Mein PC-Engines Board von meiner alten Monowall Firewall hat nach 5 Jahren das Zeitliche gesegnet. Ich habe mich entschieden, auf meinen Hyper-V die Firewall IPFire zu installieren. Die Installation ist ganz einfach, es gibt aber dennoch einige Punkte die zu beachten sind.
Da meine Finanzministerin das Budget verwaltet 😉 hat mein Hyper-V Host nur zwei Netzwerkkarten. Aber das sollte mich jetzt erstmal nicht stören, ich arbeite hier dann mit V-LAN’s. IPFire benötigt minimum 2 Netzwerkkarten. In meinem Fall benötige ich 3, da ich noch eine DMZ mit aufbauen möchte. Die Netzwerke werden bei IPfire in Farben unterteilt, was das Ganze, aus meiner Sicht, sehr übersichtlich macht.
So ist zum Beispiel die Farbe „grün“ dem loaklen Netzwerk zugeteilt und „rot“ dem Internet.
Bevor wir anfangen, möchte ich drauf hinweisen, dass die Anleitung nicht für einen Produktivbetrieb genutzt werden sollte. Der Einsatz erfolgt auf eigene Gefahr, ich übernehme keine Haftung für Schäden!
Genug mit dem „Bla Bla“ 🙂 kommen wir mal zu den Voraussetzungen
Voraussetzungen:
1. Ein Windows Server 2012 R2 mit Hyper-V (minimum 2 Netzwerkkarten)
2. Ein Switch, der mit VLAN’s umgehen kann
3. Natürlich auch einen Internetzugang
4. IPFire Installationsmedium „ipfire-2.15.i586-full-core85.iso“
Achtung: Sollte die Downloadgeschwindigkeit mit der aktuellen ipfire Version unter Hyper-V nicht angemessen sein, so benutzen Sie die ältere
Version ipfire-2.15.i586-full-core85.iso. Ich konnte mehrfach Probleme unter Hyper-V 2012R2 mit VM’s der Generation1 feststellen. Hier half nur ein Fallback auf die „Core85“ Version von ipfire.
Netzaufbau:
Anbei sehen Sie den Netzaufbau, ich arbeite hier mit 3 VLAN’s.
Diese setzten sich wie folgt zusammen.
VLAN11 (Green Network)
Beschreibung = Lokales Netzwerk für Clients/Endpunkte
IP-Range = 192.168.11.0/24
VLAN20 (OrangeNetwork)
Beschreibung = DMZ für WebService, EmailGateway usw…
IP-Range = 192.168.20.0/24
VLAN30 (Red Network)
Beschreibung = Zugang zum Internet bzw. Übergang zum Router
IP-Range = 192.168.30.0/24
Erstellen der VM auf dem Hyper-V
Erstellen Sie als nächstes eine VM Generation 1. Ich gehe hier nicht ins Detail, lesen Sie hierzu den Beitrag „Unter Hyper-V Virtuelle Maschinen erstellen und konfigurieren“
1. Erstellen Sie eine VM auf dem Hyper-V mit nachfolgende Spezifikationen.
1 x VM Typer Generation 1
2 GB RAM
2 x vCPU
3 x Netzwerkarten
2. Achten Sie darauf, dass Sie jeder Netzwerkkarte ein VLAN zuweisen.
3. Binden Sie der VM das IPFire Installationsmedium, in meinen Fall
„ipfire-2.15.i586-full-core85.iso“, ein. (siehe Screenshot)
Die Konfiguration der VM ist abgeschlossen, wenden wir uns der Installation zu.
Installation IPfire
Klugscheißermodus = ON ❗ denke Sie daran, dass in meiner Umgebung mein Hyper-V nur 2 Netzwerkkarten hat. Eine Netzwerkkarte ist für den Hyper-V, die andere für den
Hyper-V-Switch. An dieser Stelle sollten Sie erst den Port des physikalischen Switches so konfigurieren, dass die VLAN’s (in meinem Fall VLAN 11, 20, 30) bedient werden. Bevor dieses nicht erledigt ist, macht eine Installation keinen Sinn.
