PfSense Installation

Moin Borkum11,

magst Du uns etwas über den Router vor der PfSense verraten? Lässt der sich vielleicht auch nur als Modem betreiben?

Gruß

Uwe

Hallo,


Hier dürfte dein Fehler liegen: du hast die gleichen IP-Subnetze vor und hinter der pfSense. So klappt kein Routing.
Ändere den IP-Bereich am LAN-Interface z.B. auf 192.168.2.x

Gruß
Schorsch

Ganz bestimmt ist das sogar nicht nur möglich das funktioniert auch und das wiederum gefühlte hundert mal und genau
nach dieser Anleitung.


So nun noch mal zu dem Router vor der pfSense, was bitte genau ist das für ein Router, also bitte nicht nur
das ist eine Fritz!Box schreiben sondern, lieber ganz genau das ist eine Fritz!Box 7390 von AVM.

Gruß
Dobby

Dann entferne den Netgear aus deíner Konfiguration und gib die Zugangsdaten des ISP direkt in die PfSense ein.
Alternativ kannst Du dir auch diese Anleitung mal anschauen.

Kopplung von 2 Routern am DSL Port

Gruß

Uwe

Also hast Du doch eine so genannte Router Kaskade aufgebaut und nicht nur das was @aqui in seiner Anleitung
beschrieben hat.

Allerdings ist ein Modem der Telekom davor geschaltet, so dass ich auch pfSense als Router nutzen könnte.
Das würde schon Sinn machen wenn man denn nur wollte, es gibt sicherlich einige Gründe so eine Router Kaskade
aufzusetzen, aber die pfSense erlaubt es Dir ja auch auf der anderen Seite mit VLANs zu arbeiten und dann ist eben
ein VLAN Dein privates Netzwerk und da kann dann auch keiner was daran machen!

Jo das ist so.

Dann ist das ja auch kein Beinbruch, also es gibt da meiner Meinung nach zwei Möglichkeiten die schnelle Abhilfe schaffen:
1. Du ließt Dir die folgende Anleitung von @aqui auch noch durch und "bastelst" aus beiden etwas schickes für Dich.
2. Du legst den Netgear an die Seite und dann läuft alles über die pfSense mit dem Modem von der Telekom davor!

Wo wir gerade dabei sind, was für einen Switch hast Du denn in Benutzung?
Unterstützt der auch VLANs?

Gruß
Dobby

Also ich finde dazu leider auch nichts weil der Switch nicht mehr verkauft wird.
Aber eine kleiner Switch mit 5 - 24 Ports kostet je nach Ausführung Hersteller und auch gebotener Funktionsvielfalt
30 - 400 €, das hängt aber auch immer davon ab wie viele Wohnungen Du nun mit einem Internetzugang versorgen
möchtest und wie viele WLAN APs da dann noch zu kommen. Ich denke 4 VLANs sollten es bringen bzw. für Dich alles erledigen.
VLAN1 = Management VLAN für Dich bzw. den Administrator
VALN2 = Dein privates Netzwerk
VLAN3 = alle restlichen Wohnungen die man mit Internet versorgt
VLAN4 = WLAN

Dann aber auch weiter so vorgehen wie es @transocean schon vor geschlagen hat.
(Dann entferne den Netgear aus deíner Konfiguration und gib die Zugangsdaten des ISP direkt in die PfSense ein.)

Gruß
Dobby

Hi Borkum11,

und wenn Du das nun mit Deinem ALIX 2D13 und der pfSense schon so schön nach Anleitung geschafft hast,
den Netgear wgr614 v7 "in die Tonne zu drücken", dann solltest Du noch überlegen ob nicht der dritte LAN-Anschluß am ALIX für Dich eine sinnvolle Ergänzung wäre.
siehe...
Was hindert Dich den Opt1 Anschluß dafür zu verwenden und ein 2.LAN aufzubauen, ganz ohne Dich mit VLAN's zu verwirren...

Gruß orcape

Hi,
...unter Status-Wireless ?
Hast Du mal den Versuch gemacht Dich mit einem Laptop zu verbinden ?

Gruß orcape

Moin,
Hast du schon die Support-Matrix von pfSense gelesen? Deine Karte ist mit pfSense aktuell nicht kompatibel.


Grüße,
Dani

Hi,
Ist OK so.
Taucht in Diagnostics-ARP-Tabelle die IP und die MAC des WLAN-Interfaces auf ?
Ist das WLAN-Interface unter Interfaces(Assign) als ath(MAC-Adresse) korrekt eingetragen ?
Hast Du pfSense nach den Einstellungen noch mal resettet ?

