Telenet met PFsense firewall

dj_ke · 05 jun 2013, 11:56

Hallo iedereen hier

Ik heb nu al een tijdje Telenet Fibernet, met de intussen welbekende bijhorende Telenet modem/router.

Voor wat meer beveiliging hier op het netwerk ben ik nu bezig met een PFSense machine te installeren, waar ook Squid/Dansguardian op komt voor proxy filter.

Maar dan zit je natuurlijk met een dubbele NAT op je netwerk, en daar zit nu net het probleem. Ik heb een NAS server van Synology met Plex media server/streamer die ik ook van buitenaf wil bereiken, zowel de Plex als de verbinding naar de data mappen op deze NAS.

Verder wil ik ook nog een Virtualox server installeren, met een virtuele server voor web- en mailserver en nog een virtuele machine voor een AD DC met Samba 4 op een Ubuntu.

In het netwerk achter de PFSense zou er geen probleem mogen zijn, maar door de dubbele NAT is het niet zomaar mogelijk om de website bvb bereikbaar te maken vanop het web.

Is er een manier om dit te omzeilen ofzo zodat dit toch werkt? Het is volgens mij via pfsense te doen, maar mij lukt het niet direct.

Voor de rest vraag ik me ook af waar ik best de DNS server op installeer, op de PFSense, of op de Linux server?

Dit is een plan van het netwerk dat ik in gedachten had:
Afbeelding

Als je nog iets wil weten, vraag je het maar.

Alvast bedankt aan iedereen die me hier mee wil helpen!

05 jun 2013, 11:58

Begin met het IP van je PFSense in de DMZ te zetten van Telenet via mijn.telenet.be.

dj_ke · 05 jun 2013, 12:49

Dat is al gebeurd hoor

. Ik heb in PFSense tijdelijk alles open staan, maar ik kan niet eens pingen naar het 10.0.0.0/24 netwerk.

05 jun 2013, 13:04

Je moet ICMP apart openzetten op je PFSense. Ping behoort daartoe.

Ping gebruikt het ICMP-protocol om een ICMP ECHO_REQUEST pakket te sturen naar host of gateway in afwachting van een reactie met een ICMP ECHO_RESPONSE pakket. De reactietijd tussen het versturen en het ontvangen van de bevestiging wordt aangegeven als de round-trip time en wordt weergegeven in milliseconden.

dj_ke · 05 jun 2013, 15:12

Ik heb ICMP ook toegestaan op beide interface, en om de een of andere gekke reden kan ik nog steeds niet pingen. Als ik op de pfsense zelf ping van de WAN (192.168.0.4) naar de LAN (10.0.0.1) lukt dit perfect. Ik heb men laptop aangesloten op de switch die nu ip 10.0.0.10 heeft, maar pingen van de WAN op PFSense lukt dan weer niet...

KerberosX · 06 jun 2013, 21:03

Kan je voor die 2 ICMP rules eens de details hier plaatsen?

Gebruik hier ook al een tijdje pfSense, wel icm modem-only.

dj_ke · 08 jun 2013, 16:29

Ik zal de details begin komende week even posten hier.

Dat ben ik ook al een tijdje aan het denken, om een modem-only aan te vragen. Maar ik lees hier zoveel op het forum dat ik nu niet weet hoe het nu juist zit met de dingen dat je dan niet meer hebt/kan als je een modem-only hebt t.o.v. de modem/router...
En als ik deze nu wil aanvragen, is het nog altijd dat je hier voor moet betalen enzo?

ubremoved_539 · 08 jun 2013, 17:15

dj_ke schreef:Dat ben ik ook al een tijdje aan het denken, om een modem-only aan te vragen.

Tja, dat lost je probleem niet op... als je ICMP configuratie nu fout is zal ze dat nog steeds zijn met een modem-only.

dj_ke schreef:En als ik deze nu wil aanvragen, is het nog altijd dat je hier voor moet betalen enzo?

Ja (75 euro dacht ik)... Telenet techniekers werken nog steeds niet gratis

dj_ke · 08 jun 2013, 23:17

r2504 schreef:
dj_ke schreef:En als ik deze nu wil aanvragen, is het nog altijd dat je hier voor moet betalen enzo?
Ja (75 euro dacht ik)... Telenet techniekers werken nog steeds niet gratis

dat ga ik er echt niet aan geven hoor, en voor zelf-installatie is deze denk ik ook niet beschikbaar...

KerberosX schreef:Kan je voor die 2 ICMP rules eens de details hier plaatsen?

Gebruik hier ook al een tijdje pfSense, wel icm modem-only.

Heb net nog enkele screenshots kunnen nemen van de firewall rules. Als je nog meer wil weten vraag je het maar:

Afbeelding

onkt · 03 mei 2017, 11:49

Is er iemand die me kan zeggen hoe ik met een PFsense firewall en een telenet modem only er voor kan zorgen dat mijn digibox toch een IP van telenet krijgt en niet van mijn PFsense?

Werk ik dan best met Vlans of met een DMZ of...

Alvast bedankt!

serialchiller · 03 mei 2017, 12:37

bij mijn weten werkt het door de decoder(s) en de pfsense via een kleine gigabit-switch aan te sluiten op de modem-only.
maar misschien is er hier een slimmerik die het anders oplost...

03 mei 2017, 13:25

Holy thread resurrection batman! Is dit een winnaar? Een thread van 4 jaar oud terug naar boven bumpen?

serialchiller · 03 mei 2017, 13:28

langs de andere kant wel fijn dat iemand, weze het maar half, de zoekfunctie gebruikt...
Anders was het miljoenste VDSL sync profiel lijnwaarden topic ook al lang ontstaan (see what I did there???

)

heist_175 · 03 mei 2017, 13:38

onkt schreef:Is er iemand die me kan zeggen hoe ik met een PFsense firewall en een telenet modem only er voor kan zorgen dat mijn digibox toch een IP van telenet krijgt en niet van mijn PFsense?

Werk ik dan best met Vlans of met een DMZ of...

Een collega heeft dezelfde setup en heeft zijn digibox in de DMZ gezet.

03 mei 2017, 18:33

Misschien is het een domme opmerking, want ik weet niet of het mogelijk is in de configuratie van de Telenet router. Maar, als je met static routes werkt in de Telenet router die verwijzen naar je pfSense router voor je overige subnets, heb je geen NAT nodig aan de pfSense kant!

Add: snel Googlen leert dat dit dus niet gaat op de telenet router...
Add2: (te snelle) antwoord was dus op originele poster uit 2013, niet op onkt

ubremoved_539 · 03 mei 2017, 19:10

onkt schreef:Is er iemand die me kan zeggen hoe ik met een PFsense firewall

Als je dergelijke oplossingen gebruikt zou ik veronderstellen dat je weet waarmee je bezig bent ?

onkt schreef:Werk ik dan best met Vlans of met een DMZ of...

Uiteindelijk is dit hetzelfde.

onkt · 06 mei 2017, 10:07

Is er iemand die me kan zeggen hoe ik met een PFsense firewall

Als je dergelijke oplossingen gebruikt zou ik veronderstellen dat je weet waarmee je bezig bent ?

Ik begrijp dit antwoord niet zo goed en al helemaal niet wat je hiermee wil bereiken? Het feit dat ik dit vraag op een forum, is toch omdat ik hier niet aan uitgeraak. Ik veronderstel dat jij alwetend bent geboren, waarvoor uiteraard mijn grootste bewondering, maar mensen die aan het experimenteren zijn, moeten toch ook de kans krijgen om van elkaar te leren? Dat lijkt me een beetje het opzet van dit forum.
Dat je je ergert aan mijn vraag, dat ik je volste recht, maar is het dan niet eenvoudiger om gewoon niet te reageren, eerder dan iemand het gevoel te geven dat hij hier beter geen vragen stelt? Gelukkig zijn er mensen die wel constructief meedenken naar een oplossing, waarvoor dank!

onkt schreef:Werk ik dan best met Vlans of met een DMZ of...

Uiteindelijk is dit hetzelfde.

