Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Viele Fragen bei Administrator.de im Netzwerkbereich betreffen die Kopplung 2er oder mehrerer IP Netze. Das kann sich auf die Verbindung von Firmennetzen beziehen in Bürogemeinschaften, die sichere Abtrennung eines Gast- bzw. Besucherbereiches vom Produktivnetz mit einem Captive Portal (Hotspot), oder aber der Einrichtung einer DMZ für einen sicheren Server Zugriff von außen mit und ohne VPN usw.
Es gibt viele solcher Anwendungsbeispiele für Firewall Szenarios.
Billigen Consumer Routern mangelt es oft an Performance, Anzahl der Interfaces, VLAN Support und weiteren Features oder es fehlt schlicht und einfach eine sichere, stateful Firewall Option.
Dieses Tutorial gibt einen Leitfaden für die Lösung und den unkomplizierten Aufbau einer einfachen und performanten Firewall auf Basis der populären und freien pfSense oder OpenSense Firmware, die auch Netzwerk Anfänger leicht packen.
Zusätzlich bietet sie mit OpenVPN, PPTP und auch IPsec den VPN Zugang gängiger Standard "onboard" VPN Clients bei Windows, Apple, Linux und Smartphones, etc. für mobile Benutzer oder auch die Kopplung von Standorten per VPN.
Durch diese große Flexibilität bei gängigen VPN Protokollen, kann sie einfach und universell in alle bestehenden kommerziellen VPN Router- und Firewall Umgebungen integriert werden.
Last but not least ist sie auch noch 802.1q VLAN fähig und integriert sich damit ebenso einfach auch in VLAN Infrastrukturen um so kostengünstig eine sinnvolle Segmentierung zu erreichen.
Wie immer führen viele Wege nach Rom aber gerade der unkomplizierte Einsatz auf einer kleinen, stromsparenden Appliance und der bewusste Verzicht auf Resourcen- und Strom fressende PC Hardware, in Kombination mit einer einfachen, webbasierenden Administration per Mausklick, sprechen für dieses leistungsfähige Konzept bei kleinen und mittleren IP Netzwerken.
Die sicherste Lösung so etwas im kleinen und mittleren Netzwerk Bereich umzusetzen ist immer eine Firewall die diese IP Segmente zugangssicher nach entsprechenden Regeln trennt !
Eine Firewall besitzt zudem zusätzlich noch weitere sinnvolle Features wie integriertes VPN (fast) aller gängigen VPN Protokolle, bei Gastnetzen die Möglichkeit eines Hotspot Betriebs (sog. rechtssicheres Captive Portal), Link Loadbalancing bei doppelter Internet Provider Anbindung (Ausfallsicherheit) und vieles mehr.
Ein preiswertes "Multitalent" in einem einzelnen Gerät das oft die Investition in separate zusätzliche Hardware überflüssig macht.
Die pfSense Firewall supportet schnelle VDSL-Anschlüsse und kann so auch als VPN Firewall Router problemlos am VDSL betrieben werden.
(Ein VDSL-Tutorial beschreibt wie es problemlos einzurichten ist.) Dazu unten mehr...
Das hiesige Tutorial behandelt Schritt für Schritt den schnellen und preiswerten Aufbau dieser effizienten Firewall mit einer fertigen Komplettlösung auf Basis der bekannten, kompakten ALIX_Mainboards mit pfSense Firmware auf einer SD oder mSATA Flashkarte, den auch Anfänger und Laien sehr einfach bewerkstelligen können.
Der Zusammenbau beschränkt sich auf das Beschreiben (flashen) eines SD bzw. mSATA Speichers oder USB-Sticks mit der Firmware und lediglich das Einschrauben in ein vorgefertigtes Gehäuse was auch Firewall Anfänger problemlos bewerkstelligen können. Hauptsache sie wissen wie man mit einem einfachen Schraubendreher umgeht.
Der Einsatz dieser fertigen Firewall Appliance hat den Vorteil das die Firewall kompakt und skalierbar ist und im Jahresmittel nicht mehr als ca. 20 Euro Stromkosten verursacht. Ganz im Gegensatz zu großer und stromhungriger PC Hardware, auf der die o.a. Firmware aber auch laufen kann. Zudem besitzt sie keinerlei Verschleißteile wie Lüfter und Festplatten und ist so prädestiniert für sehr lange Laufzeiten und Ausfallsicherheit.
Diese Firewall hat ein integriertes Web Interface zum einfachen Konfigurieren per Browser und Mausklick, so das die Konfiguration einfach und schnell zu realisieren ist. Ferner bietet sie eine ausgeklügelte grafische Überwachung um die Datenlast, Probleme, Angriffe usw. auf allen Interfaces und andere Betriebsparameter auch grafisch über einen Zeitraum darstellen und überwachen zu können. So ist jederzeit eine gesicherte Aussage über die Auslastung und andere Betriebsparameter möglich.
Wer nicht bauen möchte und ein Fertiggerät bevorzugt...:
Um es gleich vorweg zu nehmen. Wer sich den einfachen Zusammenbau dennoch nicht zutraut und doch lieber auf Nummer sicher gehen möchte, bekommt alternativ für sehr geringe Mehrkosten komplett fertige Systeme im kleinen Desktop Gehäuse oder professionell für den 19" Schrankeinbau, die nur noch mit der Stromversorgung verbunden und über die Webseite konfiguriert werden müssen. Z.B.:
https://varia-store.com/de/produkt/33456-pc-engines-apu4c2-rack-bundle-b ...
https://www.applianceshop.eu/security-appliances.html?___store=de&__ ...
oder alternativ ohne 19 Zoll mit dem Standard Gehäuse:
https://varia-store.com/de/produkt/33429-pc-engines-apu4c2-bundle-board- ...
Oder fertig customizte Intel Plattformen ohne Lüfter:
https://www.amazon.de/HSIPC-Celeron-Firewall-Security-Application/dp/B01 ...
Aufgrund der performanteren Quad Core CPU, der Gigabit Ports und längerfristiger Lieferbarkeit sollte man immer das APU2-Board wählen:
Das komplette Set aus Gehäuse, Board, Netzteil und Flash Speicher gibt es bequem als Bausatz zu kaufen, so das eine Bestellung der Einzelkomponenten (fast) keine Ersparnis bringt. Z.B.: Hier und Hier
Amazon hat ebenso ein Komplett Set im Portfolio:
https://www.amazon.de/PC-Engines-APU2C2-Komplett-Alu-Gehäuse/dp/B01 ...
Dort gibt es auch gleich die perfekte Dokumentation als Papier und eBook:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280/r ...
Auch eBay ist natürlich von der Partie.
Wer dennoch lieber die Einzelkomponenten bestellen möchte um noch ein paar Euro zu sparen, findet APU2 Mainboards und die entsprechenden Komponenten auch einzeln. Für den Zusammenbau ist lediglich ein Schraubendreher erforderlich.
Die folgende Abbildung zeigt das ins fertige Gehäuse montierte APU Board inkl. der mSATA Karte (vorne links):
Die Firewall kann auch professionell für die Schrankmontage in einem 19" Zoll, 1HE Schrankgehäuse gebaut werden oder gleich fertig_im_19_Zoll_Gehäuse erworben werden
Die Integration einer MiniPCI WLAN Karte ist ebenfalls möglich um im Firewall Gehäuse zusätzlich zu den 3 LAN Interfaces noch einen WLAN Access-Point zu betreiben (z.B. für einen WLAN Gastzugang, Hotspot etc.).
Passende WLAN Mini PCI Karten finden sich hier und hier
Das u.a. Hotspot-Tutorial beschreibt die einfache Integration des WLANs.
Interessant ist auch ein kleiner passiv gekühlter PC auf Celeron Basis mit 4mal Gigabit Ethernet der Fitlet-2 der die 4 Gigabit Ethernet in Wirespeed bedienen kann.
Siehe dazu auch HIER.
Natürlich gibt es noch eine Menge anderer Mainboard Hardware oder auch fertige Rechnerplattformen die für den Einsatz von dieser und anderer Firewall Anwendungen optimiert ist. Alles Intel und AMD basierte ist supportet. Auch ein alter PC lässt sich damit recyceln. Die weiterführenden Links unten geben einen weiteren Überblick.
Zum Beschreiben verwendet man einen simplen Flash_Card_Reader wie er schon häufig in Desktop PCs zum Auslesen von SD Foto Flash Cards usw. vorhanden ist oder einen entsprechenden USB Adapter den diverse Händler anbieten z.B.: hier
Ein hiesiges_Tutorial beschreibt die Prozedur im Detail.
Wer USB Memory Sticks zum Aufspielen der Firmware Datei nutzt macht es natürlich über vorhandene USB Ports im Rechner.
Generell sollte man mit den APU-Boards aus Performancegründen nicht mehr den langsamen SD-Kartenslot und SD Karten mit dem nanobsd Image nutzen sondern immer eine kleine mSATA Karte (SSD) die den Bausätzen beiliegt oder bei Bedarf auch schnell nachgerüstet werden kann:
https://www.amazon.de/TRANSCEND-MSA370-mSATA-16GB-intern/dp/B00K9HIF56/r ...
Das nanoBSD Image zwackt zudem durch die Verwendung einer RAMdisk wertvollen RAM Speicher ab.
Fazit also: Keine SD Karten und nanoBSD Image mehr verwenden ! Nur noch da wo kein mSATA oder SSD Betrieb möglich ist.
Man nutzt dann mit der mSATA und ALIX Harware immer das Memstick Installer Image in der Variante mit seriellem Anschluss. (Wer Hardware mit Monitor Anschluß verwendet auch die Display Variante)
Jetzt speichert man das Image auf seinem Installationsmedium wie SD-Karte oder USB-Stick mit Win32Diskimager (Windows), Etcher (Mac OS und Windows) oder dd (Linux) und bootet davon um die Firmware dann final auf der internen mSATA SSD im APU Board oder dem Mainboard seiner Wahl zu installieren.
Das nanoBSD Image wird so oder so ab der Version 2.4 NICHT mehr supportet ! Also immer besser gleich zur kleinen mSATA Karte oder SSD greifen.
Zum Beschreiben unter Windows verwendet man wie erwähnt den Klassiker Win32Diskimager oder den o.g. Etcher
Ein grafisches Windows oder MacOS Tool das selbsterklärend ist. Man wählt lediglich die entzippte Memstick Image Datei aus und klickt auf "Write"
Die so geflashte mSata SD Speicher Karte oder USB Stick einfach in das ALIX APU Board stecken, booten, installieren... Fertig, das wars !
Diese Installationsprozedur gilt analog auch für andere Intel/AMD basierte Mainboard Hardware.
Wichtig:
Alle neuen APU Boards besitzen einen 64bit fähigen Prozessor !
Hier ist also immer die amd64 Variante zu verwenden !
Das gilt generell auch für aktuelle Hardware auf die man die pfSense installiert.
Ab der derzeit aktuellen pfSense Version 2.4.0 wird kein i386 Image mehr zur Verfügung gestellt. Hier ist also 64Bit kompatible Hardware Pflicht.
Wer noch 32Bit i386 Hardware verwendet wie z.B. ältere PCs oder gebrauchte Watchguard Plattformen etc. der muss die 2.3.5er Version im pfSense Download auswählen.
IP Adresse: 192.168.1.1
Pfsense Zugangspasswort: Benutzer: admin, Passwort: pfsense
Man verbindet nun ganz einfach den ganz rechten Port (LAN Port, in der obigen Abbildung das gelbe Kabel) der Firewall per Patchkabel mit einem Laptop oder PC. Per DHCP bekommt dieser dann automatisch eine IP Adresse aus dem 192.168.1.0er Netzwerk zugewiesen.
Jetzt nur noch den Web Browser der Wahl öffnen und oben ins URL Feld http://192.168.1.1 eingeben. Bei der erscheinenden Benutzerabfrage loggt man sich mit den o.a. Usernamen und Passwort ein.
Eine klassische Prozedur wie bei allen Routern, um zur web-basierenden Konfiguration zu gelangen. Daraufhin kann die Firewall über ihre Config Webseite gemäß Anforderungen konfiguriert werden.
Abb. Login/Dashboard pfSense
Die Masse der Benutzer kann diesen Schritt überspringen !
Wer keinen seriellen COM-Port mehr am Rechner hat benötigt dazu einen kleinen, preiswerten Standard USB seriell Adapter UND ein DB-9 Nullmodemkabel wie z.B. dieses hier:
http://www.reichelt.de/DELOCK-61856/3/index.html?&ACTION=3&LA=4 ...
und hier
http://www.reichelt.de/AK-143/3/index.html?&ACTION=3&LA=446& ...
der in jedem PC Shop oder beim Versender (Reichelt, Amazon) zu haben ist.
Windows User laden sich dazu eines der kostenlosen Terminal Programme PuTTY oder TeraTerm herunter.
Nach der Installation stellt man im Setup des Terminal Programms den seriellen COM Port auf 115.200 Baud, 8 Bit, 1 Stoppbit, keine Parity, keine Flow Control in den Settings ein und setzt die Schnittstelle auf den richtigen USB COM Port (Gerätemanager).
Das Nullmodemkabel schliesst man nun vorne an die serielle Schnittstelle der pfSense bzw. ALIX 2D13 oder APU1D etc. an und startet das Terminal Programm.
Hier kann man jetzt die Boot Messages des Boards usw. sehen wie an einem angeschlossenen PC Bildschirm. (Sieht man hier "Hieroglyphen" stimmt die Einstellung der seriellen Baudrate nicht !)
Check der COM Port Nummer des seriellen Ports (Adapter) im Gerätemanager:
TeraTerm starten mit passendem seriellem COM Port:
Serielle Parameter einstellen (TeraTerm):
Serielle Parameter und COM Port einstellen (PuTTY):
Apple Mac User nehmen hier die Shareware ZTerm: http://www.dalverson.com/zterm/ ,machen die Einstellungen wie oben (Baudrate, etc) und setzen ebenfalls die serielle Schnittstelle unter Settings --> Modem Settings auf den Seriell USB Adapter zu setzen:
Bei Linux erledigt das das Package minicom und den USB Seriell Adapter setzt man auf die Schnittstelle /dev/ttyUSB0.
Beim ersten Booten springt die pfSense dann in ein Menü wo man die Schnittstellen menügeführt zuordnet was selbsterklärend ist.
Das macht man einmalig, dann speichert das Board diese Zuordnung permanent !
Generell ist dieser Adapter keine Fehlinvestition. Fast alle Netzwerk Komponenten Hersteller haben serielle Schnittstellen an ihren Geräten so das man das immer gut brauchen kann.
Auch wenn mal individuelle Änderungen an der pfSense über die Shell nötig sind oder anderes Troubleshooting, ist dies Tool sehr hilfreich.
Wem die 3 physischen Ports des APU Boards bzw. die VLAN Option nicht reichen kann immer zusätzliche HW Ports mit preiswerten USB-Ethernet Adaptern wie z.B. diese oder auch der GigE-Variante hinzufügen.
Bei mehr Performance Anforderung sollte man aber auch immer entsprechende Hardware mit Onboard Ports statt USB nehmen.
Natürlich ist auch der Betrieb mit einem vorhandenen, davor kaskadierten xDSL Router, TV Kabelrouter und auch LTE oder 3G Router direkt über das Ethernet Interface problemlos möglich.
Einige "Klassiker" vom Netzwerk Design mit Internet Zugang und 2 zusätzlichen Netzsegmenten zeigen die folgenden 3 Abbildungen:
Eines der meist benutzten Netzwerk Designs ist, wie unten zu sehen, ein geschütztes (Firmen) Netz und ein separates, sicher abgetrenntes Netz für Gäste und Besucher mit oder ohne Hotspot (Captive Portal) Lösung oder eben eine sichere DMZ:
Die untenstehende Abbildung zeigt die Anbindung 2er Firmen oder Nachbarschaftsnetze plus VPN Zugang von außen für Remote-Mitarbeiter oder Mangement:
Hier ein einfaches Design für eine sichere VPN LAN zu LAN Kopplung 2er oder mehr lokaler IP Netze über das Internet:
Die zusammengeschaltete Hardware (ohne 19" Schrank) zeigt die folgende Abbildung, wobei der Cisco Switch das Firmen Produktivnetz bedient und der Netgear Miniswitch ein Gastnetz mit WLAN Accesspoints versorgt.
Die Firewall selber ist direkt an ein preiswertes ADSL2+ DSL Modem angeschlossen und realisiert den Internetzugang. (Statt Modem kann hier natürlich auch ein vorgeschalteter Router verwendet werden).
Ein passendes Alix Gehäuse für professionelle 19" Zoll Schränke, mit oder ohne integriertes Netzteil, für die o.a. Firewall findet man HIER.
WICHTIG:
Die Internet Anbindung mit einem reinen ADSL2+ oder VDSL Modem (kein Router !) bietet immer einen erheblichen technischen Vorteil, denn es entfällt einerseits ein zusätzliches, überflüssiges NAT (IP Adress Translation) und auch eine NAT Firewall vor der Firewall durch die evtl. Kaskadierung mit einem Router, die wieder Probleme mit dem Port Forwarding z.B. bei VPN usw. bringen kann.
Es ist aus Performance- und auch aus Konfigurationssicht immer vorteilhafter ein simples Nur Modem am WAN Port der Firewall zu nutzen !
Viele Router wie die bekannten Speedports oder FritzBoxen lassen sich via Setup auch als reines DSL Modem betreiben.
Achtung bei moderneren Speedport bzw. deren Firmware. Die T-Com hat hier oft die Option zur Konfiguration des reinen Modem Betriebs entfernt ! Es lohnt also ein Blick in die Details.
Wer hier auf Nummer sicher gehen will beschafft sich ein preiswertes, reines ADSL2+ Modem wie z.B. DIESES_hier !
Damit geht man dann was die ADSL2+ Installation anbetrifft keine Kompromisse ein, da diese Nur Modems auch beide Annex Varianten im ADSL sicher supporten.
Technisch noch besser ist ein Hybrid Modem wie das Vigor 130 oder besser das aktuellere Vigor 165 was ADSL und auch VDSL gleichzeitig supportet. Dazu später mehr in der Rubrik "VDSL Anbindung".
Das folgende Beispiel zeigt in der Abbildung eine Fritzbox 2170 die wunderbar als nur DSL Modem mit der pfSense zusammenarbeitet. Aktuelle FritzBox Software lässt sich mittlerweile auch wieder in den NUR Modem Betrieb (PPPoE Passthrough) konfigurieren.
Im FB Menü "Internet -> Zugangsdaten" wählt man hier einfach die Option "FritzBox als xDSL Modem nutzen".