Gruß orcape

Kurzer Nachtrag:
Was Dani meint könnte natürlich zutreffen, Aqui hatte diesbezüglich auch etwas im Tutorial stehen.

HI Borkum,
Jap, ich hab jetz mehrmals gelesen, dass diese Karte aktuell nicht funktioniert. Du könntest zuerst pfSense 2.1-RC1 installieren. Vllt. wird dort die Karte unterstützt. Aktuell wird der WLAN .n-Standard nicht supportet.


Grüße,
Dani

Hi,

...und bevor Du neu kaufst, Aqui hat in seinem Tutorial geschrieben...
Dürfte ein Atheros Chipsatz sein, kann aber trotzdem gut sein, das die Treiberunterstützung für dieses Teil mit der pfSense nicht funktioniert.
Aqui's Tutorial ist ja auch schon ein paar Tage alt und Deine WLAN-Karte noch recht aktuell.
..wird wohl so werden.

Gruß orcape
PS.: ..sowas mit dem n-Standart hatte ich jetzt schon fast vermutet.

Hallo,

Du ließt ausschließlich auf der falschen Seite nach denke ich!
Du musst nicht (nur) nachsehen was TP-Link für Eigenschaften und Optionen mit der Karte bietet, sondern vielmehr
was pfSense davon als Funktion nutzen respektive bereitstellen kann und ob die Karte mittels Treiber überhaupt angesprochen werden kann. pfSense basiert auf einem BSD System und eben nicht Linux denn da ist die
Treiberunterstützung wesentlich besser und um einiges vielfältiger.

pfSense Supported Wireless Cards
Supported Cards on pfSense 2.0

Ich würde bevor ich eine neue Karte kaufe mal abwarten bevor der @aqui hier aufkreuzt und eventuell
noch was anderes aus dem Hut zaubert.

Gruß
Dobby

Parallel dazu noch die Matrix:
PfSense - Matrix zu WLAN-Karten


Grüße,
Dani

Sinnvoll wäre wenn du hier mal ein Screenshot deiner WLAN Einstellungen postest. Wenn die Karte per se erkannt wird ist das generell schon ein gutes Zeichen.
Denk dran das du auch den IEEE Mode einstellen musst, SSID usw. usw. Ein Screenshot oder die Interface einstellungen der Reihe nach in einer Liste wäre hilfreich.

Wenn du 8 Wohnungen zu bedienen hast ist es so oder fraglich warum du ein WLAN in die pfSense direkt eingebaut hast. Sinnvoller wäre es da doch einzelne APs zwischen den Wohnungen zu plazieren um so ein strukturiertes WLAN zu betreiben mit dem du alle Wohnungen abdecken kannst.
Mit einem internen AP in der pfSense das abdecken zu wollen ist eigentlich technisch fast nicht möglich.
Mit der tollen Chipsatz Support Liste vom Kollegen Dani solltest du aber auch noch wasserdicht checken ob der WLAN Chipsatz deine TP-Link Karte sicher supportet ist !

Wie vermutet und oben auch schon angesprochen hast du die "Regulatory Domain" und "Country" nicht gesetzt !!
Die meisten Module senden dann nicht um Frequenz und Zulassungsverletzungen in den einzelnen Ländern damit zu vermeiten.
Setze das also auf die entsprechenden Werte für D und dann klappt das auch !

Wieso du hast doch 3 Interfaces auf dem ALIX Board ??
Damit kannst du doch das Bilderbuch Design realsieren:

• WAN Port geht an Router oder Modem
• LAN Port ans Private Haus Netz
• OPT Port (3ter Kupfer Port) ist mit einer Bridge Konfig intern ans Gäste WLAN gekoppelt was mit dem internen WLAN Adapter realisiert ist.

So hast du auf dem 3ten Kupfer Port mit der Layer 2 Bridge gleichzeitig dein internes WLAN und den 3ten Kupferport in einem gemeinsamen IP Netz zusammengefasst und kannst dort via zusätzlichem AP (oder APs) die du mit Draht oder Power LAN anschliesst das Gast WLAN beliebig vergrößeren.

Eigentlich doch ganz einfach mit dem Tausendsassa ALIX Board

Klasse wenn das WLAN nun rennt und dank fürs hilfreiche Feedback !

OK, ob du mit Kabel oder WLAN den Gästen Zugriff bietest speilt ja keinerlei Rolle und ist vollkommen uninteressant.
Das Segment was das Gast Portal konfiguriert hast, kannst du ja per Kabel in jedes Zmmer legen und in der Lobby, Biergarten und Kaminzimmer klemmst du im gleichen Segment noch einen WLAN Accesspoint an so kannst du in Bereichen wo man doch mal mit dem Smartphone oder iPad sitzt auch parallel WLAN machen.
Das ist ja nun kein Thema und hat mit der Anforderung nix zu tun !!
Ein paar Fragen zu dem o.a. Design:

WAN Port geht zum Modem
Ist OK und sollte ja auch so sein !