Klugscheißermodus = OFF
1. Starten Sie die VM und bestätigen Sie den Eintrag „install IPFire 2.15…….“ mit „ENTER“
2. Selektieren Sie „English“ und bestätigen mit „Ok“
3. Bestätigen Sie mit „OK“
4. Bestätigen Sie das License Agreement und fahren mit „Ok“ fort
5. Wenn Sie sich sicher sind, dass Sie hier keine Daten aus versehen löschen, dann selektieren Sie „Yes“ und bestätigen mit „OK“
6. Selektieren Sie nun das von ihnen gewünschte Filesystem und bestätigen Sie mit „OK“
7. Die Installation startet!
8. Entfernen Sie das ISO Image aus der VM, falls noch nicht automatisch geschehen.
Bestätigen Sie den Neustart mit „Press OK to reboot“
Die Installation ist nun abgeschlossen, nach dem Neustart beginnt die Konfiguration.
Konfiguration der IPFire Umgebung
1. Bestätigen Sie die Auswahl indem Sie „IPFire“ selektieren
2. Wählen Sie als Keyboard Layout „de-latin1-nodeadkeys“ und bestätigen mit „Ok“
3. Selektieren Sie die Zeitzone und bestätigen mit „Ok“
4. Geben Sie der IPFire einen Hostnamen und bestätigen mit „Ok“
5. Da ich die IPFire autark vom meiner sonstigen Infrastruktur betreiben möchte, vergebe ich hier kein DNS Suffix. Bestätigen Sie mit „OK“
6. Vergeben Sie nun ein Passwort für den „root“ Zugang und bestätigen mit „Ok“
7. Vergeben Sie ein weiteres Passwort für den „admin“ Zugang. Dieser ist später zum Anmelden an die Weboberfläche notwendig. Bestätigen Sie mit „Ok“
8. So jetzt aufgepasst!
Als nächstes können Sie der IPFire mitteilen welche Art von Netzwerke Sie betreiben möchten. In meinem Fall möchte ich folgende Netzwerke haben LAN (Lokales Netzwerk), DMZ (Netzwerk für Webserver usw.) und das Internet
Hier kommen nun die Farben ins Spiel:
Grün = LAN
Orange = DMZ
Rot = Internet
Selektieren Sie „Network configuration type“ und bestätigen mit „Ok“
9. Selektieren Sie nun die Einträge wie gewünscht. Da ich mich bereits entschieden habe, wähle ich hier „GREEN + RED + ORANGE“ und bestätige mit „OK“
10. Als nächstes muss den drei Netzwerken „GREEN + RED + ORANGE„ eine Netzwerkkarte zugewiesen werden.
Selektieren Sie hierzu „Drivers and Card assingments“ und bestätigen Sie mit „Ok“
11. Fangen wir mit dem „GREEN“ Netzwerk an. Hierzu selektieren Sie „GREEN“ und bestätigen mit „Select“
12. Wählen Sie hier die Netzwerkkarte aus, die im passenden
VLAN (GRÜN = Lokales Netzwerk) ist. In meinem Fall ist das VLAN11.
Bestätigen Sie die Auswahl mit „Select“
13. Als nächstes ist das Netzwerk „ORANGE“ dran. Bestätigen Sie die Auswahl mit „Select“
14. Wählen Sie hier die Netzwerkkarte aus, die im passenden
VLAN (ORANGE = DMZ Netzwerk) ist. In meinem Fall ist das VLAN20.
Bestätigen Sie die Auswahl mit „Select“
15. So, als nächstes ist das Netzwerk „RED“ dran. Bestätigen Sie die Auswahl mit „Select“
16. Wählen Sie hier die letzte Netzwerkkarte aus, die im passenden
VLAN (RED = DMZ Netzwerk) ist. In meinem Fall ist das VLAN30.
Bestätigen Sie die Auswahl mit „Select“
17. Die Zuweisung der Netzwerk ist erfolgt. Bitte notieren Sie sich die Zuordnung, der Netzwerke zur MAC-Adresse, da wir die später noch in der Hyper-V Umgebung benötigen.
18. Im nächsten Schritt muss jedem Netzwerk eine IP-Adresse zugewiesen werden.
Hierzu selektieren Sie „Address Settings“ und bestätigen mit „Ok“
19. Selektieren Sie „GREEN“ um diesem Netzwerk eine IP-Adresse zuzuweisen.
Bestätigen Sie mit „Ok“
20. Die nachfolgende Meldung bestätigen Sie mit „Ok“
21. Vergeben Sie nun die IP für das GREEN Netzwerk und bestätigen mit „Ok“
22. Selektieren Sie nun das „ORANGE“ Netzwerk und bestätigen mit „Ok“
23. Vergeben Sie nun die IP für das ORANGE Netzwerk und bestätigen mit „Ok“
24. Selektieren Sie nun das „RED“ Netzwerk und bestätigen mit „Ok“
25. Da ich einen Router vor der IPFire im Einsatz habe, muss hier der Eintrag auf „Static“ gesetzte werden. Vergeben Sie nun die IP für das RED Netzwerk und bestätigen mit „Ok“
