Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Dani am 01.03.2015 um 12:43:13 Uhr
Bitte schreibt für eure Fragen einen eigenen Beitrag und verlinkt auf diese Anleitung.

Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Anleitung Sicherheit Firewall

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

29.08.2010, aktualisiert 06.02.2016, 201764 Aufrufe, 109 Kommentare, 25 Danke

Viele Threads bei Administrator.de im Netzwerkbereich fragen nach einer Kopplung 2er oder mehr IP Netze. Das kann sich auf die Verbindung von Firmennetzen beziehen in Bürogemeinschaften, die sichere Abtrennung eines Gast- bzw. Besucherbereiches vom Produktivnetz mit einem Captive Portal (Hotspot), oder der Einrichtung einer DMZ für einen sicheren Zugriff von außen usw.
Es gibt viele solcher Anwendungsbeispiele für derartige Szenarios.
Billigen Consumer Routern mit bekannter NAT Problematik mangelt es oft an Performance und an Stabilität der Firmware oder es fehlt schlicht und einfach diese Firewall Option.
Dieses Tutorial gibt einen Leitfaden für die Lösung und den unkomplizierten Aufbau einer einfachen und performanten Firewall auf Basis der populären freien pfSense oder OpnSense Firmware, die auch Anfänger leicht packen.
Zusätzlich bietet sie mit OpenVPN, PPTP und auch IPsec den VPN Zugang gängiger Standard "onboard" VPN Clients bei Windows, Apple, Linux und Smartphones, etc. für mobile Benutzer.
Durch diese große Flexibilität mit gängigen VPN Protokollen kann sie einfach und universell in so gut wie alle bestehenden kommerziellen VPN Router- und Firewall Umgebungen integriert werden um z.B. eine Site-2-Site (LAN zu LAN) Kopplung zweier oder mehr Standortnetze per VPN zu realisieren.
Last but not least ist sie auch noch 802.1q VLAN fähig und integriert sich damit einfach und problemlos in Netze mit VLANs um so kostengünstig eine sinnvolle Segmentierung zu erreichen.
Wie immer führen viele Wege nach Rom aber gerade der unkomplizierte Einsatz auf einer kleinen, stromsparenden Appliance und der bewusste Verzicht auf resourcenfressende PC Hardware, in Kombination mit einer einfachen, webbasierenden Administration per Mausklick, sprechen für dieses leistungsfähige Konzept bei kleinen und mittleren IP Netzwerken.


Vorbemerkung

Schnelle Lösungen wie die Integration einer 2ten oder auch 3ten Netzwerkkarte in einen Fileserver oder der Einsatz eines OSI Layer 3 fähigen Switches (Routing Switch) bergen Gefahren wie Instabilität und Performanceeinbußen durch zusätzliches Paket Forwarding auf einem Server bzw. eben der nicht unerhebliche Kostenfaktor bei der Investition in einen Layer 3, Routing Switch wenn nur wenige Netze zu verbinden sind.
Die sicherste Lösung so etwas im kleinen und mittleren Netzwerk Bereich umzusetzen ist immer eine kleine preiswerte Routing Firewall die diese IP Segmente sicher trennt !

Eine Firewall besitzt zudem zusätzlich noch weitere sinnvolle Features wie integriertes VPN (fast) aller gängigen VPN Protokolle, bei Gastnetzen die Möglichkeit eines Hotspot Betriebs (sog. Captive Portal), Link Loadbalancing bei doppelter Provider Anbindung (Ausfallsicherheit) und vieles mehr.
Ein preiswertes "Multitalent" in einem einzelnen Gerät das oft die Investition in separate zusätzliche Hardware überflüssig macht.
Mit pfSense Firmware supportet sie auch schnelle VDSL Anschlüsse und kann so auch als VPN Firewall Router problemlos am VDSL betrieben werden.
(Ein VDSL_Tutorial beschreibt wie es problemlos einzurichten ist.)
Das hiesige Tutorial beschreibt Schritt für Schritt den schnellen und preiswerten Aufbau dieser effizienten Firewall mit einer fertigen Komplettlösung auf Basis der bekannten, kleinen ALIX_Mainboards mit pfSense Firmware auf einer CF oder SD Flashkarte, den auch Anfänger und Laien sehr einfach bewerkstelligen können.
Der Zusammenbau beschränkt sich auf das Beschreiben (Flashen) eines SD, CF-Flash Speichers mit der Firmware und lediglich das Einschrauben in ein vorgefertigtes Gehäuse was auch Firewall Anfänger problemlos bewerkstelligen können. Hauptsache sie wissen wie man mit einem einfachen Schraubendreher umgeht.

Der Einsatz so einer fertigen Firewall Appliance hat den Vorteil das die Firewall klein und kompakt ist und im Jahresmittel nicht mehr als ca. 20 Euro Stromkosten verursacht. Ganz im Gegensatz zu großer und stromhungriger PC Hardware, auf der die o.a. Firmware auch laufen kann. Zudem besitzt sie keinerlei Verschleissteile wie Lüfter und Festplatten und ist so prädestiniert für sehr lange Laufzeiten und Ausfallsicherheit.

Diese Firewall hat ein integriertes Web Interface zum einfachen Konfigurieren per Mausklick, so das auch die Installation einfach und schnell zu realisieren ist. Ferner bietet sie eine ausgeklügelte grafische Überwachung um die Datenlast, Probleme, Angriffe usw. auf allen Interfaces und andere Betriebsparameter auch grafisch über einen Zeitraum darstellen zu können. So ist jederzeit eine gesicherte Aussage über die Auslastung und andere Betriebsparameter möglich.


Wer nicht bauen möchte und ein Fertigerät bevorzugt...
Um es gleich vorweg zu nehmen. Wer sich den Zusammenbau nicht zutraut und doch lieber auf Nummer sicher gehen möchte, bekommt alternativ für sehr geringe Mehrkosten komplett fertige Systeme im kleinen Desktop Gehäuse oder professionell für den 19" Schrankeinbau, die nur noch mit der Stromversorgung verbunden und über die Webseite konfiguriert werden müssen. Z.B.:
http://shop.varia-store.com/index.php?cat=c271_pfSense.html
oder alternativ hier:
http://www.applianceshop.eu/index.php/firewalls.html


Die Hardware

Die hier vorgestellte Hardware Basis ist ein ALIX Mainboard 2D13 der Firma PC-Eingines mit 3fach LAN Interface. Bei dem sehr geringen preislichen Unterschied zu einem 2 Port LAN Bord macht der Einsatz von 2 Port Boards keinen Sinn zumal der 3te Port einem Mehrwert bei z.B. zusätzlicher DMZ oder Gäste Netzen (WLAN mit Ticket System) bietet.
Das komplette Set aus Gehäuse, Board, Netzteil und Flash Speicher gibt es bequem als Bausatz zu kaufen, so das eine Bestellung der Einzelkomponenten ebenso keinen Sinn mehr macht. Z.B.:
http://shop.varia-store.com/index.php?cat=c179_Komplettpaket.html (2D19 Paket oder 2D13 Paket mit mehr Speicher 256 MB)
Amazon hat ebenso ein Komplett Set im Portfolio:
http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK/ ...
Dort gibt es auch gleich die perfekte Dokumentation als Papier und eBook:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280/r ...
Auch eBay ist natürlich von der Partie:
http://cgi.ebay.de/ALIX-2D13-Bundle-Board-Gehause-Netzteil-4GB-CF-80004 ...

Wer dennoch lieber die Einzelkomponenten bestellen möchte um noch ein paar Euro zu sparen, findet Alix Mainboards 2D19 oder 2D13 hier, passende Gehäuse hier und Netzteil hier.
Um fair zu bleiben hier noch eine alternative_Bezugquelle.
Ggf. bei Bedarf noch eine 1 oder 2 Gig CF Flash Karte. Diese gibt es als Massenware preiswert in den einschlägigen Massenmärkten oder HIER im Versandhandel.
Mit einer Standard 1 oder 2 GiG CF Karte ist man also bestens bedient sowohl für pfSense als auch für M0n0wall. 4 GiG funktionieren ebenfalls.
Für den Zusammenbau ist lediglich ein Schraubendreher erforderlich.

UPDATE !
PC Engines hat ein neues_Mainboard im Portfolio, das APU.1D !!
3 mal 1 Gigabit Ethernet, Dual Core CPU mit 2 GiG DRAM und minPCI und SIM Slots für Wireless LAN, GSM/UMTS/LTE Module.
Damit ist nun auch ein Firewalling auch mit 1 GBit/s Wirespeed auf 3 Ports möglich.
Das System ist auch als fertiges_Set erhältlich. Entsprechend auch mit dem neuen APU-1D Board.
UPDATE !


Die folgende Abbildung zeigt das ins fertige Gehäuse montierte ALIX Board:
a573fabe202fcae92a1a3d811f165842 - Klicke auf das Bild, um es zu vergrößern
Die Firewall kann auch professionell für die Schrankmontage in einem 19" Zoll, 1HE Schrankgehäuse gebaut werden oder gleich fertig_im_19_Zoll_Gehäuse erworben werden
Die Integration einer MiniPCI WLAN Karte ist ebenfalls möglich um im Firewall Gehäuse zusätzlich zu den 3 LAN Interfaces noch einen WLAN Accesspoint zu betreiben (z.B. für einen WLAN Gastzugang, Hotspot etc.).
Passende WLAN Mini PCI Karten finden sich hier und hier
Das u.a. Hotspot-Tutorial beschreibt die einfache Integration des WLANs.


Der Zusammenbau

Vom rein mechanischen Zusammenschrauben abgesehen, ist das einzige ToDo das Beschreiben (Flashen) der mitgelieferten CF-Flashkarte mit der Firmware Datei. Auch eine alte CF-Flashkarte aus dem digitalen Fotoapparat kann so prima recycelt werden. Eine preiswerte 1 oder 2 Gig CF-Flashkarte reicht problemlos für die Firmware aus.
Zum Beschreiben verwendet man einen simplen Flash_Card_Reader wie er schon häufig in Desktop PCs zum Auslesen von Foto Flash Cards usw. vorhanden ist oder einen entsprechenden USB Adapter den diverse Händler anbieten z.B.: hier

Das Beschreiben der CF-Karte erledigt das freie Programm physdiskwrite von der Monowall Webseite runter:
http://m0n0.ch/wall/physdiskwrite.php
Man kopiert das Programm einfach in ein freies Windows Verzeichnis das man zuvor angelegt hat.
pfSense und OPNsense ist eine Weiterentwicklung des abgekündigten Klassikers M0n0wall. Beiden liegt das als sicher und stabil geltende FreeBSD Unix zugrunde und die Firmware beider Lösungen wird kontinuierlich gepflegt. Meist schneller und umfassender als bei kommerziellen Firewalls !
Wer etwas "Angst" vor einem CLI Tool wie physdiskwrite hat verwendet den Klassiker Win32Diskimager:
http://sourceforge.net/projects/win32diskimager/
Ein grafisches Windows Tool das selbsterklärend ist. Man wählt lediglich die entzippte Image Datei aus und klickt auf "Write"
5ba00ccff3f5205cc44571780e89abb1 - Klicke auf das Bild, um es zu vergrößern
Die so geflashte CF oder SD Speicher Karte in das ALIX Board stecken, booten... Fertig, das wars !

Apple Mac User verwenden hier das komfortable "Pi Baker" Programm zum Flashen:
http://www.tweaking4all.com/hardware/raspberry-pi/macosx-apple-pi-baker ...

Wer es dennoch mit dem älteren physdiskwrite versuchen will hier ein paar wichtige Schritte:
In das Tool Verzeichnis kommt jetzt ebenso die Firmware Image Datei von Pfsense oder OPNsense, je nachdem welcher Firewall Firmware man den Vorzug gibt.
Möchte man beide Versionen testen kann man 2 separate CF Karten beschreiben und mit simplen, einfachem Umstecken beide Versionen einfach mal ausprobieren.
pfSense Firmware Downloads hier:
http://files.nl.pfsense.org/mirror/downloads
ACHTUNG: Bei pfSense sind die Image Dateien zum Download abhängig von der Größe der verwendeten CF oder SD-Flashkarten !
...1G = Image für 1 GiG Flash Karte
...2G = Image für 2 GiG Flash Karte
...4G = Image für 4 GiG Flash Karte
Alle pfSense Firmware Dateien mit der Bezeichnung nanobsd ist die passende Firmware für das ALIX Board !
Da das ALIX Board keinen VGA Anschluss hat, muss das Image ohne "VGA" im Namen verwendet werden !
Bei einer 2 GiG CF Flashkarte ist das dann z.B. pfSense-2.2.x-RELEASE-2g-i386-nanobsd.img.gz und für 4 Gig CFs dann analog: pfSense-2.2.x-RELEASE-4g-i386-nanobsd.img.gz ! (Versionsnummern im File hier nur Beispiel ! Sollten natürlich immer die aktuellsten sein.)
Wichtig:
Bei einem ALIX Bord ist trotz dort verwendetem AMD Geode Prozessor NICHT die "..amd64..." Version, sondern immer die "..i386-nanobsd..." Version für die Installation auf der Flashkarte zu wählen, da der Geode kein 64Bit Prozessor ist !
Anders beim neuen APU-1D was einen 64bit fähigen Prozessor besitzt. Dieses neue Board besitzt zudem einen SATA Port an dem eine SSD angeschlossen werden kann für Benutzer die mehr Speicherplatz benötigen wenn z.B. zusätzlich über die Packet Verwaltung ein Squid Proxy oder Web Filter installiert werden soll.
Hier ist also das pfSense-2.2.x-RELEASE-4g-amd64-nanobsd.img.gz Image zu verwenden wenn man eine SD Flashkarte von 4Gig oder größer verwendet !

Das Flash Tool physdiskwrite kann automatisch per GZIP (.gz) gezippte Dateien direkt beim Flashvorgang entzippen. Ein vorherhiges Entzippen .gz komprimierter Dateien ist daher nicht erforderlich, schadet aber auch nicht !
Für die Verwendung des bekannten Win32DiskImagers ist das vorherige Entzippen erfoderlich !
Diese .ZIP oder die .gz Archive müssen beim Win32DiskImager also vorher z.B. mit dem Allround_Klassiker_7z oder anderen klassischen Archivtools entpackt werden.
Im Verzeichnis sind nun
1.) physdiskwrite, (Tool zum Beschreiben der Flashkarte)
2.) pfSense Firmware Datei (.gz)
3.) Ggf. entzippte (.zip, .gz) Pfsense Firmware Datei passend zur Flashkartengröße !

Im nächsten Schritt wechselt man jetzt in einer Windows Eingabeaufforderung (Start -> "cmd", "DOS Fenster") in dieses Verzeichnis.
Zusätzlich steckt man jetzt die FAT oder FAT32 formatierte CF Karte in den Kartenleser !!!
Der generelle Kommandoaufruf lautet: physdiskwrite -u <image-name.gz>
Wichtig ist nun das richtige Laufwerk zu beschreiben, denn physdiskwrite überschreibt ohne Vorwarnung !!
In der Regel ist das Physical Drive 0 = Festplatte C: und Physical Drive 1 = Festplatte D: Die folgenden Laufwerksnummern (Physical Drive) sind dann Flash Karten Laufwerke. (Sofern keine zusätzlichen Laufwerke vorhanden sind !)
Wer kein Laufwerk D: hat (Festplatte oder Partition) "sieht" dann mit der Physical Drive Nummer "1" schon das Flash Laufwerk !!
Hier gilt es also wirklich genau hinzusehen BEVOR man die Laufwerksnummer angibt um die CF Karte zu beschreiben !
Das Flash Laufwerk ist aber immer eindeutig identifizierbar, da es eine erheblich geringere Anzahl an Zylindern hat (verglichen mit der Festplatte C: ) wie der folgende Screenshot sehr deutlich zeigt:

93bbccf57e08db5a6859c59fec25e773 - Klicke auf das Bild, um es zu vergrößern

Mit dem Kommando physdiskwrite -u embedded-1.33.img.gz (Beispiel Monowall Image) und der danach folgenden Auswahl (hier Physical Drive 2) beschreibt man nun die CF Karte mit der Firmware. (Der Parameter -u muss zwingend bei Flash Karten größer 800 Mbyte verwendet werden !!)
Der Schreibvorgang wird online auf dem Schirm angezeigt.
Das Flashen der CF Karte muss nur ein einziges Mal erfolgen. Danach kann die Firewall dann im laufenden Betrieb ganz einfach per Mausklick online über das Internet auf eine aktuelle Firmware Version sofern vorhanden upgedated werden.
Bei einer fertigen Komplettlösung (s.u.) entfällt es völlig da diese ja bereits eine beschriebene CF Karte enthält !
Ist die CF Karte jetzt fertig beschrieben wird sie auf den entsprechenden CF Stecker auf dem ALIX Board gesteckt und das ALIX Board mit 4 Schrauben ins Gehäuse geschraubt und das Steckernetzteil angeschlossen. Fertig !
Nochmals: Wem diese Schritte doch technisch zu kompliziert und Schraubendreher Hexenwerk sind, bekommt hier (Monowall) und hier (Pfsense) alles Plug and Play fertig und muss dann nur noch das Netzteil in die Steckdose stecken und die Konfiguration übers WebGUI vornehmen.
Nach erfolgreichem Zusammenbau steht nun einer Inbetriebnahme im Netz nichts mehr im Wege !


