PFsense und Rootserver

  • Hey,

    ich habe mir heute Morgen 4 neue Server bei Netcup gemietet.

    1 als Host für Webseiten,

    1 für Gameserver,

    1 als Backupserver,

    und einer als PFsense.


    Nun stehe ich bei der Konfiguration der PFsense (erstes mal) leider etwas auf dem schlauch.

    gibt es eine Möglichkeit die Öffentliche IP der Server durch die PFsense zu reichen?

    Oder muss ich mir 2 neue IPs auf den PFsense Host routen lassen?


    Schonmal vielen Dank! :)

  • Hallo,
    vielleicht ist hier netcups Cloud vLAN die saubere(re) Lösung? Also nur pfSense ist öffentlich erreichbar, die anderen Server sind per VLAN privat mit der pfSense verbunden. Über pfSense exponierst du dann die anderen Server explizit.

  • Genau so habe ich mir das auch gedacht, das Vlan steht so weit.

    Wenn ich auf den Rootservern die Pfsense als Gateway setze bekomme ich auch Internet.

    Allerdings sind die Rootserver dann nicht mehr über ihre eigentlich eigene Öffentliche IP erreichbar.

    Gibt es da eine Möglichkeit?

  • Warum willst du die Server über Ihre IP erreichbar machen wenn die default Route über die PFSense gehen soll?

    PFSense als default GW. OpenVPN Server aktivieren, verbinden und dann auf die Server dahinter zugreifen.

  • Ich möchte auf beiden Servern ein paar gleiche dienste öffentlich erreichbar machen die über den Standard Port laufen sollen.

    Die Server hinter der PFsense müssen getrennt direkt erreichbar sein.

  • Hey, habe eine kleine Skizze über deinen Link gemacht. Glaube nicht das sie großartig weiter hilft :D

    Den Backup Server können wir erstmal außen vor lassen.



    Im Grunde möchte ich nur das die beiden Root Server hinter dem Firewall Schutz der PFsense hängen und mit ihrer normalen von Netcup zugewiesenen IP erreichbar sind. (falls es so direkt gehen würde)

    Bei anderen Anbietern habe ich dort nur die Erfahrung gemacht einfach mehrere IP Adressen direkt auf die PFsense routen zu lassen.

  • Hallo,


    ist doch ganz einfach. ;)


    Schritt 1: Du richtest bei allen Servern ein zusätzliches Netzwerk Interface ein. Dazu gehst du ins SCP auf Network -> Add Ethernet Interface (Menüpunkt nur sichtbar, wenn du die VLAN Erweiterung bereits bestellt hast).

    Schritt 2: Bei allen Servern die zusätzliche NIC konfigurieren.

    Schritt 3: Bei der pfSense die Firewall Regeln konfigurieren.

    Schritt 4: Kurz testen, ob du von der pfSense alle Server über das interne Netz (VLAN) erreichen kannst z.B. mit einem Ping. (Achtung! Bei Servern mit Windows als OS muss ICMP in der Windows Firewall explizit erlaubt werden!)

    Schritt 5: War Schritt 4 erfolgreich, dann kannst du bei allen Servern (mit Ausnahme der pfSense logischerweise) die primäre NIC mit der öffentlichen IP deaktivieren. Bei Netcup kann man derzeit leider noch keine Server ohne öffentliche IP bestellen.


    Bei welchem Schritt hast du schwierigkeiten?


    MfG

  • So weit bin ich mittlerweile gekommen.

    Wie kriege ich aber meine 2 Rootserver jetzt über eine Öffentliche IP erreichbar?

    Damit sie über eine getrennte IP erreichbar sind müsste ich mir ja zumindest 1 zusätzliche Bestellen.

    Die vorher fest zugewiesenen kann ich ja nicht nutzen.


    Schonmal vielen Dank für deine Antwort!

  • Oh, entschuldige. Ich habe den Thread nur halbwegs durchgelesen.

    Ich möchte auf beiden Servern ein paar gleiche dienste öffentlich erreichbar machen die über den Standard Port laufen sollen.

    Dann wäre ein Reverse Proxy hier das richtige für dich. (Zumindest wenn ich dich richtig verstanden habe)

    https://sysadms.de/2018/10/pfs…aproxy-als-reverse-proxy/


    Im Grunde möchte ich nur das die beiden Root Server hinter dem Firewall Schutz der PFsense hängen und mit ihrer normalen von Netcup zugewiesenen IP erreichbar sind. (falls es so direkt gehen würde)

    Das macht doch kein Sinn, wenn du die Server direkt öffentlich erreichbar machst. Dann kannst du dir die pfSense ja sparen?

  • Das macht doch kein Sinn, wenn du die Server direkt öffentlich erreichbar machst. Dann kannst du dir die pfSense ja sparen?

    Ich möchte die Pfsense eigentlich wirklich nur als Zentrale Firewall Lösung nehmen.

    Um von dem IP Tables auf jedem Host wegzukommen.

    Daher wundere ich mich das es da in die Richtung keinerlei Möglichkeiten gibt, zumindest habe ich noch keine gefunden.

  • Du kannst die inklusiv IPs der einzelnen Rootserver eingehend (Internet => Rootserver) nicht einfach über die pfSense routen. Diese sind fest an deine Rootserver gebunden und netcup routet diese auch auf Anfrage nicht über deine pfSense.

    Ausgehenden Verkehr (Rootserver => Internet) kannst du aber nach belieben über die pfSense routen durchs Cloud vLAN.