Es sollte klar sein das dann die Firewall am Port der das WAN / Internet Interface bedient auf PPPoE Modus gestellt wird im Setup !
Dort im WAN Port Setup der pfSense werden dann auch in einem Nur Modem Setup die erforderlichen xDSL Provider Zugangsdaten (Username / Passwort) konfiguriert, also direkt im Setup der Firewall und NICHT auf dem Router Device davor ! (Siehe auch unten analog bei der VDSL Konfiguration !)
Bei einer xDSL Dauerverbindung OHNE Zeit- oder Volumenbindung vom Provider sollte man unbedingt noch den Haken "Enable Dial on Demand Mode" setzen ! Dürfte heute im Flatrate Zeitalter allerdings eher die seltene Ausnahme sein.
ACHTUNG: Die o.a. Einstellung PPPoE gilt nur für xDSL Kunden !
Kabel TV Nutzer die die Firewall direkt ans Modem anschließen belassen den WAN Port im DHCP Client Modus, da im Kabel TV PPPoE nicht verwendet wird..
Ggf. muss das Kabel-TV Modem beim Anschluss einmal stromlos gemacht werden (Mac Adress Reset).
Kabel-TV Modems sind also ebenso problemlos anzuschließen, da die Firewall ein universelles Breitband (Ethernet) Interface hat. Sie bietet zusätzlich die Option die Mac Adresse am WAN /Internet Port frei zu konfigurieren um ggf. beim Provider registrierte Kabelmodem Mac Adressen zu emulieren.
Wichtig ist hier das Ziel diese Firewall generell performant am VDSL, Kabel TV, FTTH Glasfaser und LTE, Mobilfunk quasi also an allen Infrastrukturen betreiben zu können, wie auch immer man sie letztlich anbindet.
Eine Router / Firewall Kaskade ist aber aus Performance- und Config Sicht, technisch immer die schlechtere Wahl ! Sie lässt sich aber leider oft nicht vermeiden wenn Provider die dedizierte Benutzung von eigenen TV Kabel-, LTE- oder xDSL Routern erzwingen (sog. "Zwangsrouter Problematik").
Mittlerweile ist man wenigstens in D davon per Gesetz befreit und hat die freie Wahl.
Klar ist aber auch das viele Nutzer die mit "Zwangsroutern" vom Provider ausgestattet sind oder aufgrund von Telefonie Nutzung (VoIP) oft keine solche reine Modem Option haben oder gar wechseln können. Da bleibt dann nur die o.a. Firewall an diesen vorhandenen Router als Kaskade anzuschließen. Es ist generell kein Nachteil und funktioniert auch fehlerlos.
Fazit: Auch Provider Zwangsrouter sind generell KEIN Hindernis für den Betrieb dieser Firewall !
Allen die lieber europäische Firmware verwenden wollen sei das Projekt OPNsense (https://opnsense.org) ans Herz gelegt, das sich mehr an europäische Datenschutzbestimmungen hält.
Was man auch immer letztlich verwendet, das Tutorial hier mit seinen ToDos ist für beide Versionen gültig. Konfig Schritte sind ebenso für beide Versionen identisch.
pfSense glänzt hier mit mehr Features (PPoE Server, OpenVPN, Link Loadbalancing bei 2 Provider Uplinks, grafische Lastauswertung etc.) und einem konfigurierbarem Dashboard. Des weiteren ist es aktueller und wird aktiv gepflegt in Bezug auf Bugfixing und beinhaltet eine große Package Verwaltung zur Installation weiterer Features wie Proxy, URL Filter, Radius, Dynamisches Routing usw.
Ein großer Vorteil für Business Kunden ist die Option kommerziellen Support zu bekommen (NetGate).
OPNsense kommt mit einer etwas schlankeren Oberfläche und weniger Featureitis daher.
Wer etwas mehr Firewall Features und Konfigurationsmöglichkeiten wie z.B.eine grafische Auswertung und Überwachung des Traffics über ein schickes Dashboard wie hier bevorzugt...
oder ein Load_Balancing_(Lastverteilung)_zweier_Internet_Zugänge oder ein OpenVPN Umfeld benötigt, entscheidet sich dann klar für die pfSense Variante.
Es ist letztlich eine Geschmacksfrage und Frage der späteren Anwendung bzw. des vorhanden Netzwerkwissens.
Mit der aktuellen 2.4 Version liegt pfSense, was das Monitoring des Traffics und andere Parameter anbetrifft und bei den Firewall Features ganz klar vorne und muss sich auch vor kommerziellen Firewalls nicht verstecken.
Die Fülle der Funktionen und des voll customizebaren Dashboards mit seinen Status Widgets sind absolut State of the Art auch im Profibereich.
In Verbindung mit VPNs ist das ALIX Board auch erste Wahl, da es mit dem im AMD Geode Prozessor embeddeten Krypto Chip eine Hardware Beschleunigung aller kryptografischen Funktionen bietet (AES-NI) und performanceseitig damit auch kommerzielle VPN Firewalls gleicher Größenordnung ebenbürtig ist.
Die Wahl von pfSense als FW Software statt z.B. IPCop/IPFire ist auf alle Fälle die weitaus Bessere für die ALIX Board Hardware !
Auch im Hinblick auf die einfache Bedienbarkeit denn über ihr klar strukturiertes WebGUI hat die pfSense hier deutlich die Nase vorn.
Dabei kann diese Wireless Schnittstelle dazu dienen sich als WLAN Client in ein bestehendes WLAN einzuklinken und dies zu nutzen (Internet Zugang) oder selbst aktiv als WLAN Accesspoint zu arbeiten (z.B. Hotsport für Cafe, Hotel etc.)
Die pfSense Firewall Software unterstützt problemlos beide WLAN Modi !
Das o.a. ALIX Gehäuse hat per Default schon alle vorgefertigten Bohrungen, so das der Einbau von Antenne und miniPCI Board lediglich mit einem einfachen Schraubendreher in 10 Minuten ohne mechanische Arbeiten zu erledigen ist.
Die dazu erforderlichen einzelnen Schritte beschreibt DIESES_TUTORIAL Schritt für Schritt im Detail.
Die Integration einer Dual Band (2,4 Ghz und 5 Ghz WLAN) mini PCI WLAN Karte beschreibt im o.a. Tutorial das Zusatzkapitel "Dual Band Betrieb bei einer WLAN miniPCI Karte"
Um späteren Frust und einen Fehlkauf beim WLAN Modul zu vermeiden sollte man, was die unterstützten WLAN Module anbetrifft, unbedingt in diese Liste sehen:
https://docs.google.com/spreadsheets/d/11cF4UoNL68Me5ZC6qhjFPmzdW7mib56d ...
Atheros, Intel und Ralink basierte Module sollten hier erste Wahl sein.
Nötig ist dafür lediglich ein simples VDSL Nur Modem wie z.B. ein Draytek_Vigor_130
Besser noch das derzeit aktuelle Model Vigor-165 !
Ein Zyxel_1312 funktioniert ebenfalls problemlos im nur Modem Betrieb am VDSL wie auch ein ALLNET_ALL-BM200VDSL2V
Klassische ADSL Modems findet man hier und hier.
Dazu gehört auch der Zyxel VMG8546 (bei der Telekom als Speedlink 5501) den es mittlerweile auf dem freien Markt gibt und der sich per Browser Konfig oder per Tastendruck in ein vectorfähiges, reines Modem zur Verwendung an der Firewall verwandeln lässt.
Da VDSL Daten in D immer mit einem 802.1q VLAN Tag vom Modem / Router versehen sein müssen (andere Länder ggf. unterschiedlich !) , muss dies vorher am WAN Port der pfSense definiert werden damit diese einen entsprechenden VLAN Tag mitschickt.
Die Dt. Telekom benutzt hier durchgehend den VLAN ID Tag 7. Andere Anbieter wie z.B. Vodafone nutzen am VDSL den VLAN Tag 132 !
Hier gilt es also genau hinzusehen.
Eine Schritt für Schritt Anleitung dazu findet man HIER.
Einige Speedport und das Gros der o.g Modem Modelle taggen aber auch im reinen Modembetrieb schon alle Pakete ausgehend automatisch mit der VLAN ID 7 (respektive z.B. 132 bei Vodafone). Bei diesen Modems ist somit KEINE Tagging Konfiguration der pfSense erforderlich !!
Im Einzelfall also immer ins Handbuch des Modems sehen oder selber mit dem Wireshark Sniffer nachsehen und ausprobieren !
Falls alle Stricke reissen funktioniert natürlich auch immer eine Kaskade mit einem vorgeschalteten Router. Technisch ist das durch das doppelte NAT nicht optimal aber immer noch besser als keine Firewall und ungeschützt.
Dies gilt insbesondere für Benutzer die einen billigen Provider Zwangsrouter aufgedrückt bekommen der nicht unter ihrer Hoheit ist und mit ggf. noch mit TR069 nach Hause telefoniert.
Generell ist, wie oben bereits mehrfach erwähnt, der Betrieb mit einem reinen Nur Modem und direkter Internet Terminierung auf der pfSense Firewall immer performanter und erzeugt weniger Probleme gerade bei VPN und Telefonie Nutzung.
Manchmal lässt sich aber eine Kaskade, gerade bei den sog. , bereits erwähnten, Provider Zwangsroutern nicht vermeiden.
Letztlich ist das aber auch KEIN Hinderungsgrund für den Betrieb der Firewall an solchen Anschlüssen !
Im Gegenteil, es macht sie noch sicherer, denn Provider (Zwangs)router sind das mit dem fast immer aktivem TR069 niemals.
Nachfolgend ein paar Screenshots einer am T-Com VDSL aktiven pfSense VDSL/WAN Schnittstelle mit Firewall basiertem Tagging. (Bei Vodafone muss der VLAN Tag auf 132 eingestellt werden !)
Einrichtung des VLANs mit VLAN ID 7 (Vodafone hat VLAN ID 132) und Zuweisung auf den physischen Port vr1:
Konfiguration WAN Port:
Nun werden lediglich in den WAN Einstellungen der PPPoE Modus aktiviert und die Provider Zugangsdaten (User / Passwort) dort eingetragen !
ACHTUNG:
Einige Router oder reine Modem machen von sich aus schon ein VLAN Tagging mit der VLAN ID 7 ! (Siehe Bemerkung oben zum Thema Tagging bei VDSL)
Damit ist dann natürlich eine Konfiguration mit einem Tagging der Firewall selber NICHT mehr erforderlich
Hier ist dann lediglich ganz normal PPPoE einzustellen wie bei einer normalen ADSL oder ADSL2+ Konfiguration mit Modem.
Betreibt man den WAN Port mit einem NAT Router davor in einer Router_Kaskade ist diese Einstellung so oder so überflüssig, da logischerweise der vorgeschaltete Router dann das gesamte PPPoE Zugangshandling übernimmt und der WAN Port an der Firewall nur als "normaler" Ethernet Port (Statisch, DHCP) einzustellen ist.
Weitere hilfreiche Tipps zur Modemkopplung mit einem VDSL Modem gibt dieser_Thread
Aber auch Nutzer die die Firewall aus naheliegenden Gründen im Privatnetz einsetzen, müssen damit auf Entertainment Features natürlich nicht verzichten.
Direkt supportet die pfSense kein Multicast Routing mit PIM wie z.B. der Cisco_Router oder der Mikrotik_Router es für IP TV erfordern, aber die IGMP Proxy Funktion sorgt bei der pfSense dafür das auch IP TV im heimischen Netz funktioniert.
Unter Services -> IGMP Proxy definiert man dort einfach das Upstream und Downstream Interface mit den entsprechenden IP Netzen. Upstream sind das die Multicast Netze und Downstream das oder die lokalen IP Netze:
Als nächstes erlaubt man in den Firewall Regeln die Multicast Netze für IP TV auf den WAN Port:
Man kann diese auch genau einschränken auf die verwendeten MC Netze des Providers. Eine Übersicht über die benutzen MC IP Adressen z.B. für Telekom Entertain findet man HIER.
Wer eine Allow ANY Regel auf dem lokalen LAN Netz verwendet deckt die Multicast Adressen damit natürlich auch ab. Ansonsten bei strikteren FW Regeln am lokalen LAN muss man diese Netze auch dort natürlich erlauben.
User der Version 2.4 und neuer müssen also bei Einsatz von SSDs oder mSATA Modulen NICHTS mehr konfigurieren !
Das Folgende ist also nicht mehr relevant.
In älteren 2.3.x Versionen ist TRIM aber nicht aktiviert, was sich aber sehr leicht nachholen lässt:
Nach dem Booten geht man über die Konsole in die Shell des Betriebssystems und sieht sich die Device ID seines Flashspeichers an mit dem Kommando cat /etc/fstab
Dort sollte dann sowas stehen wie /dev/ufsid/5870ff0328059a98 Diesen Eintrag am besten per cut and paste irgendwo sichern.
Nun bootet man wieder sein Installationsmedium von SD oder USB Stick und geht dann mit Eingabe von "2" oder "s" ind den Single User Mode. Das muss so sein denn zum Aktivieren der TRIM Funktion auf der SSD darf diese nicht gemountet sein !
Jetzt gibt man das folgende Kommando ein:
/sbin/tunefs -t enable /dev/ufsid/5870ff0328059a98
Das Programm tunefs sollte dann mit "tunefs: issue TRIM to the disk remains unchanged as enabled" antworten.
Mit /sbin/reboot oder durch Ziehen des Stromsteckers und Entfernen des Installationsmediums bootet man jetzt wieder von seinem Flashspeicher und springt zur Überprüfung der TRIM Funktion wieder in die Shell und führt tunefs -p / aus:
Hier kann man sehen das die TRIM Funktion aktiv ist !
Anwender die eine 32Bit i386 Plattform nutzen und damit auf die 2.3.x Version angewiesen sind, sollten die TRIM Funktion wie oben aktivieren.
Tips und Tricks zum Beschreiben des Flash Speichers:
PfSense auf apu2c2 oder apu2c4 installieren
Erfahrungsbericht pfSense auf ALIX APU1D Gigabit Board:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
Anfängerhürden vermeiden bei einfachem Firewall Aufbau u. Design !:
Anfänger- PfSense auf APU.1D4 installieren
Bestehendes Netzwerk - seperates WLAN ohne Zugriffsmöglichkeiten auf bestehendes
Kein Erfolg mit monowall auf ALIX Board
Pfsense Port Forwarding NAT für VOIP
Nur Modem Empfehlungen für ADSL+ und VDSL:
Suche adsl2+ und vdsl modem
LAN u. WLAN Port mit einer Layer 2 Netzwerkbrücke (Bridge) zusammen verbinden:
PfSense - WiFi AP funktioniert jedoch komme ich nicht ins Internet
Gastnetz und Gast WLAN mit einer Hotspot Lösung (Captive Portal):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Komfortable Ticketverwaltung für o.a. Gastnetz Lösung mit Web Server und SMS:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Oder Tickets zum Ausdrucken (Bondrucker):
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
oder
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId=743 ...
oder
http://ts-telecom.net/voucherdrucker.xls (zum o.a. Tutorial)
VPN Zugang für mobile Benutzer mit Laptops und Smartphone einrichten:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
VLAN Routing bzw. Integration in Netzwerke mit 802.1q VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
pfSense als transparente Firewall einsetzen ohne Routing (Bridge):
http://community.spiceworks.com/attachments/post/0016/1351/Transparent_ ...
pfSense mit Squid und Squidguard installieren zur Kontrolle von Webseiten:
https://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy
Dual WAN Port (Providerredundanz) Balancing Firewall mit pfSense:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
http://doc.pfsense.org/index.php/Multi-WAN_2.0
VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
FritzBox7490 hinter der pfsense für VOIP.
Fritzbox hinter pfsense VOIP Probleme
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
VPN mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Standortkopplung zweier oder mehrerer Standortnetze mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPN mit IPsec Client bzw. Standort zu Standort IPsec VPN auf Cisco, Mikrotik oder FritzBox VPN Router:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
WLAN Erweiterung der Firewall (ALIX):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) (Kapitel "Optionale WLAN Erweiterung")
WLAN Karte in pfSense einrichten und aktivieren
pfSense HowTo Verzeichnis zu Detailthemen der Installation:
https://doc.pfsense.org/index.php/Category:Howto
Einfaches Routing 2er oder mehrerer IP Netze ohne Firewall Funktion:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hyper-V Images für pfSense:
https://forum.pfsense.org/index.php/topic,56565.msg364122.html#msg364122
Alternative Hardware Plattformen:
PfSense - Supermicro SuperServers Mini 1U Mini 1U E300-8D (X10SDV-TP8F)
Axiomtek Hardware (Desktop) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
Axiomtek Hardware (Rackmount) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
pfSense auf Watchguard Firebox Profi Hardware einsetzen mit Tips: (Entspr. Watchguard HW findet man z.B. auf eBay)
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox
http://www.ebay.de/sch/i.html?_trksid=p2050601.m570.l1313.TR6.TRC1.A0.X ...
Pfsense Watchguard kein Internet auf LAN
Pfsense Watchguard neu installiert bekomme jedoch die Meldung Config.xml is corrupted and is 0 bytes. Could not restore a previous backup
Alternativ hat das ALIX Board und auch andere pfSense Hardware wie die bekannten Watchguard Modelle einen seriellen Terminalanschluss an den man ein einfaches Textterminal wie Windows Hyperterm, PUTTY oder TeraTerm mit einem seriellen RS-232 Nullmodemkabel anschliessen kann. (Apple Macs nutzen Z-Term, bzw. minicom bei Linux)
Wer am PC oder Laptop keinen seriellen COM Port mehr hat benutzt einfach einen preiswerten USB_auf_Seriell_Adapter den jeder PC Shop für ein paar Euro hat.
Schaltet man dann das ALIX Board an, stellt das o.a. Terminalprogramm auf 9600 Baud, keine Parity, 8 Bit, 1 Stoppbit (pfSense: 38.400 Baud) und keine Flusskontrolle erhält man nun im Terminal exakt dieselben Boot Meldungen wie am PC Bildschirm und kann das Board entsprechend in der Grundkonfiguration verändern oder gemachte Einstellungen löschen oder das Board komplett resetten.
Auch ein Shell Zugang auf das darunterliegende Unix OS ist möglich.
Keine Angst: Das Terminal ist kein Muss ! Alles lässt sich auch bequem über das Webinterface einstellen. Es ist lediglich ein Notanker wenn man z.B. IP oder Passwort einmal vergessen hat.
Die Konsole ist aber immer hilfreich um dem ALIX Board und andere Hardware etwas auf die Finger zu schauen und erleichtert sehr die Fehlersuche.
