meta data for this page
- de-informal
pfSense installieren
Überblick
Du verfügst mittlerweile über 4 verschiedene virtuelle Maschinen auf dem Ausbildungs-Cluster:
- Ubuntu-VM (LXC) für ITS
- Ubuntu-VM (LXC) für ITT mit Node-RED
- pfSense-VM (KVM) als Firewall/Router für ITS
- Ubuntu-VM (LXC) als Intranet-VM für ITS
Bisher wurden deine VMs alle ausschließlich im Subnetz 10.0.0.0/16 betrieben. Nun kommt ein weiteres, nur dir persönlich zugeordnetes Subnetz hinzu. Deine pfSense-Firewall bildet den Übergang zwischen diesen beiden Netzwerken. VMs 1 und 2 bleiben wo sie sind. VM 4 befindet sich in deinem persönlichen Subnetz.
Installationshilfe
Alle folgenden Schritte beziehen sich auf deine pfSense-VM (VMID endet auf 03)
- Auf der Proxmox-Oberfläche kannst du in den Hardware-Einstellungen deiner VM festlegen, welches ISO-Image in das DVD-Laufwerk eingelegt ist. Wähle das Installationsmedium für pfSense vom Storage cephfs aus.
- Starte die VM und führe im Konsolenfenster die Installation durch.
- Bei der Auswahl des Dateisystems wird UFS empfohlen.
- für das Schema der Partitionstabelle sollte das GPT-Schema gewählt werden.
- Entferne nach Abschluss der Installation das ISO-Image wieder aus dem Laufwerk, damit es später keine Probleme mit der VM gibt.
- Beachte, dass für die folgenden Schritte nur das amerikanische Tastaturlayout angeboten wird. (y ↔ z)
- Auf der Kommandozeile können störende Log-Einträge dazwischenkommen. Achte beim Lesen darauf, was wirklich auf der Kommandozeile stand und ignoriere die Log-Ausgaben.
- Gleiche die in der Kommandozeile angegebenen MAC-Adressen mit denen ab, die du auf der Proxmox-Oberfläche für deine Netzwerkkarten sehen kannst. Nur so kannst du sicherstellen, dass du die richtige Zuordnung der Netzwerkkarten vornehmen wirst. Gemäß den Bezeichnungen auf Proxmox gilt net0 = WAN und net1 = LAN. Ordne sie den richtigen vtnet-Schnittstellen zu.
- Wähle „nein“, wenn du gefragt wirst, ob du VLANs konfigurieren möchtest.
- Ordne WAN- und LAN-Interface richtig zu (vtnet).
- Verwende Menüpunkt Nr. 2 um die initiale IP-Adresszuweisung vorzunehmen.
- Das WAN-Interface soll eine statische IPv4-Adresse erhalten und zum Default-Gateway (10.0.0.1) führen.
- Das WAN-Interface soll seine IPv6-Konfiguration per DHCPv6 erhalten.
- Auf dem WAN-Interface darf kein DHCP-Server aktiviert werden.
- Das LAN-Interface kannst du später auf der Web-GUI konfigurieren.
- Deaktiviere temporär die Firewall, bis du das Regelwerk so angepasst hast, dass du die Web-GUI auch über das WAN-Interface erreichen kannst und aktiviere sie dann später wieder.
- Wähle dazu Menüpunkt Nr. 8 um eine Shell zu erhalten.
pfctl -d
(für disable)- später
pfctl -e
(für enable) - exit
- Mit Menüpunkt Nr. 13 kannst du noch ein Update machen, falls du möchtest.
- Arbeite ab jetzt auf dem Web-Interface weiter, indem du im Browser die WAN-IP-Adresse deiner pfSense eigibst. (admin:pfsense)
- pfSense unterbindet standardmäßig auf dem WAN-Interface Verkehr mit Netzwerken, die private Adressen (z. B. 10.0.0.0/8) nutzen. Dieses Verhalten ist in unserem Netzwerk hinderlich. Du solltest deshalb in den Einstellungen für das WAN-Interface (Interfaces → WAN) den Haken bei Block private networks and loopback addresses entfernen. Diesen findest du ganz unten auf der Seite.
- Ändere über den angebotenen Link möglichst bald dein Admin-Kennwort und kümmere dich dann als erstes um die Firewall-Regeln auf dem WAN-Interface, die den Zugriff auf die Web-GUI erlauben. Du kannst dir die Anti-Lockout Rule auf dem LAN-Interface als Vorlage nehmen.