Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Pfsense - Bandbreite niedrig

Mitglied: micson

micson (Level 1) - Jetzt verbinden

26.08.2018 um 17:29 Uhr, 1642 Aufrufe, 22 Kommentare

Hallo,

Ich habe bereits seit 5 Jahren pfsense im Einsatz - als Firewall und mit Captive Portal für das Gäste-WLAN.
Netzwerkaufbau siehe Beitrag https://www.administrator.de/forum/netzwerkkonfiguration-firewall-regeln ...">https://www.administrator.de/forum/netzwerkkonfiguration-firewall-regeln ...

Am OPT1 wird das Gäste-WLAN (Captive Portal) und über VLAN ein privates WLAN betrieben.

Nun habe ich folgendes Problem:
Es steht ein Breitbandanschluss mit 40 MBit/s zur Verfügung. Über das Captive Portal habe ich den Traffic auf 5 MBit (down) und 1 MBit(up) eingeschränkt.
Über das WLAN "Privat" erreiche ich aber nie mehr als 18 MBit/s. Am Ausgang vr02 an welchem über Kabel der PC angeschlossen ist, sind ca. 38 MBit/s vorhanden?
Als AP sind sind Edimax ew-7416apn v2 (300 MBit/s) installiert.
Habe auch schon den Smart Switch überbrückt und einen AP direkt an OPT1 angeschlossen - keine Veränderung.
Die Interfaces sind alle auf 100baseTX full-duplex.

Als Hardware wird ein ALIX Board 2D13 verwendet. Derzeit ist (noch) die Version 2.1.5 installiert. Habe schon vor einigen Jahren versucht ein Update zu machen, anschließend war die CPU jedoch immer auf Anschlag und pfsense nicht mehr bedienbar. Da der WLAN-Empfang für die Gäste schnell vorhanden sein musste, wurde die alte Software wieder installiert und bis heute nicht geupdatet.
Kann die alte Version ein Problem sein oder liegts an der Hardware? Früher ists nicht aufgefallen, da nur ein 16 MBit/s ADSL-Anschluss vorhanden war.
Spiele auch mit dem Gedanken das ALIX Board durch ein APU-Board APU.2C4 zu ersetzen und die neueste Version von pfsense oder OPNsense aufzuspielen.

Wo kann die Ursache liegen?


Schöne Grüße und noch einen schönen Sonntag,
Michael


Mitglied: aqui
26.08.2018, aktualisiert um 18:19 Uhr
Spiele auch mit dem Gedanken das ALIX Board durch ein APU-Board APU.2C4 zu ersetzen
Langfristig ist das das Beste !!

Was du machen musst damit es klappt:
  • Live und RRD Grafiken im Setup komplett abschalten und deaktivieren. Frisst viel Performance !
  • Kein Rate Limit mehr verwenden. Frisst noch mehr Performance bei High Speed, da das in CPU gemacht wird a.d. 2D13.
  • Keine überflüssigen Module im Dashboard !
  • IPv6 komplett deaktivieren wenn du es nicht benötigst.
  • Mac Exeptions, sofern verwendet im CP, in einer Alias Liste definieren.
  • Power D und Crypto Chip aktivieren:
fwt - Klicke auf das Bild, um es zu vergrößern
  • Aktuelles Image flashen auf die SD. 2.3.5p2 ist aktuell !
akt - Klicke auf das Bild, um es zu vergrößern
Damit rennt es auch auf einem 2D13 recht stabil und einigermaßen performant in kleinen Umgebungen.
Mehr kannst du nicht machen. Außer....
Ein neues APU Mainboard verwenden...
Bitte warten ..
Mitglied: ChriBo
26.08.2018 um 18:25 Uhr
Hi,
welche Bandbreite misst du wenn du ein Gerät per Kabel (nicht WLAN !) direkt an OPT1 anschliesst ?
-
Wenn du schreibst
Habe schon vor einigen Jahren versucht ein Update zu machen, anschließend war die CPU jedoch immer auf Anschlag und pfsense nicht mehr bedienbar.
tippe ich auf ein Defekt des Alix Boards oder auf eine Fehlkonfiguration der pfSense.
Version 2.3.5 läuft auf den alten Alix-Board problemlos.
ggf. hilft folgendes: Bckup der Konfiguration, Neuinstallation (kein Update durchführen !) mit Version 2.3.5 und dann das Backup einspielen

CH
Bitte warten ..
Mitglied: micson
26.08.2018 um 23:13 Uhr
Vielen Dank für die prompten Ratschläge.