Die Konfiguration

Nach dem Booten hat die Firewall die folgenden Grundeinstellungen:
IP Adresse: 192.168.1.1
Pfsense Zugangspasswort: Benutzer: admin, Passwort: pfsense
Man verbindet nun ganz einfach den ganz rechten Port (LAN Port, in der u.a. Abbildung das gelbe Kabel) der Firewall per Patchkabel mit einem Laptop oder PC. Per DHCP bekommt dieser dann automatisch eine IP Adresse aus dem 192.168.1.0er Netzwerk zugewiesen.
Jetzt nur noch den Web Browser der Wahl öffnen und oben ins URL Feld http://192.168.1.1 eingeben. Bei der erscheinenden Benutzerabfrage loggt man sich mit den o.a. Usernamen und Passwort ein.
Eine klassische Prozedur wie bei allen Routern um zur webbasierenden Konfiguration zu gelangen. Daraufhin kann die Firewall über ihre Konfig Webseite gemäß Anforderungen konfiguriert werden.
Abb. Login pfSense
e175bd598b6d6816e93959206f6bf2ca - Klicke auf das Bild, um es zu vergrößern

Interface Zuordnung:
Achtung: Ab der Version 2.2x ist es bei ALIX u.a. Hardware die KEINEN Bildschirm Anschluss hat, zwingend notwendig vorab über die serielle Konsole die physischen Interface Ports der pfSense einmalig zuzuweisen !
Ohne diese initiale Zuweisung via (Bildschirm) Terminal bleiben die Ethernet Interfaces funktionslos und man kommt nicht via Default IP Verbindung aufs GUI der pfSense zum Konfigurieren !

Die Schritte das zu erledigen sind aber kinderleicht und schnell gemacht:
Wer keinen seriellen COM Port mehr am Rechner hat benötigt dazu einen kleinen, preiswerten Standard USB seriell Adapter UND ein DB-9 Nullmodemkabel wie z.B. dieses hier:
http://www.reichelt.de/DELOCK-61856/3/index.html?&ACTION=3&LA=4 ...
und hier
http://www.reichelt.de/AK-143/3/index.html?&ACTION=3&LA=446& ...
der in jedem PC Shop oder beim Versender (Reichelt, Amazon) zu haben ist.
Windows User laden sich dazu eines der kostenlosen Terminal Programme PuTTY oder TeraTerm herunter.
Nach der Installation stellt man im Setup des Terminal Programms den seriellen COM Port auf 115.200 Baud, 8 Bit, 1 Stoppbit, keine Parity, keine Flow Control in den Settings ein und setzt die Schnittstelle auf den richtigen USB COM Port (Gerätemanager).
Das Nullmodemkabel schliesst man nun vorne an die serielle Schnittstelle der pfSense bzw. ALIX 2D13 oder APU1D etc. an und startet das Terminal Programm.
Hier kann man jetzt die Boot Messages des Boards usw. sehen wie an einem angeschlossenen PC Bildschirm. (Sieht man hier "Hieroglyphen" stimmt die Einstellung der seriellen Baudrate nicht !)
Check der COM Port Nummer des seriellen Ports (Adapter) im Gerätemanager:
983a4533ea97224dfd8f4e9224f670ef - Klicke auf das Bild, um es zu vergrößern

TeraTerm starten mit passendem seriellem COM Port:
17f7dcd34ec34e20f48e65a42f947b12 - Klicke auf das Bild, um es zu vergrößern

Serielle Parameter einstellen (TeraTerm):
661e6942d3f9ccdf22e5ffa4aa472f79 - Klicke auf das Bild, um es zu vergrößern

Serielle Parameter und COM Port einstellen (PuTTY):
bef0a491886c4558cd5f1a560e88357c - Klicke auf das Bild, um es zu vergrößern

Apple Mac User nehmen hier die Shareware ZTerm: http://www.dalverson.com/zterm/ ,machen die Einstellungen wie oben (Baudrate, etc) und setzen ebenfalls die serielle Schnittstelle unter Settings --> Modem Settings auf den Seriell USB Adapter zu setzen:

e7c9bf064328ad94ff6cabe40cb2ac81 - Klicke auf das Bild, um es zu vergrößern

Bei Linux erledigt das das Package minicom und den USB Seriell Adapter setzt man auf die Schnittstelle /dev/ttyUSB0 .

Beim ersten Booten springt die pfSense dann in ein Menü wo man die Schnittstellen menügeführt zuordnet was selbsterklärend ist.
Das macht man einmalig, dann speichert das Board diese Zuordnung permanent !
Generell ist dieser Adapter keine Fehlinvestition. Fast alle Netzwerk Komponenten Hersteller haben serielle Schnittstellen an ihren Geräten so das man das immer gut brauchen kann.
Auch wenn mal individuelle Änderungen an der pfSense über die Shell nötig sind oder anderes Troubleshooting ist dies Tool sehr hilfreich.


Die Internet Anbindung und Betrieb

Da die Firewall selber direkt PPPoE spricht auf dem "Internet" WAN Port, kann sie direkt an ein DSL Modem (oder auch DSL Router mit DHCP) bzw. einem TV Kabelmodem und auch LTE oder 3G Router angeschlossen werden.
Einige "Klassiker" vom Netzwerk Design mit Internet Zugang und 2 weiteren Netzsegmenten zeigen die folgenden 3 Abbildungen:
Eins der meistbenutzten Netzwerk Designs ist wie unten zu sehen ein geschütztes (Firmen) Netz und ein separates, sicher abgetrenntes Netz für Gäste und Besucher mit oder ohne Hotspot (Captive Portal) Lösung oder eben eine sichere DMZ:

c9817421dc15a0b4c5498ddbcbd98588 - Klicke auf das Bild, um es zu vergrößern

Die untenstehende Abbildung zeigt die Anbindung 2er Firmen oder Nachbarschaftsnetze plus VPN Zugang von außen für remote Mitarbeiter oder Mangement:
e7970cc4b276e8c6e24e892d0f41c1fc - Klicke auf das Bild, um es zu vergrößern

Hier ein einfaches Design für eine VPN LAN zu LAN Kopplung 2er remoter IP Netze über das Internet:

0eb6153e2b33dd4f48d5499495093e70 - Klicke auf das Bild, um es zu vergrößern


Die zusammengeschaltete Hardware (ohne 19" Schrank) zeigt die folgende Abbildung, wobei der Cisco Switch das Firmen Produktivnetz bedient und der NetGear Miniswitch ein Gastnetz mit WLAN Accesspoints. Die Firewall selber ist direkt an ein preiswertes ADSL2+ DSL Modem angeschlossen und realisiert den Internetzugang. (Statt Modem kann hier natürlich auch ein vorgeschalteter Router verwendet werden).

b09d31efba50e182ff4ceede23ecf8d9 - Klicke auf das Bild, um es zu vergrößern
Ein passendes Alix Gehäuse für professionelle 19" Zoll Schränke, mit oder ohne integriertes Netzteil, für die o.a. Firewall findet man HIER.

WICHTIG:
Die Internet Anbindung mit einem reinen ADSL2+ oder VDSL Modem (kein Router) bietet immer einen erheblichen technischen Vorteil, denn es entfällt einerseits ein zusätzliches, überflüssiges NAT (IP Adress Translation) und auch eine NAT Firewall vor der Firewall durch die evtl. Kaskadierung mit einem Router, die wieder Probleme mit dem Port Forwarding z.B. bei VPN usw. bringen kann.
Es ist aus Performance- und auch aus Konfigurations Sicht immer vorteilhafter ein simples Nur Modem am WAN Port der Firewall zu nutzen !
Viele Router wie die bekannten Speedports oder FritzBoxen lassen sich via Setup auch als reines DSL Modem betreiben.
Achtung bei moderneren Speedport bzw. deren Firmware. Die T-Com hat hier oft die Option zur Konfiguration des reinen Modem Betriebs entfernt ! Es lohnt also ein Blick in die Details.

Wer auf Nummer sicher gehen will beschafft sich eine preiswertes ADSL2+ Modem wie z.B. DIESES_hier !
Damit geht man dann was die ADSL2+ Installation anbetrifft vollkommen auf Nummer sicher, da diese Nur Modems auch beide Annex Varianten im ADSL sicher supporten.

Das folgende Beispiel zeigt in der Abbildung eine preiswert über eBay erworbene Fritzbox 2170 die wunderbar als nur DSL Modem mit der pfSense und Monowall zusammenarbeitet:

5aaba107afb3169ef9e958f619f844bc - Klicke auf das Bild, um es zu vergrößern
Im Menü "Internet -> Zugangsdaten" wählt man hier einfach die Option "FritzBox als xDSL Modem nutzen".
Es sollte klar sein das dann die Firewall am Port der das WAN / Internet Interface bedient auf PPPoE Modus gestellt wird im Setup !
Dort im WAN Port Setup der pfSense werden dann auch in einem Nur Modem Setup die erforderlichen xDSL Provider Zugangsdaten (Username / Passwort) konfiguriert, also direkt im Setup der Firewall und NICHT auf dem Device davor ! (Siehe auch unten analog bei der VDSL Konfiguration !)

f502af5a8b1693297470b5b0a64d3feb - Klicke auf das Bild, um es zu vergrößern
Bei einer xDSL Dauerverbindung OHNE Zeit- oder Volumenbindung vom Provider sollte man unbedingt noch den Haken "Enable Dial on Demand Mode" setzen !
ACHTUNG: Die o.a. Einstellung PPPoE gilt nur für xDSL Kunden !
Kabel TV Kunden die die Firewall direkt ans Modem anschliessen belassen den WAN Port im DHCP Modus. Ggf. muss das Kabel TV Modem beim Anschluss einmal stromlos gemacht werden (Mac Adress Reset).
Kabel TV Modems sind also ebenso problemlos anzuschliessen, da die Firewall ein Breitband (Ethernet) Interface hat. Sie bietet zusätzlich die Option die Mac Adresse am WAN /Internet Port frei zu konfigurieren um ggf. beim Provider registrierte Kabelmodem Mac Adressen zu emulieren.
Wichtig ist hier das Fazit diese Firewall generell performant auch am VDSL, Kabel TV, FTTH und LTE quasi also an allen Infrastrukturen betreiben zu können, wie auch immer man sie letztlich anbindet.

Eine Router / Firewall Kaskade ist aber aus Performance- und Konfig Sicht technisch immer die schlechtere Wahl ! Sie lässt sich aber leider oft nicht vermeiden wenn Provider die dedizierte Benutzung von TV Kabel-, LTE- oder xDSL Router erzwingen (sog. "Zwangsrouter Problematik").
Klar ist aber auch das viele Nutzer die mit "Zwangsroutern" vom Provider ausgestattet sind oder aufgrund von Telefonie Nutzung (VoIP) oft keine solche reine Modem Option haben oder gar wechseln können. Da bleibt dann nur die o.a. Firewall an diesen vorhandenen Router als Kaskade anzuschliessen. Es ist generell kein Nachteil und funktioniert auch fehlerlos.
Fazit: Auch Provider Zwangsrouter sind generell KEIN Hinderniss für den Betrieb dieser Firewall !


Die Entscheidung: pfSense oder OPNsense (M0n0wall) ?

Update: Das Monowall Projekt würde kürzlich abgekündigt: http://m0n0.ch/wall/end_announcement.php
Nicht wirklich schlimm, da die meisten Benutzer fast ausschliesslich pfSense wegen des besseren Featuresets und moderneren Outfits einsetzen. Ist auch eine klare Empfehlung des hiesigen Tutorials.
Allen die lieber europäische Firmware verwenden wollen sei das Projekt OPNsense (https://opnsense.org) ans Herz gelegt.
Was man auch immer letztlich verwendet, das Tutorial hier mit seinen ToDos ist weiterhin aktuell.

pfSense glänzt mit mehr Features (PPoE Server, OpenVPN, Link Loadbalancing bei 2 Provider Uplinks, grafische Lastauswertung etc.) und einem konfigurierbarem Dashboard. Desweiteren wird es aktiv gepflegt in Bezug auf Bugfixing.
OPNsense und die M0n0wall mit einer etwas schlankeren Oberfläche und weniger Featureitis..
Wer etwas mehr Firewall Features und Konfigurationsmöglichkeiten wie z.B.eine grafische Auswertung und Überwachung des Traffics über ein schickes Dashboard wie hier bevorzugt...
f18b1a7e20e512f93ba9bb61c114bb00 - Klicke auf das Bild, um es zu vergrößern
oder ein Load Balancing (Lastverteilung) zweier Internet Zugänge oder ein OpenVPN Umfeld benötigt, entscheidet sich dann klar für die pfSense Variante.
Es ist letztlich eine Geschmacksfrage und Frage der späteren Anwendung bzw. des vorhanden Netzwerkwissens.
Mit der aktuellen 2.x Version liegt pfSense, was das Monitoring des Traffics und andere Parameter anbetrifft und bei den Firewall Features ganz klar vorne und muss sich auch vor kommerziellen Firewalls nicht verstecken.
Die Fülle der Funktionen und des voll customizebaren Dashboards mit seinen Status Widgets sind absolut State of the Art auch im Profibereich.
In Verbindung mit VPNs ist das ALIX Board auch erste Wahl, da es mit dem im AMD Geode Prozessor embeddeten Krypto Chip eine Hardware Beschleunigung aller kryptografischen Funktionen bietet und performanceseitig damit auch kommerzielle VPN Firewalls gleicher Größenordnung in den Schatten stellt.

Sogar das IPCop Derivat "IPFire" lässt sich problemlos auf dem ALIX Board installieren, allerdings ist die Installation nicht so komfortabel und erheblich aufwendiger und unübersichtlicher und deshalb nichts für Ungeübte.
Die Wahl von pfSense als FW Software statt IPCop/IPFire ist auf alle Fälle die weitaus Bessere für die ALIX Board Hardware !
Auch im Hinblick auf die einfache Bedienbarkeit denn über ein klar strukturiertes WebGUI hat die pfSense hier klar die Nase vorn.


Die Erweiterung: Eine WLAN Schnittstelle (Integrierter Accesspoint oder WLAN Client)

Das ALIX Board bietet zusätzlich intern einen freien miniPCI Steckplatz. Hier kann man mit 2 bis 3 einfachen Handgriffen in zehn Minuten ein miniPCI WLAN Modul plus WLAN Antenne einsetzen und so eine 4te physische Schnittstelle mit integriertem WLAN nachrüsten.
Dabei kann diese Wireless Schnittstelle dazu dienen sich als Client in ein bestehendes WLAN einzuklinken und dies zu nutzen (Internet Zugang) oder selbst aktiv als WLAN Accesspoint zu arbeiten (Hotsport für Cafe, Hotel etc.)
Die pfSense Firewall Software unterstützt problemlos beide WLAN Modi !
Das o.a. ALIX Gehäuse hat per Default schon die vorgefertigte Bohrungen so das der Einbau von Antenne und miniPCI Board lediglich mit einem Schraubendreher in 10 Minuten ohne mechanische Arbeiten zu erledigen ist.

Die dazu erforderlichen einzelnen Schritte beschreibt DIESES_TUTORIAL Schritt für Schritt im Detail.
Die Integration einer Dual Band (2,4 Ghz und 5 Ghz WLAN) mini PCI WLAN Karte beschreibt im o.a. Tutorial das Zusatzkapitel "Dual Band Betrieb bei einer WLAN miniPCI Karte"


Die VDSL Anbindung dieser Firewall

Diese Firewall lässt sich auch problemlos an allen gängigen, modernen VDSL Ports betreiben. Nötig ist dafür lediglich ein simples VDSL Nur Modem wie z.B. ein Draytek_Vigor_130
Ein Zyxel_1312 funktioniert ebenfalls problemlos im nur Modem Betrieb am VDSL wie ein Allnet A500VDSL2.
Von den klassischen Provider Modems bzw. Routern ist ebenso ein Speedport 221 oder Speedport 300HS (z.B. via eBay) geeignet oder auch ein Speedport Router Modell das sich per Setup in den reinen VDSL Modem Betrieb konfigurieren lässt. (PPPoE Passthrough)
Aber auch hier wieder ACHTUNG, da die T-Com aus aktueller Firmware die Nur Modem Option ihrer Speedport Router entfernt hat.

Da VDSL Daten in D immer mit einem 802.1q VLAN Tag vom Modem / Router versehen sein müssen (andere Länder ggf. unterschiedlich !) , muss dies vorher am WAN Port der pfSense definiert werden. (Achtung: Diese Zuweisung ist NUR mit der pfSense SW möglich ! Monowall supportet das nicht !)
Die Dt. Telekom benutzt hier durchgehend den VLAN ID Tag 7. Andere Anbieter wie z.B. Vodafone nutzen am VDSL den VLAN Tag 132 !
Hier gilt es also genau hinzusehen.
Eine Schritt für Schritt Anleitung dazu findet man HIER.
Einige Speedport Modelle taggen aber auch im reinen Modembetrieb alle Pakete ausgehend automatisch mit der VLAN ID 7 (respektive z.B. 132 bei Vodafone) so das bei diesen Modems auch keine Tagging Konfiguration der pfSense erforderlich ist !!
Im Einzelfall also immer ins Handbuch des Modems sehen oder selber mit dem Wireshark Sniffer nachsehen und ausprobieren !
Falls alle Stricke reissen funktioniert natürlich auch immer eine Kaskade mit einem vorgeschalteten Router. Nicht optimal aber immer noch besser als keine Firewall. Gerade für Benutzer die einen Provider Zwangsrouter aufgedrückt bekommen.

Generell ist, wie oben bereits mehrfach erwähnt, der Betrieb mit einem Nur Modem und direkter Internet Terminierung auf der pfSense Firewall aber performanter und erzeugt weniger Probleme gerade bei VPN Nutzung.
Manchmal lässt sich aber eine Kaskade, gerade bei den sog. , bereits erwähnten Provider Zwangsroutern nicht vermeiden, was letztlich aber auch KEIN Hinderungsgrund für den Betrieb der Firewall an solchen Anschlüssen ist.

Folgende reine Modems funktionieren fehlerfrei:
Draytek Vigor 130     Zyxel VMG1312-B30A     Speedport 221                    ALLNET ALL126AS2     Speedport HS300  
Profil: bis 30a       Profil: bis 17a        Profil: 8? (max 50/10-Down/Up)   Profil: bis 17a      Profil:8? (max 50/10-Down/Up)  
VLAN-Tagging          VLAN-Tagging           VLAN-Tagging                     kein VLAN-Tagging    kein VLAN-Tagging (Endgerät muss taggen)

Speedport W 724v und W723V
Abhängig vom Typ A oder B

Auch hier wie bereits gesagt: Achtung bei aktueller Speedport Firmware und dem Wegfall der Nur Modem Option im Setup !

Nachfolgend ein paar Screenshots einer am T-Com VDSL aktiven pfSense VDSL/WAN Schnittstelle mit Speedport 300HS Modem und VLAN ID 7 Tagging: (Bei Vodafone muss der VLAN Tag auf 132 eingestellt werden !)
Einrichtung des VLANs mit VLAN ID 7 (Vodafone 132) und Zuweisung auf den physischen Port vr1:

18730a8092183f0867be6cbe8240c8f1 - Klicke auf das Bild, um es zu vergrößern

Konfiguration WAN Port:
3f316a56891e5cc6d9db0a1613acba01 - Klicke auf das Bild, um es zu vergrößern
Nun werden lediglich in den WAN Einstellungen der PPPoE Modus aktiviert und die Provider Zugangsdaten (User / Passwort) dort eingetragen !
ACHTUNG:
Einige Router oder Router im Modem Betrieb (PPPoE Passthrough) wie z.B. der bekannte Speedport 721V machen von sich aus schon ein VLAN Tagging mit der VLAN ID 7 ! (Siehe Bemerkung oben zum Thema Tagging bei VDSL)
Damit ist dann eine Konfiguration mit einem Tagging vom Firewall Interface selber, wie oben beschrieben, überflüssig und lediglich ganz normal PPPoE einzustellen wie bei einer normalen ADSL oder ADSL2+ Konfiguration mit Modem.
Betreibt man den WAN Port mit einem Router davor am ADSL oder VDSL ist diese Einstellung so oder so überflüssig, da logischerweise der vorgeschaltete Router dann das gesamte PPPoE Zugangshandling übernimmt und der WAN Port an der Firewall nur als "normaler" Ethernet Port einzustellen ist.
Weitere hilfreiche Tipps zur Modemkopplung mit einem VDSL Modem Speedport 300HS u.a. gibt dieser_Thread


Die Beispiele aus der Praxis und weiterführende Links

Die o.a. Firewall ist Basis einiger zusätzlicher Forumstutorials die weitere Konfigurationsdetails genauer beschreiben:

Erfahrungsbericht pfSense auf ALIX APU1D Gigabit Board:
http://www.administrator.de/wissen/pfsense-apu1d4-board-msata-5-ghz-wla ...

pfSense HowTo Verzeichnis zu Detailthemen der Installation:
https://doc.pfsense.org/index.php/Category:Howto

Anfängerhürden bei einfachem Firewall Aufbau u. Design vermeiden !:
http://www.administrator.de/contentid/270849
http://www.administrator.de/contentid/260592
http://www.administrator.de/frage/erfolg-monowall-alix-board-263363.htm ...
http://www.administrator.de/frage/pfsense-port-forwarding-nat-voip-2810 ...

LAN u. WLAN Port mit einer Layer 2 Netzwerkbrücke (Bridge) transparent zu einem IP Netz verbinden:
http://www.administrator.de/link/pfsense-wifi-ap-funktioniert-jedoch-ko ...

Gastnetz und Gast WLAN mit einer Hotspot Lösung (Captive Portal):
http://www.administrator.de/index.php?content=91413
Komfortable Ticketverwaltung für o.a. Gastnetz Lösung mit Web Server und SMS:
http://www.administrator.de/contentid/193763
Oder Tickets zum Ausdrucken (Bondrucker):
http://www.administrator.de/contentid/245111
oder
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId=743 ...
oder
http://ts-telecom.net/voucherdrucker.xls (zum o.a. Tutorial)

VLAN Routing bzw. Integration in Netzwerke mit 802.1q VLANs:
http://www.administrator.de/index.php?content=110259

pfSense als transparente Firewall einsetzen ohne Routing (Bridge):
http://community.spiceworks.com/attachments/post/0016/1351/Transparent_ ...

pfSense mit Squid und Squidguard installieren zur Kontrolle von Webseiten:
https://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy

pfSense auf Watchguard Firebox Profi Hardware einsetzen mit Tips: (Entspr. Watchguard HW findet man z.B. auf eBay)
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox
http://www.ebay.de/sch/i.html?_trksid=p2050601.m570.l1313.TR6.TRC1.A0.X ...
http://www.administrator.de/frage/pfsense-watchguard-kein-internet-auf- ...
http://www.administrator.de/contentid/250840#comment-956379

WLAN Erweiterung der Firewall (ALIX):
http://www.administrator.de/index.php?content=91413 (Kapitel "Optionale WLAN Erweiterung")
http://www.administrator.de/contentid/213768

VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
http://www.administrator.de/content/detail.php?id=258811&nid=44295
http://www.administrator.de/frage/fritzbox-hinter-pfsense-voip-probleme ...
http://www.3cx.com/blog/voip-howto/pfsense-firewall/

Einfaches VPN mit Smartphone, Windows, Apple und Linux bordeigenem VPN Client für remote Benutzer:
http://www.administrator.de/index.php?content=116961

VPN mit OpenVPN:
http://www.administrator.de/index.php?content=123285

Standortkopplung zweier oder mehrerer Standortnetze mit OpenVPN:
http://www.administrator.de/index.php?content=123285#toc10

VPN mit IPsec Client bzw. Standort zu Standort IPsec VPN auf Cisco, Mikrotik oder FritzBox VPN Router:
http://www.administrator.de/index.php?content=115798

VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
http://www.administrator.de/index.php?content=117644

Konfiguration als Dual Port Balancing Router/Firewall bei 2 Internet Zugängen:
http://doc.pfsense.org/index.php/Multi-WAN_2.0

Einfaches Routing 2er oder mehrerer IP Netze ohne Firewall Funktion:
http://www.administrator.de/index.php?content=56073#toc16

Hyper-V Images für pfSense:
https://forum.pfsense.org/index.php/topic,56565.msg364122.html#msg364122

OT: Das ALIX Board als vollwertige VoIP Telefonanlage nutzen:
http://www.administrator.de/index.php?content=181710


Wenn nichts mehr geht...

Besitzt die Firewall einen Reset Knopf der die Konfiguration löscht auf die Werkseinstellungen.
Alternativ hat das ALIX Board und auch andere pfSense Hardware wie die bekannten Watchguard Modelle einen seriellen Terminalanschluss an den man ein einfaches Textterminal wie Windows Hyperterm, PUTTY oder TeraTerm mit einem seriellen RS-232 Nullmodemkabel anschliessen kann. (Apple Macs nutzen Z-Term, bzw. minicom bei Linux)
Wer am PC oder Laptop keinen seriellen COM Port mehr hat benutzt einfach einen preiswerten USB_auf_Seriell_Adapter den jeder PC Shop für ein paar Euro hat.
Schaltet man dann das ALIX Board an, stellt das o.a. Terminalprogramm auf 9600 Baud, keine Parity, 8 Bit, 1 Stoppbit (pfSense: 38.400 Baud) und keine Flusskontrolle erhält man nun im Terminal exakt dieselben Boot Meldungen wie am PC Bildschirm und kann das Board entsprechend in der Grundkonfiguration verändern oder gemachte Einstellungen löschen oder das Board komplett resetten.
Auch ein Shell Zugang auf das darunterliegende Unix OS ist möglich.
Keine Angst: Das Terminal ist kein Muss ! Alles lässt sich auch bequem über das Webinterface einstellen. Es ist lediglich ein Notanker wenn man z.B. IP oder Passwort einmal vergessen hat.
Die Konsole ist aber immer hilfreich um dem ALIX Board und andere Hardware etwas auf die Finger zu schauen und erleichtert sehr die Fehlersuche.

Schlussbemerkung:
Viele werden die bei einer PC Version mögliche Installation von Plugin bzw. Packages Erweiterungen bei der ALIX embedded Flash Version vermissen. Dort gibt es Package Erweiterungen wie den Squid Proxy, FreeRadius Server etc.
Das ist gewollt um Lese- Schreibzugriffe auf die Flashkarte in der embedded Version gering zu halten um deren Lebensdauer zu erhöhen und auch ein Volllaufen des Dateisystems zu verhindern für den verschleissfreien Dauerbetrieb. Daher ist in der embedded Festversion das Filesystem Read Only eingestellt und eine Packages Erweiterung so mit der embedded Flash Version nicht möglich.
(Update: Seit der aktuellen 2.0.2 Version ist dies nun auch mit Flash Karten problemlos möglich ! Eine entsprechend große CF Flashkarte ist dabei Voraussetzung !)
Alternativ kann man auch eine "normale" Installation machen, sollte das Flash Image aber durch die Flash optimierten Lese/Schreibzugriffe immer bevorzugen !
Man macht dann lediglich einfach eine normale PC übliche Vollinstallation von der CD (über USB angesteckt) auf die Flash Karte wie bei einer PC Hardware.
Die CF Flashkarte sollte dann mindestens 4G sein. Besser also eine 8 G oder größer verwenden um ein Volllaufen des Flash mit Log- und Cachedaten usw. zu verhindern.
Wie man so eine Vollinstallation auf einer ALIX Hardware realisiert beschreibt DIESER Thread im Forum.
109 Kommentare
Mitglied: Dani
31.08.2010 um 20:37 Uhr
Hi aqui,
wie immer.... einfach Spitze beschrieben und verständlich!


Grüße,
Dani
Bitte warten ..
Mitglied: brammer
02.09.2010 um 13:38 Uhr
Hallo,

eigentlich hätte diese Anleitung den Wettbewerb für die beste Anleitung gewinnen sollen!

Hier ist allesgut beschrieben, es gibt Links zu den wichtigsten Begriffen oder erfordelricher Soft- und Hardware.
Schlicht und ergreifend so wie eine Anleitung sein soll, und wie wir es hier im Froum von aqui gewohnt sind.
Es gibt ja schon diverse Beiträge hier im Forum die nur noch auf die Anleitungen von aqui verweisen.

brammer
Bitte warten ..
Mitglied: Phalanx82
10.09.2010 um 15:28 Uhr
Spitze Anleitung Aqui,

aber eine Frage hätte ich da, denn ich kenne mich mit den Alix Boards nicht aus.
Wäre es auch möglich auf das Board eine Astaro 7/8 zu installieren? Diese läuft
ja auf älteren Rechnern z.B. Pentium 3 oder ähnlich schon/noch.

Wie schaut es da mit dem Alix Board aus? Hat das überhaupt Intel x86 Instruktionen
oder ist das ein ganz anderer Prozessor?

Meine Überlegung geht schon lange in die Richtung das ich mir eine kleine Rechnerbox
(ggf. Nettop) hin stelle mit ner Astaro drauf, Hardwäre hätte ich zuhauf daheim dafür, aber
alles ziemlich oversized und entsprechend auch der Stromverbrauch und die Geräuschentwicklung...
Sind alles alte Rechner bzw. deren Innenleben, teils auch neuere Hardware.

Allein schon der Verbrauch von ca. 20W und keine aktive Kühlung wären schonmal ein klares
Argument für ein Alix Board. Ich will schließlich keine Firtzbox gegen einen alten Rechner eintauschen
der mir dann Nachts auch noch den Schlaf raubt ;)


Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: aqui
10.09.2010 um 18:39 Uhr
Hallo Phalanx
Wenn die Größe des RAMs reichen und Chipsatz und LAN Hardware vom Astaro OS unterstützt werden sollte das problemlos klappen.
Diskussionen im Astaro Forum waren da nicht so sicher ob die Chipsätze supportet sind.
http://www.astaro.org/local-language-forums/german-forum/27991-low-coas ...
Da müsstest du also mal recherchieren ob die aktuellen Versionen das können.
Die ALIX Boards sind x86 kompatibel. Es lässt sich auch problemlos XP auf so einem Board installieren. Da so gut wie alle Linux Derivate ebenso problemlos auf der ALIX Hardware laufen und Astaro vermutlich auch Linux basierend ist, ist die Wahrscheinlichkeit sehr groß das es klappt.
Die Frage aber die sich final stellt: Warum willst du da unbedingt Astaro raufzwingen ? Kann die mehr als M0n0wall oder pFsense oder was wäre da ein triftiger Grund ?
Bitte warten ..
Mitglied: nofear87
10.09.2010 um 21:28 Uhr
Hey,
danke für die erstklassige Anleitung...werde mir demnächst die Hardware bestellen und mal loslegen.

In deiner Einzelteilauflistung fehlt noch die FlashCard.... vielleicht nimmst du die der Vollständigkeit halber noch mit rein.

Sind überhaupt 4GB von nöten? Wieviel braucht denn die Monowall?

Unterstüzt die Monowall Gigabit? Und ist es möglich das AlixBoard um Gigabit zu erweitern?

Mit freundlichen Grüßen Robert
Bitte warten ..
Mitglied: aqui
11.09.2010 um 13:13 Uhr
Im o.a Komplettbausatz ist eine CF Flashkarte gleich mit enthalten ! Ich nehm's aber mit rein.
Die Monowall benötigt 512 MB allerdings gibt es so kleine CF Flash Karten schon gar nicht mehr, es sei denn man recycelt eine alte Karte aus dem Digitalfotoapparat.
Mit einer Standard 1 oder 2 GiG CF Karte ist man also bestens bedient sowohl für pfSense als auch M0n0wall.
Gibts in den allseits bekannten Massenmärkten ala Blödmarkt oder im Versand sehr preiswert:
http://www.reichelt.de/?;ACTION=3;LA=444;GROUP=M71;GROUPID=3419;ARTICLE ...
4 Gig sind also nicht von Nöten, 2 reichen allemal.

