Telenet met PFsense firewall

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
dj_ke
Starter
Starter
Berichten: 7
Lid geworden op: 04 jun 2013, 23:40
Twitter: dj_ke

Hallo iedereen hier

Ik heb nu al een tijdje Telenet Fibernet, met de intussen welbekende bijhorende Telenet modem/router.

Voor wat meer beveiliging hier op het netwerk ben ik nu bezig met een PFSense machine te installeren, waar ook Squid/Dansguardian op komt voor proxy filter.

Maar dan zit je natuurlijk met een dubbele NAT op je netwerk, en daar zit nu net het probleem. Ik heb een NAS server van Synology met Plex media server/streamer die ik ook van buitenaf wil bereiken, zowel de Plex als de verbinding naar de data mappen op deze NAS.

Verder wil ik ook nog een Virtualox server installeren, met een virtuele server voor web- en mailserver en nog een virtuele machine voor een AD DC met Samba 4 op een Ubuntu.

In het netwerk achter de PFSense zou er geen probleem mogen zijn, maar door de dubbele NAT is het niet zomaar mogelijk om de website bvb bereikbaar te maken vanop het web.

Is er een manier om dit te omzeilen ofzo zodat dit toch werkt? Het is volgens mij via pfsense te doen, maar mij lukt het niet direct.

Voor de rest vraag ik me ook af waar ik best de DNS server op installeer, op de PFSense, of op de Linux server?

Dit is een plan van het netwerk dat ik in gedachten had:
Afbeelding

Als je nog iets wil weten, vraag je het maar.

Alvast bedankt aan iedereen die me hier mee wil helpen!
Gebruikersavatar
krisken
userbase crew
userbase crew
Berichten: 19763
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1857 keer
Bedankt: 1035 keer

Begin met het IP van je PFSense in de DMZ te zetten van Telenet via mijn.telenet.be.

Internet = Orange 150/15Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme SE + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
dj_ke
Starter
Starter
Berichten: 7
Lid geworden op: 04 jun 2013, 23:40
Twitter: dj_ke

Dat is al gebeurd hoor ;). Ik heb in PFSense tijdelijk alles open staan, maar ik kan niet eens pingen naar het 10.0.0.0/24 netwerk.
Gebruikersavatar
krisken
userbase crew
userbase crew
Berichten: 19763
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1857 keer
Bedankt: 1035 keer

Je moet ICMP apart openzetten op je PFSense. Ping behoort daartoe.

Ping gebruikt het ICMP-protocol om een ICMP ECHO_REQUEST pakket te sturen naar host of gateway in afwachting van een reactie met een ICMP ECHO_RESPONSE pakket. De reactietijd tussen het versturen en het ontvangen van de bevestiging wordt aangegeven als de round-trip time en wordt weergegeven in milliseconden.

Internet = Orange 150/15Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme SE + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
dj_ke
Starter
Starter
Berichten: 7
Lid geworden op: 04 jun 2013, 23:40
Twitter: dj_ke

Ik heb ICMP ook toegestaan op beide interface, en om de een of andere gekke reden kan ik nog steeds niet pingen. Als ik op de pfsense zelf ping van de WAN (192.168.0.4) naar de LAN (10.0.0.1) lukt dit perfect. Ik heb men laptop aangesloten op de switch die nu ip 10.0.0.10 heeft, maar pingen van de WAN op PFSense lukt dan weer niet...
KerberosX
Plus Member
Plus Member
Berichten: 110
Lid geworden op: 12 jun 2010, 22:37
Uitgedeelde bedankjes: 7 keer
Bedankt: 20 keer

Kan je voor die 2 ICMP rules eens de details hier plaatsen?

Gebruik hier ook al een tijdje pfSense, wel icm modem-only.
dj_ke
Starter
Starter
Berichten: 7
Lid geworden op: 04 jun 2013, 23:40
Twitter: dj_ke

Ik zal de details begin komende week even posten hier.