LAN Port geht zu einem Router und dann in das private Netz
Mmmhhh...was soll denn der Router da ?? Das ist eigentlich völliger Unsinn, denn die pfSense ist ja einen Firewall und schafft auf dem LAN Segment ja vollkommene Sicherheit wenn dort das private Netz liegt ??

OPT1 geht zum Switch (auf welchen kein Port mehr frei ist) und dann Kabel in die Wohnungen
Das ist vermutlich das Gast LAN/WLAN, richtig ??
Warum beschaffst du da nicht für ein paar popelige Euros mehr einen neuen Switch der mehr Ports hat oder zusätzlich einen kleinen 8 Port Switch den du an den vorhandenen Switch anklemmst, dann hast du doch ein Handvoll mehr Ports um das Gastnetz zu erweiteren (...kommt man eigentlich auch von selbst drauf ?!)

WLAN ist separat über interne Karte
Ist eigentlich Bullshit, denn so hast du eine WLAN Zelle immer nur da wo auch die pfSense Firewall steht !!
Und die steht ja meinstens in der Besenkammer oder im keller wo auch der Telefonie und DSL Anschluss ist !! Also dort wo man das WLAN meist NICHT haben will sondern da wo Lobby, Biergarten und Kaminzimmer ist !! Oder auf Borkum der Hotel Strand, denn manche surfen ja auch gern vom Strandkorb aus...
Sinnvoll wäre das also NICHT in die pfSense zu integrieren bei so einem Umfeld sondern besser ist es einzelne APs an den Switch oder die Switches (sofern du einen kleinen zusätzlichen beschaffst um die freie Portanzahl zu erhöhen !) mit anzuschliessen die auch das Gästenetz mit dem Captive Portal bedienen !!
Ein kleiner Switch mit 5 Ports kostet 6 popelige Euro !!
Du willst hier doch nicht wirklich allen Ernstes behaupten das dein Projekt, das nur einen zusätzlichen Port benötigt, an diesen 6 Euro und der Handlung diesen kleinen Switch auf den bestehenden vollen Switch zu stecken scheitert, oder ??
Wie gesagt und den zusätzlichen internen WLAN Adapter verbindest du mit einer Bridge Verbindung auf das OPT 1 Interface so das die alle gemeinsam im Gast Segment sind.
Das sind 3 Mausklicks im pfSense Setup und ein Kinderspiel !! Gerne posten wir die hier Screenshots wie man das macht...

Deine Anforderungen lassen sich also mit minimalstem technischen Aufwand in 20 Minuten vollständig lösen.
Wo ist denn nun dein wirkliches Problem ??

...Der Router funktioniert dort eigentlich nur als Switch und baut zusatzlich ein privates WLAN auf.
OK, also sowas wie hier:
Kopplung von 2 Routern am DSL Port
in der Alternative 3, richtig ?

Die Idee mit dem Switch der dir mehr Ports zur Verfügung stellt ist technisch das sinnvollste, da hast du absolut Recht ! Die TP-Link Gurke ist da auf alle Fälle genau richtig.
Genauso die Schritte zum Umbauen.
Die interne pfSense Bridge brauchst du aber auch dann um das WLAN Interface dann an dein privates LAN Segment zu bridgen.
Die Vorgehensweise hast du schon richtig erfasst. Bridge erstellen und die LAN und WLAN Interfaces dort einhängen.
Detail Screenshots der Bridge Konfig folgen hier...
Oder mal ohne Grafik da die Schritte ziemlich einfach sind:

1.) WLAN Interface IPs und Maske löschen und auf Type none setzen.
2.) WLAN Interface in den Mode hostap also "Accesspoint" setzen.
3.) Regulatory Domain ETSI und Country "Germany/ETSI" setzen und die gewünschte SSID setzen.
4.) Auf Interfaces -> assign -> Bridges klicken und mit "+" eine Bridge hinzufügen.
5.) Interfaces auswählen die zusammen gebridged werden sollen. Bei dir WLAN, ggf. 5 Ghz WLAN, und wenn du das private Netz willst LAN (sonst eben OPT, Gast).
6.) Bezeichnung eintippen z.B. "Bridge WLAN-LAN".
7.) Unter Interfaces auf "assign" klicken und das neue Bridge Interface mit Klick auf "+" hinzufügen.
8.) Jetzt auf Interfaces, da Bridge Interface auswählen und den Haken bei "Enable Interface" aktivieren ! Ggf. die Bezeichnung auf etwas sinnvolles wie "Bridge" statt OPT ändern)

Das wars....
Jetzt bekommen Clients die den 2,4 Ghz oder 5 Ghz AP connecten einen IP aus dem LAN Segment (oder Gast Segment sofern du das Gastnetz in der Bridge hast)

Damit kann man dann das interne WLAN der pfSense an eines der bestehenden Kupfer Segmente koppeln im gleichen IP Netz.