Derzeit supporten die ALIX Board Varianten noch kein Gigabit sondern nur 100 Mbit. Ist aber auch nicht weiter relevant, denn WAN Verbindungen liegen kaum über 100 Mbit so das es nur bei lokaler GiG Vernetzung im LAN ggf. mal einen kleinen Engpass geben kann.
Nutzt man die Router-Firewall aber im WAN/VPN/CP Umfeld ist das alles kein Thema !
Eine "Erweiterung" ist logischerweise nicht möglich, da die 3 LAN Interfaces inklusive ihrer Buchsen fest mit dem Mainboard verlötet sind.
Bitte warten ..
Mitglied: nofear87
11.09.2010 um 14:13 Uhr
Danke für die ausführliche Antwort aqui ;)
Das die Karte beim Komplett-Set dabei ist war mir bewusst, ich dachte halt nur das es besser wäre sie in die Auflistung der Einzelkomponenten aufzunehmen, nicht das jemand davon ausgeht das sie beim Board dabei ist bzw. sie bei der Einzelkomponentenbestellung vernachlässigt und sich dann ärgert. Aber nun ist ja alles so wie es sein soll ;)

Ist es denn möglich die MAC Adresse der LAN Ports irgendwie auszulesen bzw stehen die irgendwo drauf? Denn die bräuchte ich um die Firewall ans UNI Netz anzubinden, da hier die Switches einen MAC Filter haben.

VPN und Monowall gleichzeitig auf dem Alix Board zu betreiben ist ja kein Problem, da Monowall VPN unterstützt, richtig?

Beste Grüße
Robert
Bitte warten ..
Mitglied: aqui
11.09.2010 um 14:42 Uhr
Hallo Robert,
Natürlich kann man die Mac Adressen aller Interfaces bequem mit einem simplen Mausklick über die Webkonfig auslesen wie dir der folgende Screenshot zeigt:

773018becf0755d1fb9bdab9688740ba - Klicke auf das Bild, um es zu vergrößern

Auf dem WAN Interface kannst du z.B. zusätzlich die Mac Adresse "spoofen" also eine Mac Adresse eintragen mit der die M0n0wall/pfSense am WAN Netz auftauchen soll. Siehe Screenshot hier:

cdc7db269dcfb7d23c6f2733728ea8ab - Klicke auf das Bild, um es zu vergrößern

Das ist zum Teil bei einigen Kabel TV Modems erforderlich wo es u.U. eine feste Zuordnung von Mac zum Kunden gibt oder wenn man zwingend aus anderen Gründen eine bestimmte Mac verwenden muss wie z.B. in deinem Fall !

Und JA, natürlich supportet die Monowall/pfSense alle Arten von VPNs. (PPTP, L2TP, IPsec, OpenVPN). Wenn du das o.a. Tutorial zuende gelesen hättest, hättest du das alles unter der Überschrift "Die Beispiele aus der Praxis" gefunden !
Bitte warten ..
Mitglied: nofear87
11.09.2010 um 16:38 Uhr
Schande über mein Haupt Die Beispiele habe ich vorerst ausgelassen...mein Fehler.
Danke für die Mühe mit den Screens, Monowall gefällt mir immer besser

Ist das Mac Spoofen legal? Bzw. gibt es da keine Gegenmaßnahmen von meinem Admin

Lohnt es sich die paar Euro mehr für doppelt soviel Ram auf dem Board (D13) auszugeben? Oder bekommt man davon eh nichts mit?

Der Link zum Reichelt Shop mit der Flashcard funktioniert irgendwie nicht mehr...Artikel nicht mehr zuzuordnen.

Beste Grüße
Robert
Bitte warten ..
Mitglied: aqui
11.09.2010 um 18:40 Uhr
Mac Spoofing ist ein normales technisches Feature bei Routern und Firewalls das für manche Netze zwingend erforderlich ist. Da stellt sich also diese Frage gar nicht erst.
Wenn du es einsetzt um damit IT Hürden in einer Firma zu umgehen ist das eher eine Frage des Arbeitsrechts hat aber mit technischen Features einer IT Hardware erstmal rein gar nichts zu tun....falsche Baustelle also !
Das 2D13 ist das ALIX Board der Wahl für die FW. Es macht keinen Sinn ein anderes Board zu verwenden, denn der Unterschied besteht nur in ein paar Euro.
Auch hier gilt: Mehr RAM = mehr Performance !
Bitte warten ..
Mitglied: nofear87
11.09.2010 um 20:49 Uhr
Ok, dann werde ich mir das auch beim Kauf zu Herzen nehmen Und schon wieder bleibt mir nur eins zu sagen: DANKE
Bitte warten ..
Mitglied: Phalanx82
21.09.2010 um 15:03 Uhr
Hmm... der Thread ist irgendwie ein wenig bei mir unter gegangen nachdem ich die Frage gepostet habe... *shrug*

Die Astaro wollte ich daher aufsetzen, da wir in der Firma schon eine pfSense im Einsatz haben, die ja ähnlich wie
die Monowall aussieht bzw. von ihr entwickelt wurde... Alles in Allem gefällt mir aber weder die pfSense noch die
Monowall so 100%ig. Die Astaro habe ich schon 2006 im Einsatz in einem anderen Unternehmen gesehen und
durfte damals im Praktikum dort auf einem Appliance die neue 6er Version aufspielen und die Konfig testen usw...

Astrao bietet für den Privat Gebrauch eine kostenlose Lizenz an für alle Versionen bis hin zur ganz neuen 8er.
Von den Menus, deren Aufmachung, Funktionen und der deutschen Oberfläche bin ich daher mehr überzeugt
als von pfSense. Hab da irgendwie das Gefühl das mit der Astaro eher meine Interessen abgedeckt werden,
abgesehen von ein paar netten Zusätzen wie Viren und Spam Filterung... die ich teilweise sehr interessant finde.

Und ja die Astaro setzt auf ein gehärtetes Linux auf, afair hab ich damals glaube ich raus bekommen das es ein
stark modifiziertes Debian unter der Haube hat.

Aber Danke für den Hinweis mit dem Astaro Forum, da habe ich noch garnicht rein geschaut mangels Zeit.
Werde ich mal bei Gelegenheit nach holen


Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: bodyparts
24.09.2010 um 12:05 Uhr
moin,

hat die m0n0wall ein Ticket System, kann ich für den Gastzugang "einfach" Tickets ausstellen?
Gibt es eine Blackliste für ungewünschte Seite / Themen usw?

Gruß

PS: TOP-Anleitung
Bitte warten ..
Mitglied: aqui
25.09.2010, aktualisiert 02.09.2013
Ja, hat sie ! Sog. Vouchers. Guckst du hier:
http://www.administrator.de/contentid/193763
und natürlich auch hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
bzw.
http://doc.m0n0.ch/handbook-single/#id11640924
Da wird genau erklärt wie es geht !
Bitte warten ..
Mitglied: ChrisIO
02.10.2010 um 13:08 Uhr
Wir haben hier gerade Mal über deine Anleitung gesprochen und fanden die prinzipiell ganz gut.

Ist die Speicherung der Logfiles auf der Flash-Karte nicht problematisch? Die Schreibvorgänge sollten doch die Flash-Card recht schnell killen, oder?

Die Nutzung eines externen SYSLOG-Servers sollte das Problem lösen.
Bitte warten ..
Mitglied: aqui
03.10.2010 um 10:32 Uhr
Da hast du Recht ! Das "Killen" der Flash Karte ist mit heutigen CF Flashkarten durch verbesserte Technik in den Karten zwar nicht mehr relevant aber wichtiger ist das das Log der Firewall ein "Round Robin" Log ist.
Es hat eine bestimmte feste Größe und ist die erreicht, überschreibt es ältere Meldungen. Für den Normalbetrieb reicht das vollkommen aus und muss auch so sein, da eine CF Karte ja nun mal begrenzt ist und das Log somit limitiert werden muss.
In der Beziehung ist es dann zwingend notwendig einen Syslog Server zu benutzen wenn man über längere Perioden mitloggen will oder muss.
Wenn du das Hotspot Tutorial zur obigen FW genau gelesen hättest findest du genau diesen Punkt auch in der Thread Diskussion wieder !
Linux und Apple Mac hat einen Syslog immer gleich mit an Bord und für Winblows gibt es freie Lösungen wie z.B. den Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder den Mikrotik Syslog Server
http://www.mikrotik.com/download/MT_Syslog.exe bzw. die Anleitung dazu.
Wie du richtig bemerkst löst das das Problem umfassend bei längeren Logging Zeiten.
Bitte warten ..
Mitglied: Phalanx82
05.07.2011 um 16:54 Uhr
Hallo Aqui,

ich habe gerade aus Eigen Interesse nachgeschaut und dein Link zu den Bundles
des Online Shops funktioniert leider nicht mehr. Den müsstest Du mal anpassen:

http://shop.varia-store.com/product_info.php?info=p725_Mainboard-ALIX-2 ...

Falls es die Bundle-Übersicht war, wäre das hier der Neue Link:

http://shop.varia-store.com/index.php?cat=c179_Komplettpaket.html



Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: aqui
05.07.2011 um 17:24 Uhr
Dank dir für das Feedback ! Alle URLs sind nun wieder up to date
Bitte warten ..
Mitglied: tonabnehmer
20.07.2011 um 10:23 Uhr
Zitat von aqui:
Das 2D13 ist das ALIX Board der Wahl für die FW. Es macht keinen Sinn ein anderes Board zu verwenden, denn der Unterschied
besteht nur in ein paar Euro.
Auch hier gilt: Mehr RAM = mehr Performance !


Das mit dem RAM gilt m. E. nur für pfSense. M0n0wall verwendet, wenn ich es richtig verstanden habe, immer nur 64 MB. Siehe hier: http://doc.m0n0.ch/handbook/hardware-sizing.html (unter 2.5.4 RAM)

Grüße,
tonabnehmer
Bitte warten ..
Mitglied: 102901
06.10.2011 um 13:24 Uhr
Hallo

Ich habe mir hier das HowTo durchgelsen, ich finde es ist super gut geschrieben - RESPEKT
Jetzt hab ich ein Problem ich habe derzeit ein ALIX im betrieb und wollte auf die pfSense umschwenken. Derzeit läuft ein IPCop bei mir gut aber nicht befriedigend. Dann hab ich das mit den Vouchers gelesen das ist genau mein Ding. So also wo hängt es ? Ich habe ein 2GB CF Karte mit physdiskwrite beschrieben ohne Fehlermeldung. Steck sie ins ALIX strom dran..... nix passiert, also nix das ich mit dem ganzen rechten LAN Port auf das WEBGUI komme. Dann hab ich alle 3 Ports getestet, nix passiert. Ich habe ein ALIX mit 2x USB Anschlüssen das ist der einzige unterschied was ich auf anhieb gesehen habe. Kann es sein das es ein treiberproblem gibt oder doch ein User Problem ? Es wird auch keine IP verteilt von dem angesprochenen DHCP Server. Gut hab ich mal ein IP generiert die in den Nummerkreis fällt. Leider auch ohne erfolg. Also CF wieder raus und IPCop CF wieder rein. Hat jemand eine Lösung für mich ?
Dieses Image habe ich genommen:
http://files.nl.pfsense.org/mirror/downloads/pfSense-2.0-RELEASE-2g-amd ...

dank

cu Frank
Bitte warten ..
Mitglied: tonabnehmer
06.10.2011 um 13:32 Uhr

AMD64 ist das falsche Image. Du musst i386 nehmen. Siehe hier: http://forum.pfsense.org/index.php/topic,38868.msg201445.html#msg201445. Statt 1821 könnte inzwischen auch ein neueres Image verfügbar sein, musst Du dann selbst schauen.

Grüße,
tonabnehmer
Bitte warten ..
Mitglied: 102901
28.10.2011 um 20:56 Uhr
Hallo

ALIX und PFSense läuft soweit.
Ich frag mal so....
Ich hab noch ein altes PC gehäuse im Keller mit allem drum und drann und eine 512MB CF Karte.
Jetzt hab ich mir so ein adaper geholt wo man die CF Karte direkt auf das Motherboard stecken kann.
Ist das dann auch das i386 Image das ich auf die 512er ziehen muß oder ist es das AMD64er Image

cu Frank
Bitte warten ..
Mitglied: aqui
28.10.2011 um 21:29 Uhr
Du sagst ja selber <Zitat> "Altes PC Gehäuse.." Vermutlich ist da also KEIN 64 Bit Prozessor drin sondern es werkelt noch mit einem ollen 32bit Intel oder AMD.
Dann ist, wie du folgerichtig erkannt hast, das i386er Image das richtige. Das 64er rennt nur auf 64 Bit Prozessoren.
Bitte warten ..
Mitglied: parsival
13.06.2012 um 07:28 Uhr
Hallo aqui, hallo Forum!
Zunächst einmal vielen Dank für diese super Anleitung. Sie hat mich erst auf die Idee gebracht, meiner Freundin für ihr Gemeinschaftsbüro eine entsprechende Firewall/Routerlösung mit zwei getrennten Netzen aufzusetzen. Hardware ist ein alix.2d13. Im Bundle mit WLAN- und CF-Karte neu gekauft. Software sollte entweder Monowall (1.33) oder pfsense (aktuelle 386-nanobsd-4GB-Version) werden. Die CF-Karte habe ich nun schon mehrfach unter Linux geflasht. Es scheint jedes Mal funktioniert zu haben.
Anschluss per gerade neu gekauftem cross-over Kabel am rechten Port.

Doch ich bekomme keinen Kontakt zur Box. Weder bekomme ich mit dem angeschlossenen Netbook eine IP-Adresse zugewiesen, noch kann ich die Box nach manueller IP-Vergabe anpingen. Mit dem gleichen cross-over Patch-Kabel klappt beides ohne Probleme am Heimrouter. Netzteil-Stecker mehrfach abgezogen und neu gestartet. Ebenso mehrfach das Netbook unter Linux oder XP neu gestartet. Es wird versucht eine Verbindung herzustellen, die linke LED am RouterPort blinkt kurz zwei dreimal orange, danach sind beide wieder kontinuierlich grün; eine Verbindung besteht jedoch nicht.
Das Netbook hat wohl einen Realtek Gigabit Ethernet-Anschluss, das Alix-Board ja nur einen 10/100er. Ob es daran liegen kann. Werde heute Abend versuchen, a) ein altes macbook ohne Gigabit anzuschließen, b) meinen Gigabit-Switch dazwischen zu hängen, c) die Box mal anstelle des Modemrouters, der als IP die 192.168.1.1 hat, vor meinen eigentlichen Heimrouter zu klemmen .

Habt Ihr vielleicht einen Tipp?

Funktionieren Monowall bzw. pfsense in den aktuellen Versionen den überhaupt noch mit dem alix.2d13-Board? Muss ich was am BIOS ändern (wozu ich allerdings erstmal einen USB-Adapter für die serielle Schnittstelle benötige).
Beste Grüße, Paul
Bitte warten ..
Mitglied: aqui
13.06.2012 um 13:13 Uhr
Hallo Paul !
Erstmal: Du benötigst dafür KEIN Crossover Kabel ! Ein simples Patch Kabel ist OK.
Weitere Frage: bekommst du ein Link Signal bzw. leuctet die LED am Port und zeigt einen aktiven Link an ?

Wasserdichtes Troubleshooting erreichst du über den Terminal Zugang (Kapitel "Wenn nichts mehr geht..." Im Tutorial.
Den solltest du zwingend anschliessen und dir die Boot Meldungen der Firmware ansehen.
Dort kannst du sofort sehen wo es kneift und auch ob die Flash Karte richtig beschrieben wurde.
Es liegt definitiv NICHT an der Port Speed der Netzwerk Ports ! Die NICs in den Rechnern ob Netbooks, Mac oder was auch immer supporten ALLE allesamt Autonegotiation und kaspern die Geschwindigkeit automatisch und dynamisch aus. Connecten sich also immer mit der richtigen Geschwindigkeit. Es ist möglich das dein Crossover da Ärger macht, also ein normales Kabel verwenden wenn deinen PC NIC kein MIDI-X supportet !
Das sicherste ist immer der Terminalanschluss.
Bei Linux nimmst du das bekannte Minicom, beim Mac Zterm und Winblows Putty oder TeraTerm. Steht so auch im Tutorial wie gesagt...

Beide Distros also Monowall und pfSense laufen vollkommen fehlerfrei auf sämtlicher derzeit verfügbarer ALIX Hardware !
Bitte warten ..
Mitglied: parsival
13.06.2012 um 14:12 Uhr
Hallo aqui!
Erstmal vielen Dank für die schnelle Antwort. Gut, dass es definitiv nicht am Port-Speed liegen kann. Hatte schon Befürchtungen Alix wäre da zickig.

Werde mir möglichst schnell einen entsprechenden Adapter USB-seriell besorgen.

Zwei normale Patch-Kabel hatte ich schon probiert. Auch mit einem anderen Rechner.
Alle Ports zeigen das selbe Verhalten. Wurden Rechner und Alix mit dem Kabel verbunden, leuchten beide LED am Port des Alix grün, unterbrochen durch kurzes oranges Blinken, wenn der Rechner versucht eine IP-Adresse zu beziehen.

