Hulpartikel overzicht

Hulpartikel

pfSense installatiehandleiding

Het internet is niet bepaald te bestempelen als een veilige plek: elke dag worden er kwetsbaarheden gevonden in besturingssystemen en aanvallen door botnetwerken vinden aan de lopende band plaats.

pfSense helpt je jezelf hiertegen te beschermen: het is een gratis firewall besturingssysteem waarmee je enterprise level security krijgt. Met een pfSense-firewall kun je al het publiek verkeer (i.e. verkeer over het open internet) van jouw VPS'en via de pfSense-firewall laten verlopen. De VPS'en zelf kun je dan afhankelijk van je use case zelfs onbereikbaar voor het publieke internet, waardoor ze niet meer zomaar aangevallen kunnen worden. Daarnaast zijn er in pfSense nog aanvullende nuttige tools ingebouwd, zoals een VPN-server.

In deze handleiding begeleiden we je door het installatieproces van een nieuwe pfSense-firewall.

Voor de stappen in deze handleiding is minimaal nodig: één X1-VPS met pfSense en een private network.


 

Stap 1

Voeg voor je begint aan de installatie alvast je pfSense-firewall toe aan het private network waar ook de VPS'en in zijn opgenomen/opgenomen die gebruik gaan maken van de pfSense-firewall. Dit vereenvoudigt de configuratie verderop in deze handleiding aanzienlijk. Als de installatie van pfSense al gestart is, herstart dan je VPS via de console in het controlepaneel na het toevoegen aan het private network zodat de networkadapter voor je private network zeker gedetecteerd is.


 

Stap 2

Na het starten van de installatie, krijg je eerst de mogelijkheid een toetsenbord-taal te kiezen. Standaard staat deze op US-international, wat wij in Nederland gebruiken. Druk op 'Enter' om verder te gaan.

pfsense installer keymap


 

Stap 3

Kies nu een partitioneringsoptie. We kiezen voor onze installatie 'Auto (UFS) BIOS' maar je bent vrij in de keuze. Let wel dat UEFI niet optimaal ondersteund wordt door FreeBSD, waar pfSense op is gebaseerd.

pfsense installer partitioning


 

Stap 4

De installatie wordt nu uitgevoerd. Na afloop vraagt de installer of je nog wijzigingen wil maken. Selecteer hier 'No'. Je VPS zal nu herstarten.

pfsense installer finished


 

Stap 5

Je wordt nu gegroet door een configuratie wizard in de pfSense shell. De wizard geeft je de mogelijkheid een VLAN te configureren maar raadt aan dat later pas te doen. We volgen dit advies, dus kies hier voor 'n' om verder te gaan.

pfsense installation vlan


 

Stap 6

Vervolgens stel je de WAN-adapter in, oftewel de network interface voor je publieke internetverbinding. In het bold zie je de beschikbare network interfaces. Bij een VPS op één private network is simpelweg de regel dat de eerste interface je WAN-interface is en de tweede de LAN-interface (van het private network).

Type de naam van de interface 'vtnet0' en druk op 'Enter'.

pfsense installation wan interface

De eerste interface is je WAN-interface en de tweede de LAN-interface van het private network. Indien de VPS onderdeel uitmaakt van meerdere private netwerken, is de derde interface (meestal vtnet2) de interface voor het tweede private netwerk waar de VPS aan is toegevoegd, de vierde (meestal vtnet3) die voor het derde private netwerk, etc.


Stap 7

Dit is een belangrijke stap waar je keuze afhankelijk is van je huidige setup:

  • Gebruik je een private network met daarin opgenomen een pfSense firewall en minimaal één VPS met een browser? Geef dan de naam van je LAN interface op, namelijk 'vtnet1' en ga door met stap 8.
  • Gebruik je een private network met een pfSense firewall zonder een VPS met een browser? Laat dan deze optie leeg en druk op 'Enter' om verder te gaan. Ga daarna door naar stap 14.
  • Is je VPS nog niet aan een Private Network toegevoegd? Doe dat dan na de installatie, laat de optie in deze stap leeg en druk op 'Enter' om verder te gaan. Ga daarna door naar stap 14.