Übrigens gilt das nicht nur für die pfSense allein ! Auch andere Switch und Router Systeme, speziell aus dem professionellen Bereich, haben allesamt eine serielle Schnittstelle fürs Management. Es ist also generell empfehlenswert als Netzwerker ein Kabel für seriellen Zugriff parat zu haben.
Es gibt viele solcher Anwendungsbeispiele für Firewall Szenarios.
Billigen Consumer Routern mangelt es oft an Performance, Anzahl der Interfaces, VLAN Support und weiteren Features oder es fehlt schlicht und einfach eine sichere, stateful Firewall Option.
Dieses Tutorial gibt einen Leitfaden für die Lösung und den unkomplizierten Aufbau einer einfachen und performanten Firewall auf Basis der populären und freien pfSense oder OpenSense Firmware, die auch Netzwerk Anfänger leicht packen.
Zusätzlich bietet sie mit OpenVPN, PPTP und auch IPsec den VPN Zugang gängiger Standard "onboard" VPN Clients bei Windows, Apple, Linux und Smartphones, etc. für mobile Benutzer oder auch die Kopplung von Standorten per VPN.
Durch diese große Flexibilität bei gängigen VPN Protokollen, kann sie einfach und universell in alle bestehenden kommerziellen VPN Router- und Firewall Umgebungen integriert werden.
Last but not least ist sie auch noch 802.1q VLAN fähig und integriert sich damit ebenso einfach auch in VLAN Infrastrukturen um so kostengünstig eine sinnvolle Segmentierung zu erreichen.
Wie immer führen viele Wege nach Rom aber gerade der unkomplizierte Einsatz auf einer kleinen, stromsparenden Appliance und der bewusste Verzicht auf Resourcen- und Strom fressende PC Hardware, in Kombination mit einer einfachen, webbasierenden Administration per Mausklick, sprechen für dieses leistungsfähige Konzept bei kleinen und mittleren IP Netzwerken.
Inhaltsverzeichnis
Vorbemerkung
Schnelle Routing Lösungen wie die Integration einer 2ten oder auch 3ten Netzwerkkarte in einen Fileserver oder der Einsatz eines OSI Layer 3 fähigen Switches (Routing Switch) bergen Gefahren. Oft ist das Instabilität und Performanceeinbußen durch zusätzliches IP Paket Forwarding auf einem Server oder eben der nicht unerhebliche Kostenfaktor bei der Investition in einen Layer 3, Routing Switch wenn nur wenige Netze zu verbinden sind.Die sicherste Lösung so etwas im kleinen und mittleren Netzwerk Bereich umzusetzen ist immer eine Firewall die diese IP Segmente zugangssicher nach entsprechenden Regeln trennt !
Eine Firewall besitzt zudem zusätzlich noch weitere sinnvolle Features wie integriertes VPN (fast) aller gängigen VPN Protokolle, bei Gastnetzen die Möglichkeit eines Hotspot Betriebs (sog. rechtssicheres Captive Portal), Link Loadbalancing bei doppelter Internet Provider Anbindung (Ausfallsicherheit) und vieles mehr.
Ein preiswertes "Multitalent" in einem einzelnen Gerät das oft die Investition in separate zusätzliche Hardware überflüssig macht.
Die pfSense Firewall supportet schnelle VDSL-Anschlüsse und kann so auch als VPN Firewall Router problemlos am VDSL betrieben werden.
(Ein VDSL-Tutorial beschreibt wie es problemlos einzurichten ist.) Dazu unten mehr...
Das hiesige Tutorial behandelt Schritt für Schritt den schnellen und preiswerten Aufbau dieser effizienten Firewall mit einer fertigen Komplettlösung auf Basis der bekannten, kompakten ALIX_Mainboards mit pfSense Firmware auf einer SD oder mSATA Flashkarte, den auch Anfänger und Laien sehr einfach bewerkstelligen können.
Der Zusammenbau beschränkt sich auf das Beschreiben (flashen) eines SD bzw. mSATA Speichers oder USB-Sticks mit der Firmware und lediglich das Einschrauben in ein vorgefertigtes Gehäuse was auch Firewall Anfänger problemlos bewerkstelligen können. Hauptsache sie wissen wie man mit einem einfachen Schraubendreher umgeht.
Der Einsatz dieser fertigen Firewall Appliance hat den Vorteil das die Firewall kompakt und skalierbar ist und im Jahresmittel nicht mehr als ca. 20 Euro Stromkosten verursacht. Ganz im Gegensatz zu großer und stromhungriger PC Hardware, auf der die o.a. Firmware aber auch laufen kann. Zudem besitzt sie keinerlei Verschleißteile wie Lüfter und Festplatten und ist so prädestiniert für sehr lange Laufzeiten und Ausfallsicherheit.
Diese Firewall hat ein integriertes Web Interface zum einfachen Konfigurieren per Browser und Mausklick, so das die Konfiguration einfach und schnell zu realisieren ist. Ferner bietet sie eine ausgeklügelte grafische Überwachung um die Datenlast, Probleme, Angriffe usw. auf allen Interfaces und andere Betriebsparameter auch grafisch über einen Zeitraum darstellen und überwachen zu können. So ist jederzeit eine gesicherte Aussage über die Auslastung und andere Betriebsparameter möglich.
Wer nicht bauen möchte und ein Fertiggerät bevorzugt...:
Um es gleich vorweg zu nehmen. Wer sich den einfachen Zusammenbau dennoch nicht zutraut und doch lieber auf Nummer sicher gehen möchte, bekommt alternativ für sehr geringe Mehrkosten komplett fertige Systeme im kleinen Desktop Gehäuse oder professionell für den 19" Schrankeinbau, die nur noch mit der Stromversorgung verbunden und über die Webseite konfiguriert werden müssen. Z.B.:
https://varia-store.com/de/produkt/33456-pc-engines-apu4c2-rack-bundle-b ...
https://www.applianceshop.eu/security-appliances.html?___store=de&__ ...
oder alternativ ohne 19 Zoll mit dem Standard Gehäuse:
https://varia-store.com/de/produkt/33429-pc-engines-apu4c2-bundle-board- ...
Oder fertig customizte Intel Plattformen ohne Lüfter:
https://www.amazon.de/HSIPC-Celeron-Firewall-Security-Application/dp/B01 ...
Die Hardware
Die hier vorgestellte Hardware Basis ist ein PC-Engines Mainboard der APU Serie der Firma PC-Engines mit 3 oder4fach LAN Interface.Aufgrund der performanteren Quad Core CPU, der Gigabit Ports und längerfristiger Lieferbarkeit sollte man immer das APU2-Board wählen:
Das komplette Set aus Gehäuse, Board, Netzteil und Flash Speicher gibt es bequem als Bausatz zu kaufen, so das eine Bestellung der Einzelkomponenten (fast) keine Ersparnis bringt. Z.B.: Hier und Hier
Amazon hat ebenso ein Komplett Set im Portfolio:
https://www.amazon.de/PC-Engines-APU2C2-Komplett-Alu-Gehäuse/dp/B01 ...
Dort gibt es auch gleich die perfekte Dokumentation als Papier und eBook:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280/r ...
Auch eBay ist natürlich von der Partie.
Wer dennoch lieber die Einzelkomponenten bestellen möchte um noch ein paar Euro zu sparen, findet APU2 Mainboards und die entsprechenden Komponenten auch einzeln. Für den Zusammenbau ist lediglich ein Schraubendreher erforderlich.
Die folgende Abbildung zeigt das ins fertige Gehäuse montierte APU Board inkl. der mSATA Karte (vorne links):
Die Firewall kann auch professionell für die Schrankmontage in einem 19" Zoll, 1HE Schrankgehäuse gebaut werden oder gleich fertig_im_19_Zoll_Gehäuse erworben werden
Die Integration einer MiniPCI WLAN Karte ist ebenfalls möglich um im Firewall Gehäuse zusätzlich zu den 3 LAN Interfaces noch einen WLAN Access-Point zu betreiben (z.B. für einen WLAN Gastzugang, Hotspot etc.).
Passende WLAN Mini PCI Karten finden sich hier und hier
Das u.a. Hotspot-Tutorial beschreibt die einfache Integration des WLANs.
Interessant ist auch ein kleiner passiv gekühlter PC auf Celeron Basis mit 4mal Gigabit Ethernet der Fitlet-2 der die 4 Gigabit Ethernet in Wirespeed bedienen kann.
Siehe dazu auch HIER.
Natürlich gibt es noch eine Menge anderer Mainboard Hardware oder auch fertige Rechnerplattformen die für den Einsatz von dieser und anderer Firewall Anwendungen optimiert ist. Alles Intel und AMD basierte ist supportet. Auch ein alter PC lässt sich damit recyceln. Die weiterführenden Links unten geben einen weiteren Überblick.
Die Montage der Firewall:
Vom rein mechanischen Zusammenschrauben abgesehen, ist das einzige ToDo das Beschreiben (Flashen) der mitgelieferten SD-Flashkarte oder mSATA Modul mit der aktuellen Firmware Datei.Zum Beschreiben verwendet man einen simplen Flash_Card_Reader wie er schon häufig in Desktop PCs zum Auslesen von SD Foto Flash Cards usw. vorhanden ist oder einen entsprechenden USB Adapter den diverse Händler anbieten z.B.: hier
Ein hiesiges_Tutorial beschreibt die Prozedur im Detail.
Wer USB Memory Sticks zum Aufspielen der Firmware Datei nutzt macht es natürlich über vorhandene USB Ports im Rechner.
Generell sollte man mit den APU-Boards aus Performancegründen nicht mehr den langsamen SD-Kartenslot und SD Karten mit dem nanobsd Image nutzen sondern immer eine kleine mSATA Karte (SSD) die den Bausätzen beiliegt oder bei Bedarf auch schnell nachgerüstet werden kann:
https://www.amazon.de/TRANSCEND-MSA370-mSATA-16GB-intern/dp/B00K9HIF56/r ...
Das nanoBSD Image zwackt zudem durch die Verwendung einer RAMdisk wertvollen RAM Speicher ab.
Fazit also: Keine SD Karten und nanoBSD Image mehr verwenden ! Nur noch da wo kein mSATA oder SSD Betrieb möglich ist.
Man nutzt dann mit der mSATA und ALIX Harware immer das Memstick Installer Image in der Variante mit seriellem Anschluss. (Wer Hardware mit Monitor Anschluß verwendet auch die Display Variante)
Jetzt speichert man das Image auf seinem Installationsmedium wie SD-Karte oder USB-Stick mit Win32Diskimager (Windows), Etcher (Mac OS und Windows) oder dd (Linux) und bootet davon um die Firmware dann final auf der internen mSATA SSD im APU Board oder dem Mainboard seiner Wahl zu installieren.
Das nanoBSD Image wird so oder so ab der Version 2.4 NICHT mehr supportet ! Also immer besser gleich zur kleinen mSATA Karte oder SSD greifen.
Zum Beschreiben unter Windows verwendet man wie erwähnt den Klassiker Win32Diskimager oder den o.g. Etcher
Ein grafisches Windows oder MacOS Tool das selbsterklärend ist. Man wählt lediglich die entzippte Memstick Image Datei aus und klickt auf "Write"
Die so geflashte mSata SD Speicher Karte oder USB Stick einfach in das ALIX APU Board stecken, booten, installieren... Fertig, das wars !
Diese Installationsprozedur gilt analog auch für andere Intel/AMD basierte Mainboard Hardware.
Wichtig:
Alle neuen APU Boards besitzen einen 64bit fähigen Prozessor !
Hier ist also immer die amd64 Variante zu verwenden !
Das gilt generell auch für aktuelle Hardware auf die man die pfSense installiert.
Ab der derzeit aktuellen pfSense Version 2.4.0 wird kein i386 Image mehr zur Verfügung gestellt. Hier ist also 64Bit kompatible Hardware Pflicht.
Wer noch 32Bit i386 Hardware verwendet wie z.B. ältere PCs oder gebrauchte Watchguard Plattformen etc. der muss die 2.3.5er Version im pfSense Download auswählen.
Die Konfiguration
Nach dem Booten hat die Firewall die folgenden Grundeinstellungen:IP Adresse: 192.168.1.1
Pfsense Zugangspasswort: Benutzer: admin, Passwort: pfsense
Man verbindet nun ganz einfach den ganz rechten Port (LAN Port, in der obigen Abbildung das gelbe Kabel) der Firewall per Patchkabel mit einem Laptop oder PC. Per DHCP bekommt dieser dann automatisch eine IP Adresse aus dem 192.168.1.0er Netzwerk zugewiesen.
Jetzt nur noch den Web Browser der Wahl öffnen und oben ins URL Feld http://192.168.1.1 eingeben. Bei der erscheinenden Benutzerabfrage loggt man sich mit den o.a. Usernamen und Passwort ein.
Eine klassische Prozedur wie bei allen Routern, um zur web-basierenden Konfiguration zu gelangen. Daraufhin kann die Firewall über ihre Config Webseite gemäß Anforderungen konfiguriert werden.
Abb. Login/Dashboard pfSense
Interface Zuordnung:
Dieser Schritt ist nicht zwingend erforderlich. Die Firmware weist im Default schon die Schnittstellen zu. Es ist nur für Installationen gedacht wo bestimmte Ports auf bestimmten Hardware Interfaces liegen müssen die nicht der Standard Reihenfolge entsprechen.Die Masse der Benutzer kann diesen Schritt überspringen !
Wer keinen seriellen COM-Port mehr am Rechner hat benötigt dazu einen kleinen, preiswerten Standard USB seriell Adapter UND ein DB-9 Nullmodemkabel wie z.B. dieses hier:
http://www.reichelt.de/DELOCK-61856/3/index.html?&ACTION=3&LA=4 ...
und hier
http://www.reichelt.de/AK-143/3/index.html?&ACTION=3&LA=446& ...
der in jedem PC Shop oder beim Versender (Reichelt, Amazon) zu haben ist.
Windows User laden sich dazu eines der kostenlosen Terminal Programme PuTTY oder TeraTerm herunter.
Nach der Installation stellt man im Setup des Terminal Programms den seriellen COM Port auf 115.200 Baud, 8 Bit, 1 Stoppbit, keine Parity, keine Flow Control in den Settings ein und setzt die Schnittstelle auf den richtigen USB COM Port (Gerätemanager).
Das Nullmodemkabel schliesst man nun vorne an die serielle Schnittstelle der pfSense bzw. ALIX 2D13 oder APU1D etc. an und startet das Terminal Programm.
Hier kann man jetzt die Boot Messages des Boards usw. sehen wie an einem angeschlossenen PC Bildschirm. (Sieht man hier "Hieroglyphen" stimmt die Einstellung der seriellen Baudrate nicht !)
Check der COM Port Nummer des seriellen Ports (Adapter) im Gerätemanager:
TeraTerm starten mit passendem seriellem COM Port:
Serielle Parameter einstellen (TeraTerm):
Serielle Parameter und COM Port einstellen (PuTTY):
Apple Mac User nehmen hier die Shareware ZTerm: http://www.dalverson.com/zterm/ ,machen die Einstellungen wie oben (Baudrate, etc) und setzen ebenfalls die serielle Schnittstelle unter Settings --> Modem Settings auf den Seriell USB Adapter zu setzen:
Bei Linux erledigt das das Package minicom und den USB Seriell Adapter setzt man auf die Schnittstelle /dev/ttyUSB0.
Beim ersten Booten springt die pfSense dann in ein Menü wo man die Schnittstellen menügeführt zuordnet was selbsterklärend ist.
Das macht man einmalig, dann speichert das Board diese Zuordnung permanent !
Generell ist dieser Adapter keine Fehlinvestition. Fast alle Netzwerk Komponenten Hersteller haben serielle Schnittstellen an ihren Geräten so das man das immer gut brauchen kann.
Auch wenn mal individuelle Änderungen an der pfSense über die Shell nötig sind oder anderes Troubleshooting, ist dies Tool sehr hilfreich.
Wem die 3 physischen Ports des APU Boards bzw. die VLAN Option nicht reichen kann immer zusätzliche HW Ports mit preiswerten USB-Ethernet Adaptern wie z.B. diese oder auch der GigE-Variante hinzufügen.
Bei mehr Performance Anforderung sollte man aber auch immer entsprechende Hardware mit Onboard Ports statt USB nehmen.
Die Internet Anbindung und Betrieb
Da die Firewall selber direkt PPPoE spricht auf dem "Internet" WAN Port, kann sie direkt an ein reines xDSL Modem, also ein wirkliches NUR xDSL Modem, angeschlossen werden. Gleiches gilt für reine Kabel-TV Modems ohne Routerfunktion und Glasfaser Anbindungen.Natürlich ist auch der Betrieb mit einem vorhandenen, davor kaskadierten xDSL Router, TV Kabelrouter und auch LTE oder 3G Router direkt über das Ethernet Interface problemlos möglich.
Einige "Klassiker" vom Netzwerk Design mit Internet Zugang und 2 zusätzlichen Netzsegmenten zeigen die folgenden 3 Abbildungen:
Eines der meist benutzten Netzwerk Designs ist, wie unten zu sehen, ein geschütztes (Firmen) Netz und ein separates, sicher abgetrenntes Netz für Gäste und Besucher mit oder ohne Hotspot (Captive Portal) Lösung oder eben eine sichere DMZ:
Die untenstehende Abbildung zeigt die Anbindung 2er Firmen oder Nachbarschaftsnetze plus VPN Zugang von außen für Remote-Mitarbeiter oder Mangement:
Hier ein einfaches Design für eine sichere VPN LAN zu LAN Kopplung 2er oder mehr lokaler IP Netze über das Internet:
Die zusammengeschaltete Hardware (ohne 19" Schrank) zeigt die folgende Abbildung, wobei der Cisco Switch das Firmen Produktivnetz bedient und der Netgear Miniswitch ein Gastnetz mit WLAN Accesspoints versorgt.
Die Firewall selber ist direkt an ein preiswertes ADSL2+ DSL Modem angeschlossen und realisiert den Internetzugang. (Statt Modem kann hier natürlich auch ein vorgeschalteter Router verwendet werden).
Ein passendes Alix Gehäuse für professionelle 19" Zoll Schränke, mit oder ohne integriertes Netzteil, für die o.a. Firewall findet man HIER.
WICHTIG:
Die Internet Anbindung mit einem reinen ADSL2+ oder VDSL Modem (kein Router !) bietet immer einen erheblichen technischen Vorteil, denn es entfällt einerseits ein zusätzliches, überflüssiges NAT (IP Adress Translation) und auch eine NAT Firewall vor der Firewall durch die evtl. Kaskadierung mit einem Router, die wieder Probleme mit dem Port Forwarding z.B. bei VPN usw. bringen kann.