26. Bestätigen Sie mit „Done“ um den Dialog zu beenden
27. Als nächstes noch die DNS und Gateway Einstellungen.
Selektieren Sie „DNS and Gateway….“ und bestätigen mit „Ok“
28. Tragen Sie den DNS Server und das Gateway ein. In meinem Fall habe ich den Googel DNS genommen und das Gateway ist die IP meiner FritzBox. Bestätigen Sie mit „Ok“
29. Beenden Sie den Dialog mit „Done“
30. Da in meinem Netzwerk bereits ein DHCP Server aktiv ist, überspringe ich diesen Dialog und bestätige mit „Ok“
31. Das Setup ist beendet bestätigen Sie mit „OK“
32. Melden Sie sich mit dem „root“ Account an die Konsole an und fahren das System mit dem Befehl „shutdown -h now“ herunter.
33. Wechseln Sie nun in die Einstellungen der VM und setzten bei allen Netzwerkadaptern die Mac Adresses auf „static“. Vergewissern Sie sich, dass auch die VLAN-ID zu der Mac Adresse passt. (siehe als Beispiel die nachfolgenden Screenshots)
34. Starten Sie die Firewall VM neu. Die Konfiguration ist abgeschlossen. 🙂
Weblogin auf die IPFire
1. Staren Sie ihren Browser und geben die folgende URL ein. Falls Sie eine andere IP Adresse währende der Installation benutzt haben, setzten Sie hier die IP ihres GREEN Netzwerk Interfaces ein.
http://192.168.11.1:444
Benutzen Sie hier die Kennung „admin“
Ich hoffe, ich konnte Ihnen einen kleinen Einblick geben. Sollten Sie Fragen haben, so scheuen Sie nicht, mich zu kontaktieren. Nutzen Sie hier die “Kommentar Funktion” des Blogs oder wenn es Ihnen lieber ist via E-Mail.
Weiter Blogs folgen in den nächsten Tagen. Ich würde mich sehr freuen, wenn Sie wieder vorbeischauen.
Hello Daniel, i have a question. I stumbled upon your Tutorial and as a coincidence i am supposed to make my Abschlussprojekt a Server side, a Client side and a firewall. So, i was wondering if you used a physical Switch or did you emulate one?
Thank you for the Tutorial and have a nice day
Hello Christian,
i use a VSwitch in the Hyper-V and one physical. You can see this in the overview Picture.
Regards
Daniel
Hallo Daniel,
ich möchte gerne wissen wie wird die Firewall getestet ? Der LAN ist mit einem NAT ans Internet gebunden und keine Angriffe von außen realisiert werden können oder ? Ich frage nur weil ein paar Sachen mir sind nicht klar.
Danke
Hallo Juliaan,
Auf den Router würde die Firewall als Exposed-Host angegeben somit ist diese direkt aus den Internet erreichbar.
In meiner Umgebung besitze ich eine feste Public IP
Gruß
Daniel
Hallo
Sie haben recht was die Geschwindigkeit angeht.
Unter einem 2012R2 installiert eine 586 Version überhaut nicht – hier mit eine 386er herhalten – diese läuft zwar aber die Geschwindigkeit ist relativ mau.
wobe ich mich schwer tue hier einen Vergleich anzustellen.
Der Host hängt direkt am Netz und bietet 500mbit (up und down) über IPfire und NAT erreiche ich maximal 110 – die Frage ist nun –
Geht nicht mehr mit dieser Konstellation oder ist es das Geschwindigkeitsproblem das Sie ansprechen ?
Hallo Axel,
Der Hyper-V bzw. die VM ist ja eine Gen1 VM, bedeutet das das Interface nur 100Mbit kann.
Gruß
Daniel
Irgendwie fehlt die auswahl das OS bei der VM Erstellung… bin drauf gekommen, weil ich auf der Suche war, auf was für nem OS / Kernel das Teil basiert…
Sonst nice!
VG, K
Hello,
I have only one question. It works well?
For me it works verry well.
Servus,
das Tutorial ist echt nice nur ich bekomme das bei mir irgendwie nicht zum laufen.
ich kann niergends connecten. Vielleicht kannst du mir ja dabei helfen.
LG
Jan Bräutigam 😉
Hallo Jan
Welcher connect geht denn nicht?
Sind die VLANS richtig angelegt?
Grüße
Daniel Medic
Vielen Dank für das Tutorial!