Ich bin sehr gespannt, was das Board über die serielle Schnittstelle preisgibt. Gibt es hier eine spezifische Anleitung, welche Angaben man dort wie anrufen kann (putty etc. ist mir grundsätzlich klar)?

Dass die Einrichtung sowohl bei Monowall als auch pfsense nicht direkt über den Web-GUI funktioniert, spricht wohl aber eher für eine falsche BIOS-Einstellung oder gar einen Defekt des alix-boards, denn die Grundkonfiguration von Monowall und pfsense müsste ja bei beiden funktionieren...
Bitte warten ..
Mitglied: aqui
14.06.2012, aktualisiert um 13:52 Uhr
Ja, es ist zu vermuten das das Flashen der CF Karte fehlgeschlagen ist und das Bord deshalb nicht bootet.
Das siehst du aber wie gesagt nur am seriellen Port.
Ein entsprechender USB Adapter ist preiswerte Massenware:
http://www.reichelt.de/USB-Konverter/USB2-SERIELL/3/index.html?ACTION=3 ...;
plus RS232 Kabel:
http://www.reichelt.de/Sub-D-Kabel/AK-143/3/index.html?ACTION=3&GRO ...;
Ggf. die CF Karte mit h2format nochmal junfräulich mit FAT32 formatieren.
http://www.heise.de/download/h2format.html
Bitte warten ..
Mitglied: mavnezz
15.06.2012 um 12:34 Uhr
Servus,

gibt es eine Möglichkeit, dass Benutzer aus dem Wlan nur auf das Internet zugreifen können (nach Captive Portal), aber andere Benutzer mittels Login auf das Firmennetzwerk?

Man könnte sich ja nach dem Authentifizieren direkt wieder mittels VPN einwählen, das wäre eine Möglichkeit, aber vielleicht geht's noch einfacher?

lg

Julian
Bitte warten ..
Mitglied: aqui
15.06.2012, aktualisiert um 13:17 Uhr
Ja, natürlich gibt es die ! Das ist ja der tiefere Sinn einer Firewall.
Es gibt mehrere Möglichkeiten das umzusetzen:
  • Nach Mac Adresse
  • Nach IP Adresse
  • Nach Login mit dynamischer VLAN Zuweisung über Radius
usw. usw.
Kommt drauf an was du ganz genau vorhast ?!
Bitte warten ..
Mitglied: mavnezz
15.06.2012 um 15:05 Uhr
Servus,

wollte mir ein ALIX.2D13 Board kaufen, dann an einem Port die Wlan Access Points über einen Switch verteilen.
An den anderen Port den Telekom Router und fertig ist das Gastnetz. Das funktioniert soweit auch schon, hab das über eine Installation auf einem PC getestet.

An dem Telekom Router hängt aber noch ein ISA 2006 Server der die Verbindung ins Unternehmensnetzwerk übernimmt. In diesem Netzwerk gibt es auch eine Laser-Richtfunkstrecke in ein anderes Gebäude, welches auch ein Gastnetzwerk bekommen soll. Kann ich dies auch irgendwie realisieren?

Wäre es klüger den ALIX Router in das Unternehmensnetzwerk mit der WAN Schnittstelle zu hängen und als Gateway den ISA zu nehmen?

Kann ich Mitarbeitern mit Laptops einen Zugang einrichten, der vollen Zugriff auf das Unternehmensnetzwerk hat? Nach MAC oder IP Filtern ist mir zu unsicher.

lg

Julian
Bitte warten ..
Mitglied: aqui
15.06.2012, aktualisiert um 19:05 Uhr
Der Reihe nach:
1.)
Ja natürlich kannst du auch ein Gastnetz in dem Unternehmensnetz realisieren. Das hängt aber ein bischen davon ab ob die Switches dort Tagging usw. supporten, denn du musst ein separates Segment dafür schaffen. Entweder per VLAN was am sinnvollsten wäre oder mit einem separaten Switch.
2.)
Nein, das wäre nicht klüger, denn du schreibst oben was von VPN Zugriff und wenn du eine weitere NAT Firewall davor hast schaffst du dir größere Hürden für den Zugriff bzw. mehr Aufwand das zu konfigurieren.
Außerdem bist du dann immer zwangsweise abhängig von der Firewall Konfiguration für das Unternehmensnetz und kannst nur das machen was dort zugelassen ist. Damit schaffst du dir immer mögliche Engpässe.
Technisch gesehen ist es egal. Natürlich würde das auch funktionieren aber immer mit den o.g. Einschränkungen dann.
3.)
Ja das ist ohne Probleme machbar über die FW Regeln. Wie gesagt genau DAS ist der tiefere Sinn einer Firewall !
Bitte warten ..
Mitglied: autohoti
16.06.2012 um 13:31 Uhr
Hallo parsival,
ich habe das gleiche Problem wie Du, ich habe einen Automation PC mit CF auf der Monowall embedded-1.33 ist. Das Beschreiben der CF hat wohl funktioniert, aber ich bekomme keine Verbindung über die IP-Adresse. Der erste Versuch mit normalem Kabel hat nicht mal die LED's leuchten lassen, erst mit einem Crossover haben die LED's geleuchtet, aber die Verbindung konnte aber trotzdem über die IP nicht aufgebaut werden.
Hast Du schon eine Lösung für das Verbindungsproblem?

Gruß autohoti
Bitte warten ..
Mitglied: aqui
16.06.2012, aktualisiert um 17:05 Uhr
@autohoti
Auch für dich gilt:
  • WAS sagt der Rechner wenn du bootest ?? (Schirmmeldungen)
  • Kannst du die typischen Bootmessages sehen auf dem Bildschirm ??
  • Kannst du in den Boot Messages sehen das deine LAN Hardware (Netzwerk Karten) sauber erkannt werden ?
  • Am Ende des Bootvorgangs bist du in einem Command Line Menü ! Kannst du von Dort Netzwerk Geräte pingen ?
Solange du keinen Screenshot oder mal einen Auszug der Bootmessages zur HW Erkennung schickst können wir dir mit den oberflächlichen Aussagen von oben hier auch logischerweise nicht zielgerichtet helfen
Genau DAS ist der Sinn ein Terminal anzuschliessen (ALIX Hardware) oder den Schirm um eben die Bootmeldungen zu sehen !
Die sind essentiell wichtig.
Wenn die HW nicht erkannt wird oder das System gar nicht von der CF richtig bootet ist vollkommen klar das nix funktioniert !
Nebenbei: Du redest von einem "Automation PC" ? Was bitte soll das sein ??
Ist das eine "normale" PC Hardware ??
Wenn ja hast du das vollkommen falsche Image auf dein CF Flash kopiert, denn bei normaler PC Hardware musst du zwingend das generic-pc-1.33.img (raw CF/HD/USB drive image for generic PCs) auf die CF Karte kopieren und natürlich niemals das embedded Image !!
Das ist ausschliesslich nur für ALIX und Soekris Mainboards gedacht.
Klar das dann bei dir auch nix klappt !
Bitte warten ..
Mitglied: autohoti
16.06.2012 um 17:58 Uhr
Hallo aqui,

es tut mir leid dass ich nicht so vom Fach bin wie die Meisten hier, mich reizt halt das Thema Hotspot und möchte diesen mit einfachen Mittel auch umsetzen.

Da ich besagten Automation PC von B&R (http://www.br-automation.com/cps/rde/xchg/br-productcatalogue/hs.xsl/pr ...) zur Verfügung habe und sich die Anleitung zur Umsetzung eines Hotspots gut nachvollziehen lies wollte ich es probieren. Zuerst habe ich das embedded Image versucht, leider ohne Erfolg.
Dann wollte ich das generic-pc-1.33 Image probieren da u.U. dies das richtige Image ist, das scheiterte am Beschreiben der CF-Karte (512MB). Ich habe das übrigens ein paar Mal probiert. Immer mit der selben Vorgehensweise (physdiskwrite...) wie bei embedded Image, das ohne Probleme funktioniert hat.
Im Moment habe ich wieder das embedded Image auf der CF-Karte.

Dann habe ich mit minicom und einem seriellen Kabel an meinem Linux-Notebook versucht diese besagten Bootmessages zu sehen, leider kenne ich mich zu wenig damit aus und hatte keinen Erfolg.

lg autohoti
Bitte warten ..
Mitglied: aqui
17.06.2012, aktualisiert um 13:09 Uhr
OK, das embedded Image ist vollkommen falsch für diese APC-620 Plattform sofern diese einen DVI Monitor Port hat, das ist klar. Dein "Automation" PC hat eine Intel ATOM CPU und ist damit i386 kompatibel !!
Für dich gilt also zwingend das generic-pc-1.33 Image, soviel ist schon mal sicher !
Also nicht "unter Umständen" sondern ganz sicher !!
Die Boot Messages siehst du doch ganz einfach wenn du mal einen simplen Monitor an diesen APC-620 anschliesst !!
In der Beschreibung steht doch ganz klar.. (Zitat):
"Alle APC620 haben eine Schnittstelle zum Anschluss eines Automation Panel oder eines Monitors integriert. "
Laut Info haben die APC-620 einen stinknormalen DVI Port zum Anschluss eines Monitors. Wo ist also dein Problem ??
Warum hast du da noch nix angeschlossenn ?? Das macht man doch so (auch als Laie) normalerweise bei einer PC Platform um den Bootvorgang zu beobachten !!??
Du MUSST also das generic-PC Image auf deine Flash Karte bringen. Keine Ahnung was du da falsch machst aber irgendwas machst du da ziemlich falsch.
Das Standardkommando physdiskwrite -u gerneric-pc-133.img hat problemlos sowohl auf einem 128 MB als auch auf einer 2G CF Flash und auch SD Karte im CF Adapter problemlos funktioniert und das Testsystem unten hat davon problemlos gebootet !
Da liegt der Fehler also irgendwie zwischen Stuhl und Keyboard...sorry.

Formatiere die CF also nochmal neu im FAT32 Format z.B. mit h2format
http://www.heise.de/download/h2format.html
und beschreibe die CF mit physdiskwrite nochmal. Poste hier ggf. mal Fehlermeldungen oder was physdiskwrite genau macht damit man dir zielgerichtet helfen kann !

Nur mal als Beispiel ein Screenshot vom Bootvorgang auf einem identischen Intel ATOM System mit dem "Generic-PC" Image auf Flash und angeschlossenem Monitor:
1.) Start des Boot Vorgangs:
4c1ce5817382351c1832d77ed5b8b8a0 - Klicke auf das Bild, um es zu vergrößern

2.) Default CLI Menü nach dem Booten:
76f63aef3c9b8e7d96b6aeda70c8777d - Klicke auf das Bild, um es zu vergrößern
(Sieht bei pFSense geringfügig anders aus da mehr Menüpunkte vorhanden)

Fazit: Schliess also am DVI Port des AP-620C einen Bildschirm an und schon bist du schlauer !!
Bitte warten ..
Mitglied: parsival
18.06.2012, aktualisiert um 08:12 Uhr
Hallo aqui!
Zunächst mal vielen Dank für das geduldige Beantworten meiner Fragen und die Hinweise.
Tatsächlich hat wohl das Flashen unter Linux mit dd nicht so geklappt wie es sollte. Mit Windows hat es dann jedoch geklappt. Zunächst habe ich pfsense, dann aber Monowall eingesetzt.
Passenden USB-Adapter für die serielle Schnittstelle hatte ich im Einsatz. Das half auch direkt beim Reseten, als unter Monowall nach dem Ändern der LAN 1-IP und dem Setzen der IP des zweiten Ports und der WLAN-Karte plötzlich kein Kontakt über das Web-Interface mehr möglich war. Das passierte dann gleich nochmal, denn das Web-Interface war - für mich überraschend - nicht unter der geänderten IP-Adresse (172.21.1.1), sondern unter der des zweiten Ports (172.24.1.1) erreichbar. Erst als ich dem LAN die IP 172.21.1.2 zugewiesen hatte, war das Web-Interface unter 172.21.1.2 erreichbar. Die Monowall scheint hier irgendetwas anders als pfsense zu machen. Ist es überhaupt ratsam die IP von LAN-Port 1 zu ändern?

Bevor ich es vergesse: in der obigen Anleitung sind wohl die Baud-Raten durcheinander geraten: pfsense hat 9600 und Monowall 38400.

nochmals vielen Dank!
Bitte warten ..
Mitglied: autohoti
18.06.2012 um 20:43 Uhr
@aqui
vielen Dank für Deine anschauliche Darstellung und Du hattest Recht mit Deiner Vermutung, der Fehler ist zwischen Stuhl und Keyboard.

Kaum hat man es richtig gemacht, funktioniert es mit dem richtigen Image.
Nachdem ich mir ein DVI-Kabel und einen Monitor besorgt habe, kommen die von Dir gezeigten screenshots auf dem Bildschirm.

D.h. der Rechner bootet, aber trotz der richtigen IP Adresse kann ich keine Verbindung aufbauen.
An welcher Schraube muss ich noch drehen?
Muss ich evtl. Änderungen am console setup machen?

Ich weiß ich stelle mich noch ziemlich doof an, aber wie soll ich es denn sonst lernen.

lg und besten Dank
autohoti
Bitte warten ..
Mitglied: aqui
21.06.2012, aktualisiert um 13:55 Uhr
@parsival
Danke für das Feedback bzgl. der Baudraten, das checke ich nochmal und passe das Tutirial an.
Was deinen Frage zur Änderung der LAN IP anbetrifft:
Die Frage ist NICHT ob es ratsam ist sondern ob es gewollt ist z.B. wenn du die FW in ein bestehendes Netzwerk integrieren musst.
Dann hast du ja logischerweise gar keine andere Wahl die IP zu ändern !!
Fakt ist das das natürlich kein Thema ist. Du kannst am LAN Port absolut problemlos jede beliebige IP Adresse konfigurieren wie du lustig bist.
Wichtig ist das du aber im Auge behälst das sich mit Änderung der IP auch gleichzeitig eine Änderung des DHCP Servers erzwingt sofern die FW auch IP Adressen dort dynamisch vergeben soll oder muss.
Tust du das nicht musst du am Konfig Client zwangsweise die IP statisch eingeben.
Hier gilt es also etwas nachzudenken und alle von der IP abhängigen Dienste anzupassen.
Das gilt auch für die Firewall Regeln der einzelnen Ports.
Sehr wichtig ist auch die Anti Lockout Rule für das WebGUI und deren Anpassung !
Also einfach ohne Nachdenken die IP am LAN überzutippen reicht nicht immer !

@autohoti
Nein, doof stellst du dich nicht an ! Checke zuallererst die Bootmessages ob die Hardware sauber erkannt wird !
Wenn das der Fall ist dann checke im Consolmenü af welchen physischen Interfaces des Rechners welches IP Segment liegt !!
Davon ist es abhängig ob du mit einem angeschlossenen Client eine IP Adresse per DHCP bekommst. Wenn du mit dem Client am WAN Port hängst bekommst du logischerweise keine IP automatisch, dann musst du den anderen Port ausprobieren.
Ganz sicher gehst du wenn du dem Client eine statische IP z.B. 192.168.1.100 /24 im lokalen LAN vergibst.
Wichtig als erster Schritt immer versuchen das pfSense Interface anzupingen mit ping 192.168.1.1 das sollte immer klappen !!
Ggf. supporten die Interfaces an deinen APC-620 Rechner kein MIDI-X also die automatische Polungserkennung am Ethernet.
Dann musst du, sofern du hier einen PC direkt dran hast, zwingend ein Crossover (gedrehtes) Kabel verwenden oder einen kleinen 10 Euro 5 Port Switch an den Port hängen und daran dann deinen Client PC.
Wie gesagt, wenn die pfSense deine Netzwerk HW auf dem APC-620 sicher erkannt hat (Bootmessages) dann sollte das fehlerfrei laufen ! Es ist nichts zusätzliches Einzustellen die FW rennt von selber im Default !
Testweise kannst du auch mal (sofern du noch eine Flash Karte über hast) statt Monowall das pfSense Image verwenden das etwas mehr NIC HW supportet:
http://files.nl.pfsense.org/mirror/downloads/pfSense-memstick-2.0.1-REL ...
Prozedur ist die gleiche...
Bitte warten ..
Mitglied: autohoti
30.06.2012, aktualisiert 02.07.2012
@aqui
vielen Dank für Deine Unterstützung. Ich habe es tatsächlich geschafft, ich bin jetzt soweit daß ich über IP zur Monowall-Konfigurationsseite gelange und Änderungen vornehmen kann.
Im Augenblick kämpfe ich noch damit, daß nachdem ich beim Captive Portal die Quelltextdatei (login.html) eingefügt habe, beim Neustart von Firefox keine "Login-Seite" angezeigt wird, sondern der Quelltext an sich.