Es ist aus Performance- und auch aus Konfigurationssicht immer vorteilhafter ein simples Nur Modem am WAN Port der Firewall zu nutzen !
Viele Router wie die bekannten Speedports oder FritzBoxen lassen sich via Setup auch als reines DSL Modem betreiben.
Achtung bei moderneren Speedport bzw. deren Firmware. Die T-Com hat hier oft die Option zur Konfiguration des reinen Modem Betriebs entfernt ! Es lohnt also ein Blick in die Details.
Wer hier auf Nummer sicher gehen will beschafft sich ein preiswertes, reines ADSL2+ Modem wie z.B. DIESES_hier !
Damit geht man dann was die ADSL2+ Installation anbetrifft keine Kompromisse ein, da diese Nur Modems auch beide Annex Varianten im ADSL sicher supporten.
Technisch noch besser ist ein Hybrid Modem wie das Vigor 130 oder besser das aktuellere Vigor 165 was ADSL und auch VDSL gleichzeitig supportet. Dazu später mehr in der Rubrik "VDSL Anbindung".
Das folgende Beispiel zeigt in der Abbildung eine Fritzbox 2170 die wunderbar als nur DSL Modem mit der pfSense zusammenarbeitet. Aktuelle FritzBox Software lässt sich mittlerweile auch wieder in den NUR Modem Betrieb (PPPoE Passthrough) konfigurieren.
Im FB Menü "Internet -> Zugangsdaten" wählt man hier einfach die Option "FritzBox als xDSL Modem nutzen".
Es sollte klar sein das dann die Firewall am Port der das WAN / Internet Interface bedient auf PPPoE Modus gestellt wird im Setup !
Dort im WAN Port Setup der pfSense werden dann auch in einem Nur Modem Setup die erforderlichen xDSL Provider Zugangsdaten (Username / Passwort) konfiguriert, also direkt im Setup der Firewall und NICHT auf dem Router Device davor ! (Siehe auch unten analog bei der VDSL Konfiguration !)
Bei einer xDSL Dauerverbindung OHNE Zeit- oder Volumenbindung vom Provider sollte man unbedingt noch den Haken "Enable Dial on Demand Mode" setzen ! Dürfte heute im Flatrate Zeitalter allerdings eher die seltene Ausnahme sein.
ACHTUNG: Die o.a. Einstellung PPPoE gilt nur für xDSL Kunden !
Kabel TV Nutzer die die Firewall direkt ans Modem anschließen belassen den WAN Port im DHCP Client Modus, da im Kabel TV PPPoE nicht verwendet wird..
Ggf. muss das Kabel-TV Modem beim Anschluss einmal stromlos gemacht werden (Mac Adress Reset).
Kabel-TV Modems sind also ebenso problemlos anzuschließen, da die Firewall ein universelles Breitband (Ethernet) Interface hat. Sie bietet zusätzlich die Option die Mac Adresse am WAN /Internet Port frei zu konfigurieren um ggf. beim Provider registrierte Kabelmodem Mac Adressen zu emulieren.
Wichtig ist hier das Ziel diese Firewall generell performant am VDSL, Kabel TV, FTTH Glasfaser und LTE, Mobilfunk quasi also an allen Infrastrukturen betreiben zu können, wie auch immer man sie letztlich anbindet.
Eine Router / Firewall Kaskade ist aber aus Performance- und Config Sicht, technisch immer die schlechtere Wahl ! Sie lässt sich aber leider oft nicht vermeiden wenn Provider die dedizierte Benutzung von eigenen TV Kabel-, LTE- oder xDSL Routern erzwingen (sog. "Zwangsrouter Problematik").
Mittlerweile ist man wenigstens in D davon per Gesetz befreit und hat die freie Wahl.
Klar ist aber auch das viele Nutzer die mit "Zwangsroutern" vom Provider ausgestattet sind oder aufgrund von Telefonie Nutzung (VoIP) oft keine solche reine Modem Option haben oder gar wechseln können. Da bleibt dann nur die o.a. Firewall an diesen vorhandenen Router als Kaskade anzuschließen. Es ist generell kein Nachteil und funktioniert auch fehlerlos.
Fazit: Auch Provider Zwangsrouter sind generell KEIN Hindernis für den Betrieb dieser Firewall !
Die Entscheidung: pfSense oder OPNsense ?
Die meisten Benutzer werden fast ausschließlich pfSense wegen des aktuell besseren Featuresets, Stabilität, Support und moderneren Designs einsetzen, was auch eine klare Empfehlung des hiesigen Tutorials ist.Allen die lieber europäische Firmware verwenden wollen sei das Projekt OPNsense (https://opnsense.org) ans Herz gelegt, das sich mehr an europäische Datenschutzbestimmungen hält.
Was man auch immer letztlich verwendet, das Tutorial hier mit seinen ToDos ist für beide Versionen gültig. Konfig Schritte sind ebenso für beide Versionen identisch.
pfSense glänzt hier mit mehr Features (PPoE Server, OpenVPN, Link Loadbalancing bei 2 Provider Uplinks, grafische Lastauswertung etc.) und einem konfigurierbarem Dashboard. Des weiteren ist es aktueller und wird aktiv gepflegt in Bezug auf Bugfixing und beinhaltet eine große Package Verwaltung zur Installation weiterer Features wie Proxy, URL Filter, Radius, Dynamisches Routing usw.
Ein großer Vorteil für Business Kunden ist die Option kommerziellen Support zu bekommen (NetGate).
OPNsense kommt mit einer etwas schlankeren Oberfläche und weniger Featureitis daher.
Wer etwas mehr Firewall Features und Konfigurationsmöglichkeiten wie z.B.eine grafische Auswertung und Überwachung des Traffics über ein schickes Dashboard wie hier bevorzugt...
oder ein Load_Balancing_(Lastverteilung)_zweier_Internet_Zugänge oder ein OpenVPN Umfeld benötigt, entscheidet sich dann klar für die pfSense Variante.
Es ist letztlich eine Geschmacksfrage und Frage der späteren Anwendung bzw. des vorhanden Netzwerkwissens.
Mit der aktuellen 2.4 Version liegt pfSense, was das Monitoring des Traffics und andere Parameter anbetrifft und bei den Firewall Features ganz klar vorne und muss sich auch vor kommerziellen Firewalls nicht verstecken.
Die Fülle der Funktionen und des voll customizebaren Dashboards mit seinen Status Widgets sind absolut State of the Art auch im Profibereich.
In Verbindung mit VPNs ist das ALIX Board auch erste Wahl, da es mit dem im AMD Geode Prozessor embeddeten Krypto Chip eine Hardware Beschleunigung aller kryptografischen Funktionen bietet (AES-NI) und performanceseitig damit auch kommerzielle VPN Firewalls gleicher Größenordnung ebenbürtig ist.
Die Wahl von pfSense als FW Software statt z.B. IPCop/IPFire ist auf alle Fälle die weitaus Bessere für die ALIX Board Hardware !
Auch im Hinblick auf die einfache Bedienbarkeit denn über ihr klar strukturiertes WebGUI hat die pfSense hier deutlich die Nase vorn.
Die WLAN Erweiterung: Eine Wireless Schnittstelle (Integrierter Accesspoint oder WLAN Client) integrieren
Das ALIX Board bietet zusätzlich intern einen freien miniPCI Steckplatz. Hier kann man mit 2 bis 3 einfachen Handgriffen, in zehn Minuten, ein miniPCI WLAN Modul plus WLAN Antenne einsetzen und so eine 4te physische Schnittstelle mit integriertem WLAN nachrüsten.Dabei kann diese Wireless Schnittstelle dazu dienen sich als WLAN Client in ein bestehendes WLAN einzuklinken und dies zu nutzen (Internet Zugang) oder selbst aktiv als WLAN Accesspoint zu arbeiten (z.B. Hotsport für Cafe, Hotel etc.)
Die pfSense Firewall Software unterstützt problemlos beide WLAN Modi !
Das o.a. ALIX Gehäuse hat per Default schon alle vorgefertigten Bohrungen, so das der Einbau von Antenne und miniPCI Board lediglich mit einem einfachen Schraubendreher in 10 Minuten ohne mechanische Arbeiten zu erledigen ist.
Die dazu erforderlichen einzelnen Schritte beschreibt DIESES_TUTORIAL Schritt für Schritt im Detail.
Die Integration einer Dual Band (2,4 Ghz und 5 Ghz WLAN) mini PCI WLAN Karte beschreibt im o.a. Tutorial das Zusatzkapitel "Dual Band Betrieb bei einer WLAN miniPCI Karte"
Um späteren Frust und einen Fehlkauf beim WLAN Modul zu vermeiden sollte man, was die unterstützten WLAN Module anbetrifft, unbedingt in diese Liste sehen:
https://docs.google.com/spreadsheets/d/11cF4UoNL68Me5ZC6qhjFPmzdW7mib56d ...
Atheros, Intel und Ralink basierte Module sollten hier erste Wahl sein.
Die VDSL Anbindung dieser Firewall
Die pfSense Firewall (wie auch alle anderen Firewalls mit Ethernet Breitband WAN Port) lässt sich natürlich auch problemlos an allen gängigen, modernen VDSL Ports betreiben.Nötig ist dafür lediglich ein simples VDSL Nur Modem wie z.B. ein Draytek_Vigor_130
Besser noch das derzeit aktuelle Model Vigor-165 !
Ein Zyxel_1312 funktioniert ebenfalls problemlos im nur Modem Betrieb am VDSL wie auch ein ALLNET_ALL-BM200VDSL2V
Klassische ADSL Modems findet man hier und hier.
Dazu gehört auch der Zyxel VMG8546 (bei der Telekom als Speedlink 5501) den es mittlerweile auf dem freien Markt gibt und der sich per Browser Konfig oder per Tastendruck in ein vectorfähiges, reines Modem zur Verwendung an der Firewall verwandeln lässt.
Da VDSL Daten in D immer mit einem 802.1q VLAN Tag vom Modem / Router versehen sein müssen (andere Länder ggf. unterschiedlich !) , muss dies vorher am WAN Port der pfSense definiert werden damit diese einen entsprechenden VLAN Tag mitschickt.
Die Dt. Telekom benutzt hier durchgehend den VLAN ID Tag 7. Andere Anbieter wie z.B. Vodafone nutzen am VDSL den VLAN Tag 132 !
Hier gilt es also genau hinzusehen.
Eine Schritt für Schritt Anleitung dazu findet man HIER.
Einige Speedport und das Gros der o.g Modem Modelle taggen aber auch im reinen Modembetrieb schon alle Pakete ausgehend automatisch mit der VLAN ID 7 (respektive z.B. 132 bei Vodafone). Bei diesen Modems ist somit KEINE Tagging Konfiguration der pfSense erforderlich !!
Im Einzelfall also immer ins Handbuch des Modems sehen oder selber mit dem Wireshark Sniffer nachsehen und ausprobieren !
Falls alle Stricke reissen funktioniert natürlich auch immer eine Kaskade mit einem vorgeschalteten Router. Technisch ist das durch das doppelte NAT nicht optimal aber immer noch besser als keine Firewall und ungeschützt.
Dies gilt insbesondere für Benutzer die einen billigen Provider Zwangsrouter aufgedrückt bekommen der nicht unter ihrer Hoheit ist und mit ggf. noch mit TR069 nach Hause telefoniert.
Generell ist, wie oben bereits mehrfach erwähnt, der Betrieb mit einem reinen Nur Modem und direkter Internet Terminierung auf der pfSense Firewall immer performanter und erzeugt weniger Probleme gerade bei VPN und Telefonie Nutzung.
Manchmal lässt sich aber eine Kaskade, gerade bei den sog. , bereits erwähnten, Provider Zwangsroutern nicht vermeiden.
Letztlich ist das aber auch KEIN Hinderungsgrund für den Betrieb der Firewall an solchen Anschlüssen !
Im Gegenteil, es macht sie noch sicherer, denn Provider (Zwangs)router sind das mit dem fast immer aktivem TR069 niemals.
Nachfolgend ein paar Screenshots einer am T-Com VDSL aktiven pfSense VDSL/WAN Schnittstelle mit Firewall basiertem Tagging. (Bei Vodafone muss der VLAN Tag auf 132 eingestellt werden !)
Einrichtung des VLANs mit VLAN ID 7 (Vodafone hat VLAN ID 132) und Zuweisung auf den physischen Port vr1:
Konfiguration WAN Port:
Nun werden lediglich in den WAN Einstellungen der PPPoE Modus aktiviert und die Provider Zugangsdaten (User / Passwort) dort eingetragen !
ACHTUNG:
Einige Router oder reine Modem machen von sich aus schon ein VLAN Tagging mit der VLAN ID 7 ! (Siehe Bemerkung oben zum Thema Tagging bei VDSL)
Damit ist dann natürlich eine Konfiguration mit einem Tagging der Firewall selber NICHT mehr erforderlich
Hier ist dann lediglich ganz normal PPPoE einzustellen wie bei einer normalen ADSL oder ADSL2+ Konfiguration mit Modem.
Betreibt man den WAN Port mit einem NAT Router davor in einer Router_Kaskade ist diese Einstellung so oder so überflüssig, da logischerweise der vorgeschaltete Router dann das gesamte PPPoE Zugangshandling übernimmt und der WAN Port an der Firewall nur als "normaler" Ethernet Port (Statisch, DHCP) einzustellen ist.
Weitere hilfreiche Tipps zur Modemkopplung mit einem VDSL Modem gibt dieser_Thread
IP TV zum Laufen bringen:
Bei professioneller Anwendung bzw. Firmen Anbindungen ist dieser Punkt des Tutorials sicher keine Option.Aber auch Nutzer die die Firewall aus naheliegenden Gründen im Privatnetz einsetzen, müssen damit auf Entertainment Features natürlich nicht verzichten.
Direkt supportet die pfSense kein Multicast Routing mit PIM wie z.B. der Cisco_Router oder der Mikrotik_Router es für IP TV erfordern, aber die IGMP Proxy Funktion sorgt bei der pfSense dafür das auch IP TV im heimischen Netz funktioniert.
Unter Services -> IGMP Proxy definiert man dort einfach das Upstream und Downstream Interface mit den entsprechenden IP Netzen. Upstream sind das die Multicast Netze und Downstream das oder die lokalen IP Netze:
Als nächstes erlaubt man in den Firewall Regeln die Multicast Netze für IP TV auf den WAN Port:
Man kann diese auch genau einschränken auf die verwendeten MC Netze des Providers. Eine Übersicht über die benutzen MC IP Adressen z.B. für Telekom Entertain findet man HIER.
Wer eine Allow ANY Regel auf dem lokalen LAN Netz verwendet deckt die Multicast Adressen damit natürlich auch ab. Ansonsten bei strikteren FW Regeln am lokalen LAN muss man diese Netze auch dort natürlich erlauben.
TRIM Funktion auf der SSD aktivieren:
Wer mit mSATA oder SSD arbeitet sollte immer die TRIM Funktion aktivieren um die Lebensdauer des Flashspeichers zu erhöhen. In der aktuellen 2.4er Version ist TRIM per Default aktiv und das Folgende also obsolet geworden.User der Version 2.4 und neuer müssen also bei Einsatz von SSDs oder mSATA Modulen NICHTS mehr konfigurieren !
Das Folgende ist also nicht mehr relevant.
In älteren 2.3.x Versionen ist TRIM aber nicht aktiviert, was sich aber sehr leicht nachholen lässt:
Nach dem Booten geht man über die Konsole in die Shell des Betriebssystems und sieht sich die Device ID seines Flashspeichers an mit dem Kommando cat /etc/fstab
Dort sollte dann sowas stehen wie /dev/ufsid/5870ff0328059a98 Diesen Eintrag am besten per cut and paste irgendwo sichern.
Nun bootet man wieder sein Installationsmedium von SD oder USB Stick und geht dann mit Eingabe von "2" oder "s" ind den Single User Mode. Das muss so sein denn zum Aktivieren der TRIM Funktion auf der SSD darf diese nicht gemountet sein !
Jetzt gibt man das folgende Kommando ein:
/sbin/tunefs -t enable /dev/ufsid/5870ff0328059a98
Das Programm tunefs sollte dann mit "tunefs: issue TRIM to the disk remains unchanged as enabled" antworten.
Mit /sbin/reboot oder durch Ziehen des Stromsteckers und Entfernen des Installationsmediums bootet man jetzt wieder von seinem Flashspeicher und springt zur Überprüfung der TRIM Funktion wieder in die Shell und führt tunefs -p / aus:
[2.3.2-RELEASE][root@pfSense.test.intern]/root: tunefs -p /
tunefs: POSIX.1e ACLs: (-a) disabled
tunefs: NFSv4 ACLs: (-N) disabled
tunefs: MAC multilabel: (-l) disabled
tunefs: soft updates: (-n) enabled
tunefs: soft update journaling: (-j) enabled
tunefs: gjournal: (-J) disabled
tunefs: trim: (-t) enabled
tunefs: maximum blocks per file in a cylinder group: (-e) 4096
tunefs: average file size: (-f) 16384
tunefs: average number of files in a directory: (-s) 64
tunefs: minimum percentage of free space: (-m) 8%
tunefs: space to hold for metadata blocks: (-k) 6408
tunefs: optimization preference: (-o) time
tunefs: volume label: (-L)
[2.3.2-RELEASE][root@pfSense.test.intern]/root:
Anwender die eine 32Bit i386 Plattform nutzen und damit auf die 2.3.x Version angewiesen sind, sollten die TRIM Funktion wie oben aktivieren.
Die Beispiele aus der Praxis und weiterführende Links
Die o.a. Firewall ist Basis einiger zusätzlicher Forumstutorials die weitere Konfigurationsdetails genauer beschreiben:Tips und Tricks zum Beschreiben des Flash Speichers:
PfSense auf apu2c2 oder apu2c4 installieren
Erfahrungsbericht pfSense auf ALIX APU1D Gigabit Board:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
Anfängerhürden vermeiden bei einfachem Firewall Aufbau u. Design !:
Anfänger- PfSense auf APU.1D4 installieren
Bestehendes Netzwerk - seperates WLAN ohne Zugriffsmöglichkeiten auf bestehendes
Kein Erfolg mit monowall auf ALIX Board
Pfsense Port Forwarding NAT für VOIP
Nur Modem Empfehlungen für ADSL+ und VDSL:
Suche adsl2+ und vdsl modem
LAN u. WLAN Port mit einer Layer 2 Netzwerkbrücke (Bridge) zusammen verbinden:
PfSense - WiFi AP funktioniert jedoch komme ich nicht ins Internet
Gastnetz und Gast WLAN mit einer Hotspot Lösung (Captive Portal):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Komfortable Ticketverwaltung für o.a. Gastnetz Lösung mit Web Server und SMS:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Oder Tickets zum Ausdrucken (Bondrucker):
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
oder
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId=743 ...
oder
http://ts-telecom.net/voucherdrucker.xls (zum o.a. Tutorial)
VPN Zugang für mobile Benutzer mit Laptops und Smartphone einrichten:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
VLAN Routing bzw. Integration in Netzwerke mit 802.1q VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
pfSense als transparente Firewall einsetzen ohne Routing (Bridge):
http://community.spiceworks.com/attachments/post/0016/1351/Transparent_ ...
pfSense mit Squid und Squidguard installieren zur Kontrolle von Webseiten:
https://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy
Dual WAN Port (Providerredundanz) Balancing Firewall mit pfSense:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
http://doc.pfsense.org/index.php/Multi-WAN_2.0
VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
FritzBox7490 hinter der pfsense für VOIP.
Fritzbox hinter pfsense VOIP Probleme
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
VPN mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Standortkopplung zweier oder mehrerer Standortnetze mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPN mit IPsec Client bzw. Standort zu Standort IPsec VPN auf Cisco, Mikrotik oder FritzBox VPN Router:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
WLAN Erweiterung der Firewall (ALIX):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) (Kapitel "Optionale WLAN Erweiterung")
WLAN Karte in pfSense einrichten und aktivieren
pfSense HowTo Verzeichnis zu Detailthemen der Installation:
https://doc.pfsense.org/index.php/Category:Howto
Einfaches Routing 2er oder mehrerer IP Netze ohne Firewall Funktion:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hyper-V Images für pfSense:
https://forum.pfsense.org/index.php/topic,56565.msg364122.html#msg364122
Alternative Hardware Plattformen:
PfSense - Supermicro SuperServers Mini 1U Mini 1U E300-8D (X10SDV-TP8F)
Axiomtek Hardware (Desktop) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
Axiomtek Hardware (Rackmount) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
pfSense auf Watchguard Firebox Profi Hardware einsetzen mit Tips: (Entspr. Watchguard HW findet man z.B. auf eBay)
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox
http://www.ebay.de/sch/i.html?_trksid=p2050601.m570.l1313.TR6.TRC1.A0.X ...
Pfsense Watchguard kein Internet auf LAN
Pfsense Watchguard neu installiert bekomme jedoch die Meldung Config.xml is corrupted and is 0 bytes. Could not restore a previous backup
Wenn nichts mehr geht...
Besitzt die Firewall einen Reset Knopf der die Konfiguration löscht auf die Werkseinstellungen.Alternativ hat das ALIX Board und auch andere pfSense Hardware wie die bekannten Watchguard Modelle einen seriellen Terminalanschluss an den man ein einfaches Textterminal wie Windows Hyperterm, PUTTY oder TeraTerm mit einem seriellen RS-232 Nullmodemkabel anschliessen kann. (Apple Macs nutzen Z-Term, bzw. minicom bei Linux)
Wer am PC oder Laptop keinen seriellen COM Port mehr hat benutzt einfach einen preiswerten USB_auf_Seriell_Adapter den jeder PC Shop für ein paar Euro hat.
Schaltet man dann das ALIX Board an, stellt das o.a. Terminalprogramm auf 9600 Baud, keine Parity, 8 Bit, 1 Stoppbit (pfSense: 38.400 Baud) und keine Flusskontrolle erhält man nun im Terminal exakt dieselben Boot Meldungen wie am PC Bildschirm und kann das Board entsprechend in der Grundkonfiguration verändern oder gemachte Einstellungen löschen oder das Board komplett resetten.
Auch ein Shell Zugang auf das darunterliegende Unix OS ist möglich.
Keine Angst: Das Terminal ist kein Muss ! Alles lässt sich auch bequem über das Webinterface einstellen. Es ist lediglich ein Notanker wenn man z.B. IP oder Passwort einmal vergessen hat.
Die Konsole ist aber immer hilfreich um dem ALIX Board und andere Hardware etwas auf die Finger zu schauen und erleichtert sehr die Fehlersuche.
Übrigens gilt das nicht nur für die pfSense allein ! Auch andere Switch und Router Systeme, speziell aus dem professionellen Bereich, haben allesamt eine serielle Schnittstelle fürs Management. Es ist also generell empfehlenswert als Netzwerker ein Kabel für seriellen Zugriff parat zu haben.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Dani am 01.03.2015 um 12:43:13 Uhr
Bitte schreibt für eure Fragen einen eigenen Beitrag und verlinkt auf diese Anleitung.
Content-ID: 149915
Url: https://administrator.de/contentid/149915
Ausgedruckt am: 05.11.2024 um 05:11 Uhr
109 Kommentare
Neuester Kommentar
Hallo,
eigentlich hätte diese Anleitung den Wettbewerb für die beste Anleitung gewinnen sollen!
Hier ist allesgut beschrieben, es gibt Links zu den wichtigsten Begriffen oder erfordelricher Soft- und Hardware.
Schlicht und ergreifend so wie eine Anleitung sein soll, und wie wir es hier im Froum von aqui gewohnt sind.
Es gibt ja schon diverse Beiträge hier im Forum die nur noch auf die Anleitungen von aqui verweisen.
brammer
eigentlich hätte diese Anleitung den Wettbewerb für die beste Anleitung gewinnen sollen!
Hier ist allesgut beschrieben, es gibt Links zu den wichtigsten Begriffen oder erfordelricher Soft- und Hardware.
Schlicht und ergreifend so wie eine Anleitung sein soll, und wie wir es hier im Froum von aqui gewohnt sind.
Es gibt ja schon diverse Beiträge hier im Forum die nur noch auf die Anleitungen von aqui verweisen.
brammer
Spitze Anleitung Aqui,
aber eine Frage hätte ich da, denn ich kenne mich mit den Alix Boards nicht aus.
Wäre es auch möglich auf das Board eine Astaro 7/8 zu installieren? Diese läuft
ja auf älteren Rechnern z.B. Pentium 3 oder ähnlich schon/noch.
Wie schaut es da mit dem Alix Board aus? Hat das überhaupt Intel x86 Instruktionen
oder ist das ein ganz anderer Prozessor?
Meine Überlegung geht schon lange in die Richtung das ich mir eine kleine Rechnerbox
(ggf. Nettop) hin stelle mit ner Astaro drauf, Hardwäre hätte ich zuhauf daheim dafür, aber
alles ziemlich oversized und entsprechend auch der Stromverbrauch und die Geräuschentwicklung...
Sind alles alte Rechner bzw. deren Innenleben, teils auch neuere Hardware.
Allein schon der Verbrauch von ca. 20W und keine aktive Kühlung wären schonmal ein klares
Argument für ein Alix Board. Ich will schließlich keine Firtzbox gegen einen alten Rechner eintauschen
der mir dann Nachts auch noch den Schlaf raubt ;)
Mfg.
aber eine Frage hätte ich da, denn ich kenne mich mit den Alix Boards nicht aus.
Wäre es auch möglich auf das Board eine Astaro 7/8 zu installieren? Diese läuft
ja auf älteren Rechnern z.B. Pentium 3 oder ähnlich schon/noch.
Wie schaut es da mit dem Alix Board aus? Hat das überhaupt Intel x86 Instruktionen
oder ist das ein ganz anderer Prozessor?
Meine Überlegung geht schon lange in die Richtung das ich mir eine kleine Rechnerbox
(ggf. Nettop) hin stelle mit ner Astaro drauf, Hardwäre hätte ich zuhauf daheim dafür, aber
alles ziemlich oversized und entsprechend auch der Stromverbrauch und die Geräuschentwicklung...
Sind alles alte Rechner bzw. deren Innenleben, teils auch neuere Hardware.
Allein schon der Verbrauch von ca. 20W und keine aktive Kühlung wären schonmal ein klares
Argument für ein Alix Board. Ich will schließlich keine Firtzbox gegen einen alten Rechner eintauschen
der mir dann Nachts auch noch den Schlaf raubt ;)
Mfg.
Hey,
danke für die erstklassige Anleitung...werde mir demnächst die Hardware bestellen und mal loslegen.
In deiner Einzelteilauflistung fehlt noch die FlashCard.... vielleicht nimmst du die der Vollständigkeit halber noch mit rein.
Sind überhaupt 4GB von nöten? Wieviel braucht denn die Monowall?
Unterstüzt die Monowall Gigabit? Und ist es möglich das AlixBoard um Gigabit zu erweitern?
MFG Robert
danke für die erstklassige Anleitung...werde mir demnächst die Hardware bestellen und mal loslegen.
In deiner Einzelteilauflistung fehlt noch die FlashCard.... vielleicht nimmst du die der Vollständigkeit halber noch mit rein.
Sind überhaupt 4GB von nöten? Wieviel braucht denn die Monowall?
Unterstüzt die Monowall Gigabit? Und ist es möglich das AlixBoard um Gigabit zu erweitern?
MFG Robert
Danke für die ausführliche Antwort aqui ;)
Das die Karte beim Komplett-Set dabei ist war mir bewusst, ich dachte halt nur das es besser wäre sie in die Auflistung der Einzelkomponenten aufzunehmen, nicht das jemand davon ausgeht das sie beim Board dabei ist bzw. sie bei der Einzelkomponentenbestellung vernachlässigt und sich dann ärgert. Aber nun ist ja alles so wie es sein soll ;)
Ist es denn möglich die MAC Adresse der LAN Ports irgendwie auszulesen bzw stehen die irgendwo drauf? Denn die bräuchte ich um die Firewall ans UNI Netz anzubinden, da hier die Switches einen MAC Filter haben.
VPN und Monowall gleichzeitig auf dem Alix Board zu betreiben ist ja kein Problem, da Monowall VPN unterstützt, richtig?
Beste Grüße
Robert
Das die Karte beim Komplett-Set dabei ist war mir bewusst, ich dachte halt nur das es besser wäre sie in die Auflistung der Einzelkomponenten aufzunehmen, nicht das jemand davon ausgeht das sie beim Board dabei ist bzw. sie bei der Einzelkomponentenbestellung vernachlässigt und sich dann ärgert. Aber nun ist ja alles so wie es sein soll ;)
Ist es denn möglich die MAC Adresse der LAN Ports irgendwie auszulesen bzw stehen die irgendwo drauf? Denn die bräuchte ich um die Firewall ans UNI Netz anzubinden, da hier die Switches einen MAC Filter haben.
VPN und Monowall gleichzeitig auf dem Alix Board zu betreiben ist ja kein Problem, da Monowall VPN unterstützt, richtig?
Beste Grüße
Robert
Schande über mein Haupt Die Beispiele habe ich vorerst ausgelassen...mein Fehler.
Danke für die Mühe mit den Screens, Monowall gefällt mir immer besser
Ist das Mac Spoofen legal? Bzw. gibt es da keine Gegenmaßnahmen von meinem Admin
Lohnt es sich die paar Euro mehr für doppelt soviel Ram auf dem Board (D13) auszugeben? Oder bekommt man davon eh nichts mit?
Der Link zum Reichelt Shop mit der Flashcard funktioniert irgendwie nicht mehr...Artikel nicht mehr zuzuordnen.
Beste Grüße
Robert
Danke für die Mühe mit den Screens, Monowall gefällt mir immer besser
Ist das Mac Spoofen legal? Bzw. gibt es da keine Gegenmaßnahmen von meinem Admin
Lohnt es sich die paar Euro mehr für doppelt soviel Ram auf dem Board (D13) auszugeben? Oder bekommt man davon eh nichts mit?
Der Link zum Reichelt Shop mit der Flashcard funktioniert irgendwie nicht mehr...Artikel nicht mehr zuzuordnen.
Beste Grüße
Robert
Hmm... der Thread ist irgendwie ein wenig bei mir unter gegangen nachdem ich die Frage gepostet habe... *shrug*
Die Astaro wollte ich daher aufsetzen, da wir in der Firma schon eine pfSense im Einsatz haben, die ja ähnlich wie
die Monowall aussieht bzw. von ihr entwickelt wurde... Alles in Allem gefällt mir aber weder die pfSense noch die
Monowall so 100%ig. Die Astaro habe ich schon 2006 im Einsatz in einem anderen Unternehmen gesehen und
durfte damals im Praktikum dort auf einem Appliance die neue 6er Version aufspielen und die Konfig testen usw...
Astrao bietet für den Privat Gebrauch eine kostenlose Lizenz an für alle Versionen bis hin zur ganz neuen 8er.
Von den Menus, deren Aufmachung, Funktionen und der deutschen Oberfläche bin ich daher mehr überzeugt
als von pfSense. Hab da irgendwie das Gefühl das mit der Astaro eher meine Interessen abgedeckt werden,
abgesehen von ein paar netten Zusätzen wie Viren und Spam Filterung... die ich teilweise sehr interessant finde.
Und ja die Astaro setzt auf ein gehärtetes Linux auf, afair hab ich damals glaube ich raus bekommen das es ein
stark modifiziertes Debian unter der Haube hat.
Aber Danke für den Hinweis mit dem Astaro Forum, da habe ich noch garnicht rein geschaut mangels Zeit.
Werde ich mal bei Gelegenheit nach holen
Mfg.
Die Astaro wollte ich daher aufsetzen, da wir in der Firma schon eine pfSense im Einsatz haben, die ja ähnlich wie
die Monowall aussieht bzw. von ihr entwickelt wurde... Alles in Allem gefällt mir aber weder die pfSense noch die
Monowall so 100%ig. Die Astaro habe ich schon 2006 im Einsatz in einem anderen Unternehmen gesehen und
durfte damals im Praktikum dort auf einem Appliance die neue 6er Version aufspielen und die Konfig testen usw...
Astrao bietet für den Privat Gebrauch eine kostenlose Lizenz an für alle Versionen bis hin zur ganz neuen 8er.
Von den Menus, deren Aufmachung, Funktionen und der deutschen Oberfläche bin ich daher mehr überzeugt
als von pfSense. Hab da irgendwie das Gefühl das mit der Astaro eher meine Interessen abgedeckt werden,
abgesehen von ein paar netten Zusätzen wie Viren und Spam Filterung... die ich teilweise sehr interessant finde.
Und ja die Astaro setzt auf ein gehärtetes Linux auf, afair hab ich damals glaube ich raus bekommen das es ein
stark modifiziertes Debian unter der Haube hat.
Aber Danke für den Hinweis mit dem Astaro Forum, da habe ich noch garnicht rein geschaut mangels Zeit.
Werde ich mal bei Gelegenheit nach holen
Mfg.
Wir haben hier gerade Mal über deine Anleitung gesprochen und fanden die prinzipiell ganz gut.
Ist die Speicherung der Logfiles auf der Flash-Karte nicht problematisch? Die Schreibvorgänge sollten doch die Flash-Card recht schnell killen, oder?
Die Nutzung eines externen SYSLOG-Servers sollte das Problem lösen.
Ist die Speicherung der Logfiles auf der Flash-Karte nicht problematisch? Die Schreibvorgänge sollten doch die Flash-Card recht schnell killen, oder?
Die Nutzung eines externen SYSLOG-Servers sollte das Problem lösen.
Hallo Aqui,
ich habe gerade aus Eigen Interesse nachgeschaut und dein Link zu den Bundles
des Online Shops funktioniert leider nicht mehr. Den müsstest Du mal anpassen:
http://shop.varia-store.com/product_info.php?info=p725_Mainboard-ALIX-2 ...
Falls es die Bundle-Übersicht war, wäre das hier der Neue Link:
http://shop.varia-store.com/index.php?cat=c179_Komplettpaket.html
Mfg.
ich habe gerade aus Eigen Interesse nachgeschaut und dein Link zu den Bundles
des Online Shops funktioniert leider nicht mehr. Den müsstest Du mal anpassen:
http://shop.varia-store.com/product_info.php?info=p725_Mainboard-ALIX-2 ...
Falls es die Bundle-Übersicht war, wäre das hier der Neue Link:
http://shop.varia-store.com/index.php?cat=c179_Komplettpaket.html
Mfg.
Zitat von @aqui:
Das 2D13 ist das ALIX Board der Wahl für die FW. Es macht keinen Sinn ein anderes Board zu verwenden, denn der Unterschied
besteht nur in ein paar Euro.
Auch hier gilt: Mehr RAM = mehr Performance !
Das 2D13 ist das ALIX Board der Wahl für die FW. Es macht keinen Sinn ein anderes Board zu verwenden, denn der Unterschied
besteht nur in ein paar Euro.
Auch hier gilt: Mehr RAM = mehr Performance !
Das mit dem RAM gilt m. E. nur für pfSense. M0n0wall verwendet, wenn ich es richtig verstanden habe, immer nur 64 MB. Siehe hier: http://doc.m0n0.ch/handbook/hardware-sizing.html (unter 2.5.4 RAM)
Grüße,
tonabnehmer
Hallo
Ich habe mir hier das HowTo durchgelsen, ich finde es ist super gut geschrieben - RESPEKT
Jetzt hab ich ein Problem ich habe derzeit ein ALIX im betrieb und wollte auf die pfSense umschwenken. Derzeit läuft ein IPCop bei mir gut aber nicht befriedigend. Dann hab ich das mit den Vouchers gelesen das ist genau mein Ding. So also wo hängt es ? Ich habe ein 2GB CF Karte mit physdiskwrite beschrieben ohne Fehlermeldung. Steck sie ins ALIX strom dran..... nix passiert, also nix das ich mit dem ganzen rechten LAN Port auf das WEBGUI komme. Dann hab ich alle 3 Ports getestet, nix passiert. Ich habe ein ALIX mit 2x USB Anschlüssen das ist der einzige unterschied was ich auf anhieb gesehen habe. Kann es sein das es ein treiberproblem gibt oder doch ein User Problem ? Es wird auch keine IP verteilt von dem angesprochenen DHCP Server. Gut hab ich mal ein IP generiert die in den Nummerkreis fällt. Leider auch ohne erfolg. Also CF wieder raus und IPCop CF wieder rein. Hat jemand eine Lösung für mich ?