Dat ben ik ook al een tijdje aan het denken, om een modem-only aan te vragen. Maar ik lees hier zoveel op het forum dat ik nu niet weet hoe het nu juist zit met de dingen dat je dan niet meer hebt/kan als je een modem-only hebt t.o.v. de modem/router...
En als ik deze nu wil aanvragen, is het nog altijd dat je hier voor moet betalen enzo?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

dj_ke schreef:Dat ben ik ook al een tijdje aan het denken, om een modem-only aan te vragen.
Tja, dat lost je probleem niet op... als je ICMP configuratie nu fout is zal ze dat nog steeds zijn met een modem-only.
dj_ke schreef:En als ik deze nu wil aanvragen, is het nog altijd dat je hier voor moet betalen enzo?
Ja (75 euro dacht ik)... Telenet techniekers werken nog steeds niet gratis :lol:
dj_ke
Starter
Starter
Berichten: 7
Lid geworden op: 04 jun 2013, 23:40
Twitter: dj_ke

r2504 schreef:
dj_ke schreef:En als ik deze nu wil aanvragen, is het nog altijd dat je hier voor moet betalen enzo?
Ja (75 euro dacht ik)... Telenet techniekers werken nog steeds niet gratis :lol:
dat ga ik er echt niet aan geven hoor, en voor zelf-installatie is deze denk ik ook niet beschikbaar...
KerberosX schreef:Kan je voor die 2 ICMP rules eens de details hier plaatsen?

Gebruik hier ook al een tijdje pfSense, wel icm modem-only.
Heb net nog enkele screenshots kunnen nemen van de firewall rules. Als je nog meer wil weten vraag je het maar:

Afbeelding
Afbeelding
onkt
Starter
Starter
Berichten: 5
Lid geworden op: 03 mei 2017, 10:09
Uitgedeelde bedankjes: 3 keer

Is er iemand die me kan zeggen hoe ik met een PFsense firewall en een telenet modem only er voor kan zorgen dat mijn digibox toch een IP van telenet krijgt en niet van mijn PFsense?

Werk ik dan best met Vlans of met een DMZ of...

Alvast bedankt!
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

bij mijn weten werkt het door de decoder(s) en de pfsense via een kleine gigabit-switch aan te sluiten op de modem-only.
maar misschien is er hier een slimmerik die het anders oplost...
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Holy thread resurrection batman! Is dit een winnaar? Een thread van 4 jaar oud terug naar boven bumpen?
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

langs de andere kant wel fijn dat iemand, weze het maar half, de zoekfunctie gebruikt...
Anders was het miljoenste VDSL sync profiel lijnwaarden topic ook al lang ontstaan (see what I did there??? :lol: )
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

onkt schreef:Is er iemand die me kan zeggen hoe ik met een PFsense firewall en een telenet modem only er voor kan zorgen dat mijn digibox toch een IP van telenet krijgt en niet van mijn PFsense?

Werk ik dan best met Vlans of met een DMZ of...
Een collega heeft dezelfde setup en heeft zijn digibox in de DMZ gezet.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5491
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 5 keer

Misschien is het een domme opmerking, want ik weet niet of het mogelijk is in de configuratie van de Telenet router. Maar, als je met static routes werkt in de Telenet router die verwijzen naar je pfSense router voor je overige subnets, heb je geen NAT nodig aan de pfSense kant!

Add: snel Googlen leert dat dit dus niet gaat op de telenet router...
Add2: (te snelle) antwoord was dus op originele poster uit 2013, niet op onkt :)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

onkt schreef:Is er iemand die me kan zeggen hoe ik met een PFsense firewall
Als je dergelijke oplossingen gebruikt zou ik veronderstellen dat je weet waarmee je bezig bent ?
onkt schreef:Werk ik dan best met Vlans of met een DMZ of...
Uiteindelijk is dit hetzelfde.
onkt
Starter
Starter
Berichten: 5
Lid geworden op: 03 mei 2017, 10:09
Uitgedeelde bedankjes: 3 keer

Is er iemand die me kan zeggen hoe ik met een PFsense firewall
Als je dergelijke oplossingen gebruikt zou ik veronderstellen dat je weet waarmee je bezig bent ?
Ik begrijp dit antwoord niet zo goed en al helemaal niet wat je hiermee wil bereiken? Het feit dat ik dit vraag op een forum, is toch omdat ik hier niet aan uitgeraak. Ik veronderstel dat jij alwetend bent geboren, waarvoor uiteraard mijn grootste bewondering, maar mensen die aan het experimenteren zijn, moeten toch ook de kans krijgen om van elkaar te leren? Dat lijkt me een beetje het opzet van dit forum.
Dat je je ergert aan mijn vraag, dat ik je volste recht, maar is het dan niet eenvoudiger om gewoon niet te reageren, eerder dan iemand het gevoel te geven dat hij hier beter geen vragen stelt? Gelukkig zijn er mensen die wel constructief meedenken naar een oplossing, waarvoor dank!
onkt schreef:Werk ik dan best met Vlans of met een DMZ of...
Uiteindelijk is dit hetzelfde.
Ik doelde hier eigenlijk naar het verschil tussen een Vlan of het gebruiken van een fysieke netwerkkaart die ik in DMZ configureer. Maar dat heb ik inderdaad onvoldoende duidelijk gemaakt. Ik weet dat je met beiden hetzelfde zou kunnen bereiken, maar wou even jullie mening over welke oplossing welke voordelen zou geven.

