Grundsätzlich ist diese "Reihe" unabhängig von der Homelabreihe, sprich Ihr müsst also nicht alles vorher gesehen haben um eine pfSense zu installieren und einsetzen zu können. 
Auf welchen Plattformen läuft pfSense
Wie in meinem Video erwähnt, seid Ihr "fast" frei von der Hardware, solange sie 64bit unterstützt. Trotzdem solltet Ihr euch gut überlegen, worauf Ihr diese installieren wollt, denn wenn Ihr diese nicht auf eurer sowieso schon vorhandenen Virtualisierung installieren wollt, wäre es ein weiteres Gerät, welches in der Anschaffung als auch im Unterhalt (Strom) Geld kostet!
Hier mal ein paar Beispiele für Sparfüchse wie mich:
Thinclient
Keine Sorge... das Passwort auf dem Aufkleber gibt es schon lange nicht mehr aber grundsätzlich, solch ein Gerät bekommt Ihr schon "günstig" in dem großen Auktionshaus und wie zu sehen, hätte man einen LAN-Port für WAN und mit der zusätzlichen Netzwerkkarte auch einen für LAN. Das reicht vielleicht in den meisten Fällen bei euch. Wer mehr Netze benötigt bei dieser Variante, der müsste auf VLANs zurück greifen.
Eine Alternative wäre eine richtige Firewall-Hardware zu kaufen. In meinem Fall habe ich vorher nicht beachtet, dass diese Firewall keine 64bit Hardware inne hat und somit geht maximal die pfSense-Version 2.3 leider, aber funktionieren tut es trotzdem.
Ich finde sie optisch alleine schon genial. Wie im Video zu sehen würde diese 36 Watt im Idle schlucken.Ist somit fast das dreifache wie mein aktueller Esprimo Q520. Hier würden jedoch stolze 8 LAN-Ports zur Verfügung stehen.
Natürlich könnt Ihr euch auch neuer Hardware bedienen, die der Hersteller ebenfalls anbietet. Angefangen von knapp 180$ bis nach oben natürlich keine Grenze. u.A. auch mal eben 2.800$.
Oder Ihr packt die pfSense einfach als virtuelle Appliance auf eure bestehende Virtualisierung oder die, die Ihr gerade aufbaut , in meinem Fall Proxmox VE.
Vorbereitung von Proxmox
Die pfSense ISO bekommt Ihr hier: https://www.pfsense.org/download/
Diese müsst Ihr natürlich zuerst hochladen auf euren Proxmox-Server. (dazu hatte ich in meinem anderen Beitrag beschrieben, wie das geht).
Und dann könnt Ihr auch schon eine neue VM erstellen:
Wie im Video schon erwähnt nutze ich das dritte Oktett einer IPv4-Adresse als VLAN ID sprich: 10.10.xx.0 / 24 was dann die VLAN 10xx wäre und genau so vergebe ich in der Regel auch die IDs für die virutellen Maschinen. Da es jedoch in diesem Fall die "zentrale" Schnittstelle ist, vergebe ich die ID 1000 für die Maschine und natürlich einen eindeutigen Namen.
Hier könnt Ihr die zuvor hochgeladene ISO auswählen und rechts "Linux". (was aber default schon so eingestellt ist und Ihr einfach so stehen lassen könnt.)
Das hier lasse ich unverändert:
Bisher fahre ich mit 16 GB sehr gut und habe noch genug Luft!
Auch mit einer CPU hatte ich bisher noch keinen Engpass, selbst wenn Frauchen oder Kinder Filmchen über Amazon oder Disney+ schauen und ich parallel Streame.
Im Schnitt dümpelt meine Firewall um die 450 MB-RAM rum, daher reichen 1 GB locker aus.
Da wir nur vmbr0 als Bridge haben, dann passt die Standardeinstellung. Darüber hinaus benötigen wir für die WAN-Seite auch kein VLAN (sprich euer Internet, was in den meisten Haushalten vermutlich eine Fritzbox ist oder ein Gerät der Telekom).
Zuletzt die Zusammenfassung und bestätigen OHNE die Maschine zu starten. (siehe Checkbox unten, diese nicht aktivieren).
Jetzt kommt es auf "euch" an, wieviele Netze Ihr benötigt, in meinem Beispiel:
| Netzbezeichnung | Netz | VLAN-ID |
| Defaul-Netz (WAN) | <Netz eurer z.B. Fritzbox> | default |
| Gastnetz | 10.10.10.0 | 1010 |
| Hausautomation | 10.10.20.0 | 1020 |
| Family | 10.10.30.0 | 1030 |
| Speichersystem/Cloud | 10.10.40.0 | 1040 |
| mein eigenes Netz |
10.10.50.0 | 1050 |
| Firmen-Netz | 10.10.60.0 | 1060 |
| Test-Netz | 10.10.70.0 | 1070 |
Das Default-Netz haben wir ja schon erstellt, jetzt müssen wir die weiteren Netze entsprechend erstellen und das geht folgend:
VLAN (auf die gleiche Netzwerkkarte bzw. Bridge) vergeben.
und schaut am Ende dann so aus:
Perfekterweise haben die Netzwerkkarten auch noch die gleichen Nummern, sprich net1 = vlantag 1010, net2 = vlantag 1020, was das Ganze recht angenehm macht in der Administration bzw. wiederfinden bei Problemen!
pfSense Installation
Nachdem wir die Einstellungen vorbereitet haben, können wir uns auch schon an die Installation machen. Wir starten die VM (rechter Mausklick und Start).
Mit einem "Doppelklick" auf die VM öffnet Ihr somit die VM, wie wenn Ihr direkt vor dem Bildschirm an einem PC sitzt.
Wie immer müssen wir allem Zustimmen, wenn wir etwas installieren wollen und habt "natürlich" alles gelesen.
Ich denke das sollte selbsterklärend sein: Install pfSense
Wählt eure gewünschte Sprache.
Wählt aus, wie Ihr die Platte partitionieren wollt (ich belasse es bei "Auto (ZFS)").
Auch hier belasse ich die Konfiguration wie vorgegeben.
Da wir nur eine Platte haben, bleibt es auch bei dieser Einstellung.
Platte auswählen.
Ja wir wollen alles auf der Platte "zerstören"
Und mit einem Reboot ist die Installation abgeschlossen.
Nach dem Reboot kann man auch schön die Karten ersehen, habe es mal parallel nebeneinander gehalten. Natürlich könnte man an Hand der MAC die Karte auf finden, aber ich finde den Namen deutlich einfacher.
In der gezeigten Frage wollen wir keine VLANs einrichten, da wir das schon über den HyperVisor gemacht haben.
Als WAN nehmen wir vtnet0 (Karte zum Internet)
Und als LAN nehme ich für "mich" vtnet5. (Welche Ihr hier nehmt ist euch natürlich überlassen, ihr könnt hier JEDE andere nehmen, außer natürlich die vtnet0)
Anschließend einfach "enter" drücken, da wir die anderen nachträglich konfigurieren.
Na klar wollen wir bestätigen, was wir gerade eingestellt haben
Und somit seid Ihr mit der Grundinstallation fertig. Hier "etwas" unglücklich, da meine Fritzbox genau das gleiche Netz vergibt, wie die pfSense auf der LAN-Seite, aber das ziehen wir im nächsten Beitrag gerade.
Wie Ihr seht, war die Konfiguration kinderleicht und ich hoffe auch recht "verständlich" erklärt
Eins noch zum Abschluss. Die Firewall hat natürlich eine IP aus dem DHCP-Bereich (WAN-Seite) von der Fritzbox (oder was auch immer Ihr benutzt) bekommen, diese sollte jedoch fest vergeben werden, entweder in der Fritzbox als Reservierung auf eine IP eurer Wahl oder später in der pfSense als statische IP. Die Firewall lässt sich "default" NICHT von der WAN-Seite konfigurieren! Hierzu gibt es nun folgende Möglichkeiten:
- Shell Command für eine temporäre Freigabe von der WAN Seite (im nächsten Beitrag dann).
- Ihr habt ein Switch schon vorkonfiguriert mit den entsprechenden VLANs und könnt nun von einem eurer Rechner dran
- Ihr habt eine VM schon fertig, vergebt hier das gleiche VLAN auf die Netzwerkkarte der VM und könnt von dort aus auf die "LAN" IP-Adresse
Hier vllt. auch noch einmal ein Bild, wie so ein "Konstrukt" aufgebaut sein könnte:
Internet --> Router --> HyperVisor --> pfSense und von hier aus werden die Netze alle mit einem Regelwerk versehen, wohin die Reise der Pakete gehen darf oder auch nicht.
Wie auf dem Schaubild ebenfalls schön zu sehen, könnte man u.A. auch mit Geräten von Ubiquiti (oder natürlich auch anderen Herstellern) zusammen arbeiten und auf jede SSID ein eigenes Netz/VLAN. So habe ich es z.B. gelöst, dass ich sage, dass Hausautomationsgeräte, die via WLAN kommunizieren können auf die SSID für die Hausautomation hören. Dazu aber später mehr.
Dann einmal viel Spaß und Erfolg beim nachbauen.
Falls Ihr Unterstützung benötigt, scheut euch nicht einfach mal eure Frage im Discord zu stellen.
