Skip to main content

Beste forum,

 

Daar ben ik weer met een vraag over de ER-X en de mogelijkheden om een DMZ in te stellen.

De configuratie is als volgt:

PFsense is direct via de ER-X gekoppeld aan poort ETH3 (1 van de thuisnetwerk poorten), hierop is een apart subnet op gemaakt 192.168.3.x/24. Ik heb het WAN IP ingesteld op basis van het subnet IP wat op poort ETH3 is geconfigureerd binnen ER-X.
ETH3 is dan ook ontkoppeld van Switch0, wat alle thuisnetwerkpoorten bediend.

Binnen mijn thuisnetwerk heb ik een eigen LAB omgeving met een aantal Enterprise servers en switches. Daarbij heb ik sinds afgelopen zaterdag een extra server erbij gekregen die als specifiek doeleinde PFsense zal gaan draaien. Nu ben ik al tegen wat problemen aangelopen als het gaat om portforwarden vanaf de ER-X naar pfsense (Denk een double NAT) probleem.

Sindsdien ben ik wat gaan zoeken op het internet over een eventuele DMZ configuratie, zodat ik mijn PFsense machine direct aan het internet kan blootstellen en daarop de eventuele configuraties kan uitvoeren. 

Nu heb ik hiervoor een aantal vragen en wellicht kunnen jullie mij hierbij helpen?

  • Krijgt de DMZ als ik die aanmaak via de ER-X een apart publiekelijk IP? Of gaat dit via een DHCP-binding?
  • Nu ga ik al wat verder denken, stel ik wordt geddosst krijgt mijn ER-X hier ook last van of zal alleen het eindpunt (PFsense firewall) hier last van hebben, aangezien die de lading voluit zal ontvangen op dat moment denk ik?

 

Als iemand me hierbij kan helpen graag, mocht meer duidelijkheid nodig wezen dan kan dat ook :)

 

Alvast vriendelijk bedankt!

Een DMZ gaat je niet helpen om double-NAT te vermijden, jouw PF-sense server zal gewoon via DHCP een IP adres van de EdgeRouter krijgen en dus zal er nog altijd sprake zijn van double NAT.

Bij een ddos zal jouw EdgeRouter daar ook last van hebben immers het ddos verkeer blijft door de EdgeRouter lopen.


Een DMZ gaat je niet helpen om double-NAT te vermijden, jouw PF-sense server zal gewoon via DHCP een IP adres van de EdgeRouter krijgen en dus zal er nog altijd sprake zijn van double NAT.

Bij een ddos zal jouw EdgeRouter daar ook last van hebben immers het ddos verkeer blijft door de EdgeRouter lopen.

Jammer ik had namelijk de illusie dat ik wellicht de PFsense machine direct aan het internet kon blootstellen voor mijn eigen LAB omgeving, waarbij ik dan op de PFsense machine alle firewall rules configureer...


Je kunt jouw EdgeRouter X vervangen door die PF-sense, er zijn meerdere abonnees die een PF-sense server gebruiken.

Zie "Gebruik een eigen router i.p.v. de Experia Box".


Je kunt jouw EdgeRouter X vervangen door die PF-sense, er zijn meerdere abonnees die een PF-sense server gebruiken.

Zie "Gebruik een eigen router i.p.v. de Experia Box".

 

Ja zou kunnen alleen, ik zal de PFsense machine niet altijd aan hebben staan gezien deze uitsluitend voor LAB doeleinden zijn… Jammer ik dacht dat er wel mogelijkheden bestonden… Dan maar op deze manier laten. :)


Ik ga het anders doen, ik zou graag PFsense in DMZ willen hangen om zo portforwarding/firewalling te kunnen omzeilen, zodat ik dit kan regelen via PFsense zelf voor het LAB netwerk wat erachter hangt. Zou dit mogelijk wezen d.m.v. PFsense? Om zo het minst impact te hebben op mijn thuisnetwerk zelf?

 


Het opzetten van een DMZ is heel eenvoudig d.m.v. een "Destination NAT rule" zoals de onderstaande waarbij 192.168.2.1 de DMZ Host is waar het verkeer naar doorgezet moet worden.

 


Het opzetten van een DMZ is heel eenvoudig d.m.v. een "Destination NAT rule" zoals de onderstaande waarbij 192.168.2.1 de DMZ Host is waar het verkeer naar doorgezet moet worden.

 

Dan heb ik nog 1 laatste vraag, hoe zou ik dan de firewall hiervoor moeten inrichten zodat ik alles via PFsense kan regelen (Ben vrij onbekend met DMZ, dit is de eerste keer dat ik dit doe)..


Dan heb ik nog 1 laatste vraag, hoe zou ik dan de firewall hiervoor moeten inrichten zodat ik alles via PFsense kan regelen (Ben vrij onbekend met DMZ, dit is de eerste keer dat ik dit doe)..

Die destination NAT rule stuurt al het binnenkomende verkeer door naar die DMZ Host en die DMZ Host zal dus voorzien moeten zijn van een goed ingerichte firewall.


Dan heb ik nog 1 laatste vraag, hoe zou ik dan de firewall hiervoor moeten inrichten zodat ik alles via PFsense kan regelen (Ben vrij onbekend met DMZ, dit is de eerste keer dat ik dit doe)..

Die destination NAT rule stuurt al het binnenkomende verkeer door naar die DMZ Host en die DMZ Host zal dus voorzien moeten zijn van een goed ingerichte firewall.

aha, dat is dan duidelijk alleen als ik nu een certificaat aanvraag via PFsense dan zegt die dat er geen Valid IP is gevonden terwijl DNS wel naar mijn Publieke IP verwijst en het domain record is aangemaakt en voor test purposes staat alles in de firewall open..


Dan heb ik nog 1 laatste vraag, hoe zou ik dan de firewall hiervoor moeten inrichten zodat ik alles via PFsense kan regelen (Ben vrij onbekend met DMZ, dit is de eerste keer dat ik dit doe)..

Die destination NAT rule stuurt al het binnenkomende verkeer door naar die DMZ Host en die DMZ Host zal dus voorzien moeten zijn van een goed ingerichte firewall.

aha, dat is dan duidelijk alleen als ik nu een certificaat aanvraag via PFsense dan zegt die dat er geen Valid IP is gevonden terwijl DNS wel naar mijn Publieke IP verwijst en het domain record is aangemaakt en voor test purposes staat alles in de firewall open..

Bedoel je dat je een SSL certificaat wilt aanvragen voor https verkeer?

Is dat een SSL certificaat via LetsEncrypt?

Kan je een screenshot plaatsen van die foutmelding?


Ja ik zou graag een SSL certificaat willen aanvragen via PFsense voor SSL verkeer, alleen op de 1 of andere manier pakt hij die niet.

Ik heb sommige dingen er even uitgefilterd. Poorten staan allemaal open binnen PFsense, zowel op WAN als LAN (Voor testen)


Heb jij voor hetzelfde (sub)domein ook al op een ander apparaat (bijvoorbeeld de EdgeRouter) een LetsEncrypt SSL certificaat aangevraagd?

Heb je op de EdgeRouter een port-forwarding voor http staan die naar een ander apparaat wijst?

Wat staat er in die acme_issuecert.log?


Heb jij voor hetzelfde (sub)domein ook al op een ander apparaat (bijvoorbeeld de EdgeRouter) een LetsEncrypt SSL certificaat aangevraagd?

Heb je op de EdgeRouter een port-forwarding voor http staan die naar een ander apparaat wijst?

Wat staat er in die acme_issuecert.log?

Ik heb verder nog niks gedaan verder SSL en portforwarding. Wilde namelijk dit testen via PFsense of die mogelijkheid er was.

Dit staat er in de acme_issuecert.log:

response='{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:dns","detail":"No valid IP addresses found for domeinnaam,"status": 400},"url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/10548667589/bOZ20w","token":"nkDPDO1UMmuLqzb_LG9ikS1jcLtuvcKhSqoQ8aX_9OY"}

[Tue Feb  2 12:34:27 CET 2021] response='{
  "type": "urn:ietf:params:acme:error:malformed",
  "detail": "Unable to update challenge :: authorization must be pending",
  "status": 400

 

In het verleden heb ik het op basis van DNS gedaan voor mijn vCenter en dat wilde destijds wel. Toen heb ik het volgensmij ook op de manier die ik nu probeer geprobeerd en dat wilde ook niet destijds.


Ik heb gewoon een selfsigned certificaat op mn pfsense box.

 


Wellicht een andere mogelijkheid is een site-to-site VPN opzetten richting mijn PFsense server, dus dan heeft het wel een eigen Publiek IP adres en kan ik eventueel meerdere eraan koppelen. Dan zou ik eventueel geen DMZ nodig hebben.


Wellicht een andere mogelijkheid is een site-to-site VPN opzetten richting mijn PFsense server, dus dan heeft het wel een eigen Publiek IP adres en kan ik eventueel meerdere eraan koppelen. Dan zou ik eventueel geen DMZ nodig hebben.

Nee, ook bij een site-2-site verbinding heeft jouw PF-sense geen "eigen" vast publiek iP adres. Daar bereik je niets mee.

DMZ is ook niet het probleem.

