pfSense installieren

Du verfügst mittlerweile über 4 verschiedene virtuelle Maschinen auf dem Ausbildungs-Cluster:

1. Ubuntu-VM (LXC) für ITS
2. Ubuntu-VM (LXC) für ITT mit Node-RED
3. pfSense-VM (KVM) als Firewall/Router für ITS
4. Ubuntu-VM (LXC) als Intranet-VM für ITS

Bisher wurden deine VMs alle ausschließlich im Subnetz 10.0.0.0/16 betrieben. Nun kommt ein weiteres, nur dir persönlich zugeordnetes Subnetz hinzu. Deine pfSense-Firewall bildet den Übergang zwischen diesen beiden Netzwerken. VMs 1 und 2 bleiben wo sie sind. VM 4 befindet sich in deinem persönlichen Subnetz.

Alle folgenden Schritte beziehen sich auf deine pfSense-VM (VMID endet auf 03)

• Auf der Proxmox-Oberfläche kannst du in den Hardware-Einstellungen deiner VM festlegen, welches ISO-Image in das DVD-Laufwerk eingelegt ist. Wähle das Installationsmedium für pfSense vom Storage cephfs aus.
• Starte die VM und führe im Konsolenfenster die Installation durch.
• Bei der Auswahl des Dateisystems wird UFS empfohlen.
• für das Schema der Partitionstabelle sollte das GPT-Schema gewählt werden.
• Entferne nach Abschluss der Installation das ISO-Image wieder aus dem Laufwerk, damit es später keine Probleme mit der VM gibt.
• Beachte, dass für die folgenden Schritte nur das amerikanische Tastaturlayout angeboten wird. (y ↔ z)
• Auf der Kommandozeile können störende Log-Einträge dazwischenkommen. Achte beim Lesen darauf, was wirklich auf der Kommandozeile stand und ignoriere die Log-Ausgaben.
• Gleiche die in der Kommandozeile angegebenen MAC-Adressen mit denen ab, die du auf der Proxmox-Oberfläche für deine Netzwerkkarten sehen kannst. Nur so kannst du sicherstellen, dass du die richtige Zuordnung der Netzwerkkarten vornehmen wirst. Gemäß den Bezeichnungen auf Proxmox gilt net0 = WAN und net1 = LAN. Ordne sie den richtigen vtnet-Schnittstellen zu.
• Wähle „nein“, wenn du gefragt wirst, ob du VLANs konfigurieren möchtest.
• Ordne WAN- und LAN-Interface richtig zu (vtnet).
• Verwende Menüpunkt Nr. 2 um die initiale IP-Adresszuweisung vorzunehmen.
  • Das WAN-Interface soll eine statische IPv4-Adresse erhalten und zum Default-Gateway (10.0.0.1) führen.
  • Das WAN-Interface soll seine IPv6-Konfiguration per DHCPv6 erhalten.
  • Auf dem WAN-Interface darf kein DHCP-Server aktiviert werden.
  • Das LAN-Interface kannst du später auf der Web-GUI konfigurieren.
• Deaktiviere temporär die Firewall, bis du das Regelwerk so angepasst hast, dass du die Web-GUI auch über das WAN-Interface erreichen kannst und aktiviere sie dann später wieder.
  • Wähle dazu Menüpunkt Nr. 8 um eine Shell zu erhalten.
  • pfctl -d (für disable)
  • später pfctl -e (für enable)
  • exit
• Mit Menüpunkt Nr. 13 kannst du noch ein Update machen, falls du möchtest.
• Arbeite ab jetzt auf dem Web-Interface weiter, indem du im Browser die WAN-IP-Adresse deiner pfSense eigibst. (admin:pfsense)
  • pfSense unterbindet standardmäßig auf dem WAN-Interface Verkehr mit Netzwerken, die private Adressen (z. B. 10.0.0.0/8) nutzen. Dieses Verhalten ist in unserem Netzwerk hinderlich. Du solltest deshalb in den Einstellungen für das WAN-Interface (Interfaces → WAN) den Haken bei Block private networks and loopback addresses entfernen. Diesen findest du ganz unten auf der Seite.
• Ändere über den angebotenen Link möglichst bald dein Admin-Kennwort und kümmere dich dann als erstes um die Firewall-Regeln auf dem WAN-Interface, die den Zugriff auf die Web-GUI erlauben. Du kannst dir die Anti-Lockout Rule auf dem LAN-Interface als Vorlage nehmen.