@aqui: Bin deine Tipps durchgegangen
- unter Status - RRD Graphs - Enables the RRD graphing backend. --> deaktiviert
- wo finde ich rate limit?
- Dashboard: Nur "Systeminfo" und "Interfaces"
- IPv6 war und ist deaktiviert
- Mac Exeptions werden nicht verwendet
- Power D wurde aktiviert - Crypto Chip war aktiviert

Also bis auf das Software-Update das meiste abgearbeitet. Macht jedoch auf die Bandbreite keinen Unterschied.
Hab mir dann mal unter "Diagnostics: System Activity" die CPU-Auslastung angesehen, während ich mit einem Tablet einen Speedtest am VLAN-Netz "Privat" durchgeführt habe. Die CPU hat noch genug Luft nach oben. Bekomme jedoch am WLAN-Client (Tablet) nur ca. 17 MBit/s zusammen.

pfsense_system-activity - Klicke auf das Bild, um es zu vergrößern


@ChriBo
Kann die Bandbreite an OPT1 per Kabel jetzt grad nicht messen, da ich keine Verbindung herstellen kann. Da dort auch das VLAN "Privat" eingerichtet ist, kann der Client nicht entscheiden, welches Netz er verwenden soll (so meine Vermutung). Vielleicht kann ich einen freien Port am Smart Switch entsprechen konfigurieren - oder ich deaktiviere das VLAN vorübergehend.

Derzeit bleibt meiner Meinung nach nur der Versuch das ALIX-Board mit der aktuellen Version neu aufzusetzen (kein Update). Muss dazu aber einen geeigneten Zeitpunkt abwarten, wenn keine Gäste anwesend sind.

So bleibt mir derzeit nur der Versuch das ALIX-Board mit der neuen Software aufzusetzen (kein Update).
Bitte warten ..
Mitglied: aqui
30.08.2018, aktualisiert um 15:24 Uhr
wo finde ich rate limit?
Bei deinen CP Usern !
Bekomme jedoch am WLAN-Client (Tablet) nur ca. 17 MBit/s zusammen.
Das hat rein gar nix mit der pfSense zu tun !
Im WLAN hast du soviel Einflüsse die die Bandbreite beeinflussen. Die WLAN Bandbreite ist hochdynamisch und wird je nach Feldstärke immer variiert !
Das liegt vermutlich zu 90% an deiner Funkschnittstelle.
https://www.tomsnetworking.de/content/reports/j2005a/report_wlan_luege/i ...
  • TKIP aktiv
  • Störungen von Nachbarkanälen ? Hier mindestens 4 Kanäle Abstand !
  • Störungen von anderen 2,4 Ghz Usern, Bluetooth, drahtlosem Audio/Video, Mikrowellenherd
Siehe auch hier:
https://www.administrator.de/contentid/239551#comment-926324
DAS solltest du also als Allererstes mal Troubleshooten und dann vor allem mit einem Protokoll unabhängigen Tool wie NetIO messen weil das auch unterschiedliche Paketgrößen berüksichtigt !!
https://web.ars.de/netio/
http://www.nwlab.net/art/netio/netio.html
Dann sehen wir mal weiter...

Wenn überhaupt dann solltest du also IMMER Kabel basierend messen um die variable WLAN Bandbreite auszuschliessen.
Nur so lässt sich ja eine verlässliche Aussage treffen was die pfSense wirklich kann. Mal angenommen das dann auch der Provider wenigstens die zugesagte Bandbreite halten kann. Normal überbuchen die auch ihr Kundenanschlüsse.
Bitte warten ..
Mitglied: micson
08.10.2018 um 22:47 Uhr
Derzeit sind in den Ferienwohungen keine Gäste und ich konnte nun die Version 2.3.5 installieren. Die Einrichtung verlief einwandfrei und auch das zuvor gemachte Backup lies sich problemlos einlesen. Eine Verbindung mit dem Capitve Portal konnte sofort wieder hergestellt werden. Ich kann mich auch mit dem VLAN verbinden, habe jedoch über dieses keinen Zugriff mehr auf das Internet. Mit dem Backup wurden auch alle Regeln eingespielt (sind gleich wie bei Version 2.1.5). Muss bei der Version 2.3.5 noch etwas beachtet werden?
Ein Zugriff auf das pfSense-Portal ist möglich. Der Client wird auch unter Status - DHCP Leases im VLAN10-Netz angezeigt. Muss meiner Meinung ein Firewall-Thema sein, oder?

Interfaces - VLAN10
pfsense_interfaces_ vlan10 - Klicke auf das Bild, um es zu vergrößern

Firewall - Rules - VLAN10
pfsense_firewall_ rules_ vlan10 - Klicke auf das Bild, um es zu vergrößern

Mögliche Lösung(en) parat?

