Zum Hauptinhalt springen

Bereitstellen einer Open-Source-PfSense-Firewall

Dieser Leitfaden hilft Ihnen, Ihre Open-Source-PfSense-Firewall im Cloud de Confiance in nur wenigen Minuten bereitzustellen.

Voraussetzungen

Die Voraussetzungen für diese Anleitung sind wie folgt:

  1. Ein Abonnement für das Cloud Temple-Produkt abgeschlossen haben: Sie müssen über Ihre Organisation, Ihren Tenant und Ihre Zugriffsrechte verfügen,
  2. Berechtigungen für das Compute-Modul besitzen.

Dieses Dokument beschreibt die Schritte zur Bereitstellung eines virtuellen pfSense-Firewalls.

Bereitstellung einer Open-Source-pfSense-Firewall

pfSense ist ein Open-Source-Projekt auf Basis von FreeBSD, das die Einrichtung eines virtuellen Firewalls ermöglicht.

Ein pfSense-Firewall wird über eine Weboberfläche verwaltet, daher benötigt man einen zweiten Rechner mit grafischer Oberfläche und einer IP-Adresse im selben LAN-Netzwerk wie der Firewall, um ihn konfigurieren zu können.

Wir benötigen zwei VMs:

  • die erste ist der Rechner, auf dem wir den Firewall bereitstellen
  • die zweite ist der Rechner, von dem aus wir den Firewall verwalten.

Internet-Zugangsbereitstellung anfordern

Der erste Schritt besteht darin, die Informationen zum Internetzugang hier zu beschaffen. Sie benötigen die folgenden Informationen:

  • öffentliches Prefix
  • Interconnection-Prefix
  • Anycast-Gateway
  • IP-Bereich
  • lokales AS
  • AS von Cloud Temple
  • Keepalive-Timer und Hold-Time-Timer
  • Adressen der Route-Server

Installation und Netzwerkkonfiguration der Schnittstellen

Sie können anschließend Ihre pfSense-VM bereitstellen:

  1. Installation der Firewall aus der pfSense-Vorlage in der Konsole:
  2. Konfiguration der LAN- und WAN-Schnittstellen der Firewall: Die WAN-Schnittstelle muss sich in Ihrem Internet-vLAN befinden, ihre IP-Adresse wird aus dem IP-Bereich entnommen, der Ihnen vom CDS mitgeteilt wurde, ebenso wie das Standard-Gateway.
  3. Installation der zweiten Management-Maschine.
  4. Konfiguration der Schnittstelle der Management-VM: Diese Maschine muss sich im selben Netzwerk befinden wie das Netzwerk, in dem die LAN-Schnittstelle der Firewall konfiguriert wurde.

Zugriff auf die Firewall

Sobald beide VMs erfolgreich installiert sind, besteht der zweite Schritt darin, auf die Firewall zuzugreifen, um mit der Konfiguration zu beginnen.

  • Zugriff auf die Web-Oberfläche der Firewall von der Management-VM aus:
  • Standard-Login:
    • Benutzername: admin
    • Passwort: pfsense (vergessen Sie nicht, das Standardpasswort zu ändern)

Konfiguration der Firewall

In diesem Schritt werden die BGP-Nachbarn der FW konfiguriert.

  • Stellen Sie zunächst sicher, dass der BGP-Traffic über TCP-Port 179 in 'Firewall > Regeln' zugelassen wird:
  • Navigieren Sie zu 'Dienste > FRR BGP', um die Konfiguration Ihrer BGP-Sitzung zu starten:
  • Aktivieren Sie die ersten beiden Kontrollkästchen und geben Sie die Nummer Ihrer lokalen AS sowie die Telefonnummern ein, die Ihnen vom CDS mitgeteilt wurden.

Konfiguration der BGP-Nachbarn

In Neighbors klicken Sie auf +Add, um mit der Erstellung Ihrer BGP-Nachbarn zu beginnen.

  • Geben Sie für jeden Nachbarn seine IP-Adresse in 'General Options > Name/address' ein.
  • Geben Sie das Remote-AS (entspricht der AS-Nummer von Cloud Temple) in den Basic Options wie folgt ein:
  • Und schließlich in der Advanced Option: Gehen Sie wie folgt vor:
  • Aktivieren Sie das Kontrollkästchen, das den Typ Ihres Nachbarn definiert. In unserem Fall ist es ein Route-Server:
  • Vergessen Sie am Ende nicht, Ihre Änderungen zu speichern, indem Sie auf 'save' klicken:

Überprüfung des BGP-Sitzungsstatus mit den Nachbarn

Unter Status können Sie den Status der BGP-Sitzung einsehen, die Sie gerade konfiguriert haben.

Stellen Sie sicher, dass der BGP State auf established steht.

Öffentliches Präfix ankündigen

Um ein öffentliches Präfix anzukündigen, können Sie /32-Routen erstellen und die statische Redistribution durchführen:

  • unter System > Routing > Static Routes: Erstellen Sie Ihre statischen /32-Routen und legen Sie das Gateway auf Null4- 127.0.0.1 fest
  • unter Services > FRR package > BGP > Network Distribution: Aktivieren Sie die lokale redistribution, indem Sie IPV4 in Reditribute FRR static routes auswählen.