Ik doelde hier eigenlijk naar het verschil tussen een Vlan of het gebruiken van een fysieke netwerkkaart die ik in DMZ configureer. Maar dat heb ik inderdaad onvoldoende duidelijk gemaakt. Ik weet dat je met beiden hetzelfde zou kunnen bereiken, maar wou even jullie mening over welke oplossing welke voordelen zou geven.

Ondertussen ben ik er nog niet helemaal uit. Ik heb al een DMZ geconfigureerd en met de firewall-rules gezorgd dat deze geen contact kan maken met de LAN, maar het probleem is dat de digicorder wel een IP krijgt, uit mijn DMZ, maar ik dus niet het interactieve deel kan gebruiken van de digicorder. Ik doe dus nod iets niet juist. Vermoedelijk is het de bedoeling dat ik gewoon een WAN-IP krijg van telenet door de OPT1 poort, maar dat lukt me (nog) niet.

KerberosX · 06 mei 2017, 12:27

Ik heb gewoon een kleine switch aan de modem hangen. Van deze switch gaat er dan 1 kabel naar de digibox en de andere naar mijn pfsensebox waar de rest van het netwerk achterhangt. Dus mijn digibox zit niet in mijn LAN.

onkt · 06 mei 2017, 13:12

KerberosX schreef:Ik heb gewoon een kleine switch aan de modem hangen. Van deze switch gaat er dan 1 kabel naar de digibox en de andere naar mijn pfsensebox waar de rest van het netwerk achterhangt. Dus mijn digibox zit niet in mijn LAN.

Dat heb ik nu ook, maar ik zou die switch er graag vantussen willen en alles regelen op mijn pfsense.

ubremoved_539 · 06 mei 2017, 14:03

onkt schreef:Ik begrijp dit antwoord niet zo goed en al helemaal niet wat je hiermee wil bereiken? Het feit dat ik dit vraag op een forum, is toch omdat ik hier niet aan uitgeraak. Ik veronderstel dat jij alwetend bent geboren, waarvoor uiteraard mijn grootste bewondering, maar mensen die aan het experimenteren zijn, moeten toch ook de kans krijgen om van elkaar te leren? Dat lijkt me een beetje het opzet van dit forum.

Experimenteren houdt in dat je dingen probeert en daarbij aangeeft wat er wel of niet werkt... gewoon de vraag stellen hoe je iets moet doen is voor mij niet experimenteren.

onkt schreef:Dat je je ergert aan mijn vraag, dat ik je volste recht, maar is het dan niet eenvoudiger om gewoon niet te reageren, eerder dan iemand het gevoel te geven dat hij hier beter geen vragen stelt?

Mensen verwachten dat je eerst zelf een inspanning doet... en dat was helemaal niet duidelijk uit je vraag.

onkt schreef:Ik doelde hier eigenlijk naar het verschil tussen een Vlan of het gebruiken van een fysieke netwerkkaart die ik in DMZ configureer.

Die fysieke kaart wordt ook gewoon maar in een VLAN gezet... dat is de implementatie van een DMZ.

onkt schreef:maar het probleem is dat de digicorder wel een IP krijgt, uit mijn DMZ,

Dit is inderdaad je probleem... de Digicorder moet een WAN IP krijgen en dus in dezelfde VLAN (of switch groep) zitten als je TN modem of router.

onkt · 07 apr 2018, 15:49

Ik probeer toch nog even. Heb het probleem tijd laten rusten, maar ben nu toch terug aan het zoeken.
Ik schets even wat ik al heb uitgeprobeerd.

Opstelling:
telenet modem only gaat naar IGB0 (WAN interface) van PFsense (Fysiek toestel met 4 poorten)
van IGB1 (LAN interface) gaat er een kabel naar HP procurve switch voor LAN.

Ik heb om te testen op de PFSense een VLAN 2 aangemaakt voor WAN, alsook op de Procurve switch. Alle Vlans die ik verder heb aangemaakt, werken allemaal perfect, enkel het WAN-probleem krijg ik niet opgelost.

