PFsense installieren Cover

PfSense bei gridscale installieren

Darum PFsense

Erstelle mit PFsense in wenigen Schritten einen Router, einen DNS Server, einen Gateway Server und eine Firewall.
Bei gridscale hast du die Möglichkeit private Netzwerke zu erstellen. Das sind reine Layer2 Netze ohne IP Management oder Zugang zum Internet. Das ist bewusst so gewählt, um dir als Kunde die maximale Flexibilität zu bieten. Um dennoch Server aus diesem Netz mit dem Internet zu verbinden oder ein zentrales IP Management zu erstellen, eignet sich ein Gateway Server mit integrierter Firewall, DNS und DHCP Services sowie einer VPN Gegenstelle. Es gibt verschiedene Möglichkeiten, um das zu erreichen. Eine davon ist PFsense. Das auf OpenBSD basierende Betriebssystem ist genau für diesen Zweck konzipiert und leicht zu installieren.

Server vorbereiten

In diesem Artikel beschreibe ich die Installation eines Servers, der über zwei Netzwerkkarten verfügt. Eine ist mit dem Internet (also zum Beispiel direkt mit einem Modem oder bei gridscale mit dem Public Network verbunden) und die zweite ist mit dem privaten Netz verbunden. Du kannst den Server auch über eine Netzwerkkarte aber unterschiedlichen VLANs mit den Netzwerken verbinden. Wie das geht, kannst du aus der offiziellen Dokumentation entnehmen.

Erstelle dir bei gridscale oder einem Cloud Provider deiner Wahl zwei Server.

Der eine Server wird unsere PFsense. Dieser wird mit dem Public Network verbunden und mit einem privaten Netzwerk. 1 Core und 1 GB Ram so wie 1 GB Storage sind dafür mehr als genug.

Der zweite Server wird ein Client. Für dieses Beispiel nehme ich einen Windows Server 2016. PFsense ist natürlich auch mit Linux Servern oder anderen Betriebssystemen, die DHCP unterstützen, kompatibel.
Dieser Server dient nur dazu die Funktion am Ende zu überprüfen. Wenn du die PFsense direkt in ein bestehendes Netzwerk integrieren möchtest, kannst du diesen Schritt überspringen.

GUI gridscale

(1) Öffentliche IP Adressen des PFsense Servers
(2) PFsense ist mit beiden Netzen verbunden, Public Network und dem privaten Netzwerk
(3) Windows Server ist lediglich mit den privaten Netzwerk verbunden und hat keine öffentliche IP Adresse

Tipp: Bei der Erstellung des Servers achte bitte darauf, dass bei den erweiterten Einstellungen unter dem Menüpunkt “Hardware Profile” default ausgewählt ist.

Anschließend hänge die PFsense ISO an den ersten Server an und fahre diesen hoch. Öffne anschließend die VNC Konsole. Du findest die ISO unter den Public ISOs.

Server mit ISO

PFsense 2.4.1 ISO ist mit dem Server verbunden.

Server an mit ISO

VNC Konsole öffnen

Möchtest du dieses Tutorial auf einer anderen Plattform testen, kannst du dir die ISO herunterladen.

Bist du bereit zu starten?

Oder hast du noch Fragen? Lasse dir jetzt dein Konto erstellen oder dich in einem persönlichen Gespräch beraten.

PFsense installieren

Nachdem der Server die ISO gebootet hat, werden dir verschiedene Boot Optionen angezeigt. Standard ist hier der Multi-User Boot. Dieser wird nach wenigen Sekunden auch automatisch ausgewählt und ist für die in diesem Artikel beschriebene Situation auch genau die richtige Variante.

Konsole Bootloader

Die nächsten 10 Schritte fasse ich dir in kurzen Punkten zusammen:

1) Licence Agreement
Im ersten Schritt wirst du gebeten die Lizenz von PFsense zu akzeptieren. Hierzu bestätige einfach mit <Accept>
2) Welcome Screen
Im Welcome Screen kannst du neben dem Installer auch Recovery Optionen
auswählen. Da du aber PFsense installieren möchtest, wähle und
bestätige wieder mit Enter.
3) Keymap
In diesem Menü wählst du das passende Keyboard Layout aus und fährst mit
der Installation fort.
4) Partitioning
Hier kannst du die Partitionstabelle deinen Wünschen entsprechend
anpassen. Die Standardeinstellungen sind hier aber auch wieder vollkommen
ausreichend. Also kannst du auswählen und bestätigen.
5) Manual Configuration
Die Installation ist an dieser Stelle bereits abgeschlossen. PFsense bietet dir
allerdings noch einmal an, eine Shell zu öffnen um selbst nochmal Hand
anzulegen. Alle Änderungen kannst du aber auch im Nachhinein vornehmen,
daher wähle hier aus.
6) Complete
Und noch einmal, genau das Gleiche. Du wirst gefragt, ob du den Server
rebooten möchtest oder doch noch mal eine Shell öffnen möchtest. Wähle
hier >Reboot< aus.

