PfSense bei gridscale installieren
Darum PFsense
Erstelle mit PFsense in wenigen Schritten einen Router, einen DNS Server, einen Gateway Server und eine Firewall.
Bei gridscale hast du die Möglichkeit private Netzwerke zu erstellen. Das sind reine Layer2 Netze ohne IP Management oder Zugang zum Internet. Das ist bewusst so gewählt, um dir als Kunde die maximale Flexibilität zu bieten. Um dennoch Server aus diesem Netz mit dem Internet zu verbinden oder ein zentrales IP Management zu erstellen, eignet sich ein Gateway Server mit integrierter Firewall, DNS und DHCP Services sowie einer VPN Gegenstelle. Es gibt verschiedene Möglichkeiten, um das zu erreichen. Eine davon ist PFsense. Das auf OpenBSD basierende Betriebssystem ist genau für diesen Zweck konzipiert und leicht zu installieren.
Server vorbereiten
In diesem Artikel beschreibe ich die Installation eines Servers, der über zwei Netzwerkkarten verfügt. Eine ist mit dem Internet (also zum Beispiel direkt mit einem Modem oder bei gridscale mit dem Public Network verbunden) und die zweite ist mit dem privaten Netz verbunden. Du kannst den Server auch über eine Netzwerkkarte aber unterschiedlichen VLANs mit den Netzwerken verbinden. Wie das geht, kannst du aus der offiziellen Dokumentation entnehmen.
Erstelle dir bei gridscale oder einem Cloud Provider deiner Wahl zwei Server.
Der eine Server wird unsere PFsense. Dieser wird mit dem Public Network verbunden und mit einem privaten Netzwerk. 1 Core und 1 GB Ram so wie 1 GB Storage sind dafür mehr als genug.
Der zweite Server wird ein Client. Für dieses Beispiel nehme ich einen Windows Server 2016. PFsense ist natürlich auch mit Linux Servern oder anderen Betriebssystemen, die DHCP unterstützen, kompatibel.
Dieser Server dient nur dazu die Funktion am Ende zu überprüfen. Wenn du die PFsense direkt in ein bestehendes Netzwerk integrieren möchtest, kannst du diesen Schritt überspringen.
(1) Öffentliche IP Adressen des PFsense Servers
(2) PFsense ist mit beiden Netzen verbunden, Public Network und dem privaten Netzwerk
(3) Windows Server ist lediglich mit den privaten Netzwerk verbunden und hat keine öffentliche IP Adresse
Tipp: Bei der Erstellung des Servers achte bitte darauf, dass bei den erweiterten Einstellungen unter dem Menüpunkt “Hardware Profile” default ausgewählt ist.
Anschließend hänge die PFsense ISO an den ersten Server an und fahre diesen hoch. Öffne anschließend die VNC Konsole. Du findest die ISO unter den Public ISOs.
PFsense 2.4.1 ISO ist mit dem Server verbunden.
VNC Konsole öffnen
Möchtest du dieses Tutorial auf einer anderen Plattform testen, kannst du dir die ISO herunterladen.
Bist du bereit zu starten?
Oder hast du noch Fragen? Lasse dir jetzt dein Konto erstellen oder dich in einem persönlichen Gespräch beraten.
PFsense installieren
Nachdem der Server die ISO gebootet hat, werden dir verschiedene Boot Optionen angezeigt. Standard ist hier der Multi-User Boot. Dieser wird nach wenigen Sekunden auch automatisch ausgewählt und ist für die in diesem Artikel beschriebene Situation auch genau die richtige Variante.
Die nächsten 10 Schritte fasse ich dir in kurzen Punkten zusammen:
1) Licence Agreement
Im ersten Schritt wirst du gebeten die Lizenz von PFsense zu akzeptieren. Hierzu bestätige einfach mit <Accept>
2) Welcome Screen
Im Welcome Screen kannst du neben dem Installer auch Recovery Optionen
auswählen. Da du aber PFsense installieren möchtest, wähle und
bestätige wieder mit Enter.
3) Keymap
In diesem Menü wählst du das passende Keyboard Layout aus und fährst mit
der Installation fort.
4) Partitioning
Hier kannst du die Partitionstabelle deinen Wünschen entsprechend
anpassen. Die Standardeinstellungen sind hier aber auch wieder vollkommen
ausreichend. Also kannst du auswählen und bestätigen.
