Mark - stock.adobe.com

Ratgeber

pfSense einsetzen: Anwendungsbeispiele und Erstkonfiguration

Die Open-Source-Firewall- und Routing-Software pfSense bietet eine überzeugende Mischung aus Funktionen, die sowohl für große als auch für kleine Unternehmen geeignet sind.

Damon Garn
von
Zuletzt aktualisiert:27 Febr. 2025

pfSense, eine FreeBSD-Distribution, die seit über 20 Jahren im Einsatz ist, bietet Organisationen jeder Größe eine vielseitige Suite von Routing- und Firewall-Funktionen.

Die kostenlose Open-Source-Software  ist in zwei Editionen erhältlich: Community Edition (CE) und pfSense Plus. CE wird regelmäßig mit neuen Funktionen aktualisiert und ist ausreichend für Organisationen, die sich auf die Dokumentation und die Benutzer-Community für allgemeine Konfigurationen verlassen können. Ziehen Sie die kommerzielle Version pfSense Plus in Betracht, wenn Ihre Organisation zusätzlichen Support oder erweiterte Funktionen der Enterprise-Klasse benötigt.

Sehen wir uns an, wie Sie pfSense in Ihrer Organisation einsetzen können. In diesem Artikel werden die Hauptfunktionen von pfSense sowie die Optionen für die Installation und Erstkonfiguration beschrieben. pfSense ist eine umfangreiche Distribution mit vielen Diensten. Verwenden Sie daher die Dokumentationslinks, um zu den wichtigsten Einstellungen zu gelangen.

Anwendungsbeispiele für pfSense

Der Erfolg von pfSense ist zum Teil auf die lange Liste seiner Funktionen zurückzuführen. pfSense-Geräte finden sich in kleinen und großen Unternehmensnetzwerken sowie in einigen privaten Umgebungen. Seine Flexibilität macht es zu einer überzeugenden Ergänzung für jedes Netzwerk.

Die Hauptfunktionen von pfSense sind:

  • Routing
  • Netzwerkadressübersetzung (NAT)
  • Firewall
  • Lastausgleich
  • VPN-Unterstützung
  • DHCP-Server (Dynamic Host Configuration Protocol)
  • DNS-Namensauflösung
  • Verwaltung von drahtlosen Zugangspunkten (AP)

Zusätzlich zu seinen Kernfunktionen für Sicherheits- und Netzwerkspezialisten ist pfSense ein hervorragendes Lernwerkzeug für alle, die eine Karriere im Netzwerkmanagement anstreben. In Kombination mit Open-Source-Linux-VMs können Sie eine komplette Netzwerkumgebung mit Virtualisierungsanwendungen wie Microsoft Hyper-V oder Oracle VirtualBox erstellen und verwalten.

Anforderungen für den Einsatz

pfSense kann auf verschiedene Arten eingesetzt werden. Stellen Sie es auf modernen Bare-Metal-Geräten, Legacy-Hardware oder Virtuelle Maschinen bereit. pfSense bietet auch dedizierte Hardware an.

Bare-Metal

pfSense stellt nur geringe Anforderungen an die Hardware. Auf einem dedizierten physischen Computer oder einer VM müssen die folgenden minimalen Hardwarespezifikationen erfüllt sein:

  • AMD64 64-bit CPU - funktioniert mit Intel CPUs.
  • 1 GByte RAM.
  • 8 GByte Festplattenspeicher.
  • Eine oder mehrere Netzwerkkarten.
  • Bootfähiges USB- oder DVD-Laufwerk für die Installation.

Möglicherweise müssen Sie für einige Funktionen zusätzlichen Arbeitsspeicher oder Festplattenspeicher zuweisen. Achten Sie darauf, dass die Netzwerkkomponenten nicht zum Flaschenhals werden.

Dedizierte Appliance

Das pfSense-Projekt bietet eine Reihe von Netgate-Appliances an, die vollständig mit der Distribution kompatibel sind.

Virtuelle Maschinen

Die Virtualisierung Ihrer pfSense-Installation ist ähnlich wie bei anderen Betriebssystemen. Laden Sie das Installationsprogramm herunter, konfigurieren Sie das Netzwerk und erstellen Sie die VM. Schließlich installieren Sie das Betriebssystem und konfigurieren seine Funktionen. Hier sind die Schritte:

  • Laden Sie die ISO-Datei herunter.
  • Starten Sie VMware vSphere/ESXi, Microsoft Hyper-V oder eine andere Virtualisierungsplattform.
  • Erstellen Sie virtuelle Switches, um die Konnektivität zwischen dem Gastbetriebssystem (pfSense) und dem Hostbetriebssystem herzustellen.
  • Erstellen Sie eine VM, die die oben definierten Mindestanforderungen erfüllt.
  • Geben Sie an, dass Sie das Betriebssystem von der ISO in der Virtualisierungssoftware installieren werden.
  • Deaktivieren Sie vor dem Start der VM die Option „Secure Boot aktivieren“.
  • Starten Sie die VM von der ISO und folgen Sie den Installationsanweisungen.

Der Einsatz auf anderen Virtualisierungsplattformen wie zum Beispiel VirtualBox ist in der Regel problemlos möglich.

Wenn Sie sich mit der Verwendung von pfSense vertraut gemacht haben, schauen Sie sich die Erweiterungen und Plug-ins der Community an, falls die Kernfunktionalität nicht Ihren Anforderungen entspricht. Möglicherweise finden Sie dort zusätzliche Funktionen. Durchsuchen Sie die verfügbaren Pakete mit dem integrierten Paketmanager, der in der Standard-Weboberfläche von pfSense enthalten ist.

Erstkonfiguration

pfSense verfügt über zwei Administrationsschnittstellen. Die einfachste ist ein CLI-Menü mit allgemeinen Grundeinstellungen. Es zeigt auch die aktuelle IP-Adresse der Schnittstelle an. Dieses Menü sollte geschützt werden. Es bietet Benutzern die Möglichkeit, das Administratorkennwort für das Konfigurationswerkzeug webConfigurator zurückzusetzen.

pfSense-CLI
Abbildung 1: Die CLI-Administrationsschnittstelle.

Das webConfigurator-Tool ermöglicht es Benutzern, pfSense zu verwalten. Es bietet umfangreiche Menüs, Konfigurationsschnittstellen, Überwachung, Dokumentation und vieles mehr. Beginnen Sie mit der Authentifizierung.

pfSense webConfigurator
Abbildung 2: Authentifizieren Sie sich bei der webConfigurator-Oberfläche.

Von hier aus haben Sie viele Möglichkeiten. Eine der ersten administrativen Aufgaben besteht darin, die Schnittstellen von pfSense einzurichten, um die Routing- und Firewall-Funktionalität zu unterstützen. Definieren Sie IP-Adressen und Sicherheitseinstellungen für jede Schnittstelle.

pfSense Netzwerkschnittstellen
Abbildung 3: Konfigurieren Sie jede Netzwerkschnittstelle auf dem pfSense-Gerät.

Sie werden wahrscheinlich auch benutzerdefinierte Firewall-Regeln für eingehende und ausgehende Verbindungen für Dienste konfigurieren, die sich auf beiden Seiten des Routers befinden.

pfSense Firewall-Regeln
Abbildung 4: Definieren Sie Regeln für die Firewall für eingehende und ausgehende Verbindungen.

pfSense bietet zahlreiche Netzwerkdienste, einschließlich DHCP-Management und DNS-Weiterleitung. Es kann sogar als NTP-Gerät  (Network Time Protocol) fungieren und unterstützt grundlegende DHCP-Pool-Optionen, Client-Reservierungen und Adressweiterleitung.

pfSense als DHCP-Server
Abbildung 5: Konfigurieren Sie pfSense als DHCP-Server.
pfSense DHCP-Dienst
Abbildung 6: Der pfSense-DHCP-Dienst umfasst DHCP-Adressreservierungen.

Konfigurieren Sie Ihr pfSense-Gerät als VPN-Endpunkt, um Remote-Clients oder Router-zu-Router-Verschlüsselung zwischen entfernten Büros zu unterstützen.

pfSense OpenVPN.
Abbildung 7: pfSense unterstützt mehrere VPN-Optionen, darunter OpenVPN.

Überwachung ist ein wichtiger Aspekt der Sicherheit und des Gerätemanagements. Die in pfSense integrierten Überwachungs- und Diagnosewerkzeuge erkennen Engpässe, fehlerhafte Dienste, Fehlkonfigurationen und vieles mehr.

pfSense Monitoring Tools
Abbildung 8: pfSense enthält mehrere Überwachungstools.

pfSense bietet auch pfTop an - seine Version des Linux-Top-Dienstprogramms, das die Prozessor- und Speicherauslastung pro Prozess anzeigt. Es ist ein unverzichtbares Werkzeug für Linux-Administratoren auf der ganzen Welt, daher ist es gut, dass es in dieser Distribution enthalten ist.

pfSense pfTop
Abbildung 9: pfSense enthält das Dienstprogramm pfTop zur Leistungsüberwachung und Fehlerbehebung.

pfSense hat viel zu viele Funktionen, um sie alle hier zu behandeln, aber es reicht zu sagen, dass fast alle Netzwerksicherheitsfunktionen, die Sie benötigen, verfügbar sind. Die umfangreiche Plugin-Bibliothek von pfSense fügt weitere Funktionalität hinzu.

Dokumentation

Die aktive pfSense-Community hat eine umfangreiche Dokumentationsbibliothek erstellt, in der Sie schnell die notwendigen Schritte finden, um fast jeden Einsatz zu unterstützen. Die offizielle Dokumentation ist gut strukturiert und durchsuchbar. Außerdem bietet pfSense Netgate-Supportpläne für Organisationen, die reaktionsschnellen Hersteller-Support und Antworten auf komplexe Probleme oder Konfigurationen benötigen. Der Support ist weltweit rund um die Uhr über ein Abonnement verfügbar.

Bewährte Praktiken für pfSense

Die bewährten Praktiken für pfSense spiegeln die Best Practices für jeden Einsatz wider. Wenn Sie lernen, pfSense zu verwenden, halten Sie die Software auf dem neuesten Stand, deaktivieren Sie nicht benötigte Dienste, verwenden Sie Überwachung, um auf Sicherheitsereignisse zu achten, und erzwingen Sie eine starke Authentifizierung für Administratoren.

Im Folgenden sind einige Besonderheiten aufgeführt, die Sie beachten sollten:

  • Deaktivieren Sie die SSH-Verbindung für externe Verbindungen.
  • Implementieren Sie eine schlüsselbasierte Authentifizierung für SSH-Administrationsverbindungen.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung.
  • Halten Sie pfSense aktuell und gepatcht.
  • Verwalten Sie DHCP-Konfigurationen sorgfältig.
  • Erwägen Sie die Verwendung reservierter IP-Adressen für einige Geräte.
  • Logging und Monitoring konfigurieren.
  • Konfigurieren Sie VPN-Verbindungen, um Remote-Benutzer zu verwalten.
  • Schützen Sie Ihre pfSense-Geräte sorgfältig, sowohl physisch als auch virtuell, um deren Integrität zu gewährleisten.

Fazit

pfSense ist eine überzeugende Wahl für Routing-, Firewall- und andere Netzwerkverwaltungsfunktionen. Es kann auf Bare-Metal- und virtualisierten Plattformen installiert werden, und seine aktiven Support-Optionen auf Community- und Unternehmensebene machen es für Organisationen jeder Größe attraktiv.

Beginnen Sie noch heute mit pfSense zu arbeiten, um zu erfahren, wie diese funktionsreiche Open-Source-Distribution die Netzwerksicherheit Ihrer Organisation verbessern kann.

Erfahren Sie mehr über Netzwerksoftware