Pfeiltasten oder Buttons nutzen - F11 für Vollbild
DAA Space Logo

pfSense-Proxmox-Lab

pfSense-Firewall in Proxmox

Kurzdokumentation der Gruppenarbeit

  • Aufbau einer virtuellen Firewall-Umgebung
  • Grundkonfiguration von WAN, LAN und DMZ
  • Funktionstest mit einem Debian-LXC-Client
Lab-Handout - Installation, Grundkonfiguration, Test-Client
Gruppenarbeit - KurzdokumentationFolie 1/9
DAA Space Logo

pfSense-Proxmox-Lab

1. Ziel der Übung

Was sollte am Ende funktionieren?

  • pfSense wurde als virtuelle Maschine in Proxmox installiert.
  • Die Firewall trennt verschiedene Netzbereiche und routet den Datenverkehr.
  • Ein Test-Client sollte über die pfSense ins Internet gelangen.
Ergebnis: Eine lauffähige Lab-Umgebung für weitere Netzwerk- und Firewall-Übungen.
Gruppenarbeit - KurzdokumentationFolie 2/9
DAA Space Logo

pfSense-Proxmox-Lab

2. Vorbereitung in Proxmox

Kontrolle der virtuellen Hardware

  • Anmeldung an der Proxmox-Weboberfläche über den Browser.
  • Auswahl der vorbereiteten pfSense-VM mit der ID 200.
  • Kontrolle von RAM, CPU, Festplatte, ISO und Netzwerkkarten.
Wichtig waren die Bridges: vmbr0 = WAN, vmbr_LAN = internes Netz, vmbr_DMZ = vorbereitetes DMZ-Netz.
Gruppenarbeit - KurzdokumentationFolie 3/9
DAA Space Logo

pfSense-Proxmox-Lab

3. Installation von pfSense

Installation über die Konsole

  • Die VM wurde von der pfSense-ISO gestartet.
  • Im Installer wurden die Standardoptionen genutzt.
  • Als Dateisystem wurde automatisch ZFS gewählt.
  • Nach der Installation wurde die VM neu gestartet und von der Festplatte gebootet.
Bridge
Rolle
Interface
vmbr0
WAN
vtnet0
vmbr_LAN
LAN
vtnet1
vmbr_DMZ
DMZ/OPT1
vtnet2
Merksatz: ISO nur für die Installation, danach von der virtuellen Festplatte starten.
Gruppenarbeit - KurzdokumentationFolie 4/9
DAA Space Logo

pfSense-Proxmox-Lab

4. Interface-Zuweisung

WAN, LAN und DMZ korrekt zuordnen

  • pfSense erkannte die Netzwerkkarten als vtnet0, vtnet1 und vtnet2.
  • Über die MAC-Adressen wurde geprüft, welche Karte zu welcher Bridge gehört.
  • vtnet0 wurde WAN, vtnet1 wurde LAN und vtnet2 wurde OPT1/DMZ.
Danach wurde mit Ping-Tests geprüft, ob die Firewall selbst Internetzugriff und DNS-Auflösung hat.
Gruppenarbeit - KurzdokumentationFolie 5/9
DAA Space Logo

pfSense-Proxmox-Lab

5. Einrichtung über die Web-GUI

Setup-Wizard und Verwaltungszugriff

  • Für den ersten Zugriff wurde der Paketfilter kurz deaktiviert: pfctl -d
  • Login über die Weboberfläche mit den Standarddaten.
  • Im Wizard wurden Hostname, DNS, Zeitzone, WAN, LAN und Admin-Passwort gesetzt.
  • Der Web-GUI-Port wurde von 443 auf 4444 geändert.
pfctl -d
Damit die GUI dauerhaft erreichbar bleibt, wurde eine Firewall-Regel für Port 4444 angelegt.
Gruppenarbeit - KurzdokumentationFolie 6/9
DAA Space Logo

pfSense-Proxmox-Lab

6. DHCP, DNS und Test-Client

Automatische Client-Versorgung

  • Im LAN wurde der DHCP-Server aktiviert.
  • Clients erhalten dadurch IP-Adresse, Gateway und DNS automatisch.
  • Ein Debian-LXC-Container wurde als Test-Client erstellt und mit dem LAN verbunden.
Der Client diente zur Kontrolle, ob die pfSense korrekt routet.
Gruppenarbeit - KurzdokumentationFolie 7/9
DAA Space Logo

pfSense-Proxmox-Lab

7. Funktionstest

Prüfen, ob alles läuft

  • Ping auf das LAN-Gateway
  • Ping auf eine externe IP-Adresse
  • DNS-Test über einen Domainnamen
  • HTTPS-Test aus dem Container
  • Kontrolle von DHCP-Leases, States und Firewall-Logs
Die Tests bestätigten: Der Client kommt über die pfSense ins Internet.
Gruppenarbeit - KurzdokumentationFolie 8/9
DAA Space Logo

pfSense-Proxmox-Lab

8. Fazit

Was wir gelernt haben

  • Installation einer pfSense-Firewall in Proxmox
  • Zuordnung virtueller Netzwerkkarten über MAC-Adressen
  • Grundkonfiguration über Konsole und Web-GUI
  • Einrichtung von DHCP, DNS und einer Firewall-Regel
  • Prüfung der Funktion mit einem Test-Client
Die Lab-Umgebung ist einsatzbereit für weitere Netzwerk- und Sicherheitsübungen.
Gruppenarbeit - KurzdokumentationFolie 9/9