Das Problem hat sich gelöst, nachdem ich es mit einer anderen Login.html versucht hatte und diese funktioniert hat, habe ich erneut die Administrator-Login-Quelldatei abgespeichert und hochgeladen und dann hat es auch funktioniert.
Vielen Dank für Deine Geduld und die guten Ratschläge.
Jetzt geht es ans Feintuning und das Voucher-Feature, ich denke daß das auch noch eine Herausforderung ist, aber wenn es dann geklappt hat ist es ein gutes Gefühl.

lg autohoti
Bitte warten ..
Mitglied: aqui
02.07.2012 um 20:11 Uhr
Entweder das oder du hast mit sehr hoher Wahrscheinlichkeit einen Tippfehler im HTML Code den der Browser dann nur als ASCII Text anzeigt.
Firefox hat einen Mode mit dem du den Quelltext anzeigen lassen kannst. Das sollte dein Problem schnell fixen.
Sonst erst den Tutorial HTML Code nehmen zum Testen und alles wasserdicht machen.
Dann weisst du bei solcherlei Problemen, das es wirklich nur an deinem HTML Code liegt
Bitte warten ..
Mitglied: autohoti
02.07.2012 um 20:26 Uhr
@aqui
danke für die Info, aber wie oben bereits geschrieben muss ich wohl einen Fehler in die html-Datei gebracht haben.
Auf jeden Fall paßt alles soweit.
Deine Tipps sind echt eine gute Hilfe beim Problemlösen.

So jetzt geht es mit Feintuning und dem Voucher weiter.
Bitte warten ..
Mitglied: autohoti
21.07.2012 um 16:41 Uhr
@aqui
ich bin ganz begeistert von monowall, die Hotspot-Funktion auf meiner monowall funktioniert einwandfrei, sowohl mit fest eingetragenen usern als auch mit den vouchers.
Jetzt bin ich aber seit geraumer Zeit am Suchen, wie ich eine Anzeige über das Restguthaben des Vouchers dem User anzeigen kann. Leider konnte ich bisher keine Antwort finden.
Ich habe solch eine Anzeige/Counter bereits bei anderen Programmen beispielsweise im Logoutfenster gesehen, gibt es bei monowall eine ähnliche Funktion?

lg autohoti
Bitte warten ..
Mitglied: aqui
22.07.2012 um 11:05 Uhr
@autohoti
Hab ich auch noch nicht gesehen. Auch bei der Schwester pfSense kann man das zwar im Setup Menü sehen aber das ist ja eine Domäne des Administrators. Es erscheint dort ein Popup Window nach dem Einloggen was man im CP aktivieren kann aber das wird so gut wie von allen Browsern unterdrückt.
Bitte warten ..
Mitglied: mavnezz
06.08.2012 um 14:11 Uhr
Servus,

vielleicht könnt ihr mir bei meiner Idee helfen, bzw. Antworten ob dies überhaupt realisierbar ist mit der vorhandenen Hardware.

Ich habe ein Alixboard (3 Ports) mit der der aktuellen PFsense Version laufen.

- Wan Port hängt am DSL Modem (PPPOE)
- Lan Port 1 = Firmennetzwerk
- Lan Port 2 = Hotspot

Soweit funktioniert alles ohne wenn und aber. Kann ich den Wan Port auch doppelt belegen? Sprich PPPOE und DHCP verwenden, sprich 2 Gateways ins Netz benutzen? PPPOE (ADSL) ist langsam, da drüber nur POP3 und SMTP. Die andere Verbindung (DHCP oder acuh STATIC) ist eine SDSL Verbindung, da gerne dann HTTP Traffic. Squid Proxy Package ist auch installiert.

Der Wan Port hängt an einem Switch, wo das DSL Modem angeschlossen ist, der SDSL Router würde auch dann da dran kommen.

Ist dieses Scenario realisierbar, oder muss ich ein ALIXBoard mit 4 Ports kaufen?

VIelen Dank

Julian
Bitte warten ..
Mitglied: aqui
06.08.2012, aktualisiert um 16:22 Uhr
Das würde klappen mit einem kleinen Workaround:
Du musst VLANs etablieren am WAN Port und deine beiden Interfaces darauf legen:
http://www.administrator.de/contentid/110259
Dann nimmst du einen kleinen VLAN Switch wie z.B. den Cisco SG-200-8 oder den Mikrotik 750 und schliesst die FW mit einem tagged Link an der beide VLANs beinhaltet und am Switch splittest du das dann wieder auf in 2 physische Interfaces.
Der Mikrotik hat den Vorteil das er selber Router ist und du mehr WAN Optionen auf diesen Interfaces dann hast.
So wäre das immer problemlos lösbar mit 3 Interfaces.
Es muss ja auch nicht das WAN Interface sein !
Du kannst auch die 2 LAN Ports also Firmennetzwerk und Hotspot so auf 2 VLANs legen an einem Interface und nutzt die restlichen 2 dann für das WAN. Auch sorum wäre das möglich.
Ansonsten bleibt nur die Lösung mit 4 Interfaces.
Bitte warten ..
Mitglied: geklgekl
09.10.2012 um 11:53 Uhr
Hallo

ich habe eine Frage zu den schönen Netzwerkdarstellungen im Artikel. Wie heisst das Tool mit dem man solche schematischen Darstellungen mit so schönen Symbolen erstellen kann?
Gruss Gerhard
Bitte warten ..
Mitglied: brammer
09.10.2012 um 12:30 Uhr
Hallo,

das hat aqui mit Visio gemacht.

brammer
Bitte warten ..
Mitglied: aqui
09.10.2012 um 13:51 Uhr
Oder mit Omnigraffle wenn man an einem Mac sitzt
Bitte warten ..
Mitglied: geklgekl
09.10.2012 um 14:01 Uhr
Kennt vielleicht jemand auch ein entsprechendes Tool unter Linux?
Bitte warten ..
Mitglied: 113395
18.09.2013 um 14:03 Uhr
Wow, echt geschmeidig. Danke für diesen Tollen Beitrag
dank diesem Beitrag habe ich sehr viel Geld gespart
Bitte warten ..
Mitglied: aqui
19.09.2013, aktualisiert um 19:28 Uhr
Danke für die Blumen Dafür ist ein Forum ja da !!

.@gekigeki
Das Linux Zeichentool ist "Dia"
https://projects.gnome.org/dia/
Bitte warten ..
Mitglied: MickyMaus
26.10.2013 um 17:31 Uhr
Hallo,

erst mal auch von mir herzlichen Dank für diese spitzen Anleitung!

Mich würde da noch eine Sache interessieren ... und zwar habe ich vor, das Gerät als Router/Firewall hinter meinem Zwangs-Kabel-Router zu nutzen. Ich würde darauf gerne über pfsense openVPN als Client betreiben, und zwar mit einer 256 Bit (vermutlich AES) Verschlüsselung.
Die Frage ist, da mein Kabel doch eine recht hohe Bandbreite hat, z.Zt. 50 Mbit/s (es wären aber auch bis zu 150 Mbit/s möglich!), ob der AMD Geode Prozessor das auch schafft (jetzt mal davon ausgegangen, die VPN-Gegenstelle liefert überhaupt die Bandbreite!)?

Erst wollte ich mir einen normalen handelsüblichen Router kaufen, z.B. was von TP-Link und das Ganze evtl. über ddwrt realisieren, habe dann aber irgendwo gelesen, dass die Bandbreiten bei openVPN 256 Bit Verschlüsselung doch sehr in die Knie gehen, so dass vielleicht nur noch ca. 1,5 Mbit/s dabei raus kommen!
Z.Zt. habe ich openVPN noch dezentral auf mehreren Systemen (also z.B. Linux- oder Windows PC) laufen und da ist das mit dem Speed kein Problem ... und das sollte natürlich auch so bleiben, wenn ich das Ganze über eine zentrale Schnittstelle laufen lasse.

Hat da zufällig jemand Erfahrungswerte?
Bitte warten ..
Mitglied: aqui
29.10.2013 um 19:10 Uhr
Die ct' hat das getestet und der Router schafft mit dem ALIX Board 100 Mbit in Wirespeed. Beim VPN ist das etwas geringer lag aber im oberen 80er Bereich.
Voraussezung ist aber das man im pfSense Setup den Hardware Cryptochip des ALIX aktiviert hat !

Billige Consumer Router haben keinerlei Krypto Hardware an Bord, machen das also in SW und da kommen dann billige SoC Chips in solchen Systemen sehr schnell an ihre Grenzen.
Bitte warten ..
Mitglied: Marsax
06.01.2014 um 19:51 Uhr
Hallo aqui

Vielen Dank für deine super Tutos.
Habe gerade einige zu monowall etc. gelesen und wollte nun monowall herunterladen.
Dabei ist mir aufgefallen, dass die aktuelle Version 1.34 von 11/12/2012 stammt
Das scheint mir relativ alt zu sein. Oder ist das so üblich bei dieser SW? Oder wird die nicht mehr weiter entwickelt?

Danke und Gruss
Bitte warten ..
Mitglied: aqui
06.01.2014 um 20:00 Uhr
Monowall ist eher konservativ in den Releases und diese kommen sehr spärlich. Ist da also üblich.
Du solltest immer besser die Schwester pfSense einsetzen, die wird erheblich aktiver gepflegt und hat einen Sack mehr Features an Bord !
Bitte warten ..
Mitglied: christianW
08.04.2014 um 17:45 Uhr
Hallo Aqui,
super Beitrag habe diesen gerade gefunden. Ich bin darauf gestossen da ich auf der Suche nach einer neuen Lösung für mich bin.

Bisher habe ich immer einen Linksys WRT54GL Router für die portbasierenden VLANs genutzt die Zugriffsbeschränkungen habe ich per IPTables auf IP-Basis gelöst. Zu dem bot der WRT54GL OpenVpn was ich zwigend benötige.

Nun habe ich aus Performancegründen nach einem neuen Modell mit 1Gbit-LAN gesucht. Hier begannen nun die Probleme, hier ist meiner Meinung nach DD-WRT zu ver"bug"t. Entweder gehen die VLANs nicht ordentlich in der GUI zu konfigurieren , dann wieder fehlt bei der nächten Verison das WLAN gänzlich usw. so schleifen sich die Probleme durch jede Verison. Hier bin ich nun auf die pfSense gestossen Port-Vlans, openVPN usw.

Jetzt stellt sich die Frage, da ich Port-basierende VLANS benutzen möchte/benötige, gib es diese Lösung auch mit mehr LAN-Anschlüssen ? Ich würde 4xVlans benötigen und dann natürlich 1x WAN . Zudem kann ich bei der pfSebse die Zugriffsregeln per IpTables konfigurieren ?

Vielen Dank für die Unterstützung
C.
Bitte warten ..
Mitglied: aqui
08.04.2014, aktualisiert um 18:46 Uhr
Wenn du ALIX Hardware einsetzt hast du auf deren MBs halt eben nur 3 Interfaces. Soekris ist noch ein zertifizierter Hersteller für pfSense/Monowall kompatible embedded Hardware. Da gibt es 4 Port Boards mit den net5501 und net6501 Boards.
Da aber jegliche i386 und auch 64bit Hardware supportet ist kannst du dir ein pfSense FW System ja auch selber customizen mit einer 1 HE Mini ITX Maschine und mit entsprechenden Mehrport NICs oder Einzelnics dadrauf.
Eine weitere HW Alternative wäre z.B. eine gebrauchte Watchguard Firebox Hardware die mit pfSense problemlos rennt, allerdings dann eben gebraucht und oft nicht leise...

Wenn du aber mit VLANs arbeitest dann überträgst du diese VLANs ja doch üblicherweise mit einem Tag auf ein physisches Interface der FW.
Dieses Interface ist dann durch den VLAN Tag wieder intern virtuell unterteilt in n mal so viele Sub Interfaces für die dann wieder separate Firewall Regeln erstellbar sind. Siehe auch im VLAN Tutorial hier.
Damit kommst du ja dann prima auch mit simplen 3 Interfaces aus wenn du eins eben in 4 VLANs separierst virtuell.
Denkbar ist auch das du aus Performancegründen eben 2 Interfaces mit je 2 VLANs unterteilst. So bekommt man das ja auch gelöst mit 3 Interfaces und VLANs.
Mit iptables kannst du das nicht regeln, denn pfSense oder Monowall basiert auf FreeBSD Unix und nicht Linux.
Ist auch gar nicht nötig, denn die Firewall hat, wie du oben ja sehen kannst, ein vollständiges FW Ruleset was über eine grafische Klicki Bunti Oberfläche umfassend administriert werden kann. Rumfrickeln auf dem CLI ala iptables ist also gar nicht erforderlich !
Das FW Leben wird dann ganz einfach mit Grafik GUI.
Bitte warten ..
Mitglied: christianW
08.04.2014 um 23:35 Uhr
Hallo aqui,
vieln Dank für Deine schnelle Erleuterungen, mein HP Switch ProCurve 1800-24G wäre in der Lage VlanTags zu setzen, somit käme ich mit zwei Ports wie beschrieben hin. Allerdings ist mir gerade aufgefallen das die von Dir im Link angegebenen Modell 10/100 Schnittstellen haben.
Das hätte zur folge wenn ich von VLAN zu VLAN kopiere wieder auf eine 100mbit Schnittstelle im Durchsatz reduziert bin, oder sehe ich das falsch ?
Bitte warten ..
Mitglied: aqui
09.04.2014, aktualisiert um 09:14 Uhr
Nein, das siehst du richtig. Wenn du Gigabit haben willst, dann musst du folgende ALIX Hardware verwenden:
ALIX Boad APU.1C
http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-ALIX-APU1C ...
Oder sinnvollerweise gleich als Bundle mit passendem Gehäuse und Netzteil:
http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU-1C-Bu ...

Bei Soekris wäre dann das 6501 das einzige Board was 1 GiG hat aber dann eigentlich mit etwas zuviel Ports....
Bitte warten ..
Mitglied: christianW
10.04.2014 um 01:00 Uhr
Hallo,
ja danke soweit, ich habe mir erst einmal zum Testen das "kleine Bundle" bestellt. Da ich zwischen den VLANs nicht so viel kopiere, eher nur expliziet IP Adressen z.B. ein Drucker im anderem Haushalt (VLAN) zugänglich machen will, ist dies nicht so entscheidet. Im selben VLAN ist eben 1Gb gegeben.

Ich hoffe das das Gerät den Download von 64Mbit/s und 5Mb/s Upload schafft ?
Aus diesem Grund habe ich den wrt54GL mit ddwrt nicht mehr nutzen können, dieser hatte im Download einen deutlichen Verlust von ca. 20Mbit/s.
Vielleicht war das Gerät mit dem kleinem Prozessor/Ram und dd-wrt, VLANs sowie den IPtables übervordert ?
Bitte warten ..
Mitglied: aqui
10.04.2014, aktualisiert um 18:56 Uhr
Ich hoffe das das Gerät den Download von 64Mbit/s und 5Mb/s Upload schafft ?
im ct' Test hat die pfSense auf dem ALIX mit ca. 94 Mbit/s bidirektional fast Wirespeed geschafft. Mit VPN war es etwas weniger.
Die geforderten 64Mbit/s und 5Mb/s sind dann also eher wie ne Lachnummer für die Hardware....
Kannst du mit NetIO oder iPerf auch selber nachmessen.
kleinem Prozessor/Ram und dd-wrt, VLANs sowie den IPtables übervordert ?
Ja das ist so. Alle diese billigen etwas älteren Konsumer Systeme haben einen schwachbrüstigen SoC an Bord. Bei denen ist meist bei 10-15 Mbit Schluss. Mit NAT und PPPoE noch weniger.
Bitte warten ..
Mitglied: coli
24.04.2014 um 14:21 Uhr
UPDATE !
PC Engines hat ein
[http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-ALIX-APU1C-System-Board-1-GHz-2-GB-DDR3-RAM-3x-LA::3101.html?XTCsid=rsb465ag1iqh8v7jlnpisbgr86
neues_Mainboard] im Portfolio, das APU.1C !!
3 mal 1 Gigabit Ethernet, Dual Core CPU mit 2 GiG DRAM und minPCI und SIM Slots für Wireless LAN, GSM/UMTS/LTE Module.
Damit ist nun auch ein Firewalling auch mit 1 GBit/s Wirespeed auf 3 Ports möglich.
UPDATE !


Hallo Aqui,

ich bin mir nicht sicher ob ich es möglicherweise überlesen habe, doch sagte man mir heute im Varia-Store, dass das neue Board nicht mit der derzeitigen pfSense Version kompatibel ist und sie deshalb kein Komplettsystem angeboten wird ...

