCP, VPN usw)...und alles den AdGuard weitermachen lassen...pfblocker dann im 2. (3., 4.) Schritt mal anschauen und ggf. wechseln.
Angaben zu den Feeds (sowie die Feeds selber) findest du dann wie im screenshot.

Auch wäre es (je nach Kenntnisstand / Mut) zu Beginn vielleicht als Laboraufbau nicht schlecht...erst mal vertraut werden mit dem neuen Teil, schauen, was wie wo und warum funktioniert...dann ins Netzwerk einfügen.
Ich hatte zu Beginn die pfsense einfach an den 1. Router gehängt und damit rumgespielt, dann mal ein bis zwei Clients dazu genommen und weiter gespielt. Wirklich ins Netz implementiert dann erst nach ein paar Tagen rumversuchen.

 

[Fidibus]

alles den AdGuard weitermachen lassen

läuft schon ein AdGuard (im Moment umsonst)

Der ist nicht einkonfiguriert, den hat mein HA-Grundinstallateur mit drauf gebracht.
Labor ist mehr als schwierig. Offline anschauen - das geht wohl.
Mein Vorgehen habe ich noch nicht durchdacht, erst einmal ne Skizze gemacht.
Mein Plan stelle ich dann hier mal vor - bestimmt entdeckt die Schwarmintelligenz Fehler und Fallen darin.

 

[the other]

Moinsen,

Der ist nicht einkonfiguriert, den hat mein HA-Grundinstallateur mit drauf gebracht.

ah, ok...na dann ist es auch egal. Ich dachte, der werkelt schon rum.

Eine Skizze zur Netzwerktopologie ist IMHO immer gut und erleichtert das weitere Vorgehen ungemein.

Labor: ich hatte damals die pfsense einfach mit einem freien Port an der Fritzbox verbunden. LAN 2 (Fritz) mit WAN der pfsense. Dann dort erstmal alle Basiskonfigurationen vorgenommen, den PC dann dort bekannt gemacht, und später dann das 2. NAS dort eingefügt...also ein ganz simpler einfacher Laboraufbau, während der Rest im Heimnetz in dieser Phase einfach unverändert weiter lief...

 

[Fidibus]

ich hatte damals die pfsense einfach mit einem freien Port an der Fritzbox verbunden

Danke - guter Ansatz, hatte ich so gar nicht auf dem Schirm. Die VF-Box hat da auch noch was frei

 

[the other]

Moinsen,
ja, das Einfache liegt manchmal so nahe...
Ich wünsche dir erstmal viel Spass mit den ersten Schritten und beim Reinfinden in das neue Thema.

 

[blurrrr]

Mein Vorgehen habe ich noch nicht durchdacht, erst einmal ne Skizze gemacht.

Planung ist das A und O, also von daher nicht verkehrt Wichtig ist ja prinzipiell erstmal nur, dass es grundlegend nach der Einbindung funktioniert (Routing und ausgehender Traffic), die Feinarbeiten kommen dann sowieso noch

 

[Tommes]

du kannst seit CE 2.7 wohl vom Unterschied pfblockerNG und pfblockerNG_dev absehen. Die sind wohl angepasst, so dass es nun auch mit der Version ohne "dev" identisch ist.

Das war mir gar nicht bekannt, daher hab ich gleich mal einen Blick in den Paket Manager geworfen um mich davon zu überzeugen. Und in der Tat ist das so. Tse, verrückt. Ist mir überhaupt nicht aufgefallen. Welches Paket nutzt du denn aktuell @the other und falls du im Zuge mit pfSense 2.7 auch das pfBlocker Paket gewechselt hast, würde mich interessieren, wie genau du dabei vorgegangen bist. (Sorry für diesen OffTopic Ausflug)

Planung ist das A und O

Das kann ich so unterschreiben. Bei mir hat es auch ziemlich lang gedauert, bis ich geschnallt habe, was mir @blurrrr und @the other die ganze Zeit sagen wollten. Ich hab damals ziemlich auf dem Schlauch gestanden. Geh also nicht zu hart mit dir ins Gericht, wenn es nicht gleich alles so klappt, wie du dir das vorgestellt hast. Immer schön einen Schritt nach dem anderen. Zunächst die Protectli Vault mit pfSense einrichten und in dein Netzwerkwerk hängen. Dann das erste LAN-Interface einrichten, ein paar grundlegende Regeln erstellen, einen Client in das Subnet hängen und damit versuchen ins Internet zu kommen. Wenn das geklappt hat, hast du schon viel gewonnen. Erst dann gehts weiter mit weiteren Subnetzten, VLANs, Regeln, VPN, pfBlocker usw. immer schön langsam und gaaaaaaaanz wichtig: Jeden Schritt notieren und ggfl. Kommentieren, damit du später noch weißt, was du wann gemacht hast und wieso. Aber das wird schon...