Dieses Image habe ich genommen:
http://files.nl.pfsense.org/mirror/downloads/pfSense-2.0-RELEASE-2g-amd ...
dank
cu Frank
Ich habe mir hier das HowTo durchgelsen, ich finde es ist super gut geschrieben - RESPEKT
Jetzt hab ich ein Problem ich habe derzeit ein ALIX im betrieb und wollte auf die pfSense umschwenken. Derzeit läuft ein IPCop bei mir gut aber nicht befriedigend. Dann hab ich das mit den Vouchers gelesen das ist genau mein Ding. So also wo hängt es ? Ich habe ein 2GB CF Karte mit physdiskwrite beschrieben ohne Fehlermeldung. Steck sie ins ALIX strom dran..... nix passiert, also nix das ich mit dem ganzen rechten LAN Port auf das WEBGUI komme. Dann hab ich alle 3 Ports getestet, nix passiert. Ich habe ein ALIX mit 2x USB Anschlüssen das ist der einzige unterschied was ich auf anhieb gesehen habe. Kann es sein das es ein treiberproblem gibt oder doch ein User Problem ? Es wird auch keine IP verteilt von dem angesprochenen DHCP Server. Gut hab ich mal ein IP generiert die in den Nummerkreis fällt. Leider auch ohne erfolg. Also CF wieder raus und IPCop CF wieder rein. Hat jemand eine Lösung für mich ?
Dieses Image habe ich genommen:
http://files.nl.pfsense.org/mirror/downloads/pfSense-2.0-RELEASE-2g-amd ...
dank
cu Frank
Zitat von @102901:
Dieses Image habe ich genommen:
http://files.nl.pfsense.org/mirror/downloads/pfSense-2.0-RELEASE-2g-amd ...
Dieses Image habe ich genommen:
http://files.nl.pfsense.org/mirror/downloads/pfSense-2.0-RELEASE-2g-amd ...
AMD64 ist das falsche Image. Du musst i386 nehmen. Siehe hier: http://forum.pfsense.org/index.php/topic,38868.msg201445.html#msg201445. Statt 1821 könnte inzwischen auch ein neueres Image verfügbar sein, musst Du dann selbst schauen.
Grüße,
tonabnehmer
Hallo
ALIX und PFSense läuft soweit.
Ich frag mal so....
Ich hab noch ein altes PC gehäuse im Keller mit allem drum und drann und eine 512MB CF Karte.
Jetzt hab ich mir so ein adaper geholt wo man die CF Karte direkt auf das Motherboard stecken kann.
Ist das dann auch das i386 Image das ich auf die 512er ziehen muß oder ist es das AMD64er Image
cu Frank
ALIX und PFSense läuft soweit.
Ich frag mal so....
Ich hab noch ein altes PC gehäuse im Keller mit allem drum und drann und eine 512MB CF Karte.
Jetzt hab ich mir so ein adaper geholt wo man die CF Karte direkt auf das Motherboard stecken kann.
Ist das dann auch das i386 Image das ich auf die 512er ziehen muß oder ist es das AMD64er Image
cu Frank
Hallo aqui, hallo Forum!
Zunächst einmal vielen Dank für diese super Anleitung. Sie hat mich erst auf die Idee gebracht, meiner Freundin für ihr Gemeinschaftsbüro eine entsprechende Firewall/Routerlösung mit zwei getrennten Netzen aufzusetzen. Hardware ist ein alix.2d13. Im Bundle mit WLAN- und CF-Karte neu gekauft. Software sollte entweder Monowall (1.33) oder pfsense (aktuelle 386-nanobsd-4GB-Version) werden. Die CF-Karte habe ich nun schon mehrfach unter Linux geflasht. Es scheint jedes Mal funktioniert zu haben.
Anschluss per gerade neu gekauftem cross-over Kabel am rechten Port.
Doch ich bekomme keinen Kontakt zur Box. Weder bekomme ich mit dem angeschlossenen Netbook eine IP-Adresse zugewiesen, noch kann ich die Box nach manueller IP-Vergabe anpingen. Mit dem gleichen cross-over Patch-Kabel klappt beides ohne Probleme am Heimrouter. Netzteil-Stecker mehrfach abgezogen und neu gestartet. Ebenso mehrfach das Netbook unter Linux oder XP neu gestartet. Es wird versucht eine Verbindung herzustellen, die linke LED am RouterPort blinkt kurz zwei dreimal orange, danach sind beide wieder kontinuierlich grün; eine Verbindung besteht jedoch nicht.
Das Netbook hat wohl einen Realtek Gigabit Ethernet-Anschluss, das Alix-Board ja nur einen 10/100er. Ob es daran liegen kann. Werde heute Abend versuchen, a) ein altes macbook ohne Gigabit anzuschließen, b) meinen Gigabit-Switch dazwischen zu hängen, c) die Box mal anstelle des Modemrouters, der als IP die 192.168.1.1 hat, vor meinen eigentlichen Heimrouter zu klemmen .
Habt Ihr vielleicht einen Tipp?
Funktionieren Monowall bzw. pfsense in den aktuellen Versionen den überhaupt noch mit dem alix.2d13-Board? Muss ich was am BIOS ändern (wozu ich allerdings erstmal einen USB-Adapter für die serielle Schnittstelle benötige).
Beste Grüße, Paul
Zunächst einmal vielen Dank für diese super Anleitung. Sie hat mich erst auf die Idee gebracht, meiner Freundin für ihr Gemeinschaftsbüro eine entsprechende Firewall/Routerlösung mit zwei getrennten Netzen aufzusetzen. Hardware ist ein alix.2d13. Im Bundle mit WLAN- und CF-Karte neu gekauft. Software sollte entweder Monowall (1.33) oder pfsense (aktuelle 386-nanobsd-4GB-Version) werden. Die CF-Karte habe ich nun schon mehrfach unter Linux geflasht. Es scheint jedes Mal funktioniert zu haben.
Anschluss per gerade neu gekauftem cross-over Kabel am rechten Port.
Doch ich bekomme keinen Kontakt zur Box. Weder bekomme ich mit dem angeschlossenen Netbook eine IP-Adresse zugewiesen, noch kann ich die Box nach manueller IP-Vergabe anpingen. Mit dem gleichen cross-over Patch-Kabel klappt beides ohne Probleme am Heimrouter. Netzteil-Stecker mehrfach abgezogen und neu gestartet. Ebenso mehrfach das Netbook unter Linux oder XP neu gestartet. Es wird versucht eine Verbindung herzustellen, die linke LED am RouterPort blinkt kurz zwei dreimal orange, danach sind beide wieder kontinuierlich grün; eine Verbindung besteht jedoch nicht.
Das Netbook hat wohl einen Realtek Gigabit Ethernet-Anschluss, das Alix-Board ja nur einen 10/100er. Ob es daran liegen kann. Werde heute Abend versuchen, a) ein altes macbook ohne Gigabit anzuschließen, b) meinen Gigabit-Switch dazwischen zu hängen, c) die Box mal anstelle des Modemrouters, der als IP die 192.168.1.1 hat, vor meinen eigentlichen Heimrouter zu klemmen .
Habt Ihr vielleicht einen Tipp?
Funktionieren Monowall bzw. pfsense in den aktuellen Versionen den überhaupt noch mit dem alix.2d13-Board? Muss ich was am BIOS ändern (wozu ich allerdings erstmal einen USB-Adapter für die serielle Schnittstelle benötige).
Beste Grüße, Paul
Hallo aqui!
Erstmal vielen Dank für die schnelle Antwort. Gut, dass es definitiv nicht am Port-Speed liegen kann. Hatte schon Befürchtungen Alix wäre da zickig.
Werde mir möglichst schnell einen entsprechenden Adapter USB-seriell besorgen.
Zwei normale Patch-Kabel hatte ich schon probiert. Auch mit einem anderen Rechner.
Alle Ports zeigen das selbe Verhalten. Wurden Rechner und Alix mit dem Kabel verbunden, leuchten beide LED am Port des Alix grün, unterbrochen durch kurzes oranges Blinken, wenn der Rechner versucht eine IP-Adresse zu beziehen.
Ich bin sehr gespannt, was das Board über die serielle Schnittstelle preisgibt. Gibt es hier eine spezifische Anleitung, welche Angaben man dort wie anrufen kann (putty etc. ist mir grundsätzlich klar)?
Dass die Einrichtung sowohl bei Monowall als auch pfsense nicht direkt über den Web-GUI funktioniert, spricht wohl aber eher für eine falsche BIOS-Einstellung oder gar einen Defekt des alix-boards, denn die Grundkonfiguration von Monowall und pfsense müsste ja bei beiden funktionieren...
Erstmal vielen Dank für die schnelle Antwort. Gut, dass es definitiv nicht am Port-Speed liegen kann. Hatte schon Befürchtungen Alix wäre da zickig.
Werde mir möglichst schnell einen entsprechenden Adapter USB-seriell besorgen.
Zwei normale Patch-Kabel hatte ich schon probiert. Auch mit einem anderen Rechner.
Alle Ports zeigen das selbe Verhalten. Wurden Rechner und Alix mit dem Kabel verbunden, leuchten beide LED am Port des Alix grün, unterbrochen durch kurzes oranges Blinken, wenn der Rechner versucht eine IP-Adresse zu beziehen.
Ich bin sehr gespannt, was das Board über die serielle Schnittstelle preisgibt. Gibt es hier eine spezifische Anleitung, welche Angaben man dort wie anrufen kann (putty etc. ist mir grundsätzlich klar)?
Dass die Einrichtung sowohl bei Monowall als auch pfsense nicht direkt über den Web-GUI funktioniert, spricht wohl aber eher für eine falsche BIOS-Einstellung oder gar einen Defekt des alix-boards, denn die Grundkonfiguration von Monowall und pfsense müsste ja bei beiden funktionieren...
Servus,
gibt es eine Möglichkeit, dass Benutzer aus dem Wlan nur auf das Internet zugreifen können (nach Captive Portal), aber andere Benutzer mittels Login auf das Firmennetzwerk?
Man könnte sich ja nach dem Authentifizieren direkt wieder mittels VPN einwählen, das wäre eine Möglichkeit, aber vielleicht geht's noch einfacher?
lg
Julian
gibt es eine Möglichkeit, dass Benutzer aus dem Wlan nur auf das Internet zugreifen können (nach Captive Portal), aber andere Benutzer mittels Login auf das Firmennetzwerk?
Man könnte sich ja nach dem Authentifizieren direkt wieder mittels VPN einwählen, das wäre eine Möglichkeit, aber vielleicht geht's noch einfacher?
lg
Julian
Servus,
wollte mir ein ALIX.2D13 Board kaufen, dann an einem Port die Wlan Access Points über einen Switch verteilen.
An den anderen Port den Telekom Router und fertig ist das Gastnetz. Das funktioniert soweit auch schon, hab das über eine Installation auf einem PC getestet.
An dem Telekom Router hängt aber noch ein ISA 2006 Server der die Verbindung ins Unternehmensnetzwerk übernimmt. In diesem Netzwerk gibt es auch eine Laser-Richtfunkstrecke in ein anderes Gebäude, welches auch ein Gastnetzwerk bekommen soll. Kann ich dies auch irgendwie realisieren?
Wäre es klüger den ALIX Router in das Unternehmensnetzwerk mit der WAN Schnittstelle zu hängen und als Gateway den ISA zu nehmen?
Kann ich Mitarbeitern mit Laptops einen Zugang einrichten, der vollen Zugriff auf das Unternehmensnetzwerk hat? Nach MAC oder IP Filtern ist mir zu unsicher.
lg
Julian
wollte mir ein ALIX.2D13 Board kaufen, dann an einem Port die Wlan Access Points über einen Switch verteilen.
An den anderen Port den Telekom Router und fertig ist das Gastnetz. Das funktioniert soweit auch schon, hab das über eine Installation auf einem PC getestet.
An dem Telekom Router hängt aber noch ein ISA 2006 Server der die Verbindung ins Unternehmensnetzwerk übernimmt. In diesem Netzwerk gibt es auch eine Laser-Richtfunkstrecke in ein anderes Gebäude, welches auch ein Gastnetzwerk bekommen soll. Kann ich dies auch irgendwie realisieren?
Wäre es klüger den ALIX Router in das Unternehmensnetzwerk mit der WAN Schnittstelle zu hängen und als Gateway den ISA zu nehmen?
Kann ich Mitarbeitern mit Laptops einen Zugang einrichten, der vollen Zugriff auf das Unternehmensnetzwerk hat? Nach MAC oder IP Filtern ist mir zu unsicher.
lg
Julian
Hallo parsival,
ich habe das gleiche Problem wie Du, ich habe einen Automation PC mit CF auf der Monowall embedded-1.33 ist. Das Beschreiben der CF hat wohl funktioniert, aber ich bekomme keine Verbindung über die IP-Adresse. Der erste Versuch mit normalem Kabel hat nicht mal die LED's leuchten lassen, erst mit einem Crossover haben die LED's geleuchtet, aber die Verbindung konnte aber trotzdem über die IP nicht aufgebaut werden.
Hast Du schon eine Lösung für das Verbindungsproblem?
Gruß autohoti
ich habe das gleiche Problem wie Du, ich habe einen Automation PC mit CF auf der Monowall embedded-1.33 ist. Das Beschreiben der CF hat wohl funktioniert, aber ich bekomme keine Verbindung über die IP-Adresse. Der erste Versuch mit normalem Kabel hat nicht mal die LED's leuchten lassen, erst mit einem Crossover haben die LED's geleuchtet, aber die Verbindung konnte aber trotzdem über die IP nicht aufgebaut werden.
Hast Du schon eine Lösung für das Verbindungsproblem?
Gruß autohoti
Hallo aqui,
es tut mir leid dass ich nicht so vom Fach bin wie die Meisten hier, mich reizt halt das Thema Hotspot und möchte diesen mit einfachen Mittel auch umsetzen.
Da ich besagten Automation PC von B&R (http://www.br-automation.com/cps/rde/xchg/br-productcatalogue/hs.xsl/pr ..) zur Verfügung habe und sich die Anleitung zur Umsetzung eines Hotspots gut nachvollziehen lies wollte ich es probieren. Zuerst habe ich das embedded Image versucht, leider ohne Erfolg.
Dann wollte ich das generic-pc-1.33 Image probieren da u.U. dies das richtige Image ist, das scheiterte am Beschreiben der CF-Karte (512MB). Ich habe das übrigens ein paar Mal probiert. Immer mit der selben Vorgehensweise (physdiskwrite...) wie bei embedded Image, das ohne Probleme funktioniert hat.
Im Moment habe ich wieder das embedded Image auf der CF-Karte.
Dann habe ich mit minicom und einem seriellen Kabel an meinem Linux-Notebook versucht diese besagten Bootmessages zu sehen, leider kenne ich mich zu wenig damit aus und hatte keinen Erfolg.
lg autohoti
es tut mir leid dass ich nicht so vom Fach bin wie die Meisten hier, mich reizt halt das Thema Hotspot und möchte diesen mit einfachen Mittel auch umsetzen.
Da ich besagten Automation PC von B&R (http://www.br-automation.com/cps/rde/xchg/br-productcatalogue/hs.xsl/pr ..) zur Verfügung habe und sich die Anleitung zur Umsetzung eines Hotspots gut nachvollziehen lies wollte ich es probieren. Zuerst habe ich das embedded Image versucht, leider ohne Erfolg.
Dann wollte ich das generic-pc-1.33 Image probieren da u.U. dies das richtige Image ist, das scheiterte am Beschreiben der CF-Karte (512MB). Ich habe das übrigens ein paar Mal probiert. Immer mit der selben Vorgehensweise (physdiskwrite...) wie bei embedded Image, das ohne Probleme funktioniert hat.
Im Moment habe ich wieder das embedded Image auf der CF-Karte.
Dann habe ich mit minicom und einem seriellen Kabel an meinem Linux-Notebook versucht diese besagten Bootmessages zu sehen, leider kenne ich mich zu wenig damit aus und hatte keinen Erfolg.
lg autohoti
Hallo aqui!
Zunächst mal vielen Dank für das geduldige Beantworten meiner Fragen und die Hinweise.
Tatsächlich hat wohl das Flashen unter Linux mit dd nicht so geklappt wie es sollte. Mit Windows hat es dann jedoch geklappt. Zunächst habe ich pfsense, dann aber Monowall eingesetzt.
Passenden USB-Adapter für die serielle Schnittstelle hatte ich im Einsatz. Das half auch direkt beim Reseten, als unter Monowall nach dem Ändern der LAN 1-IP und dem Setzen der IP des zweiten Ports und der WLAN-Karte plötzlich kein Kontakt über das Web-Interface mehr möglich war. Das passierte dann gleich nochmal, denn das Web-Interface war - für mich überraschend - nicht unter der geänderten IP-Adresse (172.21.1.1), sondern unter der des zweiten Ports (172.24.1.1) erreichbar. Erst als ich dem LAN die IP 172.21.1.2 zugewiesen hatte, war das Web-Interface unter 172.21.1.2 erreichbar. Die Monowall scheint hier irgendetwas anders als pfsense zu machen. Ist es überhaupt ratsam die IP von LAN-Port 1 zu ändern?
Bevor ich es vergesse: in der obigen Anleitung sind wohl die Baud-Raten durcheinander geraten: pfsense hat 9600 und Monowall 38400.
nochmals vielen Dank!
Zunächst mal vielen Dank für das geduldige Beantworten meiner Fragen und die Hinweise.
Tatsächlich hat wohl das Flashen unter Linux mit dd nicht so geklappt wie es sollte. Mit Windows hat es dann jedoch geklappt. Zunächst habe ich pfsense, dann aber Monowall eingesetzt.
Passenden USB-Adapter für die serielle Schnittstelle hatte ich im Einsatz. Das half auch direkt beim Reseten, als unter Monowall nach dem Ändern der LAN 1-IP und dem Setzen der IP des zweiten Ports und der WLAN-Karte plötzlich kein Kontakt über das Web-Interface mehr möglich war. Das passierte dann gleich nochmal, denn das Web-Interface war - für mich überraschend - nicht unter der geänderten IP-Adresse (172.21.1.1), sondern unter der des zweiten Ports (172.24.1.1) erreichbar. Erst als ich dem LAN die IP 172.21.1.2 zugewiesen hatte, war das Web-Interface unter 172.21.1.2 erreichbar. Die Monowall scheint hier irgendetwas anders als pfsense zu machen. Ist es überhaupt ratsam die IP von LAN-Port 1 zu ändern?
Bevor ich es vergesse: in der obigen Anleitung sind wohl die Baud-Raten durcheinander geraten: pfsense hat 9600 und Monowall 38400.
nochmals vielen Dank!
@aqui
vielen Dank für Deine anschauliche Darstellung und Du hattest Recht mit Deiner Vermutung, der Fehler ist zwischen Stuhl und Keyboard.
Kaum hat man es richtig gemacht, funktioniert es mit dem richtigen Image.
Nachdem ich mir ein DVI-Kabel und einen Monitor besorgt habe, kommen die von Dir gezeigten screenshots auf dem Bildschirm.
D.h. der Rechner bootet, aber trotz der richtigen IP Adresse kann ich keine Verbindung aufbauen.
An welcher Schraube muss ich noch drehen?
Muss ich evtl. Änderungen am console setup machen?
