PFSense

PFSense, ExtraIP en verschillende gateways

Mocht je gebruik willen maken om verschillende externe IP adressen te verbinden aan verschillende netwerken kan je dit bewerkstelligen door gebruik te maken van de firewall rulesets. In deze kan je binnen PFsense namelijk opgeven welke gateway er gebruikt moet worden.

Stel dat ik mijn clientVLAN over mijn eigen internet provider wilt sturen terwijl mijn default gateway is ingesteld is op ExtraIP?

Maak een nieuwe FW rule aan op het ClientVLAN of pas de huidige aan, zorg dat deze op IPv4 staat en klik daarna op “Display Advanced”
Onderin de firewall rule, bij Gateway, kan je nu kiezen welke route het verkeer van deze firewall route moet volgen, zo kan je dus kiezen tussen WAN of ExtraIP.

Per firewall rule kan je dit natuurlijk weer verder specificeren, als je maar rekening houdt dat je firewall rules top down worden doorgevoerd.

Wil je dus 1 specifieke client via WAN naar buiten sturen, zal deze rule boven de algemene rule zitten.

In het kort – more specific bovenin, algemeen onderin.

KPN IPTV & ExtraIP

Een beknopt overzicht om via PFSense i.c.m. ExtraIP als default internet Gateway IPTV van KPN werkend te krijgen. Gezien er bepaalde zaken alleen vanaf het KPN netwerk bereikbaar is, dient er rekening te worden gehouden dat je bepaalde firewall rules naar KPN stuurt, enerzijds INTERNET, maar ook een aantal naar IPTV_WAN.

Je hebt nodig:
1x eigen VLAN voor IPTV, in mijn voorbeelden heet deze IPTV_VLAN89
1x IPTV_WAN adres met een juist adres uit de 10.x.x.x reeks.
Deze instellingen zijn her en der wel te vinden, ik neem ze wel even mee in de prinsscreens.

Belangrijk is onderstaande opties in te stellen op IPTV_WAN en dat deze op VLAN4 gekoppeld zit op de WAN interface (waar je ook PPPoE VLAN6 hebt ingesteld)

Hieronder de printscreens die je zouden moeten laten begrijpen wat je moet instellen (naast de standaard settings die je vindt op internet)

Hierboven de IPTV_VLAN98 firewall rules. Er zijn er meerdere met een destination, zodat het verkeer via de juiste gateway verloopt.

Naast de “Allow packets with IP options to pass” staat onderin, bij advanced, de optie om te gateway te kiezen:

Op de IPTV_WAN firewall stel je het volgende in:

Zorg ook dat verkeer van je IPTV_VLAN89 wordt geNAT achter de IPTV_WAN interface, mocht je hier MANUAL gebruiken

IGMP proxy spreekt voor zich:

Resetten van de HSTS cache

Het wil nog wel eens gebeuren dat een certificaat wordt vervangen en je daarna, met de nieuwe feature HSTS, je de site niet meer kan openen.

In Chrome en Edge Chromium kan je deze op onderstaande manier resetten en zo doende weer de site bezoeken.

In Edge:

edge://net-internals/#hsts

In Chrome:

chrome://net-internals/#hsts

Onderin kan je de HSTS van de te bezoeken website resetten.
Daarna kan je weer gebruik maken van de website.

Vul hier uw hostnaam in welke niet meer werkt, zoals HOST01.krgt.nl en druk op delete.

PFSense en ExtraIP.com IPv6 configuratie

Als aanvulling op de IPv4 configuratie, is het ook mogelijk om bij ExtraIP.com gebruik te maken van een IPv6 /48 subnet, deze wordt aangeboden middels een GIF tunnel. Om reverse DNS te kunnen gebruiken dien je je eigen DNS servers beschikbaar te hebben, dit is wel belangrijk, want zonder rDNS kan je bijvoorbeeld niet e-mailservers gebruiken op IPv6, maar ook bij website geweigerd worden vanwege het ontbreken ervan.

Ga naar Interfaces > Assignments

Klik op “GIF’s”

Klik op Add

Maak nu de tunnel aan met onderstaande gegevens (welke aangeleverd worden door ExtraIP.com

Ga nu naar Interfaces > Interface Assignments en voeg de toegevoegd IPv6 GIF tunnel toe zodat deze in het overzicht komt en neem onderstaande gegevens over: (MTU + MSS)

Ga nu naar routing:

En selecteer de ExtraIPV6_TUNNELV6 als default gateway:

Nu heb je IPv6 werkend, alleen kan je er nog geen gebruik van maken, aangezien je de IPv6 subnets nog niet verdeeld hebt over je interne netwerk. Om te zorgen dat je gebruik kan maken van SLAAC knip je de netwerken in stukken van /64.

Dit ziet er dan zo uit:
Stel dat je IPv6 adres block dit is: 2a00:00c0:0001::/48
Deze kan je dan makkelijk verdelen op de volgende manier:
LAN: 2a00:00c0:0001:1234::1/64
DMZ: 2a00:00c0:0001:5678::1/64
Guest: 2a00:00c0:0001:4321::1/64
etc… etc… je hebt ook nogal wat IPv6 adressen beschikbaar, om precies te zijn:
1,208,925,819,614,629,174,706,176 IPv6 adressen!!!
Een /64 heeft 18,446,744,073,709,551,616 IPv6 adressen! Er gaan 65.535 /64 Subnets in een /48 netwerk!

Bij mij ziet het er zo uit:

Daarna dienen nog de DHCPv6 Server & RA instellingen gedaan worden per VLAN, zodat clients daadwerkelijk IPv6 adressen kunnen gaan gebruiken en ermee kunnen communiceren.

In tegenstelling tot IPv4, gebruik je bij IPv6 de firewall voor het toelaten van verkeer. Denk eraan dat IPv6 veel gebruik maakt van ICMP, deze dien je ook toe te laten: (http://www.ietf.org/rfc/rfc4890.txt)
Kort samengevat:

Destination Unreachable (Type 1) – All codes
Packet Too Big (Type 2)
Time Exceeded (Type 3) – Code 0 only
Parameter Problem (Type 4) – Codes 1 and 2 only
Echo Request (Type 128)
Echo Response (Type 129)
Time Exceeded (Type 3) – Code 1
Parameter Problem (Type 4) – Code 0

Ongoing….

PFSense en ExtraIP.com dNAT /sNAT

Na het instellen van de GRE tunnel van ExtraIP wil je natuurlijk gebruik maken van je extraIP adressen en zelfs netwerken via een ander IP adres naar buiten laten gaan.

Hieronder een beknopte handleiding op basis van een gevirtualisuerde PFSense installatie ;  ik heb op dit moment het nog niet anders voor elkaar gekregen;

Als je de servers direct het IP adres van ExtraIP wilt geven dien je gebruik te maken van 1-op-1 NAT, dit houdt in dat je servers een intern adres hebben, maar PFSense 1 op 1 het externe IP toewijst. Met firewall regels laat je dan verkeer toe (of elk verkeer). Dit is handig met bijvoorbeeld een router achter PFsense.

Voeg eerst een NIC toe op de VM, deze wijs je toe aan een niet bestaand VLAN / disconnect de NIC, zodat deze wel in PFSense zichtbaar wordt, maar er verder geen verkeer over mogelijk is.

Voeg deze NIC toe via:

Ik heb deze ExtraIPVLAN genoemd binnen PFSense:

Klik op ExtraIPVLAN en neem onderstaande gegevens over (let op dat het IP adres niet je eigen netwerk overlapt, gebruik wel een intern IP adres)

Ga nu naar Firewall > Virtual IP’s

Vul hier nu op onderstaande manier je extraIP adressen in:

Ga nu naar Firewall > NAT >

Klik op Outbound:

Zet deze op Hybrid Outbound NAT:

Als voorbeeld een aantal zelf aangemaakte Mappings:

In dit voorbeeld zijn 2 DNS servers middels sNAT vertaald naar 1 ExtraIP alias en mijn originele WAN ip adres, maar alleen voor DNS verkeer.

Verder worden er 3 IP subnets elk naar een eigen IP adres gestuurd, waaronder 1 naar het WAN adres (ISP adres) en de overige 2 naar een extra adres van ExtraIP.

Je gebruikt verder de ExtraIPVLAN interface niet, deze zorgt er alleen voor dat PFSense de sNAT kan uitvoeren, zonder deze interface kreeg ik het niet werkend.

Verder gebruik je voor dNAT (Port-Forward) de ExtraIP en WAN interface, zie voorbeeld.

PFSense en Extraip.com configuratie

Er worden best veel vragen gesteld hoe je precies PFSense kan laten samenwerken met de GRE tunnel van Extraip.com. Ik probeer in deze beknopte “handleiding” dit duidelijk te maken:

Allereerst dien je natuurlijk een extraip.com tunnel te hebben, deze kan je aanvragen als je een bedrijf hebt via: www.extraip.com.

Aangezien deze post gaat over PFSense, verwacht ik dat deze al werkend draait en dat de basiskennis van PFSense aanwezig is. Mocht je nog niet bekend zijn met PFSense raadt ik je aan om hier gewoon mee te beginnen als virtuele machine en spelenderwijs PFSense te ontdekken. Natuurlijk kan ik je een bezoekje aan de website van PFSense niet onthouden, deze is te vinden op: https://www.pfsense.org/

Configureren GRE Tunnel:

Log in op jou PFSense firewall en ga naar Interfaces > Assignments

Ga nu naar GRE’s:

Klik op “Add”

Vul nu de gegevens aan zoals hieronder is aangegeven en klik op Save.

Klik nu op Interface Assignments:

Er is onderin 1 Available network port bijgekomen, klik hier op: Add

Klik nu op, in dit voorbeeld genomen, OPT8 en neem onderstaande gegevens over.

De ExtraIP GRE tunnel is nu gereed, nu dienen er nog een paar zaken ingesteld worden;
Allereerst zorgen wij met onderstaande route dat het verkeer naar ExtraIP altijd via je WAN blijft gaan en niet over de tunnel.

Ga naar System > Routing:

Klik eerst op “Static Routes” en voeg een static route toe voor, in dit voorbeeld 1.2.3.4, naar de WAN interface, zodat verkeer netjes blijft routeren. Zie hieronder

Ga nu weer naar “Gateways”:

Hier is nu 1 gateway bij gekomen, klik hier op het potloodje om deze te wijzigen:

Neem nu de gegevens hieronder over, LET OP, het eerste adres is al reeds ingevuld en met deze actie gaat al het internet verkeer over het ExtraIP adres in plaats van je eigen provider adres.

Iemand raadt steeds mijn wachtwoord?

Het kan zo maar zijn dat iemand jouw accountgegevens heeft, denk hierbij aan je iCloud gegevens, in deze gegevens worden ook jouw wachtwoord gesynchroniseerd, zodat de persoon toegang heeft tot alle websites waar jij het wachtwoord van hebt opgeslagen. Om te controleren of iemand, zonder dat jij dit wilt, gebruikt maakt van jouw iCloud kan je het volgende controleren:

Controleren locatie apparaten:
Ga naar: https://www.icloud.com
Log hier in met jouw AppleID
Klik op Zoek iPhone:

Na nogmaals het wachtwoord ingevoerd te hebben klik je bovenin op:

Hier komt 1 of meerdere apparaten tevoorschijn:

Staat hier een onbekend apparaat in? Klik op dit onbekende apparaat, er komt dan een menu met onderstaande opties tevoorschijn en de (mogelijke) locatie waar het apparaat zich bevind.

Aan de hand van de locatie zou je eventueel kunnen zien om wie het zou kunnen gaan, als dit blijkt, zou ik de vervolg stappen nog niet uitvoeren om eventueel bewijs te hebben.

Staat er een vreemd apparaat in Zoek iPhone? Ga dan verder hieronder:
Ga naar: https://appleid.apple.com/account/manage
Log hier in met je iCloud account.
Scroll nu een klein stukje naar beneden, totdat je bij apparaten bent:

Klik op de naam van het onbekende apparaat:

Klik daarna op Verwijder.

Na dit alles dien je het iCloud wachtwoord opnieuw in te stellen, zodat diegene niet wederom zijn telefoon kan toevoegen:
Dit doe je bovenin op dezelfde pagina:

Privacy statement

Kragt-ICT, gevestigd in Geertruidenberg, is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

Contactgegevens:

Persoonsgegevens die wij verwerken
Kragt-ICT verwerkt uw persoonsgegevens doordat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt.

Hieronder vindt u een overzicht van de persoonsgegevens die wij verwerken:
– Voor- en achternaam
– Adresgegevens
– Telefoonnummer
– E-mailadres
– IP-adres
– Bankrekeningnummer

Bijzondere en/of gevoelige persoonsgegevens die wij verwerken
Onze website en/of dienst heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar. Tenzij ze toestemming hebben van ouders of voogd. We kunnen echter niet controleren of een bezoeker ouder dan 16 is. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder ouderlijke toestemming. Als u er van overtuigd bent dat wij zonder die toestemming persoonlijke gegevens hebben verzameld over een minderjarige, neem dan contact met ons op via Rick.kragt@192.168.2.230, dan verwijderen wij deze informatie.

Met welk doel en op basis van welke grondslag wij persoonsgegevens verwerken
Kragt-ICT verwerkt uw persoonsgegevens voor de volgende doelen:
– Het afhandelen van uw betaling
– U te kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren
– Om goederen en diensten bij u af te leveren
– Kragt-ICT verwerkt ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor onze belastingaangifte.

Geautomatiseerde besluitvorming
Kragt-ICT neemt niet op basis van geautomatiseerde verwerkingen besluiten over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen. Het gaat hier om besluiten die worden genomen door computerprogramma’s of -systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van Kragt-ICT) tussen zit.

Hoe lang we persoonsgegevens bewaren

Kragt-ICT bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.

Delen van persoonsgegevens met derden
Kragt-ICT verstrekt uitsluitend aan derden en alleen als dit nodig is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting.

Cookies, of vergelijkbare technieken, die wij gebruiken
Kragt-ICT gebruikt geen cookies of vergelijkbare technieken.

Gegevens inzien, aanpassen of verwijderen
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door Kragt-ICT en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wij van u beschikken in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen.

U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar Rick.kragt@192.168.2.230.

Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek.

Kragt-ICT wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons

Hoe wij persoonsgegevens beveiligen
Kragt-ICT neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik neem dan contact op via Rick.kragt@192.168.2.230