De reden waarom dit belangrijk is, is dat als je hier een LAN interface opgeeft, dan zal de pfSense webinterface enkel via je private network benaderbaar zijn en niet via je publieke IP-adres. Dit kun je overigens eenvoudig aanpassen en leggen we uit in onze handleiding 'pfSense: webGUI toegang via publiek internet'.

pfsense installation lan interface


 

Stap 8

Je komt nu in het shell menu van pfSense terecht. pfSense geeft je LAN interface automatisch een IP-adres. Er is een goede kans dat dit automatische IP-adres in een ander subnet is opgenomen dan de andere VPS'en in je private network. Kies daarom voor optie '2' om statisch een IP-adres in te stellen.

pfsense shell set interface ip


 

Stap 9

Kies de interface waar je het IP-adres van wil aanpassen, in dit geval '2' voor je LAN interface.

pfsense shell set interface ip interface selection


 

Stap 10

Geef een nieuw IP-adres op voor je LAN interface dat in hetzelfde subnet valt als andere VPS'en in je private network, bijvoorbeeld 192.168.0.1

pfsense shell set interface ip ipv4

In ons voorbeeld kiezen we voor 192.168.0.5: er waren al een aantal VPS'en in onze testomgeving die de eerste adressen in gebruik hebben en 192.168.0.5 valt binnen hetzelfde subnet als de LAN IP-adressen van de andere VPS'en op ons test private network (met IP-adressen 192.168.0.1, 192.168.0.2 etc).


 

Stap 11

Over subnet gesproken: pfSense vraagt je nu om de 'subnet mask'. Bij twijfel kun je deze cheatsheet raadplegen. In onze test-setup kiezen we voor 27 (maximaal 32 hosts). pfSense kiest bij een automatische configuratie zelf voor 24.

pfsense shell set interface ip subnet

Simpel gezegd bepaalt het subnet mask hoeveel IP-adressen binnen een netwerk vallen. Met een subnet mask van /27, oftwel 192.168.0.0/27, (zie de cheat sheet) kun je 32 hosts gebruiken. Stel dat je 32 VPS'en de IP's 192.168.0.1 t/m 192.168.0.32 geeft, dan bevinden die zich allemaal binnen hetzelfde /27 subnet. Een VPS die daarna erbij komt met 192.168.0.33 zou daar niet in passen.


 

Stap 12

Druk twee keer op 'Enter' om geen gateway en IPv6-adres op te geven en kies voor 'n' om geen DHCP te gebruiken voor je LAN interface: het hele punt van de vorige stappen was juist om je netwerkconfiguratie statisch in te stellen.

pfsense shell set interface ip dhcp


 

Stap 13

Tot slot krijg je de vraag of je HTTP in plaats van HTTPS wil gebruiken voor de webinterface van pfSense. Kies hier voor 'n' en druk op 'Enter'.

pfsense shell set interface ip http


Stap 14

Je keert nu terug naar het shell-menu van pfSense.

pfsense terminal example

Je kunt nu inloggen in de webinterface van pfSense. Hiervoor ga je, afhankelijk van je keuze in stap 7, of in je internetbrowser naar het publieke IP-adres van je pfSense-VPS (zichtbaar achter vtnet0 in het shell-menu), of open je een browser op een VPS in hetzelfde private network als je pfSense-VPS en ga je naar het LAN IP-adres (zichtbaar achter vtnet1 in het shell-menu).

Je wordt eerst gegroet door een waarschuwing (deze kan per browser er iets anders uit zien). Deze waarschuwing krijg je te zien omdat er (uiteraard) geen SSL-certificaat is gekoppeld aan het IP-adres van je VPS en ook nog niet aan een eventuele (sub)domeinnaam (zie de aanvullende tip onderaan deze stap).

Klik op 'Advanced'/'Geavanceerd' > 'Accept the Risk and Continue' / 'Het risico aanvaarden en verder gaan'.

pfsense website warning

Aanvullende tip: je kunt de DNS van een (sub)domein aan het publieke IP-adres van je firewall koppelen, bijvoorbeeld pfsense.voorbeeld.nl en dan in je browser het subdomein gebruiken in plaats van het IP-adres. Voor een private network met een eigen DNS-server, bijvoorbeeld bij een Windows-netwerk, kun je een lokaal subdomein instellen zoals 'pfsense.transip.local' (zie deze handleiding voor het instellen van DNS-record op een Windows DNS-server). Let wel dat je eerst via het LAN IP-adres de stappen hieronder moet doorlopen voor dit werkt.