Ich weiß ich stelle mich noch ziemlich doof an, aber wie soll ich es denn sonst lernen.
lg und besten Dank
autohoti
vielen Dank für Deine anschauliche Darstellung und Du hattest Recht mit Deiner Vermutung, der Fehler ist zwischen Stuhl und Keyboard.
Kaum hat man es richtig gemacht, funktioniert es mit dem richtigen Image.
Nachdem ich mir ein DVI-Kabel und einen Monitor besorgt habe, kommen die von Dir gezeigten screenshots auf dem Bildschirm.
D.h. der Rechner bootet, aber trotz der richtigen IP Adresse kann ich keine Verbindung aufbauen.
An welcher Schraube muss ich noch drehen?
Muss ich evtl. Änderungen am console setup machen?
Ich weiß ich stelle mich noch ziemlich doof an, aber wie soll ich es denn sonst lernen.
lg und besten Dank
autohoti
@aqui
vielen Dank für Deine Unterstützung. Ich habe es tatsächlich geschafft, ich bin jetzt soweit daß ich über IP zur Monowall-Konfigurationsseite gelange und Änderungen vornehmen kann.
Im Augenblick kämpfe ich noch damit, daß nachdem ich beim Captive Portal die Quelltextdatei (login.html) eingefügt habe, beim Neustart von Firefox keine "Login-Seite" angezeigt wird, sondern der Quelltext an sich.
Das Problem hat sich gelöst, nachdem ich es mit einer anderen Login.html versucht hatte und diese funktioniert hat, habe ich erneut die Administrator-Login-Quelldatei abgespeichert und hochgeladen und dann hat es auch funktioniert.
Vielen Dank für Deine Geduld und die guten Ratschläge.
Jetzt geht es ans Feintuning und das Voucher-Feature, ich denke daß das auch noch eine Herausforderung ist, aber wenn es dann geklappt hat ist es ein gutes Gefühl.
lg autohoti
vielen Dank für Deine Unterstützung. Ich habe es tatsächlich geschafft, ich bin jetzt soweit daß ich über IP zur Monowall-Konfigurationsseite gelange und Änderungen vornehmen kann.
Im Augenblick kämpfe ich noch damit, daß nachdem ich beim Captive Portal die Quelltextdatei (login.html) eingefügt habe, beim Neustart von Firefox keine "Login-Seite" angezeigt wird, sondern der Quelltext an sich.
Das Problem hat sich gelöst, nachdem ich es mit einer anderen Login.html versucht hatte und diese funktioniert hat, habe ich erneut die Administrator-Login-Quelldatei abgespeichert und hochgeladen und dann hat es auch funktioniert.
Vielen Dank für Deine Geduld und die guten Ratschläge.
Jetzt geht es ans Feintuning und das Voucher-Feature, ich denke daß das auch noch eine Herausforderung ist, aber wenn es dann geklappt hat ist es ein gutes Gefühl.
lg autohoti
@aqui
danke für die Info, aber wie oben bereits geschrieben muss ich wohl einen Fehler in die html-Datei gebracht haben.
Auf jeden Fall paßt alles soweit.
Deine Tipps sind echt eine gute Hilfe beim Problemlösen.
So jetzt geht es mit Feintuning und dem Voucher weiter.
danke für die Info, aber wie oben bereits geschrieben muss ich wohl einen Fehler in die html-Datei gebracht haben.
Auf jeden Fall paßt alles soweit.
Deine Tipps sind echt eine gute Hilfe beim Problemlösen.
So jetzt geht es mit Feintuning und dem Voucher weiter.
@aqui
ich bin ganz begeistert von monowall, die Hotspot-Funktion auf meiner monowall funktioniert einwandfrei, sowohl mit fest eingetragenen usern als auch mit den vouchers.
Jetzt bin ich aber seit geraumer Zeit am Suchen, wie ich eine Anzeige über das Restguthaben des Vouchers dem User anzeigen kann. Leider konnte ich bisher keine Antwort finden.
Ich habe solch eine Anzeige/Counter bereits bei anderen Programmen beispielsweise im Logoutfenster gesehen, gibt es bei monowall eine ähnliche Funktion?
lg autohoti
ich bin ganz begeistert von monowall, die Hotspot-Funktion auf meiner monowall funktioniert einwandfrei, sowohl mit fest eingetragenen usern als auch mit den vouchers.
Jetzt bin ich aber seit geraumer Zeit am Suchen, wie ich eine Anzeige über das Restguthaben des Vouchers dem User anzeigen kann. Leider konnte ich bisher keine Antwort finden.
Ich habe solch eine Anzeige/Counter bereits bei anderen Programmen beispielsweise im Logoutfenster gesehen, gibt es bei monowall eine ähnliche Funktion?
lg autohoti
Servus,
vielleicht könnt ihr mir bei meiner Idee helfen, bzw. Antworten ob dies überhaupt realisierbar ist mit der vorhandenen Hardware.
Ich habe ein Alixboard (3 Ports) mit der der aktuellen PFsense Version laufen.
- Wan Port hängt am DSL Modem (PPPOE)
- Lan Port 1 = Firmennetzwerk
- Lan Port 2 = Hotspot
Soweit funktioniert alles ohne wenn und aber. Kann ich den Wan Port auch doppelt belegen? Sprich PPPOE und DHCP verwenden, sprich 2 Gateways ins Netz benutzen? PPPOE (ADSL) ist langsam, da drüber nur POP3 und SMTP. Die andere Verbindung (DHCP oder acuh STATIC) ist eine SDSL Verbindung, da gerne dann HTTP Traffic. Squid Proxy Package ist auch installiert.
Der Wan Port hängt an einem Switch, wo das DSL Modem angeschlossen ist, der SDSL Router würde auch dann da dran kommen.
Ist dieses Scenario realisierbar, oder muss ich ein ALIXBoard mit 4 Ports kaufen?
VIelen Dank
Julian
vielleicht könnt ihr mir bei meiner Idee helfen, bzw. Antworten ob dies überhaupt realisierbar ist mit der vorhandenen Hardware.
Ich habe ein Alixboard (3 Ports) mit der der aktuellen PFsense Version laufen.
- Wan Port hängt am DSL Modem (PPPOE)
- Lan Port 1 = Firmennetzwerk
- Lan Port 2 = Hotspot
Soweit funktioniert alles ohne wenn und aber. Kann ich den Wan Port auch doppelt belegen? Sprich PPPOE und DHCP verwenden, sprich 2 Gateways ins Netz benutzen? PPPOE (ADSL) ist langsam, da drüber nur POP3 und SMTP. Die andere Verbindung (DHCP oder acuh STATIC) ist eine SDSL Verbindung, da gerne dann HTTP Traffic. Squid Proxy Package ist auch installiert.
Der Wan Port hängt an einem Switch, wo das DSL Modem angeschlossen ist, der SDSL Router würde auch dann da dran kommen.
Ist dieses Scenario realisierbar, oder muss ich ein ALIXBoard mit 4 Ports kaufen?
VIelen Dank
Julian
Wow, echt geschmeidig. Danke für diesen Tollen Beitrag
dank diesem Beitrag habe ich sehr viel Geld gespart
dank diesem Beitrag habe ich sehr viel Geld gespart
Hallo,
erst mal auch von mir herzlichen Dank für diese spitzen Anleitung!
Mich würde da noch eine Sache interessieren ... und zwar habe ich vor, das Gerät als Router/Firewall hinter meinem Zwangs-Kabel-Router zu nutzen. Ich würde darauf gerne über pfsense openVPN als Client betreiben, und zwar mit einer 256 Bit (vermutlich AES) Verschlüsselung.
Die Frage ist, da mein Kabel doch eine recht hohe Bandbreite hat, z.Zt. 50 Mbit/s (es wären aber auch bis zu 150 Mbit/s möglich!), ob der AMD Geode Prozessor das auch schafft (jetzt mal davon ausgegangen, die VPN-Gegenstelle liefert überhaupt die Bandbreite!)?
Erst wollte ich mir einen normalen handelsüblichen Router kaufen, z.B. was von TP-Link und das Ganze evtl. über ddwrt realisieren, habe dann aber irgendwo gelesen, dass die Bandbreiten bei openVPN 256 Bit Verschlüsselung doch sehr in die Knie gehen, so dass vielleicht nur noch ca. 1,5 Mbit/s dabei raus kommen!
Z.Zt. habe ich openVPN noch dezentral auf mehreren Systemen (also z.B. Linux- oder Windows PC) laufen und da ist das mit dem Speed kein Problem ... und das sollte natürlich auch so bleiben, wenn ich das Ganze über eine zentrale Schnittstelle laufen lasse.
Hat da zufällig jemand Erfahrungswerte?
erst mal auch von mir herzlichen Dank für diese spitzen Anleitung!
Mich würde da noch eine Sache interessieren ... und zwar habe ich vor, das Gerät als Router/Firewall hinter meinem Zwangs-Kabel-Router zu nutzen. Ich würde darauf gerne über pfsense openVPN als Client betreiben, und zwar mit einer 256 Bit (vermutlich AES) Verschlüsselung.
Die Frage ist, da mein Kabel doch eine recht hohe Bandbreite hat, z.Zt. 50 Mbit/s (es wären aber auch bis zu 150 Mbit/s möglich!), ob der AMD Geode Prozessor das auch schafft (jetzt mal davon ausgegangen, die VPN-Gegenstelle liefert überhaupt die Bandbreite!)?
Erst wollte ich mir einen normalen handelsüblichen Router kaufen, z.B. was von TP-Link und das Ganze evtl. über ddwrt realisieren, habe dann aber irgendwo gelesen, dass die Bandbreiten bei openVPN 256 Bit Verschlüsselung doch sehr in die Knie gehen, so dass vielleicht nur noch ca. 1,5 Mbit/s dabei raus kommen!
Z.Zt. habe ich openVPN noch dezentral auf mehreren Systemen (also z.B. Linux- oder Windows PC) laufen und da ist das mit dem Speed kein Problem ... und das sollte natürlich auch so bleiben, wenn ich das Ganze über eine zentrale Schnittstelle laufen lasse.
Hat da zufällig jemand Erfahrungswerte?
Hallo aqui
Vielen Dank für deine super Tutos.
Habe gerade einige zu monowall etc. gelesen und wollte nun monowall herunterladen.
Dabei ist mir aufgefallen, dass die aktuelle Version 1.34 von 11/12/2012 stammt
Das scheint mir relativ alt zu sein. Oder ist das so üblich bei dieser SW? Oder wird die nicht mehr weiter entwickelt?
Danke und Gruss
Vielen Dank für deine super Tutos.
Habe gerade einige zu monowall etc. gelesen und wollte nun monowall herunterladen.
Dabei ist mir aufgefallen, dass die aktuelle Version 1.34 von 11/12/2012 stammt
Das scheint mir relativ alt zu sein. Oder ist das so üblich bei dieser SW? Oder wird die nicht mehr weiter entwickelt?
Danke und Gruss
Hallo Aqui,
super Beitrag habe diesen gerade gefunden. Ich bin darauf gestossen da ich auf der Suche nach einer neuen Lösung für mich bin.
Bisher habe ich immer einen Linksys WRT54GL Router für die portbasierenden VLANs genutzt die Zugriffsbeschränkungen habe ich per IPTables auf IP-Basis gelöst. Zu dem bot der WRT54GL OpenVpn was ich zwigend benötige.
Nun habe ich aus Performancegründen nach einem neuen Modell mit 1Gbit-LAN gesucht. Hier begannen nun die Probleme, hier ist meiner Meinung nach DD-WRT zu ver"bug"t. Entweder gehen die VLANs nicht ordentlich in der GUI zu konfigurieren , dann wieder fehlt bei der nächten Verison das WLAN gänzlich usw. so schleifen sich die Probleme durch jede Verison. Hier bin ich nun auf die pfSense gestossen Port-Vlans, openVPN usw.
Jetzt stellt sich die Frage, da ich Port-basierende VLANS benutzen möchte/benötige, gib es diese Lösung auch mit mehr LAN-Anschlüssen ? Ich würde 4xVlans benötigen und dann natürlich 1x WAN . Zudem kann ich bei der pfSebse die Zugriffsregeln per IpTables konfigurieren ?
Vielen Dank für die Unterstützung
C.
super Beitrag habe diesen gerade gefunden. Ich bin darauf gestossen da ich auf der Suche nach einer neuen Lösung für mich bin.
Bisher habe ich immer einen Linksys WRT54GL Router für die portbasierenden VLANs genutzt die Zugriffsbeschränkungen habe ich per IPTables auf IP-Basis gelöst. Zu dem bot der WRT54GL OpenVpn was ich zwigend benötige.
Nun habe ich aus Performancegründen nach einem neuen Modell mit 1Gbit-LAN gesucht. Hier begannen nun die Probleme, hier ist meiner Meinung nach DD-WRT zu ver"bug"t. Entweder gehen die VLANs nicht ordentlich in der GUI zu konfigurieren , dann wieder fehlt bei der nächten Verison das WLAN gänzlich usw. so schleifen sich die Probleme durch jede Verison. Hier bin ich nun auf die pfSense gestossen Port-Vlans, openVPN usw.
Jetzt stellt sich die Frage, da ich Port-basierende VLANS benutzen möchte/benötige, gib es diese Lösung auch mit mehr LAN-Anschlüssen ? Ich würde 4xVlans benötigen und dann natürlich 1x WAN . Zudem kann ich bei der pfSebse die Zugriffsregeln per IpTables konfigurieren ?
Vielen Dank für die Unterstützung
C.
Hallo aqui,
vieln Dank für Deine schnelle Erleuterungen, mein HP Switch ProCurve 1800-24G wäre in der Lage VlanTags zu setzen, somit käme ich mit zwei Ports wie beschrieben hin. Allerdings ist mir gerade aufgefallen das die von Dir im Link angegebenen Modell 10/100 Schnittstellen haben.
Das hätte zur folge wenn ich von VLAN zu VLAN kopiere wieder auf eine 100mbit Schnittstelle im Durchsatz reduziert bin, oder sehe ich das falsch ?
vieln Dank für Deine schnelle Erleuterungen, mein HP Switch ProCurve 1800-24G wäre in der Lage VlanTags zu setzen, somit käme ich mit zwei Ports wie beschrieben hin. Allerdings ist mir gerade aufgefallen das die von Dir im Link angegebenen Modell 10/100 Schnittstellen haben.
Das hätte zur folge wenn ich von VLAN zu VLAN kopiere wieder auf eine 100mbit Schnittstelle im Durchsatz reduziert bin, oder sehe ich das falsch ?
Hallo,
ja danke soweit, ich habe mir erst einmal zum Testen das "kleine Bundle" bestellt. Da ich zwischen den VLANs nicht so viel kopiere, eher nur expliziet IP Adressen z.B. ein Drucker im anderem Haushalt (VLAN) zugänglich machen will, ist dies nicht so entscheidet. Im selben VLAN ist eben 1Gb gegeben.
Ich hoffe das das Gerät den Download von 64Mbit/s und 5Mb/s Upload schafft ?
Aus diesem Grund habe ich den wrt54GL mit ddwrt nicht mehr nutzen können, dieser hatte im Download einen deutlichen Verlust von ca. 20Mbit/s.
Vielleicht war das Gerät mit dem kleinem Prozessor/Ram und dd-wrt, VLANs sowie den IPtables übervordert ?
ja danke soweit, ich habe mir erst einmal zum Testen das "kleine Bundle" bestellt. Da ich zwischen den VLANs nicht so viel kopiere, eher nur expliziet IP Adressen z.B. ein Drucker im anderem Haushalt (VLAN) zugänglich machen will, ist dies nicht so entscheidet. Im selben VLAN ist eben 1Gb gegeben.
Ich hoffe das das Gerät den Download von 64Mbit/s und 5Mb/s Upload schafft ?
Aus diesem Grund habe ich den wrt54GL mit ddwrt nicht mehr nutzen können, dieser hatte im Download einen deutlichen Verlust von ca. 20Mbit/s.
Vielleicht war das Gerät mit dem kleinem Prozessor/Ram und dd-wrt, VLANs sowie den IPtables übervordert ?
UPDATE !
PC Engines hat ein
[http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-ALIX-APU1C-System-Board-1-GHz-2-GB-DDR3-RAM-3x-LA::3101.html?XTCsid=rsb465ag1iqh8v7jlnpisbgr86
neues_Mainboard] im Portfolio, das APU.1C !!
3 mal 1 Gigabit Ethernet, Dual Core CPU mit 2 GiG DRAM und minPCI und SIM Slots für Wireless LAN, GSM/UMTS/LTE Module.
Damit ist nun auch ein Firewalling auch mit 1 GBit/s Wirespeed auf 3 Ports möglich.
UPDATE !
PC Engines hat ein
[http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-ALIX-APU1C-System-Board-1-GHz-2-GB-DDR3-RAM-3x-LA::3101.html?XTCsid=rsb465ag1iqh8v7jlnpisbgr86
neues_Mainboard] im Portfolio, das APU.1C !!
3 mal 1 Gigabit Ethernet, Dual Core CPU mit 2 GiG DRAM und minPCI und SIM Slots für Wireless LAN, GSM/UMTS/LTE Module.
Damit ist nun auch ein Firewalling auch mit 1 GBit/s Wirespeed auf 3 Ports möglich.
UPDATE !
Hallo Aqui,
ich bin mir nicht sicher ob ich es möglicherweise überlesen habe, doch sagte man mir heute im Varia-Store, dass das neue Board nicht mit der derzeitigen pfSense Version kompatibel ist und sie deshalb kein Komplettsystem angeboten wird ...
PC Engines APU.1C4 Bundle (Board, Netzteil, Speicher, Gehäuse) - auch für das APU.1C: http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU-1C4-B ...
Hast du einen anderen Wissensstand bzw. weiß du wann pfSense an das neue Board angepasst wird ?
Danke vorab !
Coli
Hallo,
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
MfG
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
MfG
Zitat von @christianW:
Hallo,
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich
Hallo,
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich
DANKE für den Hinweis, anscheinend ist es soweit
Hallo nochmal,
ich habe da einfach ein Problem mit dem openvpn.
Ich hab eine neue pfSense aufgesetzt und OpenVpn konfiguriert. VPN Server läuft, intern Ping auf die VPN Server Adresse möglich.
Nun wollte ich die VPN Einwahl erst einmal simulieren. Habe das Gerät mit meinem aktuellem Router verbunden.
LAN-Port (192.168.0.0/24) >pfsense WAN mittels DHCP konfiguriert >192.168.0.100/24
Portforwording am Router vom 192.168.0.1/24 UDP1194 > 192.168.0.100/24
Firewallregeln WAN-Port und OpenVpn sind angelegt.
Nun bin ich mit dem Notebook im 192.168.0.0 Netz und möchte mich Remoteadresse 192.168.0.100 verbinden.
Dies funktioniert einfach nicht! Es kommt keine Verbindung zu Stande, ich sehe einfach nicht warum ?
ich habe da einfach ein Problem mit dem openvpn.
Ich hab eine neue pfSense aufgesetzt und OpenVpn konfiguriert. VPN Server läuft, intern Ping auf die VPN Server Adresse möglich.
Nun wollte ich die VPN Einwahl erst einmal simulieren. Habe das Gerät mit meinem aktuellem Router verbunden.
LAN-Port (192.168.0.0/24) >pfsense WAN mittels DHCP konfiguriert >192.168.0.100/24
Portforwording am Router vom 192.168.0.1/24 UDP1194 > 192.168.0.100/24
Firewallregeln WAN-Port und OpenVpn sind angelegt.
Nun bin ich mit dem Notebook im 192.168.0.0 Netz und möchte mich Remoteadresse 192.168.0.100 verbinden.
Dies funktioniert einfach nicht! Es kommt keine Verbindung zu Stande, ich sehe einfach nicht warum ?
@ aqui
Sehr gute Anleitund! Danach kann man eigentlich keine Fragen mehr haben
Selbst überschneidende Themen sind sehr gut mit Links gekenzeichnet.
Hab mir heute die Komponenten bestellt. Mal schauen wie lange sie bis nach
Thailand brauchen -.-
Wenn ich damit fertig bin brauche ich was neues zum basteln. Was schlägst
du einem IT-Noob (wie mir) noch als schönes Projekt vor (Vorzugsweise
Netzwerkkomponenten :D)?
Gruß
JD
Sehr gute Anleitund! Danach kann man eigentlich keine Fragen mehr haben
Selbst überschneidende Themen sind sehr gut mit Links gekenzeichnet.
Hab mir heute die Komponenten bestellt. Mal schauen wie lange sie bis nach
Thailand brauchen -.-
Wenn ich damit fertig bin brauche ich was neues zum basteln. Was schlägst
du einem IT-Noob (wie mir) noch als schönes Projekt vor (Vorzugsweise
Netzwerkkomponenten :D)?
Gruß
JD
Hallo,
ich bin auf diese Seite gestoßen, weil ich nach Webprotokoll (protokollieren der besuchten seiten) gesucht habe. Meine fritzbox 3170 hat kein webprotokoll. Ob die neueren eins haben, ist mir nicht ganz klar. Es gibt zwar Kindersicherung und Black/Whitelist, aber ein Webprotokoll?
Kann die FW hier auch ein "lesbares" webprotokoll liefern? Mit der Fritzbox kann man ja auch aufzeichen und mit wireshark auslesen. Das scheint eher nur tempörär sinnvoll und die Pakete erschließen sich nicht gleich. Kann man mit der FW auch eine Liste der besuchten URLs logen?
Gruss Kai
ich bin auf diese Seite gestoßen, weil ich nach Webprotokoll (protokollieren der besuchten seiten) gesucht habe. Meine fritzbox 3170 hat kein webprotokoll. Ob die neueren eins haben, ist mir nicht ganz klar. Es gibt zwar Kindersicherung und Black/Whitelist, aber ein Webprotokoll?
Kann die FW hier auch ein "lesbares" webprotokoll liefern? Mit der Fritzbox kann man ja auch aufzeichen und mit wireshark auslesen. Das scheint eher nur tempörär sinnvoll und die Pakete erschließen sich nicht gleich. Kann man mit der FW auch eine Liste der besuchten URLs logen?
Gruss Kai
Danke. Vielleicht noch eine abschließende Frage hier in diesem Thread. Wenn FW + Proxi, dann ist pfSense als FW quasi die bessere Wahl und das geht auch auf einer Hardware. Mir ist noch eingefallen, dass ich ein NAS (24/7) habe (1,6Ghz Atom, 1GB Ram), auf dem ich auch Squid installieren könnte. Ist das evtl. gleichgut/besser/schlechter geeignet? Hauptsächlich mach ich damit lokale und remote backups. Gruss Kai
Hallo @aqui,
eine Frage hätte ich noch bis das Gerät dann geliefert wird.
Es geht um unsere Infrastruktur im Büro.
Wir haben einen Business SDSL Anschluss.
Es gibt ein Zhones SNE2040G Modem
Dahinter ein Mikrotik Routerboard
Am Mikrotik hängt eine Webcam, ein AVM VoIP Gateway 5188 an dem die AGFEO Telefonanlage hängt und der Server (Ubuntu 12.04 LTS).
Der Server hat 2 NICs. Vom Mikrotik bekommt der Server eine statische öffentliche IP und die andere NIC regelt das LAN (DHCP). Am LAN Port des Servers hängt ein Cisco Small Business SG218 Switch.
Die komplette Hardware außer dem Server und dem Cisco Switch stammen vom Provider und wird von denen gemanaged.
"Alles" was ich jetzt in puncto Sicherheit tun kann ist meines Erachtens nach den Server vom LAN physisch zu trennen mit der PfSense, ist das korrekt?
Also der WAN Port der PfSense bekommt dann die statische IP vom Mikrotik (wie es der Server vorher getan hat).
Auf einen LAN Port der PFSense kommt der Server dran mit einer fixen IP und auf den 2. LAN Port der PfSense kommt der Cisco Switch dran.
DHCP im LAN würde dann die PfSense übernehmen?!
Den Verkehr zwischen LAN und Server steuere ich dann über die PfSense FW.
Wäre das so die "korrekte" Vorgehensweise oder habe ich etwas übersehen/vergessen?
Beste Grüße
Edit://
Wenn die PfSense mehr Ports hätte, wäre es natürlich eine Option den Mikrotik vom Provider komplett wegzulassen und alles selbst zu managen.
Ich denke aber, das würden die nicht zulassen weil es auch um QoS beim VoIP geht und sie dann keine "Garantie" mehr übernehmen.
eine Frage hätte ich noch bis das Gerät dann geliefert wird.
Es geht um unsere Infrastruktur im Büro.
Wir haben einen Business SDSL Anschluss.
Es gibt ein Zhones SNE2040G Modem
Dahinter ein Mikrotik Routerboard
Am Mikrotik hängt eine Webcam, ein AVM VoIP Gateway 5188 an dem die AGFEO Telefonanlage hängt und der Server (Ubuntu 12.04 LTS).
Der Server hat 2 NICs. Vom Mikrotik bekommt der Server eine statische öffentliche IP und die andere NIC regelt das LAN (DHCP). Am LAN Port des Servers hängt ein Cisco Small Business SG218 Switch.
Die komplette Hardware außer dem Server und dem Cisco Switch stammen vom Provider und wird von denen gemanaged.
"Alles" was ich jetzt in puncto Sicherheit tun kann ist meines Erachtens nach den Server vom LAN physisch zu trennen mit der PfSense, ist das korrekt?
Also der WAN Port der PfSense bekommt dann die statische IP vom Mikrotik (wie es der Server vorher getan hat).
Auf einen LAN Port der PFSense kommt der Server dran mit einer fixen IP und auf den 2. LAN Port der PfSense kommt der Cisco Switch dran.
DHCP im LAN würde dann die PfSense übernehmen?!
Den Verkehr zwischen LAN und Server steuere ich dann über die PfSense FW.
Wäre das so die "korrekte" Vorgehensweise oder habe ich etwas übersehen/vergessen?
Beste Grüße
Edit://
Wenn die PfSense mehr Ports hätte, wäre es natürlich eine Option den Mikrotik vom Provider komplett wegzulassen und alles selbst zu managen.
Ich denke aber, das würden die nicht zulassen weil es auch um QoS beim VoIP geht und sie dann keine "Garantie" mehr übernehmen.
Zitat von @aqui:
Wichtig ist nur zu klären ob das oben von dir zitierte Modem auch WIRKLICH ein reines Modem ist und KEIN Router !!!
Bei einem Modem musst du die PPPoE Provider Zugangsdaten direkt am WAN Port der pfSense definieren und bekommst hier auch die
öffentliche IP Adresse.
Ist das Teil KEIN Modem sondern ein Router, dann musst du am WAN Port DHCP Client aktivieren oder eben eine statische IP
Adresse (erheblich besser !) definieren aus dem Transfer IP Netz zum Provider !
Wichtig ist nur zu klären ob das oben von dir zitierte Modem auch WIRKLICH ein reines Modem ist und KEIN Router !!!
Bei einem Modem musst du die PPPoE Provider Zugangsdaten direkt am WAN Port der pfSense definieren und bekommst hier auch die
öffentliche IP Adresse.
Ist das Teil KEIN Modem sondern ein Router, dann musst du am WAN Port DHCP Client aktivieren oder eben eine statische IP
Adresse (erheblich besser !) definieren aus dem Transfer IP Netz zum Provider !
Dann schätze ich, dass es kein reines Modem ist. Denn bisher musste ich nirgendwo Zugangsdaten eintragen, sondern einfach eine statische IP aus unseren reservierten 6 IP Adressen. Entweder sind die Daten also im Modem/Router eingetragen oder im Mikrotik Routerboard dahinter (sofern das überhaupt möglich ist).
Danke für Einschätzung! Dann werd ich nächste Woche wenn die PfSense da ist mal loslegen
Hallo @aqui,
Ich hatte gehofft, ich muss deine Kentnisse nicht weiter bemühen jedoch habe ich leider ein Problem bei der Installation.
Ich habe die pfsense heute bekommen und mir auch gleich eine SD Karte geholt.
Allerdings hatte der Laden nur eine 32GB Karte Class10.
Ich habe jetzt folgendes Problem, dass ich nicht weiß, ob mein "Problem" an der Größe der SD Karte liegt.
Muss es denn genau eine 4GB Karte sein?
Ich hab die Karte wie von dir beschrieben mit dem Win32DiskImager mit dem pfSense-2.2-RELEASE-4g-i386-nanobsd.img beschrieben und danach eingebaut.
Ich bekomme aber einfach keine Verbindung her auf das Webinterface.
Ich kann auch die 192.168.1.1 nicht anpingen, ganz egal ob ich die IP fix eintrage am PC oder mittels DHCP beziehen lasse (wobei ich ja nicht mal eine zugewiesen bekomme).
Kann ich denn irgendwie "verifizieren", dass das Schreiben des Image auf die Karte funktioniert hat? Oder liegt das Problem wirklich an der zu großen SD Karte?
Ich habe einen Screenshot vom Partitionsprogramm gemacht damit man sieht wie die Karte beim Schreiben des Images partitioniert wurde.
Ich habe übrigens Windows 8.1 im Einsatz falls das für die Fehlersuche bzw. Anweisungen hilfreich sein sollte.
Beste Grüße
Ich hatte gehofft, ich muss deine Kentnisse nicht weiter bemühen jedoch habe ich leider ein Problem bei der Installation.
Ich habe die pfsense heute bekommen und mir auch gleich eine SD Karte geholt.
Allerdings hatte der Laden nur eine 32GB Karte Class10.
Ich habe jetzt folgendes Problem, dass ich nicht weiß, ob mein "Problem" an der Größe der SD Karte liegt.
Muss es denn genau eine 4GB Karte sein?
Ich hab die Karte wie von dir beschrieben mit dem Win32DiskImager mit dem pfSense-2.2-RELEASE-4g-i386-nanobsd.img beschrieben und danach eingebaut.
Ich bekomme aber einfach keine Verbindung her auf das Webinterface.
Ich kann auch die 192.168.1.1 nicht anpingen, ganz egal ob ich die IP fix eintrage am PC oder mittels DHCP beziehen lasse (wobei ich ja nicht mal eine zugewiesen bekomme).
Kann ich denn irgendwie "verifizieren", dass das Schreiben des Image auf die Karte funktioniert hat? Oder liegt das Problem wirklich an der zu großen SD Karte?
Ich habe einen Screenshot vom Partitionsprogramm gemacht damit man sieht wie die Karte beim Schreiben des Images partitioniert wurde.
Ich habe übrigens Windows 8.1 im Einsatz falls das für die Fehlersuche bzw. Anweisungen hilfreich sein sollte.
Beste Grüße
Hallo,
vielleicht ist es auch einfach schon zu spät für mich, aber ich finde beim bearbeiten beim besten Willen keine Option für den Bilderupload. Zumindest bei Kommentaren nicht. Beim Erstellen ist es mir bekannt, dass das funktioniert :/
Vielleicht hab ich ja wirklich Gemüse auf den Augen.
Den richtigen Port hab ich verwendet, wie in deiner Anleitung beschrieben.
Hm, das mit dem Terminal habe ich fast vermutet aber wollte ich irgendwie umgehen. Jetzt werde ich mir einen USB-Seriell Adapter bestellen oder eine PCIe - Seriell Karte. Sonst hab ich keine Möglichkeit mich mit der seriellen Schnittstelle des ALIX zu verbinden.
Danke für die Hilfe!
Schönen Abend noch.
vielleicht ist es auch einfach schon zu spät für mich, aber ich finde beim bearbeiten beim besten Willen keine Option für den Bilderupload. Zumindest bei Kommentaren nicht. Beim Erstellen ist es mir bekannt, dass das funktioniert :/
Vielleicht hab ich ja wirklich Gemüse auf den Augen.
Den richtigen Port hab ich verwendet, wie in deiner Anleitung beschrieben.
Hm, das mit dem Terminal habe ich fast vermutet aber wollte ich irgendwie umgehen. Jetzt werde ich mir einen USB-Seriell Adapter bestellen oder eine PCIe - Seriell Karte. Sonst hab ich keine Möglichkeit mich mit der seriellen Schnittstelle des ALIX zu verbinden.
Danke für die Hilfe!
Schönen Abend noch.
Hallo aqui,
tolle Anleitung die Lust auf eine pfSense FW macht. Ich bin bei der Suche nach einer geeigneten FW für ein kleines Netzwerk auf Deinen Thread gestoßen. Die Performance soll dabei auch noch entsprechend gut sein. Daher meine Frage,
gibt es eine Aussage zu den erreichbaren Durchsatzraten (FW, VPN etc) der pfSense beispielsweise im Vergleich zur ZyWall USG 20?
Also vielen Dank und schöne Grüße
tolle Anleitung die Lust auf eine pfSense FW macht. Ich bin bei der Suche nach einer geeigneten FW für ein kleines Netzwerk auf Deinen Thread gestoßen. Die Performance soll dabei auch noch entsprechend gut sein. Daher meine Frage,
gibt es eine Aussage zu den erreichbaren Durchsatzraten (FW, VPN etc) der pfSense beispielsweise im Vergleich zur ZyWall USG 20?
Also vielen Dank und schöne Grüße
Hallo aqui,
bei dem APU1D4 Boards (oder für die Bundle ) steht etwas von 64bit Unterstützung, muss ich da die AMD64 Version der pfSense Images wählen? Kannst Du was zum Unterschied des normalen Bundle zu dem mit der Embedded Box sagen?
Ansonsten würde ich das "normal" APU1D4 Bundle mit einer 8GB SD Karte bestellen und entsprechend Deiner Anleitung vorgehen. Hat das APU1D4 auch einen bordeigenen Cryptochip?
Grüße du Danke
bei dem APU1D4 Boards (oder für die Bundle ) steht etwas von 64bit Unterstützung, muss ich da die AMD64 Version der pfSense Images wählen? Kannst Du was zum Unterschied des normalen Bundle zu dem mit der Embedded Box sagen?
Ansonsten würde ich das "normal" APU1D4 Bundle mit einer 8GB SD Karte bestellen und entsprechend Deiner Anleitung vorgehen. Hat das APU1D4 auch einen bordeigenen Cryptochip?
Grüße du Danke
So habe die Hardware jetzt da aber wider erwarten nicht zum Fliegen bekommen , habe das APU1D4 Bundel mit einer 8GB SD genommen. Habe am PC das pfSense-2.2-RELEASE-4g-amd64-nanobsd.img Image via DiskWrite aufgespielt und die SD Karte in das Board gesteckt und gebootet. Bekomme am rechten Port keinen Zugriff auf die Hardware. Weder mit statisch vergebener IP aus dem 192.168.1.0/24 Bereich noch via DHCP. Laut Anleitung sollte das doch funken oder? Muss ich am APU1D4 noch irgendeine (Boot) Option setzten? Wüsste aber nicht welche? Hoffe Ihr habt noch einen Tipp für mich. Soll ich ein anderes Image testen? Welches?
Grüße
Grüße
Hallo Aqui,
LEDs sind nach dem einschalten alle 3 drei für 2s grün, dann nur die linke LED (außen am Rand) dauerleuchten. Terminal hatte ich gestern noch angeschlossen und sehe zumindest das das BIOS Bootet und die SD Karte als Bootmedium ausgewählt wird. Dann sehe ich keine Meldungen mehr, vermute das das an den unterschiedlichen Baudraten Board (115200 <-> 9600) pfsense liegt. Beim "umschalten" bekomme ich im Windows einen Bluescreen so dass ich mir erst mal einen neuen USB->Seriell Adapter holen muss . Aber ich bin guter Dinge das es mit dem dann vorangeht. Ich werde eine Rückmeldung geben.
Grüße
LEDs sind nach dem einschalten alle 3 drei für 2s grün, dann nur die linke LED (außen am Rand) dauerleuchten. Terminal hatte ich gestern noch angeschlossen und sehe zumindest das das BIOS Bootet und die SD Karte als Bootmedium ausgewählt wird. Dann sehe ich keine Meldungen mehr, vermute das das an den unterschiedlichen Baudraten Board (115200 <-> 9600) pfsense liegt. Beim "umschalten" bekomme ich im Windows einen Bluescreen so dass ich mir erst mal einen neuen USB->Seriell Adapter holen muss . Aber ich bin guter Dinge das es mit dem dann vorangeht. Ich werde eine Rückmeldung geben.
Grüße
Mit dem neuen USB to Serial Adapter läuft alles wunderbar und hat dann auch auf Anhieb geklappt. terminal läuft auch komplett mit 115200 bei Bootmenü und pfsense durch! Automatische Konfiguration der Adapter war dann auch kein Problem. Jetzt geht's ans konfigurieren und Testen.
Beim im Bootmenü habe ich auf der Konsole 2 Optionen
1. pfsense
2. pfsense
automatisch startet das die Nummer 2. Kann mir einer sagen was es damit auf sich hat?
Grüße und Danke
Beim im Bootmenü habe ich auf der Konsole 2 Optionen
1. pfsense
2. pfsense
automatisch startet das die Nummer 2. Kann mir einer sagen was es damit auf sich hat?
Grüße und Danke