Ondertussen ben ik er nog niet helemaal uit. Ik heb al een DMZ geconfigureerd en met de firewall-rules gezorgd dat deze geen contact kan maken met de LAN, maar het probleem is dat de digicorder wel een IP krijgt, uit mijn DMZ, maar ik dus niet het interactieve deel kan gebruiken van de digicorder. Ik doe dus nod iets niet juist. Vermoedelijk is het de bedoeling dat ik gewoon een WAN-IP krijg van telenet door de OPT1 poort, maar dat lukt me (nog) niet.
KerberosX
Plus Member
Plus Member
Berichten: 110
Lid geworden op: 12 jun 2010, 22:37
Uitgedeelde bedankjes: 7 keer
Bedankt: 20 keer

Ik heb gewoon een kleine switch aan de modem hangen. Van deze switch gaat er dan 1 kabel naar de digibox en de andere naar mijn pfsensebox waar de rest van het netwerk achterhangt. Dus mijn digibox zit niet in mijn LAN.
onkt
Starter
Starter
Berichten: 5
Lid geworden op: 03 mei 2017, 10:09
Uitgedeelde bedankjes: 3 keer

KerberosX schreef:Ik heb gewoon een kleine switch aan de modem hangen. Van deze switch gaat er dan 1 kabel naar de digibox en de andere naar mijn pfsensebox waar de rest van het netwerk achterhangt. Dus mijn digibox zit niet in mijn LAN.
Dat heb ik nu ook, maar ik zou die switch er graag vantussen willen en alles regelen op mijn pfsense.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

onkt schreef:Ik begrijp dit antwoord niet zo goed en al helemaal niet wat je hiermee wil bereiken? Het feit dat ik dit vraag op een forum, is toch omdat ik hier niet aan uitgeraak. Ik veronderstel dat jij alwetend bent geboren, waarvoor uiteraard mijn grootste bewondering, maar mensen die aan het experimenteren zijn, moeten toch ook de kans krijgen om van elkaar te leren? Dat lijkt me een beetje het opzet van dit forum.
Experimenteren houdt in dat je dingen probeert en daarbij aangeeft wat er wel of niet werkt... gewoon de vraag stellen hoe je iets moet doen is voor mij niet experimenteren.
onkt schreef:Dat je je ergert aan mijn vraag, dat ik je volste recht, maar is het dan niet eenvoudiger om gewoon niet te reageren, eerder dan iemand het gevoel te geven dat hij hier beter geen vragen stelt?
Mensen verwachten dat je eerst zelf een inspanning doet... en dat was helemaal niet duidelijk uit je vraag.
onkt schreef:Ik doelde hier eigenlijk naar het verschil tussen een Vlan of het gebruiken van een fysieke netwerkkaart die ik in DMZ configureer.
Die fysieke kaart wordt ook gewoon maar in een VLAN gezet... dat is de implementatie van een DMZ.
onkt schreef:maar het probleem is dat de digicorder wel een IP krijgt, uit mijn DMZ,
Dit is inderdaad je probleem... de Digicorder moet een WAN IP krijgen en dus in dezelfde VLAN (of switch groep) zitten als je TN modem of router.
onkt
Starter
Starter
Berichten: 5
Lid geworden op: 03 mei 2017, 10:09
Uitgedeelde bedankjes: 3 keer

Ik probeer toch nog even. Heb het probleem tijd laten rusten, maar ben nu toch terug aan het zoeken.
Ik schets even wat ik al heb uitgeprobeerd.

Opstelling:
telenet modem only gaat naar IGB0 (WAN interface) van PFsense (Fysiek toestel met 4 poorten)
van IGB1 (LAN interface) gaat er een kabel naar HP procurve switch voor LAN.