PS: An den AP's und am Smart Switch wurde nichts verändert. Habe den Smart Switch auch mal ausgeklammert und einen AP direkt am ALIX Board angeschlossen, hat jedoch nichts bewirkt. Muss also definitiv eine Einstellung bei pfSense sein.
Bitte warten ..
Mitglied: aqui
09.10.2018 um 10:11 Uhr
Frage zum VLAN 10:
  • Betreibst du die pfSense in einer Kaskade mit einem Router oder direkt an einem NUR Modem zum Provider ?
  • Hast du im VLAN 10 einen DHCP Server laufen und bekommst du von dem entsprechend richtige IP, Gateway und DNS Adressen ?
  • Ist das Captive Portal auch am VLAN 10 Interface aktiv ?
  • Welches ist das physische Parent Interface vom VLAN 10 Int. ? Das LAN Interface ??
  • Deine FW Regel im VLAN 10 Interface ist etwas unökonomisch. Du erlaubst hier Port 53 (DNS) und danach nochmal alle TCP Ports und damit auch TCP 53. Nicht falsch aber könnte man etwas anders machen.
Das bewirkt das hier einzig nur TCP basierte Protokolle ins Internet können !! Nichts anderes wie z.B. Ping etc.
Gehe also mal strategisch vor:

Um dir hier nicht selber eine Falle zu stellen solltest du ggf. Die VLAN 10 Regel mal testweise auf eine Scheunentor Regel setzen also: PASS, Protocol: any, Source: VLAN10_net, Destination: ANY
Damit darf dann erstmal alles aus dem VLAN 10 raus.
Dann auf der pfSense unter Diagnostics --> Ping folgendes eingeben:
  • Hostname = 8.8.8.8
  • Source address = VLAN10_Interface
Du pingst dann mit einer VLAN 10 Absender IP den Zielhost 8.8.8.8 (Google) im Internet. Die Pings sollten erfolgreich sein !
Das zeigt dann das generell aus dem VLAN 10 Internet Konnektivität gegeben ist. (ICMP muss in den VLAN10 Regeln erlaubt sein !)
Dann Test PC ins VLAN 10 klemmen und checken:
  • ...das er eine korrekte IP, Gateway und DNS bekommen hat
  • das VLAN 10 Interface 192.168.10.1 der pfSense pingen zum Check das die pfSense erreichbar ist. OK würde auch schon der Fakt zeigen wenn der VLAN 10 Client eine IP Adresse per DHCP bekommen hat von der pfSense.
  • Klappt der pfSense Ping dann jetzt die 8.8.8.8 pingen vom Client
  • Sollte auch klappen.
  • Dann VLAN 10 Firewall Regel entsprechend anpassen zu dem Protokollen die du durchlassen willst.
Bitte warten ..
Mitglied: micson
09.10.2018 um 23:59 Uhr
Netzwerk sieht folgendermaßen aus:
uebersicht_2 - Klicke auf das Bild, um es zu vergrößern

Interfaces:
pfsense_interfaces_interface assignments - Klicke auf das Bild, um es zu vergrößern

Info: Am DSL-Router war und ist entgegen der Grafik DHCP aktiv. Dies sollte aber nicht der Grund sein, da es vor dem pfsense-Update auch problemlos funktioniert hat.

Habe die Firewall-Regeln auf VLAN10 deaktiviert und deine Regel hinzugefügt. --> Ping funktioniert.
Auf einem Smartphone und Tablet im Netzwerk VLAN10 pfsense geöffnet und ebenfalls einen Ping durchgeführt. Auf beiden Geräten wurden alle Pakete gesendet und empfangen. Ins Internet komme ich jedoch mit beiden Clients nicht. Am Tablet steht "Internet ev. nicht verfügbar."
Wollte den Test noch mit einem Desktop-Rechner durchführen, es wird aber nur das OPT1 (vr2) angezeigt. Über OPT1 (Captive Portal) ist die Verbindung problemlos möglich.
(Wie kann ich auf das VLAN10 zugreifen? In den Adaptereinstellungen finde keinen Reiter VLAN. Treiber-Update der Netzwerkkarte erforderlich?)