Nach dem der Server neugestartet wurde, wird automatisch wieder die ISO gebootet. Anschließend kannst du den Server ausschalten. Hier kannst du auch den “Power off” Button im gridscale GUI nutzen. Entferne die ISO und starte den Server wieder neu.

Nach einiger Ladezeit geht es mit der Einrichtung weiter.

7) Should VLANs be set up now [y:n]?
Wie eingangs schon erwähnt, kannst du auch mit verschiedenen VLANs
arbeiten. Da du bei gridscale mit ausreichend vielen Netzwerkkarten arbeiten
kannst, brauchst du dich hiermit erstmal nicht beschäftigen – daher bestätige
mit “n”, für no.
8) Enter the WAN interface name or ‘a’ for auto-detection
(vtnet0 vtnet1 or a):

Bei gridscale ist das erste Netzwerk immer das Public Network. Alle privaten
Netzwerke sind in der Reihenfolge in der du die Netzwerke dem Server
hinzugefügt hast. Das WAN Netzwerk ist also “vtnet0”
9) Enter the LAN interface name or ‘a’ for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(vtnet1 or a):

In diesem Schritt wählst du das Interface aus, das mit dem privaten Netzwerk
verbunden ist. Hier also “vtnet1”.
10) The interfaces will be assigned as follows:

WAN -> vtnet0
LAN -> vtnet1

Do you want to proceed [y:n]?
Wenn die Einstellungen korrekt sind, dann wähle “y” für yes aus. Der Server
lädt nun einige Zeit und startet anschließend neu.

Nachdem der Server wieder hochgefahren ist, erwartet dich folgendes Bild:

PfSense fertig

(1) PFsense hat die öffentlichen IP Adressen über DHCP erhalten und sie entsprechend mit dem Interface verknüpft.
(2) Das ist die IP Adresse unter der die PFsense im internen Netzwerk erreichbar ist, so wie der CIDR der Adressen, die der DHCP dem Netzwerk zur Verfügung stellt.

Die PFsense ist jetzt fertig installiert. Wie du verschiedene Portfreigaben konfigurierst, zeige ich dir anhand von RDP für den Windows Client.

PFsense konfigurieren

Fahre zunächst den Windows Client hoch, öffne wieder die Konsole und logge dich ein. Wie du feststellen wirst, ist der Server bereits mit dem Internet verbunden. Schaust du dir die Netzwerkkonfiguration an, siehst du, dass der Client die IP 192.168.1.100 bekommen hat und zwar vom DHCP Server mit der IP 192.168.1.1 der PFsense.

Windows IP Details

Öffne einen Browser und öffne die Seite 192.168.1.1. Logge dich hier mit dem Standard Benutzer ein. Benutzername: “admin” und Passwort: “pfsense”.

PfSense Login

Anschließend folgt ein Installer Dialog. Hier kannst du die Einstellungen deinen Wünschen entsprechend anpassen. Solltest du nicht sicher sein, kannst du alle Einstellungen auf den Standardwerten belassen. Bist du mit dem Dialog fertig, folgt das Dashboard.

Um RDP auf den Windows Client durch zu reichen, klicke auf Firewall, anschließend auf NAT und auf “Add”. Hier nun eine kurze Zusammenfassung der nötigen Einstellungen:

Interface: WAN
Protocol: TCP/UDP
Destination port range From port: MS RDP
Destination port range To port: MS RDP
Redirect target IP: 192.168.1.100 (IP des Windows Servers)
Redirect target Port: MS RDP

Anschließend bestätigst du alles mit einem Klick auf “Save”. Im nächsten Schritt müssen die Änderungen noch ‘applied’ werden.

PFsense Dashboard

RDP Verbindung testen

Stelle eine RDP Verbindung zu der öffentlichen IP Adresse der PFsense her. Die Zugangsdaten sind die des Windows Servers.

Fazit

Mit diesen wenigen Schritten hast du jetzt einen Gateway Server mit dem du dein privates Netzwerk absichern kannst – ein Gateway Server mit dem du VPN Verbindungen herstellen kannst, die Firewalls zentralisieren kannst und außerdem deinem Netzwerk einen DNS und DHCP Server zur Verfügung stellen kannst.