Ik heb om te testen op de PFSense een VLAN 2 aangemaakt voor WAN, alsook op de Procurve switch. Alle Vlans die ik verder heb aangemaakt, werken allemaal perfect, enkel het WAN-probleem krijg ik niet opgelost.

- om te testen zorgde ik ervoor in de PFSENSE dat de interface VLAN2 any to any PASS rechten heeft

- ik probeerde een nieuwe Interface aan te maken (VLAN 2 on IGB0 WAN) en vervolgens op mijn procurve de poort waar mijn digicorder aanhangt, untagged in Vlan 2 te plaatsen. Dit werkt niet.

- in plaats van de nieuwe interfacegroep aan te maken, heb ik ook eens geprobeerd om de WAN niet te koppelen aan IGB0, maar aan VLAN2, maar hier kan ik niet taggen.

- ik probeerde in PFSENSE een interfacegroup aan te maken (IGB0 met Vlan2), maar dit dient voor iets anders blijkbaar.
- ik teste ook even om de 2 interfaces in bridge te zetten, maar zoals ik al vermoedde ging dit ook niet.

Ook nog een paar andere losse ideetjes uitgeprobeerd :-) maar dus niet geslaagd in mijn opzet. Ik zie iets over het hoofd.

In principe begrijp ik wat er moet gebeuren.digicorder moet in zelfde VLAN zitten als telenet modem.
Wat zou kunnen werken ik dat ik de WANkabel niet in PFSENSE steek, maar eerst in de procurve en de PFSENSE ook verbind met de procurve. Zo zou ik Vlan tagging kunnen toepassen op de verbindingen, maar ik had liefst gehad dat de internetverbinding rechtstreeks binnenkomt in de PFSENSE om hem daar te kunnen beheren.
Alleen krijg ik op de PFSENSE mijn WANverbinding niet in VLAN2 en kan ik daar ook niet direct gaan taggen.

Iemand die een idee heeft hoe ik toch mijn Digicorder aan een WANip zou kunnen helpen zonder extra switch?
Alvast bedankt!
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Zonder extra Switch ? Dan moet je 2 poorten assignen als WAN, daarna een bridge maken van die 2 poorten en dan kan je in de ene je modem en de andere je digicorder steken. Dit is dan eigenlijk een switch maken van je 2 wan poorten op dat moment, met mindere performance dan een echte switch.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

onkt schreef: Wat zou kunnen werken ik dat ik de WANkabel niet in PFSENSE steek, maar eerst in de procurve en de PFSENSE ook verbind met de procurve. Zo zou ik Vlan tagging kunnen toepassen op de verbindingen, maar ik had liefst gehad dat de internetverbinding rechtstreeks binnenkomt in de PFSENSE om hem daar te kunnen beheren.
Nochtans kan je dat op die manier en tegelijk kan je de internetverbinding volledig "beheren" (ben niet zeker wat je daar mee bedoeld) in pfSense.

In de ProCurve gewoon een VLAN (zonder manangement access) met [kabel modem - kabel digicorder - kabel pfSense WAN] en de overige poorten zijn dan een VLAN met management access waar je pfSense LAN in komt + andere LAN toestellen.

Voor je pfSense is dat net in de praktijk net alsof de internetverbinding rechtstreeks daar zou aankomen.

Uiteraard ga je op deze manier geen DLNA hebben in de Digicorder, maar ik veronderstel dat dat hier niet de bedoeling is.
onkt
Starter
Starter
Berichten: 5
Lid geworden op: 03 mei 2017, 10:09
Uitgedeelde bedankjes: 3 keer

Voor je pfSense is dat net in de praktijk net alsof de internetverbinding rechtstreeks daar zou aankomen.
Inderdaad, had een denkfoutje gemaakt. Heb het net even uitgetest en werkt perfect nu. Bedankt!
Uiteraard ga je op deze manier geen DLNA hebben in de Digicorder, maar ik veronderstel dat dat hier niet de bedoeling is.
inderdaad :-)

Gewoon uit nieuwsgierigheid. Hoe zou je het aanpakken om toch DLNA te kunnen gebruiken?

groeten,

Onkt
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

MAC-based VLANs, zie deze topic http://userbase.be/forum/viewtopic.php?f=50&t=48787

Daarin staat ook een link van SpecialK die een alternatieve methode met ACL's + een extra switch heeft gevonden.
Plaats reactie

Terug naar “Netwerken en Security”