    Für dein Vorhaben brauchst du entweder ein geroutetes Netz, oder einzelne Zusatz-IPs die auf deine pfSense geroutet werden. Ob netcup solche Produkte anbietet kann ich dir aber Ad-Hoc nicht sagen.

  • Ich habe jetzt so weit alles fertig Konfiguriert.

    Komischerweise ist meine Pfsense teilweise aus dem Wan erreichbar. Was ja eher nicht zu positiv ist.

    Gibt es eine explizierte Einstellung in der man die Anmeldung nur aus dem Lan erlauben kann?

  • Als du die pfSense zum ersten mal installiert und eingerichtet hast, da hast du bestimmt erstmals nur die primäre NIC eingerichtet, damit du Zugriff auf das Webinterface hast. Bei der ersten Konfiguration erstellt die pfSense eine sogenannte Anti Lockout Regel, damit man sich versehentlich bei der Konfiguration der Firewall nicht aussperrt.


    Diese Regel müsste daher nun fürs WAN Interface vorhanden sein. Das kannst du gerne auch mal bei den Firewall Regeln nachprüfen. Deshalb kannst du nach wie vor aus dem WAN auf das Webinterface zugreifen. Diese Anti Lockout Regel musst du in den Allgemeinen Einstellungen deaktivieren. Prüfe aber zwingend vorher, dass deine Firewall Regeln auch wirklich funktionieren so wie gewünscht.

  • Kann mir jemand Sinnvoll erläutern warum diese PFSense überhaupt existiert? Es macht doch eigentlich mit sämtlicher Vernunft so überhaupt keinen Sinn solch eine Lösung bei Netcup zu betreiben. Die Fragilität ist schon garantiert, abgesehen davon das du auch richtig gut Geld in den Sand setzt für Produkte die du garnicht benötigst. Sowas lasse ich mir eingehen wenn du einen Physikalischen Server besitzt und Virtualisierung darauf betreibst. Wo ich Sinnvoll eine PFSense an meinen "Uplink" setzen kann und dann internes Statisches Routing betreibe und external NAT.


    Nimm doch einfach deine drei Server, bau dir einen Interconnect mit innernet, konfiguriere deine IPTables anstäding und hab Spaß. So kannst du 3 x Gigabit nutzen und musst nicht unnötig Geld durch die Gegend werfen für zusätzliche Adresse und hast du nicht alles gesehen. Davon abgesehen auch die Komplexität abnimmt, weil du nicht an fünf Stellen sicherstellen musst das es soweit funktioniert. Zumal 100Mbit (in der kostenlosen Version) für Interconnect und Backup sowieso keinen Spass macht. Selbst wenn du nur 100GB sichern möchtest.

  • Kann mir jemand Sinnvoll erläutern warum diese PFSense überhaupt existiert? Es macht doch eigentlich mit sämtlicher Vernunft so überhaupt keinen Sinn solch eine Lösung bei Netcup zu betreiben.

    Klar macht das Sinn. Zum einen weil du manche Systeme einfach nicht direkt am Netz haben möchtest, z.B. Datenbanken. Außerdem ist es deutlich einfacherer und übersichtlicher, wenn du zentral die Firewall Regeln verwalten kannst, statt auf jeden einzelnen Server. Auch kannst du zusätzliche Filterungen durchführen z.B. durch Einsatz einer WAF.


    Theoretisch kann man sich dadurch auch eine ganze Menge IPv4 Adressen sparen (bei Netcup leider derzeit nicht möglich...), weil man dann nur eine IPv4 Adresse als NAT Adresse benötigt. Manche Provider erhöhen deshalb nun die Preise weil IPv4 Adressen ausgehen....


    Also wie du siehst gibt es eine ganze Menge an Gründen. ;)


    // Edit:

    Zitat

    Zumal 100Mbit (in der kostenlosen Version) für Interconnect und Backup sowieso keinen Spass macht. Selbst wenn du nur 100GB sichern möchtest.

    Also ich habe auch nur das 100 Mbit VLAN und das reicht für meine (privaten) Zwecke vollkommen. Ich selbst habe ebenfalls ein paar Server und die werden ebenfalls über das VLAN gesichert. Bislang läuft alles flott wie es soll. Es kommt halt immer auf den Zweck drauf an. Bei komplexen Infrastrukturen, weil es sich um eine Firma handelt, braucht man halt ein Paket mit höhere Bandbreite.

  • Kann mir jemand Sinnvoll erläutern warum diese PFSense überhaupt existiert? Es macht doch eigentlich mit sämtlicher Vernunft so überhaupt keinen Sinn solch eine Lösung bei Netcup zu betreiben.

    Klar macht das Sinn. Zum einen weil du manche Systeme einfach nicht direkt am Netz haben möchtest, z.B. Datenbanken. Außerdem ist es deutlich einfacherer und übersichtlicher, wenn du zentral die Firewall Regeln verwalten kannst, statt auf jeden einzelnen Server. Auch kannst du zusätzliche Filterungen durchführen z.B. durch Einsatz einer WAF.

    Ohne die Diskussion breittreten zu wollen, gebe ich zu bedenken, dass eine einzelne PFSense-Instanz eben einen SPOF darstellt; würde jeder Server mit einer eigenen PFSense bestückt, welche die Regeln über ein gemeinsames Backend oder interrne Synchronisationsmechanismen teilen, wäre dies (zumindest partiell) ausgeschlossen.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing