In meinem letzten Beitrag habe ich euch durch den spannenden Prozess des Eigenbaus einer PfSense-Hardware geführt. Nun ist es an der Zeit, den nächsten großen Schritt zu machen: die Installation von PfSense. In diesem zweiten Teil meines Tutorials zeige ich euch, wie ihr PfSense mühelos von einem USB-Stick installiert und auf einer internen M.2-Festplatte einrichtet.
Die Installation einer solchen Open-Source-Firewall mag auf den ersten Blick komplex erscheinen, aber keine Sorge, ich werde euch durch jeden Schritt leiten. Von der Erstellung eines bootfähigen USB-Sticks bis hin zur erfolgreichen Installation auf eurer M.2-Festplatte – nach diesem Tutorial werdet ihr in der Lage sein, PfSense auf nahezu jeder Hardware zu installieren.
Egal, ob ihr euer Heimnetzwerk sicherer machen wollt oder einfach nur eure technischen Fähigkeiten erweitern möchtet, dieser Leitfaden ist für alle gedacht, die einen praktischen und verständlichen Weg suchen, um mit PfSense zu starten. Lasst uns also ohne weiteres in die Welt der Netzwerksicherheit eintauchen und gemeinsam euer Netzwerk transformieren!
YouTube Video zur Grundinstallation mit USB-Stick
Wenn du dir bereits einen USB-Stick für die pfSense erstellt hast, zeige ich im Video die Grundinstallation und einen kleinen ersten Rundgang in der Weboberfläche zur Konfiguration. Verpasse nicht Teil 3 bei dem es um Firewall-Regeln geht.
Image Download und USB-Stick erstellen
Um einen bootbaren USB-Stick erstellen zu können, benötigen wir im ersten Schritt ein aktuelles ISO der pfsense. Ein solches Image besorgen wir uns grundsätzlich immer direkt von der Herstellerseite bzw. Projekt-Seite. Aus Sicherheitsgründen solltet ihr sicherheitsrelevante Software nie von irgendwelchen Webseiten beziehen. Ich empfehle immer jegliche Software direkt vom Entwickler zu besorgen.
Nun laden wir uns die aktuelle Version, auch Latest Stable Version (Community Edition) genannt herunter.
Wir wählen als Installer DVD Image, um eine ISO Datei zu erhalten. Wenn du einen Intel oder AMD Prozessor verwendest, ist bei Architektur die Auswahl wie in meinem Screenshot korrekt. Als Download-Mirror wählt ihr in Deutschland am besten Frankfurt aus.
Die heruntergeladene Datei ist eine ISO Datei, die aber als .gz Datei gepackt ist. Wir müssen diese erst entpacken. Da es hier für die einzelnen Systeme unterschiedliche Wege gibt, hier die Möglichkeiten:
Entpacken Windows
Herunterladen eines Entpackungsprogramms:
Windows hat keine eingebaute Funktion zum Entpacken von .gz-Dateien. Du kannst ein kostenloses Programm wie 7-Zip oder WinRAR herunterladen und installieren.
Entpacken der .gz-Datei:
Nach der Installation des Entpackungsprogramms, klicke mit der rechten Maustaste auf die .gz-Datei.
Wähle im Kontextmenü die Option „Hier entpacken“ (bei 7-Zip) oder „Hier extrahieren“ (bei WinRAR).
Entpacken Mac / Linux
Öffnen des Terminals:
Gehe zu “Anwendungen” > “Dienstprogramme” und öffne das Terminal.
Navigieren zum Download-Verzeichnis:
Gib dazu den Befehl cd Downloads ein, um in das Verzeichnis zu wechseln, in dem die heruntergeladene PfSense-ISO-Datei (.gz) gespeichert ist.
Entpacken der .gz-Datei:
Führe den Befehl gunzip Dateiname.gz aus.
Ersetze “Dateiname.gz” durch den tatsächlichen Dateinamen der heruntergeladenen PfSense-Datei.
Die entpackte .iso-Datei befindet sich dann im gleichen Ordner wie die .gz-Datei und ist bereit für die weitere Verwendung
ISO Datei mit balenaEtcher auf einen USB Stick schreiben
Den schwierigsten Teil haben wir schon hinter uns. Nun nutzen wir das Tool balenaEtcher, um einen USB-Stick zu erzeugen. Dieses Tool ist kostenlos und kann für zahlreiche Systeme wie Linux etc. genutzt werden, um einen USB-Stick zu erzeugen. Wenn du den folgenden Button drückst, kommst du auf die Webseite von etcher.balena.io.
Klicke auf der Webseite auf “Download Etcher”. Die Seite erkennt automatisch dein System und wird die für dein System richtige Version herunterladen. Nach dem Download installierst du Etcher auf deinem System.
Im nächsten Schritt kannst du einfach den Screenshots folgen. Wir müssen über Select image unsere ISO Datei angeben und mit Select drive wählen wir den richtigen! USB-Stick aus. Dieser wird vollständig durch das ISO überschrieben! Achte daher darauf, keinen Fehler zu mache.
Wähle den von dir angeschlossenen USB Stick. ACHTUNG Stick bzw. Datenträger wird vollständig überschrieben! Stecke daher am besten nur den geplanten Stick an, um Datenverlust auf dem falschen Datenträger zu vermeiden. Achte auch darauf, den richtigen Datenträger zu wählen!
Klicke nun nur noch auf Flash! und der Stick wird zu einem USB Boot-Stick geflashed. Von diesem können wir jetzt für die weiteren Schritte zur erfolgreichen pfSense Installation booten.
Grundinstallation der pfSense
Nachdem wir nun den fertigen USB-Stick haben, ist es an der Zeit von diesem zu booten. Dazu ist wichtig, dass du die Taste für dein Boot-Menü für dein System kennst. Bei meinem Fujitsu Futro ist es die F12 Taste. Ich erhalte nachfolgenden Boot-Screen vom Bios/UEFI.
Im Anschluss wird für ca. 3 Sekunden ein weiteres Boot-Menü von der pfSense über den Stick angezeigt. Hier lassen wir den Countdown einfach ablaufen und das System wird vom USB-Stick für die weiteren Installationsschritte geladen.
Nachdem du die Copyright-Bedingungen akzeptiert hast, kommen wir zu den eigentlichen Installationsschritten. Wir wählen Install und bestätigen mit OK.
Ich empfehle Auto ZFS für die Installation.
Wer nur einen internen Datenträger hat wie z.B. eine SSD oder M.2 wählt Stripe. Wer mehr Ausfallsicherheit hat, könnte diese über einen Raid 1 (mirror) spiegeln.
Im nächsten Schritt ist es extrem wichtig, dass du den richtigen Datenträger auswählst für die Installation! Hast du also mehr als einen Datenträger in deinem System, wird ein falsch ausgewählter vollständig gelöscht! Du musst also wissen, was du tust!
Nach dem Kopiervorgang steht noch ein Neustart mit Reboot an. Danach kann der Stick sofort entfernt werden, so dass der Rechner nun von dem internen Datenträger booten muss.
Wieder erscheint nun kurz ein Boot-Menü der pfSense dass wir einfach automatisch ablaufen lassen.
Nachdem alles geladen wurde, steht das System bereit und wird dich parallel auch mit einem akustischen Signal darauf aufmerksam machen. Das ist besonders dann hilfreich, wenn die pfSense ohne Bildschirm irgendwo an der Wand oder im Server-Raum ihren Dienst verrichten soll und man einen Neustart durchführt. In diesem Fall ist man ausschließlich auf die akustische Meldung angewiesen.
Ich habe die IP-Adresse, unter der die pfSense Weboberfläche für die weitere Konfiguration erreichbar ist, mit einem Pfeil hervorgehoben. Am WAN Anschluss der pfSense steckst du das Netzwerkkabel ein, dass von deinem Router zur pfSense geht. An der WAN-Schnittstelle befindet sich quasi das Internet. Ich persönlich richte bei meiner Fritz!Box einen exposed host ein. Der gesamte eingehende Internetverkehr wird somit direkt an die pfSense weitergeleitet. Dies ist das, was ich erreichen möchte. Schließlich werden die Regeln für eingehende und ausgehende Verbindungen an der pfSense konfiguriert. Sowie ein LAN-Kabel vom Router auf der WAN-Schnittstelle der pfSense angeschlossen wird, erhält diese eine IP mittels DHCP vom verwendeten Router. Dies ist die Standardeinstellung der pfSense. Die korrekte Verbindung siehst du im zweiten Bild.
Am LAN-Anschluss der pfSense befinden sich dann alle Endgeräte und weitere Switche. Das ist somit dein internes LAN. Hast du, ich mehrere LAN-Schnittstellen, kann man diese später in der webGUI zusätzlich aktivieren und nutzen.
Damit ist die Grundinstallation abgeschlossen. Im 3. Teil werden wir die pfSense über die grafische Oberfläche weiter konfigurieren und anpassen. Sowie es den 3. Teil dieser Serie gibt, wird er hier ebenfalls verlinkt.
Pingback: Turbo-Sicherheit für dein Netzwerk Teil 1: Wie ein Eigenbau-PfSense mit Thin-Client-System neue Maßstäbe setzt - KISCANDO