Noch eine Idee?
Bitte warten ..
Mitglied: aqui
11.10.2018, aktualisiert um 17:55 Uhr
Am DSL-Router war und ist entgegen der Grafik DHCP aktiv.
Generell ist das kein Problem nur die Kardinalsfrage hier ist ob du das mit der pfSense in irgendeiner Art und Weise nutzt ???
Das solltest du natürlich NICHT tun ! Klar, denn im 10er Koppelnetz sollte man niemals dynamische IPs verwenden sondern immer statische.
Solange du also statische IPs dort hast außerhalb der aktiven DHCP Range, mindestens aber eine feste DHCP Reservierung über die Mac Adresse des pfSense WAN Ports, kann das so bleiben. Dann lässt man die DHCP Funktion einfach brach liegen, was ja nicht stört.
Habe die Firewall-Regeln auf VLAN10 deaktiviert und deine Regel hinzugefügt. --> Ping funktioniert.
So sollte es sein !
Nur...Ping von wo nach wo ?? Hast du die Ping Funktion der pfSense (Diagnostics) benutzt ???
Von hier solltest du:
  • a.) das pfSense VLAN 10 Interface pingen können
  • b.) die 10er LAN IP Adresse des Pirelli Routers pingen können
  • c.) eine Internet IP wie die 8.8.8.8 pingen können
Ist das der Fall ???
Dazu solltest du nochmal ein Feedback geben !
Test noch mit einem Desktop-Rechner durchführen, es wird aber nur das OPT1 (vr2) angezeigt. Über OPT1 (Captive Portal) ist die Verbindung problemlos möglich.
Sorry, Bahnhof, Ägypten ????
Was meinst du damit ??
OPT1 ist das physische Parent Interface über das auch tagged das VLAN 10 rennt.
Sprich also die physische IP und die des VLAN 10 liegen auf diesem Interface.
Dazu ist deine Zeichnung oben schlciht falsch, denn sie zeigt mit keiner Beschriftung WIE die IP Adressierung im VLAN 10 aussieht. Dort müsste ein eigenes IP Netz konfiguriert sein wie 192.168.10.0 !!
Was noch irreführend ist in deiner Zeichnung:
Der Büro PC-EG ist oben am vr2 Interface. Aber am vr2 Interface ist laut pfSense Interface Konfig ja dein OPT1 Interface. Hier stimmt also was mit der Zeichnung nicht.
Vermutlich ist der PC Büro-EG am LAN Interface vr1 und OPT1 und VLAN 10 am vr2 ?! Kann das sein ?

Folgende ToDos müssen dafür gegeben sein:
  • Haken am WAN Port Setup der pfSense "Blocking RFC1918 networks" MUSS entfernt sein !
  • VLAN 10 Interface auf dem Parent Interface OPT1 eingerichtet (sieht aus also ob das passiert ist ?!)
  • OPT1 Parent Firewall Regel: PASS, Protocol: any, Source: OPT1_net, Destination: ANY
  • VLAN 10 Firewall Regel: PASS, Protocol: any, Source: VLAN10_net, Destination: ANY
  • DHCP Server einrichten auf der pfSense für OPT1 und VLAN 10
  • Switchport, wo die pfSense am Switch mit dem OPT1 Port verbunden ist, muss so eingestellt sein:
  • Untagged für Default VLAN 1
  • Tagged für VLAN 10
tagswitch - Klicke auf das Bild, um es zu vergrößern
  • Genau diese Port Einstellung gilt auch für alle Switchports an denen die MSSID APs angeschlossen sind.

Zum Test solltest du auf dem Switch Endgeräde Ports (Mode Access) unatgged ins VLAN (ist eh Default) und ins VLAN 10 legen zum Testen.
Wenn du jetzt den PC ins VLAN 1 klemmst am Switch, dann sollte follgendes möglich sein:
  • PC hat IP Adresse, Gateway aus OPT1 Netzwerk 192.168.1.0 /24 (ipconfig (Windows))
  • Ping auf die OPT1 IP Adresse der pfSense
  • Ping auf die 10er LAN IP des Pirelli Routers
  • Ping auf die 8.8.8.8 im Internet
Steckst du den PC jetzt auf einen VLAN 10 Port am Switch müssen genau diese 4 Punkte:
  • PC hat IP Adresse, Gateway aus OPT1 Netzwerk 192.168.10.0 /24 (ipconfig (Windows))
  • Ping auf die VLAN 10 IP Adresse der pfSense
  • Ping auf die 10er LAN IP des Pirelli Routers
  • Ping auf die 8.8.8.8 im Internet
...auch möglich sein !
Ist dem so und hast du das alles überprüft ?
Wie kann ich auf das VLAN10 zugreifen? In den Adaptereinstellungen finde keinen Reiter VLAN. Treiber-Update der Netzwerkkarte erforderlich?)
Das ist doch ganz einfach !!
Weise dem Switchport einfach das VLAN 10 zu und stecke den Testrechner dort rein. Am Rechner selber ist nichts dafür einzustellen !!
Der Switchport hat den Mode: Access und ist Untagged im VLAN 10 (PVID auf 10)
Fertisch !

So sähe das aus L3 Sicht aus wenn du alles richtig gemacht hast:

pfsen_vlan - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: micson
18.10.2018, aktualisiert 19.10.2018
Zu Beginn: Genau so wie auf deiner angefügten Grafik schaut mein Netzwerk aus. (Einzige Abweichung ist die WAN-Adresse)

Die letzten Abende haben mich einiges an Nerven gekostet
Version 2.3.5 installiert --> Backup eingespielt --> Captive Portal funktioniert, VLAN10 funktioniert nicht (Scheunentorregel erstellt - Ping in LAN, OPT1 und VLAN10)
Version 2.1.5 installiert --> Backup eingespielt --> LAN, VLAN10 und Captive Portal funktionieren

Dann habe ich wieder die Version 2.3.5 installiert - aber die Interfaces manuell (ohne Backup einspielen) eingerichtet. Alle Interfaces funktionieren einwandfrei (LAN, OPT1, VLAN10: Ping auf alle Interfaces, Pirelli-Router, Internet möglich). Die Geschwindigkeit liegt jetzt auch bei ca. 36 MBit/s (Nachdem ich zwischenzeitlich nochmals die Version 2.1.5 hatte, war auch dort diese Bandbreite möglich - war wohl irgendwo ein Knopf drinnen. Kann ich mir nicht erklären, ist jetzt aber egal.)
Irgendwas hat sich beim Einspielen des Backup's nicht vertragen.

Nun wollte ich das Captive Portal (auf OPT1) einrichten. Sobald ich jedoch auf "Enable Captive Portal" klicke, ist die Verbindung im VLAN10 (Parent: OPT1) weg. Deaktiviere ich das Captive Portal, funktioniert das VLAN10 wieder. Beim "DNS Resolver" (ist aktiviert) und "DNS Forwarder" (ist deaktiviert) wurde an den Einstellungen nichts verändert. Auch der Port 8002 wurde bei den Regeln von OPT1 hinzugefügt:
firewall_ rules_ opt1 - Klicke auf das Bild, um es zu vergrößern

Muss ich nocht was berücksichtigen?

PS: Bezüglich VLAN1 und VLAN10 an einem kabelgebundenen Client hatte ich einen Denkfehler. Bisher nur über das WLAN darauf zugegriffen. Die Konfigurierung am Switch ("untagged" und "tagged") hat aber problemlos funktioniert.
Bitte warten ..
Mitglied: aqui
19.10.2018 um 08:02 Uhr
Die pfSense nummeriert die Portalseiten hoch je nach Interface Index. Du solltest eine Range von 8000-8005 freigeben, wie hier in diesem Beispiel wo das VLAN 10 fehlerlos mit dem CP funktioniert:

cp - Klicke auf das Bild, um es zu vergrößern

Logisch ist deine Filterliste auch schlecht. Du solltest immer zuerst die CP relevanten Dinge erlauben und erst dann die DENY Regeln zu den anderen Interfaces. Danach dann das was du aus dem CP erlauben willst.
Erstelle erstmal eine normale CP Regel wie die obige im Screenshot und checke das CP das es sauber funktioniert mit den entsprechenden Interfaces.
Bezüglich VLAN1 und VLAN10 an einem kabelgebundenen Client
Das ist dann am pfSense Interface so das VLAN 1 untagged ist und (bei dir) am OPT1 Interface anliegt und VLAN 10 dann Tagged was am VLAN 10 Interface anliegt.
Das Parent Interface ist immer untagged.
Hast du aber richtig gemacht wenn es bei dir funktioniert !
Bitte warten ..
Mitglied: micson
19.10.2018 um 20:07 Uhr
- auf Werkseinstellungen zurückgesetzt:
- Interfaces eingerichtet:
console_uebersicht - Klicke auf das Bild, um es zu vergrößern

- Firewall-Regeln definiert:
firewall_rules_wan - Klicke auf das Bild, um es zu vergrößern
firewall_rules_lan - Klicke auf das Bild, um es zu vergrößern
firewall_rules_opt1 - Klicke auf das Bild, um es zu vergrößern
firewall_rules_vlan10 - Klicke auf das Bild, um es zu vergrößern

Im LAN, OPT1 und VLAN10 können die jeweils anderen Interfaces und auch der Pirelli-Router angepingt werden. Auch ein Zugang ins Internet ist von allen Interfaces möglich.

- Capitve Portal eingerichtet
system_user manager_users_edit - Klicke auf das Bild, um es zu vergrößern

- Haken "enable Captive Portal" gesetzt:

Das VLAN10 funktioniert nicht mehr. Einzig das Parent Interface (OPT1) ist vom VLAN10 aus erreichbar. Ebenso ist vom LAN kein Zugriff mehr auf das OPT1-Netzwerk (GUI von Switch und AP's nicht aufrufbar) möglich - eine Verbindung ins Internet jedoch schon.
Schließe ich den Desktop-Rechner am untagged Port an, wird die Login-Seite des Captive Portals geladen. Nach dem erfolgreichen Anmelden ist ein Zugriff ins Internet möglich.