5) Manual Configuration
Die Installation ist an dieser Stelle bereits abgeschlossen. PFsense bietet dir
allerdings noch einmal an, eine Shell zu öffnen um selbst nochmal Hand
anzulegen. Alle Änderungen kannst du aber auch im Nachhinein vornehmen,
daher wähle hier aus.
6) Complete
Und noch einmal, genau das Gleiche. Du wirst gefragt, ob du den Server
rebooten möchtest oder doch noch mal eine Shell öffnen möchtest. Wähle
hier >Reboot< aus.
Nach dem der Server neugestartet wurde, wird automatisch wieder die ISO gebootet. Anschließend kannst du den Server ausschalten. Hier kannst du auch den “Power off” Button im gridscale GUI nutzen. Entferne die ISO und starte den Server wieder neu.
Nach einiger Ladezeit geht es mit der Einrichtung weiter.
7) Should VLANs be set up now [y:n]?
Wie eingangs schon erwähnt, kannst du auch mit verschiedenen VLANs
arbeiten. Da du bei gridscale mit ausreichend vielen Netzwerkkarten arbeiten
kannst, brauchst du dich hiermit erstmal nicht beschäftigen – daher bestätige
mit “n”, für no.
8) Enter the WAN interface name or ‘a’ for auto-detection
(vtnet0 vtnet1 or a):
Bei gridscale ist das erste Netzwerk immer das Public Network. Alle privaten
Netzwerke sind in der Reihenfolge in der du die Netzwerke dem Server
hinzugefügt hast. Das WAN Netzwerk ist also “vtnet0”
9) Enter the LAN interface name or ‘a’ for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(vtnet1 or a):
In diesem Schritt wählst du das Interface aus, das mit dem privaten Netzwerk
verbunden ist. Hier also “vtnet1”.
10) The interfaces will be assigned as follows:
WAN -> vtnet0
LAN -> vtnet1
Do you want to proceed [y:n]?
Wenn die Einstellungen korrekt sind, dann wähle “y” für yes aus. Der Server
lädt nun einige Zeit und startet anschließend neu.
Nachdem der Server wieder hochgefahren ist, erwartet dich folgendes Bild:
(1) PFsense hat die öffentlichen IP Adressen über DHCP erhalten und sie entsprechend mit dem Interface verknüpft.
(2) Das ist die IP Adresse unter der die PFsense im internen Netzwerk erreichbar ist, so wie der CIDR der Adressen, die der DHCP dem Netzwerk zur Verfügung stellt.
Die PFsense ist jetzt fertig installiert. Wie du verschiedene Portfreigaben konfigurierst, zeige ich dir anhand von RDP für den Windows Client.
PFsense konfigurieren
Fahre zunächst den Windows Client hoch, öffne wieder die Konsole und logge dich ein. Wie du feststellen wirst, ist der Server bereits mit dem Internet verbunden. Schaust du dir die Netzwerkkonfiguration an, siehst du, dass der Client die IP 192.168.1.100 bekommen hat und zwar vom DHCP Server mit der IP 192.168.1.1 der PFsense.
Öffne einen Browser und öffne die Seite 192.168.1.1. Logge dich hier mit dem Standard Benutzer ein. Benutzername: “admin” und Passwort: “pfsense”.
Anschließend folgt ein Installer Dialog. Hier kannst du die Einstellungen deinen Wünschen entsprechend anpassen. Solltest du nicht sicher sein, kannst du alle Einstellungen auf den Standardwerten belassen. Bist du mit dem Dialog fertig, folgt das Dashboard.
Um RDP auf den Windows Client durch zu reichen, klicke auf Firewall, anschließend auf NAT und auf “Add”. Hier nun eine kurze Zusammenfassung der nötigen Einstellungen:
Interface: WAN
Protocol: TCP/UDP
Destination port range From port: MS RDP
Destination port range To port: MS RDP
Redirect target IP: 192.168.1.100 (IP des Windows Servers)
Redirect target Port: MS RDP
Anschließend bestätigst du alles mit einem Klick auf “Save”. Im nächsten Schritt müssen die Änderungen noch ‘applied’ werden.
RDP Verbindung testen
Stelle eine RDP Verbindung zu der öffentlichen IP Adresse der PFsense her. Die Zugangsdaten sind die des Windows Servers.
Fazit
Mit diesen wenigen Schritten hast du jetzt einen Gateway Server mit dem du dein privates Netzwerk absichern kannst – ein Gateway Server mit dem du VPN Verbindungen herstellen kannst, die Firewalls zentralisieren kannst und außerdem deinem Netzwerk einen DNS und DHCP Server zur Verfügung stellen kannst.