- om te testen zorgde ik ervoor in de PFSENSE dat de interface VLAN2 any to any PASS rechten heeft

- ik probeerde een nieuwe Interface aan te maken (VLAN 2 on IGB0 WAN) en vervolgens op mijn procurve de poort waar mijn digicorder aanhangt, untagged in Vlan 2 te plaatsen. Dit werkt niet.

- in plaats van de nieuwe interfacegroep aan te maken, heb ik ook eens geprobeerd om de WAN niet te koppelen aan IGB0, maar aan VLAN2, maar hier kan ik niet taggen.

- ik probeerde in PFSENSE een interfacegroup aan te maken (IGB0 met Vlan2), maar dit dient voor iets anders blijkbaar.
- ik teste ook even om de 2 interfaces in bridge te zetten, maar zoals ik al vermoedde ging dit ook niet.

Ook nog een paar andere losse ideetjes uitgeprobeerd

maar dus niet geslaagd in mijn opzet. Ik zie iets over het hoofd.

In principe begrijp ik wat er moet gebeuren.digicorder moet in zelfde VLAN zitten als telenet modem.
Wat zou kunnen werken ik dat ik de WANkabel niet in PFSENSE steek, maar eerst in de procurve en de PFSENSE ook verbind met de procurve. Zo zou ik Vlan tagging kunnen toepassen op de verbindingen, maar ik had liefst gehad dat de internetverbinding rechtstreeks binnenkomt in de PFSENSE om hem daar te kunnen beheren.
Alleen krijg ik op de PFSENSE mijn WANverbinding niet in VLAN2 en kan ik daar ook niet direct gaan taggen.

Iemand die een idee heeft hoe ik toch mijn Digicorder aan een WANip zou kunnen helpen zonder extra switch?
Alvast bedankt!

Sasuke · 07 apr 2018, 17:46

Zonder extra Switch ? Dan moet je 2 poorten assignen als WAN, daarna een bridge maken van die 2 poorten en dan kan je in de ene je modem en de andere je digicorder steken. Dit is dan eigenlijk een switch maken van je 2 wan poorten op dat moment, met mindere performance dan een echte switch.

CCatalyst · 07 apr 2018, 20:14

onkt schreef: Wat zou kunnen werken ik dat ik de WANkabel niet in PFSENSE steek, maar eerst in de procurve en de PFSENSE ook verbind met de procurve. Zo zou ik Vlan tagging kunnen toepassen op de verbindingen, maar ik had liefst gehad dat de internetverbinding rechtstreeks binnenkomt in de PFSENSE om hem daar te kunnen beheren.

Nochtans kan je dat op die manier en tegelijk kan je de internetverbinding volledig "beheren" (ben niet zeker wat je daar mee bedoeld) in pfSense.

In de ProCurve gewoon een VLAN (zonder manangement access) met [kabel modem - kabel digicorder - kabel pfSense WAN] en de overige poorten zijn dan een VLAN met management access waar je pfSense LAN in komt + andere LAN toestellen.

Voor je pfSense is dat net in de praktijk net alsof de internetverbinding rechtstreeks daar zou aankomen.

Uiteraard ga je op deze manier geen DLNA hebben in de Digicorder, maar ik veronderstel dat dat hier niet de bedoeling is.

onkt · 08 apr 2018, 12:33

Voor je pfSense is dat net in de praktijk net alsof de internetverbinding rechtstreeks daar zou aankomen.

Inderdaad, had een denkfoutje gemaakt. Heb het net even uitgetest en werkt perfect nu. Bedankt!

Uiteraard ga je op deze manier geen DLNA hebben in de Digicorder, maar ik veronderstel dat dat hier niet de bedoeling is.

inderdaad

Gewoon uit nieuwsgierigheid. Hoe zou je het aanpakken om toch DLNA te kunnen gebruiken?

groeten,

Onkt

CCatalyst · 08 apr 2018, 12:48

MAC-based VLANs, zie deze topic http://userbase.be/forum/viewtopic.php?f=50&t=48787

Daarin staat ook een link van SpecialK die een alternatieve methode met ACL's + een extra switch heeft gevonden.