status_system logs_firewall_normal view - Klicke auf das Bild, um es zu vergrößern

status_services - Klicke auf das Bild, um es zu vergrößern

Wo ist hier der Hund begraben?
Bitte warten ..
Mitglied: aqui
20.10.2018, aktualisiert um 13:12 Uhr
Ein Bug diesbezüglich ist schon lange gefixt:
https://redmine.pfsense.org/issues/851
Siehe auch:
https://forum.netgate.com/topic/51998/captive-portal-on-vlans

Was an deinen Screenshots oben auffällt ist die Tatsache das du eigentlich die OPT1 Regeln auf dem "WAN" Interface aktiv hast ?!?
Oben sieht man ja das WAN selektiert ist dann ist das Regelwerk aber darunter genau das Regelwerk was am OPT1 Interface sein soollte !!!
Kann das sein das du hier was gründlich falsch gemacht hast ???
Am WAN Interface können logischerweise niemals Pakete auftauchen die als Absender das OPT1 Interface haben !!!
Das sollte dir doch klar sein.
Vermutlich ist genau das dein Kardinalsfehler !
Bitte warten ..
Mitglied: micson
20.10.2018 um 18:58 Uhr
Zitat von [aqui]:

Was an deinen Screenshots oben auffällt ist die Tatsache das du eigentlich die OPT1 Regeln auf dem "WAN" Interface aktiv hast ?!?

Ja, das ist richtig. Ich habe mich ehrlich gesagt auch gewundert. Da aber in dem von dir gemachten Screenshot weiter oben als erste Block-Regel "Block bogon networks" steht und diese standardmäßig nur im WAN-Interface steht, dachte ich mir es ist einen Versuch wert die Regeln hier einzutragen.
Habe nun die erstellten Einträge im WAN entfernt und im OPT1-Interface eingetragen - VLAN10 weiterhin Scheunentor-Regel.

Kleiner Erfolg:
Ich habe mal testweise beim Captive Portal unter "Allowed Hostnames" die IP-Adressen der mit dem VLAN10 verbundenen Clients eingetragen. Nun ist eine Verbindung sowohl über VLAN1 als auch VLAN10 möglich. Kann jetzt die Ursache eingegrenzt werden?
Bitte warten ..
Mitglied: aqui
21.10.2018, aktualisiert um 10:30 Uhr
dachte ich mir es ist einen Versuch wert die Regeln hier einzutragen.
Was sollte der tiefere Sinn sein falsche Regeln auf einem falschen Interface als "Versuch" einzutragen ??!!
Muss man sicher nicht weiter kommentieren....
Korrigier das bitte auf ein sinnvolles Regelwerk und lösche diesen Unsinn wieder und dann sehen wir weiter...
Nun ist eine Verbindung sowohl über VLAN1 als auch VLAN10 möglich.
Nimm mal bitte NICHT die IP Adressen, denn die ändern sich logischerweise durch die Dynmaik von DHCP. Das macht also wenig Sinn, es sei denn du machst eine Reservierung im DHCP über die Mac Adresse.
Nimm als Ausnahme mal die Mac Adressen dieser Endgeräte und trage die ein !
Die IPs dann natürlich wieder löschen.
Ist das Verhalten da identisch ?
Bitte warten ..
Mitglied: micson
21.10.2018 um 10:52 Uhr
IP-Adresse gelöscht und MAC-Adresse eingetragen. --> gleiches Verhalten - funktioniert.

Ein Zugriff vom LAN-Netzwerk auf das OPT1- Netzwerk ist jedoch weiterhin nicht möglich (Switch und AP's nicht aufrufbar).
Bitte warten ..
Mitglied: aqui
21.10.2018, aktualisiert um 14:03 Uhr
Ein Zugriff vom LAN-Netzwerk auf das OPT1- Netzwerk ist jedoch weiterhin nicht möglich
Entsprechende Regeln die das erlauben hast du eingetragen ??
Bedenke auch den Rückweg der Pakete also Antworten von den Geräten aus OPT1 ins LAN !!
Auch die Antwortpakete vom OPT1 Port müssen passieren dürfen ! Wenn du am OPT1 global den Zugriff auf LAN blockierst bleiben die Antwortpakete dort logischerweise hängen.
Sinnvoll ist es hier eine Regel zu erstellen die nur Pakete mit einem gesetzten "Established" Bit (Advanced Options)
tcpack - Klicke auf das Bild, um es zu vergrößern
passieren zu lassen von OPT1 auf LAN. So kommen Antwortpakete durch aber direkter Sessionaufbau von OPT1 auf LAN ist nicht möglich !
Weiterer, häufiger Fehlerpunkt bei Switch und APs:
Haben die ein Default Gateway oder eine Default Route gesetzt im IP Adress Setup ?? Ohne die ist natürlich eine Kommunikation in andere IP Netze unmöglich !
Bitte warten ..
Mitglied: micson
21.10.2018 um 15:20 Uhr
Ein Zugriff vom LAN-Netzwerk auf das OPT1- Netzwerk ist jedoch weiterhin nicht möglich

...wenn der Haken bei "enable Captive Portal" gesetzt ist.

