pfSense ist eine auf FreeBSD aufsetzende Firewall- und Routing-Appliance der Firma Netgate, von der zwei Editionen existieren.
- Zum einen die Community Edition (CE), die open source ist und auf eigener Hardware oder auch virtualisiert kostenlos genutzt werden darf.
- Zum anderen die Plus Edition (+), die closed source ist und auf Hardware von Netgate vorinstalliert daherkommt, aber auch separat erworben werden kann.
🟢 komplett im Browser konfigurierbar
🟡 nicht für jeden, sondern für fortgeschrittenere Netzwerkenthusiasten
🔴 wer schnelle Ergebnisse erwartet, ohne Zeit und Mühen zu investieren, sollte woanders schauen
Ich habe mit einer virtualisierten pfSense meinen Home-Router ersetzt und betrachte diese hier nur aus diesem Blickwinkel. Wobei "ersetzt" natürlich relativ zu verstehen ist, so bedarf es weiterhin eines Modems oder Kombi-Gerätes für den jeweiligen Internetanschluss, für WiFi zusätzlich eines APs. Dank VLANs aber alles gut managebar.
Der Funktionsumfang von pfSense ist deutlich größer als hier dargestellt, wird entsprechend kommerziell genutzt und von Profis bedient.
pfSense Features
Besonders gefällt mir an pfSense, dass ich meine ganz persönliche Routing-Strategie verfolgen kann. So leite ich port-basiert an meinem PC den Web-Traffic, abgesehen von ein paar Ausnahmen, über eine OpenVPN-Verbindung an einen VPN-Provider aus, alles andere, wie z.B. Games und Echtzeitkommunikation, läuft weiterhin über den normalen Internetanschluss.
Netze können einfach segmentiert werden und Server oder IoT ihre eigene DMZ bekommen.
Port forwarding und NAT können für IPv6 genauso umgesetzt werden, wie schon für IPv4.
Ob man das möchte, ist dabei eine andere Frage. 😉
pfSense kann mit Packages erweitert werden. Diese Packages haben wiederum eigene Entwickler.
Mittels des Packages pfBlockerNG(-Devel) kann ich Port-Freigaben zusätzlich schützen, in dem ich IPs aus bestimmten Ländern blockiere oder umgekehrt erlaube. So kann ich z.B. meinen eigenen VPN-Server nur für deutsche IPs öffnen oder gar nur für das Netz meines Mobilfunkbetreibers.
pfBlockerNG kann als DNS-Sinkhole auch im gesamten Heimnetzwerk Werbung blockieren.
Wirklich effektiv ist ein rein DNS-basierter Ad-Blocker aber heutzutage nicht mehr.
So könnte die Startseite aussehen, das Dashboard ist mittels Widgets anpassbar :
Die Möglichkeiten sind fast grenzenlos, die nötige Einarbeitung vorausgesetzt. 🤓
Ich empfehle dringendst Backups anzulegen, bei virtualisierten Lösungen kann man dafür die Snapshot-Funktion nutzen. Tägliche Backups sind sehr sinnvoll, gerade wenn man viel probiert oder schon viel Konfigurationsarbeit geleistet hat.
pfSense auf eigener Hardware zu installieren wird vor allem dadurch erschwert, dass es passende FreeBSD-Treiber geben muss. Netzwerkhardware von intel ist wohl kein Problem, Realtek dagegen schwieriger. Generell gibt es eher Treiber für ältere und eher im Enterprise-Segment anzutreffende Hardware.
Für komplexere Fragestellungen bieten sich die jeweils offiziellen Foren an: Netgate Forum, OPNsense Forum
Regel-Grundsätze, die Anfängern oft unbekannt sind. [🐺🐺🐺🦊]
- Alles, was nicht explizit erlaubt ist, wird geblockt. Bis auf das erste LAN enthält auch kein Interface ootb irgendwelche Regeln. Ausnahmen gibt es z.B. für DHCP, welches unsichtbar abläuft und keinerlei Regeln durch den Nutzer bedarf.
- Traffic wird grundsätzlich nur einmal, nämlich eingehend (immer aus Sicht der Firewall) gefiltert, der Rest ist dann statefull und wird nicht mehr reguliert. Das bedeutet, dass originärer Traffic aus dem Internet am WAN-Interface erlaubt werden muss. Wenn Traffic von LAN1 auf LAN2 erlaubt sein soll, dann muss dies auf LAN1 geregelt werden usw.
- WAN net ist nicht das Internet, sondern das Netz, welches sich unmittelbar am WAN-Port befindet. Das kann z.B. das Netz einer vorgeschalteten Fritzbox sein oder eines des ISPs.
Deshalb gilt es, schleunigst einen "RFC1918"-Alias zu erstellen, der mindestens die privaten Netzwerke enthält:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Mit diesem Alias kann man nun Regeln erstellen, die z.B. nur für das Internet gelten, in dem das Ziel als invertierter "RFC1918"-Alias definiert wird.
Selektives Routing einzelner Programme unter Windows Pro. [🦊🦊🦊🦊]
Ich möchte auf einem Windows-Host nur Traffic eines bestimmten Webbrowsers über ein VPN ausleiten, der Rest soll über den ISP gehen. Da diese Unterscheidung nicht rein über die Angabe des Ports möglich ist, hier kurz erklärt, wie man Traffic in Windows mittels Differentiated Services (DiffServ) taggt, damit daraufhin eine ebenfalls getaggte Regel in pfSense greifen kann. Wenn das Programm eigenes DNS macht, wird auch dieses getunnelt.
In Windows Pro lege ich mittels regedit unter
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ einen neuen Key namens QoS an und erstelle in diesem einen neuen REG_SZ namens Do not use NLA mit dem Wert 1.Im lokalen Group Policy Editor lege ich eine neue QoS Policy an, in der ich das Programm anhand seines Namens definiere (chrome.exe) und einen DSCP Value vergebe (z.B. 30).
In pfSense erstelle ich nun die gewünschte Regel, indem ich dort in den Advanced Options das Gateway definiere und den entsprechenden DiffServ Code Point auswähle (af33).
Welcher DSCP Value zu welchem DiffServ Code Point passt, lässt sich u.a. hier ablesen.
Vielen Dank an @0 8 15 User für den Hinweis auf die Differentiated Services! 🏆
Guides & Links
Eine FRITZBox als "VDSL-Modem" und zur Telefonie an einer Firewall nutzen
Zuletzt bearbeitet:
