pfSense n00b vragen

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

Ik overweeg om een oude pc te gebruiken voor pfsense.

1) Wat ik vooral zou willen is een firewall op netwerk niveau en niet op pc en smartphone niveau.
Op mijn pc kan ik tegen mijn firewall zeggen: blokkeer toegang voor deze applicatie. Kan ik dat ook in de pfsense regelen? Of gaat dat dan enkel als die pc een vast IP heeft en ik weet welk protocol, poort of destination URL?

2) Wat hardware betreft lees ik bij pfsense dat je voor 10-300Mbps te routen, je "No less than 2.4 GHz CPU Quad Core" nodig hebt.
Ik heb een DSL lijn van 85/20, dus dan zou ik automatisch in bovenstaande categorie vallen? Lijkt me wat overkill :)?

3) Hoe configureer ik alle toestellen in mijn netwerk? Momenteel doet mijn Fritzbox de DHCP en haalt ie de DNS bij mijn NAS. Dit alles zonder dat ik iets in 1 client (smartphone, laptop, tablet) heb moeten aanpassen. Hoe gaat dat voor een firewall?
Mijn FB blijft 192.168.1.1 en de PFS krijgt dan 192.168.1.2? Waarom zou ik PFS de DHCP laten regelen? Hoe gaan mijn clients de firewall gebruiken of zien?
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

Wow, niet zozeer allemaal pfsense "noob" vragen, eerder algemeen over networking.
Pfsense is niet noodzakelijk enkel een firewall, in de default setup is ie namelijk ook een router.
In je FB zit evengoed een firewall. Deze is bij mijn weten gesloten voor inkomend verkeer behoudens ingestelde portforwards.
In pfsense kan je alle regels (allow of deny) zéér specifiek toepassen.

Wat de hardware sizing betreft... dat verhaal klopt wel een beetje. Ik draai in al onze vestigingen pfSense op een Atom D525 zonder problemen. Regelmatig tot 200 gebruikers simultaan online. Ik moet erbij zeggen dat ik op onze pfsense ook squid (proxy) draai én gebruik maak van Intel NIC's die de cpu minder belasten dankzij "hardware offloading"

Pfsense kán dhcp-server, dns-server etcetera zijn... Enkel VDSL2 modem kan hij niet zijn, dit moet via de FB die je hebt en kan op verschillende manieren.

Ik denk, gezien je kennis over het onderwerp, je beter geholpen zal zijn met de FB-specialisten hier op het forum inzake firewall-instellingen.
Mijn opmerking over kennisniveau is zeker niet neerbuigend bedoeld hé! Hoe beter we jouw noden en mogelijkheden kunnen inschatten, hoe beter we je verder kunnen helpen.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

Misschien nog even toevoegen: ik ben niet getrouwd met pfsense.
Als er andere hard- of software handiger, veelzijdiger, goedkoper, ... is, hoor ik die tips ook graag.

Wat zou ik graag willen configureren:
- geen DNS requests behalve via de DNS (mijn NAS) die ik toelaat (aka poort 53 toe, behalve voor mijn NAS)
- applicaties blocken op netwerk en niet op toestelniveau
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

Bekijk eens op je FB onder internet > filters of je hier niet voldoende mogelijkheden hebt om te doen wat je wenst.
Het is misschien niet de meest voor de hand liggende manier van werken, maar geloof mij, pfsense, routerboard, monowall, ipcop en dergelijke hebben ook allemaal hun tamelijk steile leercurve.

Als filtering op de FB volstaat kost het je alleen maar tijd.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Bij pfsense valt de curve nog redelijk mee vind ik, als je dat vergelijkt met routerboard :-)

Je kan wel best je pfSense de dhcp enzo laten doen, het ding is gemaakt om firewall te spelen, dat houdt ook router en nat functies in.
Maw het is een volwaardige router en je gaat enkel nog de connectie met de rj11 kabel moeten laten doen door een ander toestel denk ik (omdat een computer meestal geen rj11 poort heeft). De pfSense kan de pppoe link leggen.


Dus:
heist_175 schreef:1) Wat ik vooral zou willen is een firewall op netwerk niveau en niet op pc en smartphone niveau.
Op mijn pc kan ik tegen mijn firewall zeggen: blokkeer toegang voor deze applicatie. Kan ik dat ook in de pfsense regelen? Of gaat dat dan enkel als die pc een vast IP heeft en ik weet welk protocol, poort of destination URL?
PfSense kent wel een paar standaar poorten, maar heeft geen ultra-makkelijke "ik werk met dit programme, open alle relevante poorten" knop.
Hoewel, pfsense heeft expansion "packages" met vanalles en nog wat, dus mss bestaat er zo'n package voor.

heist_175 schreef:2) Wat hardware betreft lees ik bij pfsense dat je voor 10-300Mbps te routen, je "No less than 2.4 GHz CPU Quad Core" nodig hebt.
Ik heb een DSL lijn van 85/20, dus dan zou ik automatisch in bovenstaande categorie vallen? Lijkt me wat overkill :)?
Je DSL lijn is 85mbps downlink, 20mbps uplink.
PfSense moet die traffiek wel kunnen routen, en zijn CPU moet dat aankunnen.
Aangezien je zeker niet meer dan 300mbps gaat routen, moet dit voldoende zijn *op voorwaarde dat* je een aparte switch gebruikt voor je lokale traffiek. Als je al je interne netwerktraffiek ook via de pfsense wilt gaan, ga je problemen krijgen.
heist_175 schreef:3) Hoe configureer ik alle toestellen in mijn netwerk? Momenteel doet mijn Fritzbox de DHCP en haalt ie de DNS bij mijn NAS. Dit alles zonder dat ik iets in 1 client (smartphone, laptop, tablet) heb moeten aanpassen. Hoe gaat dat voor een firewall?
Mijn FB blijft 192.168.1.1 en de PFS krijgt dan 192.168.1.2? Waarom zou ik PFS de DHCP laten regelen? Hoe gaan mijn clients de firewall gebruiken of zien?
Gewoon je pfsense de DHCP laten spelen.
Je kan ofwel de pfsense zelf de pppoe connectie laten doen, in dat geval moet je je niks van de fritzbox aantrekken.
Als je de pfsense achter de fb gaat hangen en op de fb de connectie laat doen, dan ga je een aparte lan range moeten voorzien.
Je pfsense gaat dan een tweede NAT toepassen.
Bv als je fritzbox 192.168.1.1 is, dan geef je de pfsense aan de WAN kant 192.168.1.2, en aan de LAN kant 192.168.2.1 .
De fb als dhcp willen gebruiken zou eerlijk gezegd dom zijn, want dan moet die in het zelfde netwerk hangen, en je pfsense moet dan gaan intern routen zonder NAT enzo, wat al een geavanceerdere instelling en een beetje ervaring vereist.
lanadekat
Elite Poster
Elite Poster
Berichten: 918
Lid geworden op: 23 aug 2013, 21:17
Uitgedeelde bedankjes: 45 keer
Bedankt: 83 keer

Ja ik heb ook zitten zoeken naar wat voor specs ik juist nodig had maar ik kon niet echt iets vinden.

Ik gebruik deze cpu:
Afbeelding

Ik denk dat die makkelijk 1 gpbs kan halen, heeft geen problemen met 240/30 Mbps via Speedtest.net
via Wifi speedtest; +- 60 mpbs ~= 3% cpu usage

PS: stabiliteit <3, de enige downtime die ik heb is door updates of upgrades aan het netwerk :-D
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

PfSense kent wel een paar standaar poorten, maar heeft geen ultra-makkelijke "ik werk met dit programme, open alle relevante poorten" knop.
Hoewel, pfsense heeft expansion "packages" met vanalles en nog wat, dus mss bestaat er zo'n package voor.
Het is eerder: zorg dat deze applicatie niet online gaat
Aangezien je zeker niet meer dan 300mbps gaat routen, moet dit voldoende zijn *op voorwaarde dat* je een aparte switch gebruikt voor je lokale traffiek. Als je al je interne netwerktraffiek ook via de pfsense wilt gaan, ga je problemen krijgen.
Zo werkt mij FB nu ook. Die staat wat de DSL lijn binnenkomt, maar het echte verkeer loopt over 2 (unmanaged) Gbit switchen. Ik haal flat Gbps snelheid op mijn LAN.