Nochwas zu deinem WLAN Setting der Mini PCI Karte:
Da hier auch ein Dual Radio Modul im Einsatz ist hier mal die korrekte Konfig wie man einen internen Dual Radio AP auf dem ALIX einrichtet:
1.) Nachdem man grundsätzlich das WLAN Modul mit einem Klick auf "+" unter Interface assign aktiviert hat muss man dieses wie du schon beschreibst fest auf 802.11g setzen, Type auf "none", Mode auf "Accesspoint" Regulatory Domain "ETSI" und Country auf "Germany/ETSI" ! Danach aktiviert man das Interface.
2.) Nun klickt man unter "Interface assign" auf den Reiter "Wireless" und dann auf "+" und fügt ein Parent Interface hinzu was man z.B. "AP-5Ghz" nennt.
3.) Danach klickt man unter Interfaces wieder auf "+" und fügt dieses Interface global wieder hinzu und aktiviert es.
4.) In den WLAN Settings setzt man es aber diesmal fest auf 802.11a (a = 5Ghz WLAN), der Rest, Type auf "none", Mode auf "Accesspoint" Regulatory Domain "ETSI" und Country auf "Germany/ETSI" bleibt identisch zu den Settings auf 2,4 Ghz.
5.) In der Bridge Konfig fügt man nun alle 3 Interfaces zusammen WLAN 2,4, WLAN 5 und das entsprechende LAN Interface !
Fertisch....

So bedient man dann mit einem Dual Radio AP in der pfSense parallel auch ein Kupfer Segment.
Natürlich kann man z.B. auch nur den 5 Ghz AP mit einer anderen SSID benennen und ihn mit einer separaten Bridge ins private Netz hängen.
So hat man dann den 2,4 Ghz AP fürs Gästenetz und nutzt den 5 Ghz AP fürs private Netz oder umgekehrt.
Es sind dort beliebige Kombinationen denkbar !

Vermutlich hast du es mit deiner WLAN Karte so auch gemacht und dabei intuitiv richtig ?!

Nein, das geht auch mit nur einer Antenne wenn du denn (hoffentlich) eine "Dual Band" Antenne verwendest die für beide Bänder 2,4 Ghz und 5 Ghz zusammen funktioniert. ?!
So eine Gummi Antenne ist intern eigentlich 2 Antennen die für beide Bänder gleichzeitig funktioniert.

3 unterschiedliche Netze kannst du nicht machen bzw. das müsste man mal ausprobieren ob man durch multiple Parent Interfaces auch sowas wie einen Multi SSID Accesspoint damit einrichten kann wie er hier im Kapitel "Praxisbeispiel" erklärt ist ?!
Guter Ansatz...mal gleich im Labor versuchen....

Das obige erklärt nur wie du die mini PCI Karte (sofern sie einen Dual Radio Karte ist !!) parallel im 2,4 Ghz und auch im 5 Ghz Band zum Fliegen bekommst !
Wie du sie nachher einsetzt also beide Bänder dem Gast- oder privaten LAN zuweist oder getrennt ist natürlich deine Sache.
Es soll nur die Optionen aufzeigen die man damit hat.

Dein TP-Link Switch ist ein billiger Standardswitch. Den hat Amazon auf Lager und solltest du in 2 Tagen haben.

Irgendwas würfelst du da durcheinander... Auf der pfSense wird lediglich der Syslog Server aktiviert in den Logging Einstellungen durch Angabe der Server IP Adresse.
Damit werden dann alle Logging Daten der pfSense, auch die der Userlogins um das Problem Störerhaftung rechtssicher zu betreiben, an einen Sylog Server gesendet wo sie sicher gespeichert werden.
Syslog Server gibt es z.B. als kostenfreie Programme von:
http://www.kiwisyslog.com
oder
http://www.mikrotik.com/archive.php

Am sinnvollsten ist es einen kleinen 30 Euro Server ins Netz zu hängen der das sehr kosteneffizient mit einer grafischen Oberfläche löst wie z.B. dieser hier:
Netzwerk Management Server mit Raspberry Pi
Damit kannst du dann gleich noch nebenbei die Einmalpasswörter für die Gäste per Mausklick an der Rezeption ausdrucken
Das Tutorial beschreibt alle Details zur Einrichtung.