====== pfSense installieren ====== ===== Überblick ===== {{ :uebung:its11:itt11-netz.png?direct&200|}} Du verfügst mittlerweile über 4 verschiedene virtuelle Maschinen auf dem Ausbildungs-Cluster: - Ubuntu-VM (LXC) für ITS - Ubuntu-VM (LXC) für ITT mit Node-RED - pfSense-VM (KVM) als Firewall/Router für ITS - Ubuntu-VM (LXC) als Intranet-VM für ITS Bisher wurden deine VMs alle ausschließlich im Subnetz 10.0.0.0/16 betrieben. Nun kommt ein weiteres, nur dir persönlich zugeordnetes Subnetz hinzu. Deine pfSense-Firewall bildet den Übergang zwischen diesen beiden Netzwerken. VMs 1 und 2 bleiben wo sie sind. VM 4 befindet sich in deinem persönlichen Subnetz. ===== Installationshilfe ===== Alle folgenden Schritte beziehen sich auf deine pfSense-VM (VMID endet auf 03) * Auf der Proxmox-Oberfläche kannst du in den Hardware-Einstellungen deiner VM festlegen, welches ISO-Image in das DVD-Laufwerk eingelegt ist. Wähle das Installationsmedium für pfSense vom Storage cephfs aus. * Starte die VM und führe im Konsolenfenster die Installation durch. * Bei der Auswahl des Dateisystems wird UFS empfohlen. * für das Schema der Partitionstabelle sollte das GPT-Schema gewählt werden. * Entferne nach Abschluss der Installation das ISO-Image wieder aus dem Laufwerk, damit es später keine Probleme mit der VM gibt. * Beachte, dass für die folgenden Schritte nur das amerikanische Tastaturlayout angeboten wird. (y <-> z) * Auf der Kommandozeile können störende Log-Einträge dazwischenkommen. Achte beim Lesen darauf, was wirklich auf der Kommandozeile stand und ignoriere die Log-Ausgaben. * Gleiche die in der Kommandozeile angegebenen MAC-Adressen mit denen ab, die du auf der Proxmox-Oberfläche für deine Netzwerkkarten sehen kannst. Nur so kannst du sicherstellen, dass du die richtige Zuordnung der Netzwerkkarten vornehmen wirst. Gemäß den Bezeichnungen auf Proxmox gilt net0 = WAN und net1 = LAN. Ordne sie den richtigen vtnet-Schnittstellen zu. * Wähle "nein", wenn du gefragt wirst, ob du VLANs konfigurieren möchtest. * Ordne WAN- und LAN-Interface richtig zu (vtnet). * Verwende Menüpunkt Nr. 2 um die initiale IP-Adresszuweisung vorzunehmen. * Das WAN-Interface soll eine statische IPv4-Adresse erhalten und zum Default-Gateway (10.0.0.1) führen. * Das WAN-Interface soll seine IPv6-Konfiguration per DHCPv6 erhalten. * Auf dem WAN-Interface **darf kein DHCP-Server aktiviert werden**. * Das LAN-Interface kannst du später auf der Web-GUI konfigurieren. * Deaktiviere temporär die Firewall, bis du das Regelwerk so angepasst hast, dass du die Web-GUI auch über das WAN-Interface erreichen kannst und aktiviere sie dann später wieder. * Wähle dazu Menüpunkt Nr. 8 um eine Shell zu erhalten. * ''pfctl -d'' (für disable) * später ''pfctl -e'' (für enable) * exit * Mit Menüpunkt Nr. 13 kannst du noch ein Update machen, falls du möchtest. * Arbeite ab jetzt auf dem Web-Interface weiter, indem du im Browser die WAN-IP-Adresse deiner pfSense eigibst. (admin:pfsense) * pfSense unterbindet standardmäßig auf dem WAN-Interface Verkehr mit Netzwerken, die private Adressen (z. B. 10.0.0.0/8) nutzen. Dieses Verhalten ist in unserem Netzwerk hinderlich. Du solltest deshalb in den Einstellungen für das WAN-Interface (Interfaces -> WAN) den Haken bei //**Block private networks and loopback addresses**// entfernen. Diesen findest du ganz unten auf der Seite. * Ändere über den angebotenen Link möglichst bald dein Admin-Kennwort und kümmere dich dann als erstes um die Firewall-Regeln auf dem WAN-Interface, die den Zugriff auf die Web-GUI erlauben. Du kannst dir die Anti-Lockout Rule auf dem LAN-Interface als Vorlage nehmen.