Zolang ik niet zeker ben dat ik een applicatie ga kunnen blockeren (toch de bedoeling van een firewall, lijkt me) ga ik niet beginnen klooien :).
De rest komt wel los en de DNS-block (alles naar mijn DNS, niets rechtstreeks) is maar een leukigheidje :)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

heist_175 schreef:applicaties blocken op netwerk en niet op toestelniveau
Ik vrees dat je zoiets mag vergeten tenzij je heel goede DPI hebt (geen idee of een pfSense dit kan).

Vandaag de dag gaat alles over de klassieke poorten met SSL... applicaties herkennen is dus enorm moeilijk (je kan dan proberen op target IP's maar daar moet je constant achterna hollen).
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Om geencrypteerde data te herkennen aan contents en niet port, moet je firewall idd man-in-the-middle kunnen spelen, maw de firewall moet "client" spelen voor bv de SSL encryptie, en het dan herencrypteren met zijn eigen key, waarvoor zijn cert dan in de cert store van elke pc op het netwerk als "trusted" moet ingeladen zijn.
pfSense kan dat niet out-of-the-box, maar mss is er een package voor.
Het blijft een serieuze overkill voor een thuisnetwerk, en eentje die dan nog heel veel config werk vraagt.

Eenvoudig op port blokkeren blijft uiteraard wel mogelijk, alsook op IP adres.
Maar dan moet je pc een static IP krijgen, of toch tenminste een DHCP reservation zodat hij elke keer hetzelfde IP toegewezen krijgt.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

Dus het beoogde doel - een app blokkeren - kan nog steeds beter op een pc dan op netwerkniveau?
Suggesties voor een goede firewall dan :)? Ik heb nu een tijdje ZoneAlarm in gebruik, maar die blijft maar zeuren, hoewel ik "remember" telkens aanvink. En dat dan telkens op 3 pc's. Op onze smartphones hebben we ook NoRootFirewall om apps te verhinderen online te gaan.
(vandaar dat ik het eenvoudiger wilde regelen op netwerk niveau)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Maar dan moet je pc een static IP krijgen, of toch tenminste een DHCP reservation zodat hij elke keer hetzelfde IP toegewezen krijgt.
Waarom zou je een static IP moeten hebben... je moet gewoon filteren op target poort (als die app tenminste een eigen poort gebruikt).
heist_175 schreef:Dus het beoogde doel - een app blokkeren - kan nog steeds beter op een pc dan op netwerkniveau?
Welke app is het ? Naar welke server/port gaat deze ? Indien je dit kent kan je dat met iedere firewall blokkeren.

Bij apps die gewoon https gebruiken en naar een CDN gaan is het hopeloos zonder DPI.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

En dat laatste is mijn punt ook.
Veel meer apps en programmas krijgen gezaag van hun users dat ze niet werken op hotspots enzo.
Dan blijkt dat de hotspot enkel traffiek op port 80/443 doorlaat, of zelfs filtert op http(s) traffiek.

En dus evolueert zowat alles langzaam naar het gebruik van port 80/443 en http(s) tunneling.

Ik zou je trouwens een beetje willen corrigeren:
Bij apps die https gebruiken werkt DPI ook niet, volgens mij.
Want hoe gaat de firewall weten wat er in het https pakketje zit?
Gewoon filteren op destination is geen DPI dacht ik.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Bij apps die https gebruiken werkt DPI ook niet, volgens mij.
Daarom dat je https moet breken (wat ook niet altijd kan) om deftig DPI te doen... en een client kan dit steeds detecteren trouwens.
ITnetadmin schreef:Gewoon filteren op destination is geen DPI dacht ik.
Nope... de D staat voor deep... men kijkt dus inhoudelijk in het pakketje.

Nogmaals dus... een simpel app'je voor jezelf blokkeren kan nog wel lukken (al kan dat zelfs al vervelend worden afhankelijk van de app), anderen mensen (die bewust je blocking willen omzeilen) verhinderen een app'je te gebruiken is bijna ondoenbaar met huis-tuin-en-keuken apparatuur.
Plaats reactie

Terug naar “Netwerken en Security”