Bei aktiviertem Captive Portal funktioniert dies einwandfrei: Login-Seite öffnet sich - Anmeldung - Zugriff auf Internet
Das VLAN10 funktioniert dann aber nur, wenn ich - wie oben beschrieben - die MAC-Adressen der Clients hinzufüge (was ich nicht wirklich praktikabel finde und bei der Version 2.1.5 nicht der Fall war).

Ist der Haken nicht gesetzt (kein Captive Portal), funktionieren VLAN1 und VLAN10 ohne Probleme - auch ohne Angabe der MAC-Adressen.
Durch Setzen des Hakens wird das jeweilige Interface - in diesem Fall OPT1 - um die Funktionen eines Captive Portales erweitert. Und mehr als die zusätzlichen Ports (hier 8000 - 8005) sind am OPT1 nicht freizugeben, oder?

firewall_rules_wan - Klicke auf das Bild, um es zu vergrößern
firewall_rules_lan - Klicke auf das Bild, um es zu vergrößern
firewall_rules_opt1 - Klicke auf das Bild, um es zu vergrößern
firewall_rules_vlan10 - Klicke auf das Bild, um es zu vergrößern

Sind noch Einstellungen zu machen, welche nur bei einem Captive Portal zwingend erforderlich sind? Einstellungen am DNS Resolver, DNS Forwarder?
Sonst werde ich nochmal testweise die Version 2.1.5 installieren und die gleichen Einstellungen machen...
Bitte warten ..
Mitglied: aqui
LÖSUNG 21.10.2018, aktualisiert um 16:59 Uhr
Sind noch Einstellungen zu machen,
Ja, wenn du eine Router Kaskade betreibst, dann kannst du die Block Bogon Regel am WAN Port aktivieren. Die kann übrigens generell aktiv bleiben den Bogons sind im Internet inexistente IP Netze die man immer blocken sollte.
In einer Kaskade solltest du unten am WAN Port Setup noch den Haken entfernen bei "Block RFC 1918 IP networks". Klar, denn das kaskadierte Netz am WAN Port zum Internet Router ist ein RFC 1918 IP.
Ansonsten sind deine Regeln jetzt soweit OK.
OPT1 entspricht ja dem VLAN 1 auf dem angeschlossenen Switch. Dort ist mit dem Regelwerk dann nur Browser Zugang erlaubt. Alles andere geht dort nicht auch kein Ping usw.
VLAN 10 darf alles.
Wo hast du denn jetzt das CP aktiviert ? Vermutlich am OPT1 Port direkt, richtig ?
Bei normaler Funktion ist das VLAN 10 davon völlig unberührt wenn auf dem OPT1 das CP aktiv ist sollten alle VLAN 10 Clients davon völlig unberührt sein und weiterhin alles dürfen.

Solltest du dennoch Probleme haben solltest du das Konzept ggf. mal umdrehen. Sprich das Gastnetz was das Captive Portal hält eben nicht auf das native Interface legen sondern auf ein VLAN Interface.
In der Regel ist es ja auch so das man Gastnetze niemals auf das Default VLAN legt sondern immer auf ein dediziertes VLAN. In sofern ist dein Design da auch nicht ganz sauber.
Das wäre nochmal einen Versuch wert. Ich mache parallel mal ein Testsetup von dem Design auf einem APU Board.
Bitte warten ..
Mitglied: micson
24.10.2018, aktualisiert um 22:07 Uhr
DAS war die Lösung: OPT1 ist nun das Privat- und VLAN10 das Gastnetzwerk. Seit Sonntag laufen nun die Netzwerke ohne Probleme. Die Regeln habe ich auch umdefiniert bzw. entsprechend erweitert.
Wieso diese Konfiguration bei der Version 2.1.5 ging und bei der 2.3.5 nicht mehr. Kannst du das nachvollziehen oder bestätigen?
Nochmals vielen Dank für deine Hilfestellungen und vor allem deine Geduld.

Noch eine Frage:
Habe WAN von DHCP auf STATIC umgestellt:
Adresse außerhalb von DHCP-Range des Routers eingetragen.
Gateway ist Adresse des Routers
Unter General - DNS Server Settings: DNS-Adresse des Routers eingetragen (welche DNS sollte man generel nehmen, mehrere DNS?)