PC Engines APU.1C4 Bundle (Board, Netzteil, Speicher, Gehäuse) - auch für das APU.1C: http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU-1C4-B ...

Hast du einen anderen Wissensstand bzw. weiß du wann pfSense an das neue Board angepasst wird ?

Danke vorab !
Coli
Bitte warten ..
Mitglied: aqui
24.04.2014 um 17:41 Uhr
Hallo Coli,
Auf der pfSense Seite gibt es diverse Performancetests und Tips wenn man nach APU.1C sucht:
https://forum.pfsense.org/index.php?topic=73885.0 usw.
Eine komplette Live Bootmessage von einem pfSense auf genau dieser HW sieht man z.B. hier:
https://plone.lucidsolutions.co.nz/networking/pfsense/boot-pfsense-v2.1. ...
Das alles könnte man ja schlecht testen wenn es grundlegende Probleme gäbe und sieht doch aus als ob es funktioniert.
Persönlcih habe ich die HW noch nicht in den Fingern aber die Postings bei pfSense selber und in diversen Foren bestätigen das eher nicht.
Hat der Varia Store Kollege das wenigstens mal näher spezifiziert WAS dort nicht kompatibel sein soll ??
Bitte warten ..
Mitglied: coli
24.04.2014 um 18:02 Uhr
Hallo Aqui,
ich werde morge versuchen mehr herauszufinden und berichte danach, wenn ich Glück hatte ...
LG, Coli
Bitte warten ..
Mitglied: coli
30.04.2014 um 08:15 Uhr
Hallo Aqui,

folgendes Statement habe ich erhalten:

Unserer technische Abteilung ist schon über der Planung dieses PfSense systemes. Leider gibt es noch keine genaue Auskunft.

LG, Coli
Bitte warten ..
Mitglied: aqui
30.04.2014 um 18:06 Uhr
Komisch...da ist die pfSense Community weltweit scheinbar schon weiter wo es ja fehlerfrei arbeitet... ?!
Na da bleiben wir dann mal gespannt was dabei rauskommt. Danke fürs Feedback.
Bitte warten ..
Mitglied: christianW
04.05.2014 um 00:36 Uhr
Hallo,
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich

http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...

http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: coli
07.05.2014 um 22:35 Uhr
Zitat von christianW:

Hallo,
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich


DANKE für den Hinweis, anscheinend ist es soweit
Bitte warten ..
Mitglied: christianW
10.05.2014 um 14:44 Uhr
Hallo,
weiß jemand ob es möglich ist, den Konfigurationsfile einer "ALIX Board 100 Mbit" auf das andere Modell APU1C4 direkt zu übernehmen ?


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
10.05.2014 um 15:52 Uhr
Sollte klappen... Hängt aber davon ab ob die 3 LAN Interfaces dieselbe Bezeichnung haben. Wenn nicht verweigert er das.
Das ist ein XML File den du einfach mit einem Text Editor ansehen kannst.
Bitte warten ..
Mitglied: christianW
13.05.2014 um 16:49 Uhr
Hallo nochmal,
ich habe da einfach ein Problem mit dem openvpn.

Ich hab eine neue pfSense aufgesetzt und OpenVpn konfiguriert. VPN Server läuft, intern Ping auf die VPN Server Adresse möglich.

Nun wollte ich die VPN Einwahl erst einmal simulieren. Habe das Gerät mit meinem aktuellem Router verbunden.
LAN-Port (192.168.0.0/24) >pfsense WAN mittels DHCP konfiguriert >192.168.0.100/24

Portforwording am Router vom 192.168.0.1/24 UDP1194 > 192.168.0.100/24
Firewallregeln WAN-Port und OpenVpn sind angelegt.

Nun bin ich mit dem Notebook im 192.168.0.0 Netz und möchte mich Remoteadresse 192.168.0.100 verbinden.
Dies funktioniert einfach nicht! Es kommt keine Verbindung zu Stande, ich sehe einfach nicht warum ?
Bitte warten ..
Mitglied: aqui
13.05.2014, aktualisiert um 16:58 Uhr
LAN-Port (192.168.0.0/24) >pfsense WAN mittels DHCP konfiguriert >192.168.0.100/24
Das geht NICHT !!

LAN und WAN sind hier im gleichen IP Netzwerk ! Das klappt logischerweise nicht !
Lass es so wie es sein soll und im Default ist, das LAN und WAN in unterschiedlichen IP Netzen sind und klemme den OVPN Client einfach in das Netz am WAN Port an.
  • Entferne in den global Settings am WAN Port den Haken (Block RFC 1918 IP Networks) und
  • Erlaube in der Firewall Regel am WAN Port das UDP 1194 Pakete von any die WAN Port IP erreichen dürfen.
Fertig....
Dann kannst du genau wie später Live testen ob es von remot klappt.
Alle Details dazu findest du in diesem Forumstutorial:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Mit besonderen Hinweisen dort für ein Testsetup und des Regel Settings !!

Bitte für dieses Detailproblem einen separaten Thread aufmachen um das Tutorial hier nicht zu sehr aufzublähen !!
Bitte warten ..
Mitglied: Jaedy1992
02.06.2014 um 08:51 Uhr
@ aqui

Sehr gute Anleitund! Danach kann man eigentlich keine Fragen mehr haben
Selbst überschneidende Themen sind sehr gut mit Links gekenzeichnet.

Hab mir heute die Komponenten bestellt. Mal schauen wie lange sie bis nach
Thailand brauchen -.-
Wenn ich damit fertig bin brauche ich was neues zum basteln. Was schlägst
du einem IT-Noob (wie mir) noch als schönes Projekt vor (Vorzugsweise
Netzwerkkomponenten :D)?

Gruß

JD
Bitte warten ..
Mitglied: aqui
02.06.2014 um 09:03 Uhr
Wie wärs mit einem Management Server auf einem Raspberry Pi:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
für einen Gäste Hotspot:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...

Mal im Ernst... auf diese sinnfreie "Killerfrage" kann man nicht fundiert antworten, denn du weisst vermutlich selber wie umfangreich allein das Kapitel "Netzwerke" in der gesamten IT ist !!
Bitte warten ..
Mitglied: Jaedy1992
02.06.2014 um 10:50 Uhr
Danke für den Tipp.
Ich weiss, dass das Thema "Netzwerke" gelinde gesagt verdammt groß ist. Da ich
aber, wie oben angedeutet, kaum Erfahrung habe ist mir jedes subthema recht um
etwas dazu zu lernen.
Irgendwo muss man ja schließlich anfangen ;)
Bitte warten ..
Mitglied: aqui
02.06.2014, aktualisiert um 17:17 Uhr
Da ich aber, wie oben angedeutet, kaum Erfahrung habe
..und dann aber gleich in ein Administrator Forum... Respekt !!
Bitte warten ..
Mitglied: kai700
06.07.2014 um 18:38 Uhr
Hallo,
ich bin auf diese Seite gestoßen, weil ich nach Webprotokoll (protokollieren der besuchten seiten) gesucht habe. Meine fritzbox 3170 hat kein webprotokoll. Ob die neueren eins haben, ist mir nicht ganz klar. Es gibt zwar Kindersicherung und Black/Whitelist, aber ein Webprotokoll?
Kann die FW hier auch ein "lesbares" webprotokoll liefern? Mit der Fritzbox kann man ja auch aufzeichen und mit wireshark auslesen. Das scheint eher nur tempörär sinnvoll und die Pakete erschließen sich nicht gleich. Kann man mit der FW auch eine Liste der besuchten URLs logen?
Gruss Kai
Bitte warten ..
Mitglied: aqui
06.07.2014, aktualisiert um 20:04 Uhr
Nein die Fritzbox kann keine besuchten URLs mitprotokollieren. Auch die Kindersicherung ist in 3 Minuten geknackt wie in der Regel üblich bei billigen Consumer Routern.
Kurze Antwort auf deine Frage:
Ja, das funktioniert problemlos !
Du musst dir über die Package Verwaltung der pfSense FW einen Proxy (Squid) installieren und der protokolliert dann alle besuchten Webseiten rechtssicher mit so wie du es möchtest.
Die FW ist dafür nicht zwingend erforderlich. Das klappt natürlich auch über einen Stand alone Proxy und deiner Fritzbox wenn du den auf einem separaten kleinen Rechner installierst. Bei nicht zu hoher DSL Speed reicht dafür auch ein Raspberry_Pi.
Infos zum allseits bekannten Klassiker Squid findest du hier:
http://www.squid-handbuch.de/hb/

Detailfragen dazu solltest du in einem separaten Thread posten um das Tutorial hier nicht allzu aufzublähen.
Bitte warten ..
Mitglied: kai700
07.07.2014 um 22:26 Uhr
Danke. Vielleicht noch eine abschließende Frage hier in diesem Thread. Wenn FW + Proxi, dann ist pfSense als FW quasi die bessere Wahl und das geht auch auf einer Hardware. Mir ist noch eingefallen, dass ich ein NAS (24/7) habe (1,6Ghz Atom, 1GB Ram), auf dem ich auch Squid installieren könnte. Ist das evtl. gleichgut/besser/schlechter geeignet? Hauptsächlich mach ich damit lokale und remote backups. Gruss Kai
Bitte warten ..
Mitglied: aqui
08.07.2014 um 19:23 Uhr
Ja, pfSense hat die Option Packages zusätzlich zur FW Funktion nachzuinstallieren. Du kannst damit den Squid UND die Firewall auf einer HW betreiben was bei kleinen Installationen durchaus einen Vorteil hat da weniger HW.
FW Puristen sehen sowas aber kritisch, da solche Funktionen auch wieder einen zusätzlichen Angriffspunkt bieten und solche Admins diese Funktionen strikt trennen.
Deshalb kann man diese Frage nicht mit ja oder neinen beantworten. Es kommt eben auf individuelle Faktoren wie die Größe des Netzes, den zu erwartenenden Cache Traffic und auch die Sicherheits Policy an.

Bei großen Installationen / Netzwerken besteht der Nachteil das die Cachedaten des Proxies schnell sehr groß werden können. Sinnvoll ist hier also immer eine mechanische Festplatte oder SSD einzusetzen.
Wenn man die pfSense auf einem alten PC oder 1 HE Server betreibt ist das kein Thema, da diese dann meist mit an Bord ist.

Sehr häufig wird die FW aber als 24/7 Gerät mit einem Flash Speicher (üblicherweise CF bei Verwendung der o.a. ALIX Hardware) betrieben, deren Datenvolumen dann begrenzt ist. Multiple Schreiboperationen nagen zusätzlich an der Lifetime eines statischen Flash Speichers.
Hier ist es dann in der Tat sinnvoller den Squid tatsächlich auf einem NAS z.B. oder extra Rechner zu installieren.
Du machst dich damit dann unabhängig von Speicherproblemen die dann auch deine FW außer Gefecht setzen könnten.
Wenn du also noch genügend Platz auf dem NAS hast macht es je nach Größe des Netzes durchaus Sinn das dafür zu verwenden.
Bitte warten ..
Mitglied: michi1983
12.02.2015, aktualisiert um 13:17 Uhr
Hallo aqui,

kannst du mir ev. bei der Auswahl des Images helfen welches ich runterladen muss für dieses Produkt?

Muss ich hier einen bootfährigen USB Stick erstellen um vom selbigen zu booten um das System dann auf der mSATA Disc zu installieren?

Danke für die Hilfe!
Bitte warten ..
Mitglied: aqui
12.02.2015, aktualisiert um 14:01 Uhr
Ja, da du kein CF gewählt hast was sich über Imager extern beschreiben lässt musst du das über einen Bootstick oder ein USB CD Laufwerk installieren.
Da das ALIX kein VGA Port hat musst du immer das serial Image nehmen dann dann hast du den Bildschrim auf der seriellen Konsole mit PuTTY oder TeraTerm.
pfSense-memstick-serial-2.2-RELEASE-i386.img.gz
Bei CD ists dann entsprechend das LiveCD Image.

Es wäre sinnvoller gewesen NICHT die mSSD zu nehmen sondern das Image bootfertig auf einer simplen 4G SD Karte im APU1D4 zu installieren !
Das wäre dann das nanobsd Image gewesen:
pfSense-2.2-RELEASE-4g-i386-nanobsd.img.gz
Was du dann mit physdiskwrite oder dem Win32DiskImager hättest direkt bootfertig aufs Flash schreiben können. (Wenn du Winblows als OS verwendest)
Zumal die Nanobsd Image auch auf Flash Speicher optimiert sind und möglichst wenig Schreiboptionen ausführen um das Flash möglichst lange am Leben zu halten.
Bitte warten ..
Mitglied: michi1983
12.02.2015 um 14:03 Uhr
Okay, vielen Dank für die Aufklärung.
Ich habe noch nichts bestellt Wollte deshalb vorher mal abklären wie das ablaufen würde.
Dann werde ich deinen Tipp befolgen!

Schönen Tag noch
Bitte warten ..
Mitglied: aqui
12.02.2015 um 14:16 Uhr
Erleichtert dir die Installation ungemein.
Achte darauf das du eine Class 10, mindestens aber Class 6, SD Karte nimmst die entsprechenden Lese- Schreibdurchsatz hat. Und nicht gerade das NoName Teil vom Blödmarkt Grabbeltisch Ein paar Euro mehr lohnt sich da....
Bitte warten ..
Mitglied: michi1983
13.02.2015, aktualisiert um 09:41 Uhr
Hallo aqui,

eine Frage hätte ich noch bis das Gerät dann geliefert wird.

Es geht um unsere Infrastruktur im Büro.
Wir haben einen Business SDSL Anschluss.

Es gibt ein Zhones SNE2040G Modem
Dahinter ein Mikrotik Routerboard

Am Mikrotik hängt eine Webcam, ein AVM VoIP Gateway 5188 an dem die AGFEO Telefonanlage hängt und der Server (Ubuntu 12.04 LTS).
Der Server hat 2 NICs. Vom Mikrotik bekommt der Server eine statische öffentliche IP und die andere NIC regelt das LAN (DHCP). Am LAN Port des Servers hängt ein Cisco Small Business SG218 Switch.

Die komplette Hardware außer dem Server und dem Cisco Switch stammen vom Provider und wird von denen gemanaged.

"Alles" was ich jetzt in puncto Sicherheit tun kann ist meines Erachtens nach den Server vom LAN physisch zu trennen mit der PfSense, ist das korrekt?
Also der WAN Port der PfSense bekommt dann die statische IP vom Mikrotik (wie es der Server vorher getan hat).
Auf einen LAN Port der PFSense kommt der Server dran mit einer fixen IP und auf den 2. LAN Port der PfSense kommt der Cisco Switch dran.
DHCP im LAN würde dann die PfSense übernehmen?!

Den Verkehr zwischen LAN und Server steuere ich dann über die PfSense FW.

Wäre das so die "korrekte" Vorgehensweise oder habe ich etwas übersehen/vergessen?

Beste Grüße

Edit://
Wenn die PfSense mehr Ports hätte, wäre es natürlich eine Option den Mikrotik vom Provider komplett wegzulassen und alles selbst zu managen.
Ich denke aber, das würden die nicht zulassen weil es auch um QoS beim VoIP geht und sie dann keine "Garantie" mehr übernehmen.
Bitte warten ..
Mitglied: aqui
13.02.2015 um 09:46 Uhr
den Server vom LAN physisch zu trennen mit der PfSense, ist das korrekt?
Ja, wenn du das so möchtest ist das korrekt !
Auf einen LAN Port der PFSense kommt der Server dran mit einer fixen IP und auf den 2. LAN Port der PfSense kommt der Cisco Switch dran.
Auch das ist ein simples und klassisches Design und funktioniert fehlerlos.
DHCP im LAN würde dann die PfSense übernehmen?!
Auch das geht natürlich problemlos. Du hast alle Optionen offen wie du es gerne hättest und was Sinn macht.
Den Verkehr zwischen LAN und Server steuere ich dann über die PfSense FW.
Das ist der Sinn und Zweck einer Firewall in so einem Design
oder habe ich etwas übersehen/vergessen?
Nein, alles richtig bedacht.
Wichtig ist nur zu klären ob das oben von dir zitierte Modem auch WIRKLICH ein reines Modem ist und KEIN Router !!!
Bei einem Modem musst du die PPPoE Provider Zugangsdaten direkt am WAN Port der pfSense definieren und bekommst hier auch die öffentliche IP Adresse.
Ist das Teil KEIN Modem sondern ein Router, dann musst du am WAN Port DHCP Client aktivieren oder eben eine statische IP Adresse (erheblich besser !) definieren aus dem Transfer IP Netz zum Provider !
Bitte warten ..
Mitglied: michi1983
13.02.2015, aktualisiert um 09:54 Uhr
Zitat von aqui:

Wichtig ist nur zu klären ob das oben von dir zitierte Modem auch WIRKLICH ein reines Modem ist und KEIN Router !!!
Bei einem Modem musst du die PPPoE Provider Zugangsdaten direkt am WAN Port der pfSense definieren und bekommst hier auch die
öffentliche IP Adresse.
Ist das Teil KEIN Modem sondern ein Router, dann musst du am WAN Port DHCP Client aktivieren oder eben eine statische IP
Adresse (erheblich besser !) definieren aus dem Transfer IP Netz zum Provider !