Staat Hairpin NAT aan op jouw EdgeRouter?

Wat krijg je te zien als je jouw publieke IP adres in de browser ingeeft?

En wat als je het WAN IP adres van jouw PF-sense ingeeft terwijl je op de EdgeRouter aangesloten bent?


Wellicht een andere mogelijkheid is een site-to-site VPN opzetten richting mijn PFsense server, dus dan heeft het wel een eigen Publiek IP adres en kan ik eventueel meerdere eraan koppelen. Dan zou ik eventueel geen DMZ nodig hebben.

Nee, ook bij een site-2-site verbinding heeft jouw PF-sense geen "eigen" vast publiek iP adres. Daar bereik je niets mee.

DMZ is ook niet het probleem.

Staat Hairpin NAT aan op jouw EdgeRouter?

Wat krijg je te zien als je jouw publieke IP adres in de browser ingeeft?

En wat als je het WAN IP adres van jouw PF-sense ingeeft terwijl je op de EdgeRouter aangesloten bent?

Wanneer ik mijn publieke IP adres ingeef in de browser dan kom ik uit op mijn Edgerouter.

Hairpin staat aan. 

Alhoewel ik heb de PFsense machine direct op thuisnetwerk poort 2(ETH3) aangesloten, deze is dus direct op de Edgerouter X aangesloten en niet op de switch.

 

Daarbij kan ik het wan ip adres bereiken, heb namelijk PFsense poort veranderd van default 80 naar een andere poort.


Wanneer ik mijn publieke IP adres ingeef in de browser dan kom ik uit op mijn Edgerouter.

Dan zit daar waarschijnlijk het probleem immers LetsEncrypt controleert of hij webbrowser op jouw PF-sense kan benaderen en dat gaat dan niet lukken.

Kan jij poort 80 eens weghalen of veranderen in bijvoorbeeld 8080.

Kom je dan wel op jouw PF-sense uit als je jouw publieke IP adres gebruikt in de browser?


Wanneer ik mijn publieke IP adres ingeef in de browser dan kom ik uit op mijn Edgerouter.

Dan zit daar waarschijnlijk het probleem immers LetsEncrypt controleert of hij webbrowser op jouw PF-sense kan benaderen en dat gaat dan niet lukken.

Kan jij poort 80 eens weghalen of veranderen in bijvoorbeeld 8080.

Kom je dan wel op jouw PF-sense uit als je jouw publieke IP adres gebruikt in de browser?

 

Dit heb ik net gedaan, het werkt in die zin dat ik nu niet standaard meer op mijn edgerouter kom maar de verbinding wordt nog niet doorgezet naar PFsense… PFsense zit in mijn geval op poort 99. Ook dat heb ik geprobeerd erachter te plakken. Dit werkt jammer genoeg ook niet :(

 

EDIT: Voer ik bijv https://mijnpubliekip:8443 in (Gewijzigd in de edgerouter hiernaartoe) dan wordt ik nog wel verwezen naar mijn Edgerouter. 


Jouw PF-sense moet aan WAN zijde benaderbaar zijn op TCP poort 80, anders gaat die LetsEncrypt SSL certificering niet werken. 


Dat is dus apart, want ik heb nu een any any rule aanstaan op de WAN zijde van PFsense 
 

 

Nu vind ik het wel apart worden ‘ha-ha’

 

Zou het toch niet met de rules binnen de Edgerouter te maken hebben?

Dit zijn de firewall policies, wat vrij standaard is gehouden:

 

Hierbij het NAT tabblad:

 

Hierbij ook de configuratie van de DMZ:

 

EDIT:

Zou er iets op de PFsense machine wezen wat dit verhinderd?


Dan ga ik weer verder denken naar IPv6, maar zou IPv6 dit probleem eventueel kunnen oplossen? Althans hoe ik het in gedachten heb. Dat ik Dualstack ga draaien en Lokale IPv4 adressen gebruik en IPv6 adressen voor de buitenwereld, voor zover het ondersteund wordt. Want ik heb wel een /48 IPv6 netwerk toegewezen gekregen.


Als je vanaf jouw telefoon via 4G jouw publieke IPv4 adres benadert, kom je dan op jouw PF-sense uit?


Als je vanaf jouw telefoon via 4G jouw publieke IPv4 adres benadert, kom je dan op jouw PF-sense uit?

Dat wil ook niet, krijgen in beide gevallen een connection refused.

 

Ik ben bang dat ik mezelf toch wat meer op IPv6 moet gaan storten...

 


Ik ben bang dat ik mezelf toch wat meer op IPv6 moet gaan storten...

Dat heeft geen zin, het is juist veel eenvoudiger om je eerst te focussen op IPv4.