 

[the other]

Moinsen @Tommes,
ich selber nutze noch die _dev, da ich (vermutlich, hoffentlich) bald auf ein andere Gerät umsteige. Ich werde die neue pfsense dann komplett neu einrichten (nix mit Konfig einspielen) und in dem Zuge auch auf pfblockerNG (ohne _dev) umsteigen. Daher hier keine Eile...

Ich hab damals ziemlich auf dem Schlauch gestanden.

Ging mir doch gar nicht anders, ich hab es nur vorher (vor Anschalten der pfsense) so lange im Kopf durchgekaut und gewälzt und verworfen und wieder durchgekaut, dass es dann nach dem Anschalten problemlos ging...ich denke mal, wenn keine fundierten (also wirklich fundierten!) basic Netzwerkkenntnisse vorhanden sind (wir als Hobby User ), dann ist es eben holprig. Ich zumindest hatte vorher nicht wirklich Ahnung, was da so wie funktioniert. Das kam dann alles erst mit der Einarbeitung in die pfsense. Und klar: dann ist es eben manchmal auch mit mehr Umwegen (Nachlesen, Basics aneignen) verbunden, als...unboxing Fritzbox, Kabel ran, anmachen -geht.

Wie so oft im Leben: Vorbereitung und Vorwissen erleichtern Dinge sehr, ohne geht auch, ist dann eben mühsamer.

Dein Tipp, alles nacheinander zu machen (und nicht alles auf einmal) UND dieses auch zu dokumentieren (gerade bei der zu Beginn überwältigenden Anzahl an Optionen), ist bis heute richtig und wichtig und Gold wert!

 

[Fidibus]

(Sorry für diesen OffTopic Ausflug)

Gerne, kann nur interessiert lernen!

 

[Fidibus]

Oh man, nicht geht einfach.
Ich habe das Teil mit Coreboot geordert.
Zumindest alle gefundenen Anleitungen passen nicht, ich bekomme aktuell (zumindest auf die Schnelle) das teil nicht vom USB-Stick gebootet.
Ich habe nach dem Download pfSense-CE-memstick-2.7.0-RELEASE-amd64.img entpackt und mit rufus auf eine USB-Stick gebracht.
Ich kann kein USB-Device zum Booten auswählen - oder ich bin völlig falsch.

 

[the other]

Moinsen,
soll bedeuten: du gehst ins Bios Menu und es ist kein USB Boot als Option vorhanden oder ist vorhanden, funktioniert aber nicht?
Irgendeine Fehlermeldung?
Das hier
https://kb.protectli.com/kb/installing-os-and-setting-boot-order-with-coreboot-on-the-vp2410/
schon gesehen?

 

[Tommes]

Du kennst diese Anleitung?

 

[the other]

Moinsen,
ergänzend dazu: wie führst du den Installationsvorgang durch? Am Bildschirm angeschlossen oder per seriellem Kabel?
Hast du beachtet, dass es dafür auch unterschiedliche Versionen zum Download gibt?
Nicht dass du aus Versehen versuchst via seriellem Zugang zu installieren, aber auf dem Stick die VGA Version entpackt ist...
#edit: @Tommes war schneller, da hab ich die Info auch her ;D

 

[Fidibus]

du gehst ins Bios Menu und es ist kein USB Boot als Option vorhanden

So habe ich das wahrgenommen. Ich kann es gerade nicht abfotografieren, da alles bis morgen frustriert abgebaut ist . Ne, der Monitor gehört zum Homeoffice.
Ich habe in der KB gesucht - ok, die fremde Sprache ist auch nicht so meins.
Ich werde an Hand des Artikels morgen noch einmal aufsetzen.