 

Stap 15

Login met de volgende gegevens (het wachtwoord pas je verderop aan):

  • gebruikersnaam: admin
  • wachtwoord: pfsense

pfsense sign in


 

Stap 16

Je wordt nu gegroet door (nog) een configuratiewizard. Negeer de wachtwoordwaarschuwing en klik op 'Next' om te beginnen.

pfsense wizard setup


 

Stap 17

Vul op deze pagina de hostname, het bijbehorende domein van je pfSense-firewall in en de Primaire en Secondaire DNS Servers.

  • Het is handig om hier een publiekelijk bereikbaar domein voor te gebruiken zoals pfsense.voorbeeld.nl.
  • De Primaire en Secondaire DNS Server vind je terug in het TransIP-controlepaneel onder 'Beheren' > 'Netwerkinformatie'. Op moment van schrijven zijn dit 195.8.195.8 en 195.135.195.135

pfsense wizard general settings


 

Stap 18

pfSense gebruikt out-of-the-box een aantal servers om de klok van je servers te synchronizeren. Deze zijn gekoppeld aan het adres '2.pfsense.pool.ntp.org'. Optioneel kun je meer servers opgeven door die met spaties te scheiden, bijvoorbeeld: 0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org.

pfsense wizard time settings


 

Stap 19

De 'Configure WAN Interface'-pagina kun je direct overslaan. Scroll helemaal naar onderen en klik op 'Next'.

Het MAC Address kun je aanpassen maar is alleen relevant als je dat wil spoofen, de MTU en MSS worden automatisch ingevuld, de primaire adapter hebben we via DHCP ingesteld en alle overige instellingen zijn ISP-afhankelijk, en kun je op het TransIP-netwerk negeren.

pfsense wizard wan settings


 

Stap 20

De LAN-configuratie zie je doorgaans alleen als je tijdens de configuratie in de shell (stap 7) gekozen hebt voor het configureren van een LAN Interface. Je krijgt dan op deze pagina een bevestiging van je gekozen instellingen. Klik op 'Next' om direct verder te gaan.

pfsense wizard lan settings


 

Stap 21

Het is niet heel veilig om het wachtwoord 'pfsense' te gebruiken voor het 'admin'-account. In deze stap pas je die dan ook aan naar een veiliger wachtwoord.

pfsense wizard change password


 

Stap 22

Klik op 'Reload' om de wijzigingen tot zoverre te verwerken en verder te gaan.

pfsense wizard reload


 

Stap 23

Stap 8 vliegt automatisch voorbij en je komt dan ook automatisch bij de finishlijn terecht: Klik op 'Check for updates' om te controleren of er nieuwe updates beschikbaar zijn voor pfSense en daarna op 'Finish' om de wizard af te ronden.

pfsense wizard finished


 

Stap 24

Je krijgt tot slot nog een copyright & trademark te zien. Neem deze door en sluit hem daarna.

pfsense trademark


 

Je komt nu in het pfSense dashboard terecht en daarmee zijn we aan het eind gekomen van deze installatiehandleiding. Maar... hoe nu verder?

Als eerste raden we aan om op alle servers in hetzelfde private network als je pfSense-firewall, om de LAN default gateway (op de lege plek achter 'Default Gateway' in stap 7 van deze handleiding) te verwijzen naar het LAN IP-adres van je pfSense-firewall. Dit is bijvoorbeeld belangrijk wanneer een remote computer via je pfSense-firewall verbindt en dan probeert te verbinden met een server op je private network: Simpel gezegd weet je server dan dat die verkeer terug moet sturen via je pfSense-firewall.

Tot slot raden we aan om ook de volgende handleidingen te raadplegen:

Let op: heb je in stap 7 gekozen voor een installatie zonder private network of tweede VPS met beschikking tot een browser? Doorloop dan nu eerst deze handleiding om je LAN Interface te configureren.

pfsense dashboard

Neem ook een kijkje in de documentatie van pfSense voor geavanceerde opties.

Mocht je aan de hand van dit artikel nog vragen hebben, of een verzoek voor meer documentatie, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op