Firewall für Schulnetz (pfSense), Installation und Grundkonfiguration

pfSense ist eine Firewall-Distribution auf der Basis des Betriebssystems FreeBS. pfSense besitzt eine grafische Oberfläche in verschiedenen Sprachen. Grundsätzlich werden alle Einstellungen auf der grafischen Oberfläche gemacht, deshalb braucht man fast keine Kenntnisse des Betriebssystems FreeBS.
Wir können mit der pfSense Community Version arbeiten. Na gut, wir haben kein Support, aber wir kennen es ausprobieren, bevor wir die Enterprise Version kaufen. 

Es wird die erste VM erstellt.

Bevor wir mit der Erstellung der VM beginnen, laden wir die pfSense ISO-Datei aus dem Internet runter und bringen wir die auf den Server. Dach erstellen wir eine VM. So wie auf dem Bild unten steht, können wir die Hardware definieren. Nicht vergessen, wir brauchen zwei Netzwerkkarten. Die erste Netzwerkkarte sollte zu dem Verwaltungsnetz 192.168.2.0/24 gehören. Die zweite Netzwerkkarte zu dem pädagogischen Netz 172.16.0.0/22. Die zweite Netzwerkkarte kann man erst nach der Erstellung der VM dazu einfügen.

pfSense (Firewall) Netzwerkdaten.

Installationsmedium: pfSense-CE-2.5.2
Servername: pfSense
Domäne: schule.lan
IP-Adresse (Netzwerkkarte1, WAN): 192.168.2.199
Netmask: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1
IP-Adresse (Netzwerkkarte2, LAN): 172.16.0.1
Netmask: 255.255.252.0

Punkt
Wir installieren pfSense. Zuerst gehen wir auf die VM, dann starten wir die VM und danach öffnen wir die "Console". Installation verläuft in der textbasierten Oberfläche. Es werden die Tasten der Tastatur genutzt, um eine Auswahl zu machen oder weiter zu gehen. Es wird von DVD gebootet, die Lizenzbedingungen werden akzeptiert und auf Installation mit OK bestätigen. Grundsätzlich werden nur ein paar Tasten genutzt, Pfeiltasten, Leertaste um was zu selektieren und die Entertaste um zu bestätigen.

Punkt
Die deutsche Tastatur wird ausgewählt, dann auf "Continue with..." und mit der Eingabetaste weiter.

 

Punkt
Die ausgewählte Partition bitte bestätigen.

 

Punkt
Die Optionen lassen wir so wie die sind.

 

Punkt
Wir arbeiten mit den virtuellen Maschinen (VMs) deshalb brauchen wir keinen RAID etc. Systeme. Wir lassen so wie es ist und auf OK

 

Punkt
Die Festplatte wird ausgewählt und auf OK.

 

Punkt
Mit dem Löschen der gespeicherten Daten auf der Festplatte sind wir einverstanden und bestätigen wir es mit OK

 

Punkt
Wir machen keine Modifikation auf Shell Ebene. Selbstverständlich, Sie können es tun, aber ich bevorzuge die grafische Oberfläche.

 

 

Punkt
Das System wird neu gestartet.

 

Punkt
Nach dem Neustart bekommen wir eine Informationsseite. 

 

Die Installation ist abgeschlossen, aber wir müssen noch das Netzwerk nach unseren Wünschen konfigurieren. Auf shell Ebene zu konfigurieren ist ein bisschen  umständlich. Ich nutze die grafische Oberfläche. Wir müssen nur die Möglichkeit haben, das WEB-Interface der Firewall in Browser aufzurufen. Von unserem Verwaltungsnetz können wir es nicht machen, die Firewall lässt es nicht zu, deshalb machen wir das von der LAN Seite in pädagogischem Netz.

Die WAN Netzwerkkarte hat eine IP-Adresse bekommen, weil sich in dem Netz 192.168.2.0/24 ein DHCP-Dienst befindet, das werden wir später auf eine statische IP-Adresse ändern.

In dem LAN Netz, wenn kein DHCP vorhanden ist, bekommt der Netzwerkkarte immer die IP-Adresse: 192.168.1.1,
Netmask: 255.255.255.0.
Auf jeden Fall wir müssen im LAN Netz in Browser, unserem Fall die WEB-Seite http://192.168.1.1 aufrufen.
Das können wir von anderem Gerät bzw. VM machen, die sich im gleichen Netz befindet.

Wie machen wir es?
   - Das Gerät wird an das LAN Netz angeschlossen
   - Die IP-Adresse, z.B. 192.168.1.56 Netmask: 255.255.255.0 wird dem Gerät zugewiesen.
   - In Browser wird die Seite http://192.168.1.1 aufgerufen.
   - Die Anmeldeseite kommt und wir loggen uns mit den Standard Login Daten ein:
              Benutzer: admin
              Passwort: pfsense

Danach klicken wir einfach auf "next". Auf den nachfolgenden Seiten kann man die Daten anpassen. Für uns sind zuerst die Netzwerkeinstellungen wichtig, wie WAN, LAN, Gateway und nicht vergessen, den DHCP bitte ausschalten. Den DHCP-Dienst werden wir später auf dem Domänen-Controller installieren.

Punkt
Die Domäne und die DNS wird eingetragen. In unserem Fall ist das die IP des Routers. Wir können selbstverständlich auch einen anderen DNS nehmen, z.B. die 8.8.8.8.

 

Punkt
Für WAN wird die statische IP-Adresse und Gateway definiert.

 

Punkt
Für LAN wird die statische IP-Adresse 172.16.0.1 definiert. Bitte die richtige Netmask eintragen. In unserem Fall ist das die 22 (255.255.252.0)

 

Punkt
Nach dem "Reload" kommt die Seite nicht mehr. Das ist selbstverständlich, weil die LAN IP von pfSense ist jetzt 172.16.0.1. Wir müssen zuerst die IP-Adresse  und die Netmask des Gerätes, auf dem wir die Seite aufgerufen haben, ändern, z.B. auf 172.16.0.65 Netmask 255.255.252.0 und dann die Seite http://172.16.0.1 aufrufen.

 

Punkt
Wir müssen noch den DHCP-Dienst deaktivieren.

 

Punkt
Den IPv6 Konfigurationstyp des WAN können wir auf "None" setzen. Die zwei Häkchen zu reservierten Netzen kann man wegmachen.

 

Allgemeine Regel nach der pfSense Installation. 

   1. Alle Ports nach außen sind offen.
   2. Alle Ports nach innen sind geschlossen.
   3. Nach Bedarf können wir Ports von außen nach innen öffnen
   4. Nach Bedarf können wir Ports von innen nach außen schließen.

Gateway in dem Netzwerk 172.16.0.0/22 ist ab jetzt die IP-Adresse: 172.16.0.1