Ist das soweit korrekt?
Bitte warten ..
Mitglied: aqui
26.10.2018, aktualisiert um 12:24 Uhr
Ich hatte das zwischenzeitlich auch im Testsetup laufen und konnte dein Verhalten nachstellen:
  • Mit dem CP auf dem Parent Interface gehts nicht....oder nicht richtig.
  • Setzt man das CP aber auf eins der VLAN Interfaces funktioniert es fehlerlos !
Das sollte man generell auch immer so machen, denn ein Gastnetz ist ja eigentlich immer in einem VLAN angelegt und niemals in einem Native oder default VLAN.
Möglicherweise ist das aber ein Bug wenns wirklich in der 2.1.5 funktioniert haben sollte.
Aber so gibt es ja damit einen Workaround !
Habe WAN von DHCP auf STATIC umgestellt:
Das sollte man auch immer machen wenn man in einer Router Kaskade arbeitet !
Adresse außerhalb von DHCP-Range des Routers eingetragen.
OK, du meinst den kaskadierten Router davor, oder ?
Als Alternative könntest du hier im DHCP Server eine feste Reservierung über die Mac Adresse der pfSense eintragen:
mac - Klicke auf das Bild, um es zu vergrößern
Die FritzBox z.B. supportet sowas.
Dann kannst du das Interface im DHCP Client Mode laufen lassen bekommst aber über die Mac Adresse so immer eine "feste IP Adresse" vom DHCP Server des Routers.
Beides geht und ist sinnvoll !
Ist das soweit korrekt?
Ja, ganz genau.
Bei einer statischen Konfig ist das korrekt !
Bitte warten ..
Mitglied: micson
27.10.2018 um 22:59 Uhr
Ja, du hast recht. Das Gastnetz soll auf einem VLAN und nicht auf einem Parent Interface betrieben werden.
Das private Netzwerk auf VLAN10 ist damals erst später hinzu gekommen und das Gastnetz auf dem Parent Interface belassen worden. Hat mehr als 5 Jahre problemlos mit der Version 2.1.5 funktioniert.

Bin aber froh, dass du dieses Verhalten in der Version 2.3.5 bestätigen kannst.

Nochmals vielen Dank für deine Hilfe und noch ein schönes Wochenende.
Bitte warten ..
Mitglied: aqui
28.10.2018 um 11:44 Uhr
Immer gerne wieder...
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

LAN, WAN, Wireless
LAN-Übertragungsrate zu niedrig
gelöst Frage von stephan902LAN, WAN, Wireless18 Kommentare

Hallo, beim Übertragen großer Daten erreiche ich nur 55 MB/s, also ziemlich genau der Hälfte des praktischen Maximums. Interessant ...

Switche und Hubs
Netzwerk-Bandbreite zu niedrig
Frage von Fenris14Switche und Hubs12 Kommentare

Hallo, habe jetzt vor kurzem mehere Switche in Betrieb genommen. Mein Setup besteht aus zwei Brocade ICX-7250-24 als "Core-Switche" ...

Server-Hardware

Luftfeuchtigkeit im Rechenzentrum zu niedrig

gelöst Frage von clint60Server-Hardware13 Kommentare

Hallo zusammen, ich habe letzte Woche ein paar Temperatursensoren und ein Sensor für die Luftfeuchtigkeit in unserem RZ installiert. ...

Neue Wissensbeiträge
Off Topic
8 zoll disketten
Information von brammer vor 9 StundenOff Topic2 Kommentare

Hallo, ob das so gut ist brammer

Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 3 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 4 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 4 TagenMicrosoft Office12 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Heiß diskutierte Inhalte
Windows 7
Alter PC abgebrannt - Festplatte im neuen PC führt zum Bluescreen
gelöst Frage von CAT404Windows 724 Kommentare

Moin ich habe seit heute mittag einen PC aufm Tisch stehen, total verzweifelter Eigentümer. Der Rechner ist so ein ...

Router & Routing
Zwei Netzwerk miteinander verbinden oder in einem IP Bereich Zugriffsrechte setzen
Frage von spreenautinRouter & Routing14 Kommentare

Hallo, ich würde gerne zwei Netzwerk mit unterschiedlichen IP Bereichen mit einandern verbinden. Dann würde ich gerne definieren wer ...

Server-Hardware
Welches Betriebssystem für DL380p Gen8 für den Heimgebrauch
Frage von peter91gServer-Hardware13 Kommentare

Hallo zusammen, betreibe Zuhause einen Dl380p G8 derzeit mit ESXI in der Testversion. Es läuft je nach Bedarf Ubuntu ...

Batch & Shell
Batch - Datei über das Kontextmenü (Senden an) des Windows Explorer umbenennen
gelöst Frage von AlfornoBatch & Shell10 Kommentare

Hallo, ich möchte eine beliebige Word Datei mittels Batch umbenennen. Als Ergebnis soll der neue Dateiname das Änderungsdatum sowie ...