Dann schätze ich, dass es kein reines Modem ist. Denn bisher musste ich nirgendwo Zugangsdaten eintragen, sondern einfach eine statische IP aus unseren reservierten 6 IP Adressen. Entweder sind die Daten also im Modem/Router eingetragen oder im Mikrotik Routerboard dahinter (sofern das überhaupt möglich ist).

Danke für Einschätzung! Dann werd ich nächste Woche wenn die PfSense da ist mal loslegen
Bitte warten ..
Mitglied: aqui
13.02.2015 um 11:02 Uhr
Dann schätze ich, dass es kein reines Modem ist.
"Schätzen" ist in der IT bekanntlich keine gute Basis. Besser ist du "weist" es !!
sondern einfach eine statische IP aus unseren reservierten 6 IP Adressen.
OK, dann ist die Sache klar, denn dann bekommst du ein kleines eigenes Subnetz vom Provider transparent geroutet.
Das ist technisch die allerbeste Lösung für die pfSense die dann am WAN Port eben diese eine IP aus dem 6er Kontingent bekommt und die entsprechenden Gateway und DNS Einträge des Providers.
Solltest du dann besser auch klar so im Sachverhalt schildern denn wie jeder netzwerker weiss ist ein himmelweiter Unterschied zwischen Modem und Router.
Ein Fakt der hier leider sehr oft im Forum verwechselt wird da Laien fast immer einen Router fälschlicherweise als Modem bezeichnen.
Gut das das nun geklärt ist und die pfSense wird vollkommen problemlos in dem Umfeld funktionieren, da kannst du mal sicher von ausgehen !
Bitte warten ..
Mitglied: michi1983
17.02.2015, aktualisiert um 19:23 Uhr
Hallo aqui,

Ich hatte gehofft, ich muss deine Kentnisse nicht weiter bemühen jedoch habe ich leider ein Problem bei der Installation.

Ich habe die pfsense heute bekommen und mir auch gleich eine SD Karte geholt.
Allerdings hatte der Laden nur eine 32GB Karte Class10.

Ich habe jetzt folgendes Problem, dass ich nicht weiß, ob mein "Problem" an der Größe der SD Karte liegt.
Muss es denn genau eine 4GB Karte sein?

Ich hab die Karte wie von dir beschrieben mit dem Win32DiskImager mit dem pfSense-2.2-RELEASE-4g-i386-nanobsd.img beschrieben und danach eingebaut.
Ich bekomme aber einfach keine Verbindung her auf das Webinterface.
Ich kann auch die 192.168.1.1 nicht anpingen, ganz egal ob ich die IP fix eintrage am PC oder mittels DHCP beziehen lasse (wobei ich ja nicht mal eine zugewiesen bekomme).
Kann ich denn irgendwie "verifizieren", dass das Schreiben des Image auf die Karte funktioniert hat? Oder liegt das Problem wirklich an der zu großen SD Karte?
Ich habe 8ad434baa16d61eb4b27037e981824f9 - Klicke auf das Bild, um es zu vergrößern einen Screenshot vom Partitionsprogramm gemacht damit man sieht wie die Karte beim Schreiben des Images partitioniert wurde.

Ich habe übrigens Windows 8.1 im Einsatz falls das für die Fehlersuche bzw. Anweisungen hilfreich sein sollte.

Beste Grüße
Bitte warten ..
Mitglied: aqui
17.02.2015, aktualisiert um 16:43 Uhr
Muss es denn genau eine 4GB Karte sein?
Nein nicht zwingend.
Ich bekomme aber einfach keine Verbindung her auf das Webinterface.
Du bist auch richtig auf dem LAN Port ?? Siehe dazu auch diesen Thread:
http://www.administrator.de/frage/erfolg-monowall-alix-board-263363.htm ...
bzw. auch
http://www.administrator.de/contentid/260592
Kann ich denn irgendwie "verifizieren", dass das Schreiben des Image auf die Karte funktioniert hat?
Ja, das ist kinderleicht zu machen.
Schliesse ein Terminal (PuTTY oder TeraTerm) an die serielle Schnittstelle des ALIX an und sehe der Firewall beim Booten zu.
Dort siehst du den ganz normalen Boot Prozess mit den Schrimmeldungen. Dort kannst du ganz genau sehen ob das Image vom Flash korrekt bootet.
Der erste Thread oben hat Detailinfos dazu und auch....
http://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...

P.S.: Du musst hier bitte KEIN externen Bilderlinks die häufig Zwangswerbung enthalten benutzen. Beim Erstellen des o.a. Threads kann dir nicht entgangen sein das es hier ein Bilder Hochladen Funktion gibt ! Es sei denn mit Tomaten, Augen und so... du weisst ?!
Wenn du unter "Meine Fragen" also deinen Thread oben mit Klick auf "Bearbeiten" editierst dann siehst du den Klickbutton oben links.
Klicken, Bild hochladen und den dann erscheinenden "Bilder Link" mit Rechtsklick und Copy und Paste hier in JEGLICHEN Text bringen (auch bei Antworten funktioniert das !)
Et voila...statt Link siehst du dann dein Bild !
Kann man übrigens auch wunderbar noch nachträglich machen
Bitte warten ..
Mitglied: michi1983
17.02.2015, aktualisiert um 18:56 Uhr
Hallo,

vielleicht ist es auch einfach schon zu spät für mich, aber ich finde beim bearbeiten beim besten Willen keine Option für den Bilderupload. Zumindest bei Kommentaren nicht. Beim Erstellen ist es mir bekannt, dass das funktioniert :/
Vielleicht hab ich ja wirklich Gemüse auf den Augen.

Den richtigen Port hab ich verwendet, wie in deiner Anleitung beschrieben.

Hm, das mit dem Terminal habe ich fast vermutet aber wollte ich irgendwie umgehen. Jetzt werde ich mir einen USB-Seriell Adapter bestellen oder eine PCIe - Seriell Karte. Sonst hab ich keine Möglichkeit mich mit der seriellen Schnittstelle des ALIX zu verbinden.

Danke für die Hilfe!

Schönen Abend noch.
Bitte warten ..
Mitglied: aqui
17.02.2015, aktualisiert um 19:25 Uhr
keine Option für den Bilderupload. Zumindest bei Kommentaren nicht. Beim Erstellen ist es mir bekannt, dass das funktioniert :/
Und auch nur DA geht es ! Steht ja oben alles. Lade das Bild da hoch und paste einfach den Bilder "URL" in deinen Antwortstext !
Dann erscheint auch das Bild und zwar in jedem beliebigen Text hier ob Thread, Antwort oder PM ! So einfach ist das

Denn Port kann man aber nicht festlegen und bei anderer HW mag das anders sein als bei den 100 Mbit ALIX.
Das Terminal zeigt dir ja sicher an welche Ports WIE aktiv sind !
aber wollte ich irgendwie umgehen.
Warum das denn ?? Wenns dir doch sofort hilft ?!
Das sind 5 Euro für einen simplen USB Seriell Adapter und die Termianl SW ist kostenlos ! Einfacher kanns doch nun nicht sein, oder ??
Bestellen musst du den auch nicht, denn gibts bei jedem PC Shop oder Blödmarkt ! Das ist ein Massenartikel.
Du kannst sonst nur anhand der LEDs kontrollieren ob das Bord richtig bootet und das ist wenig aussagekräftig.
Hilfreich ist hier:
https://forum.pfsense.org/index.php?topic=73885.105
und
http://www.pcengines.ch/pdf/apu1.pdf
Bitte warten ..
Mitglied: michi1983
17.02.2015 um 19:25 Uhr
Ahhh jetzt habs auch ich verstanden :D ist erledigt.

Werde mir morgen einen Adapter besorgen und dann hoffentlich den Fehler finden.
Bitte warten ..
Mitglied: aqui
17.02.2015 um 19:26 Uhr
Den findest du dann ganz sicher
Bitte warten ..
Mitglied: 12ha34
21.02.2015 um 13:51 Uhr
Hallo aqui,

tolle Anleitung die Lust auf eine pfSense FW macht. Ich bin bei der Suche nach einer geeigneten FW für ein kleines Netzwerk auf Deinen Thread gestoßen. Die Performance soll dabei auch noch entsprechend gut sein. Daher meine Frage,
gibt es eine Aussage zu den erreichbaren Durchsatzraten (FW, VPN etc) der pfSense beispielsweise im Vergleich zur ZyWall USG 20?

Also vielen Dank und schöne Grüße
Bitte warten ..
Mitglied: aqui
21.02.2015 um 14:39 Uhr
Laut Test vom ct' Magazin schafft die pfSense mit einer ALIX 2D13 HW im NAT und PPPoE Modus direkt an DSL Anschlussen fast Wirespeed mit ca. 90 Mbit. Mit aktivem VPN Tunnel ist es geringfügig weniger aber durch den bordeigenen Cryptochip besser als Vergleichs HW in diesem Bereich.
Das neue APU1D von ALIX schafft ähnliche Raten (880 Mbit bei PPPoE / NAT) durch die bordeigenen 1 GiG LAN Ports.
Wenn du keine PPPoE Encapsulation benötigst sind die Werte halt besser und erreichen fast Wirespeed.
Bitte warten ..
Mitglied: 12ha34
21.02.2015 um 16:24 Uhr
Vielen Dank, das hört sich gut an. Dann werde ich mir mal die entsprechende HW beschaffen und das nach Deiner Anleitung testen.

Grüße
Bitte warten ..
Mitglied: 12ha34
22.02.2015, aktualisiert um 13:10 Uhr
Hallo aqui,

bei dem APU1D4 Boards (oder für die Bundle ) steht etwas von 64bit Unterstützung, muss ich da die AMD64 Version der pfSense Images wählen? Kannst Du was zum Unterschied des normalen Bundle zu dem mit der Embedded Box sagen?
Ansonsten würde ich das "normal" APU1D4 Bundle mit einer 8GB SD Karte bestellen und entsprechend Deiner Anleitung vorgehen. Hat das APU1D4 auch einen bordeigenen Cryptochip?

Grüße du Danke
Bitte warten ..
Mitglied: aqui
22.02.2015 um 14:41 Uhr
Stimmt, der Prozessor hat 64 Bit support. Damit sollte man ein pfSense-2.2-RELEASE-4g-amd64-nanobsd-upgrade.img.gz Image auf die SD Karte flashen können und das sollte wunderbar klappen.
was zum Unterschied des normalen Bundle zu dem mit der Embedded Box sagen?
Was soll da der Unterschied sein ?? Was ist normal und was ist embedded ?? Ist etwas wirr. Normal hast du ein Mainboard, da ist ein SD Kartenslot drauf, man flasht ne 4 oder 8 Gig SD Karte mit dem Image, steckt die in den Kartneslot, schraubt das Board ins Gehäuse und gutt iss.
Was soll da jetzt normal und embedded sein ???
Das D4 Borad musst du nicht nehmen es reicht auch das normale D1 D4 mit mehr RAM muss man nur nehmen wenn man viele größere Packages dazuinstalliert und laufen lässt.
Die neue CPU hat auch einen Crypto Beschleuniger an Bord in HW.
Bitte warten ..
Mitglied: 12ha34
22.02.2015, aktualisiert um 15:17 Uhr
Mit dem Embedded meine ich die Version aus dem Varia-store
PC Engines APU1D4 Bundle mit Embedded Box (Art. APU1C4-BUNDLE-EB)

mit normal meinte ich:
PC Engines APU1D4 Bundle (Art. APU-1C4-BUNDLE)

Ich habe halt keinen Unterschied beim Board gesehen (nur beim Gehäuse) und daher die Frage ?

Grüße
Bitte warten ..
Mitglied: aqui
23.02.2015, aktualisiert um 13:27 Uhr
Keine Ahnung was ein "embedded" Gehäuse zu einem richtigen Gehäuse sein soll. Dafür musst du beim Händler mal anrufen.

Ich würde immer das hier nehmen:
http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1C-1D- ...
Bitte warten ..
Mitglied: 12ha34
23.02.2015 um 12:04 Uhr
Alles klar, danke nochmal!
Bitte warten ..
Mitglied: 12ha34
27.02.2015 um 23:57 Uhr
So habe die Hardware jetzt da aber wider erwarten nicht zum Fliegen bekommen , habe das APU1D4 Bundel mit einer 8GB SD genommen. Habe am PC das pfSense-2.2-RELEASE-4g-amd64-nanobsd.img Image via DiskWrite aufgespielt und die SD Karte in das Board gesteckt und gebootet. Bekomme am rechten Port keinen Zugriff auf die Hardware. Weder mit statisch vergebener IP aus dem 192.168.1.0/24 Bereich noch via DHCP. Laut Anleitung sollte das doch funken oder? Muss ich am APU1D4 noch irgendeine (Boot) Option setzten? Wüsste aber nicht welche? Hoffe Ihr habt noch einen Tipp für mich. Soll ich ein anderes Image testen? Welches?

Grüße
Bitte warten ..
Mitglied: aqui
28.02.2015, aktualisiert um 09:21 Uhr
Hast du einen Terminal Adapter angeschlossen ??
Was sagt der ??
Kannst du die Boot Meldungen des Boards sehen ?
Bootet die pfSense wie sie soll ? Was zeigen die Boot LEDs an ??

Was häufig mit neueren Images passiert ist die Tatsache das die Interfaces nicht fest zugewiesen werden beim allerersten Start der Firmware und über das Terminal dann die Zuweisung gemacht werden muss.
Beim Booten spricht die Firewall deshalb automatisch in dieses Menü was man dann per Terminal einstellen kann.
vr0 Port = LAN
vr1 Port = WAN
Danach startet die Firewall dann in den funktionierenden Modus.

Wichtig ist hier also ein angeschlossenes Terminal mit PuTTY oder TeraTerm !!!
Bitte warten ..
Mitglied: 12ha34
28.02.2015 um 10:04 Uhr
Hallo Aqui,

LEDs sind nach dem einschalten alle 3 drei für 2s grün, dann nur die linke LED (außen am Rand) dauerleuchten. Terminal hatte ich gestern noch angeschlossen und sehe zumindest das das BIOS Bootet und die SD Karte als Bootmedium ausgewählt wird. Dann sehe ich keine Meldungen mehr, vermute das das an den unterschiedlichen Baudraten Board (115200 <-> 9600) pfsense liegt. Beim "umschalten" bekomme ich im Windows einen Bluescreen so dass ich mir erst mal einen neuen USB->Seriell Adapter holen muss . Aber ich bin guter Dinge das es mit dem dann vorangeht. Ich werde eine Rückmeldung geben.

Grüße
Bitte warten ..
Mitglied: 12ha34
28.02.2015, aktualisiert um 11:50 Uhr
Mit dem neuen USB to Serial Adapter läuft alles wunderbar und hat dann auch auf Anhieb geklappt. terminal läuft auch komplett mit 115200 bei Bootmenü und pfsense durch! Automatische Konfiguration der Adapter war dann auch kein Problem. Jetzt geht's ans konfigurieren und Testen.

Beim im Bootmenü habe ich auf der Konsole 2 Optionen

1. pfsense
2. pfsense

automatisch startet das die Nummer 2. Kann mir einer sagen was es damit auf sich hat?


Grüße und Danke
Bitte warten ..
Mitglied: aqui
28.02.2015 um 12:09 Uhr
Klasse wenns nun klappt !
Das sind 2 Partitions die auf der Flash Karte erzeugt werden. Falls eine mal strauchelt kannst du von der anderen booten
Ist ein Sicherheitsfeature.
Bitte warten ..
Mitglied: 12ha34
28.02.2015 um 12:24 Uhr
Aha gut zu wissen, sind also völlig redundant und es ist egal von welcher ich boote und die Konfiguration mache?

Grüße und Danke
Bitte warten ..
Mitglied: aqui
28.02.2015 um 18:42 Uhr
Ja....
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Firewall
gelöst Checkpoint Firewall - VPN CLient (5)

Frage von Leo-le zum Thema Firewall ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...