aqui
Goto Top

Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Viele Fragen bei Administrator.de im Netzwerkbereich betreffen die Kopplung 2er oder mehrerer IP Netze. Das kann sich auf die Verbindung von Firmennetzen beziehen in Bürogemeinschaften, die sichere Abtrennung eines Gast- bzw. Besucherbereiches vom Produktivnetz mit einem Captive Portal (Hotspot), oder aber der Einrichtung einer DMZ für einen sicheren Server Zugriff von außen mit und ohne VPN usw.
Es gibt viele solcher Anwendungsbeispiele für Firewall Szenarios.
Billigen Consumer Routern mangelt es oft an Performance, Anzahl der Interfaces, VLAN Support und weiteren Features oder es fehlt schlicht und einfach eine sichere, stateful Firewall Option.
Dieses Tutorial gibt einen Leitfaden für die Lösung und den unkomplizierten Aufbau einer einfachen und performanten Firewall auf Basis der populären und freien pfSense oder OpenSense Firmware, die auch Netzwerk Anfänger leicht packen.
Zusätzlich bietet sie mit OpenVPN, PPTP und auch IPsec den VPN Zugang gängiger Standard "onboard" VPN Clients bei Windows, Apple, Linux und Smartphones, etc. für mobile Benutzer oder auch die Kopplung von Standorten per VPN.
Durch diese große Flexibilität bei gängigen VPN Protokollen, kann sie einfach und universell in alle bestehenden kommerziellen VPN Router- und Firewall Umgebungen integriert werden.
Last but not least ist sie auch noch 802.1q VLAN fähig und integriert sich damit ebenso einfach auch in VLAN Infrastrukturen um so kostengünstig eine sinnvolle Segmentierung zu erreichen.
Wie immer führen viele Wege nach Rom aber gerade der unkomplizierte Einsatz auf einer kleinen, stromsparenden Appliance und der bewusste Verzicht auf Resourcen- und Strom fressende PC Hardware, in Kombination mit einer einfachen, webbasierenden Administration per Mausklick, sprechen für dieses leistungsfähige Konzept bei kleinen und mittleren IP Netzwerken.

back-to-topVorbemerkung
Schnelle Routing Lösungen wie die Integration einer 2ten oder auch 3ten Netzwerkkarte in einen Fileserver oder der Einsatz eines OSI Layer 3 fähigen Switches (Routing Switch) bergen Gefahren. Oft ist das Instabilität und Performanceeinbußen durch zusätzliches IP Paket Forwarding auf einem Server oder eben der nicht unerhebliche Kostenfaktor bei der Investition in einen Layer 3, Routing Switch wenn nur wenige Netze zu verbinden sind.
Die sicherste Lösung so etwas im kleinen und mittleren Netzwerk Bereich umzusetzen ist immer eine Firewall die diese IP Segmente zugangssicher nach entsprechenden Regeln trennt !

Eine Firewall besitzt zudem zusätzlich noch weitere sinnvolle Features wie integriertes VPN (fast) aller gängigen VPN Protokolle, bei Gastnetzen die Möglichkeit eines Hotspot Betriebs (sog. rechtssicheres Captive Portal), Link Loadbalancing bei doppelter Internet Provider Anbindung (Ausfallsicherheit) und vieles mehr.
Ein preiswertes "Multitalent" in einem einzelnen Gerät das oft die Investition in separate zusätzliche Hardware überflüssig macht.
Die pfSense Firewall supportet schnelle VDSL-Anschlüsse und kann so auch als VPN Firewall Router problemlos am VDSL betrieben werden.
(Ein VDSL-Tutorial beschreibt wie es problemlos einzurichten ist.) Dazu unten mehr...
Das hiesige Tutorial behandelt Schritt für Schritt den schnellen und preiswerten Aufbau dieser effizienten Firewall mit einer fertigen Komplettlösung auf Basis der bekannten, kompakten ALIX_Mainboards mit pfSense Firmware auf einer SD oder mSATA Flashkarte, den auch Anfänger und Laien sehr einfach bewerkstelligen können.
Der Zusammenbau beschränkt sich auf das Beschreiben (flashen) eines SD bzw. mSATA Speichers oder USB-Sticks mit der Firmware und lediglich das Einschrauben in ein vorgefertigtes Gehäuse was auch Firewall Anfänger problemlos bewerkstelligen können. Hauptsache sie wissen wie man mit einem einfachen Schraubendreher umgeht.

Der Einsatz dieser fertigen Firewall Appliance hat den Vorteil das die Firewall kompakt und skalierbar ist und im Jahresmittel nicht mehr als ca. 20 Euro Stromkosten verursacht. Ganz im Gegensatz zu großer und stromhungriger PC Hardware, auf der die o.a. Firmware aber auch laufen kann. Zudem besitzt sie keinerlei Verschleißteile wie Lüfter und Festplatten und ist so prädestiniert für sehr lange Laufzeiten und Ausfallsicherheit.

Diese Firewall hat ein integriertes Web Interface zum einfachen Konfigurieren per Browser und Mausklick, so das die Konfiguration einfach und schnell zu realisieren ist. Ferner bietet sie eine ausgeklügelte grafische Überwachung um die Datenlast, Probleme, Angriffe usw. auf allen Interfaces und andere Betriebsparameter auch grafisch über einen Zeitraum darstellen und überwachen zu können. So ist jederzeit eine gesicherte Aussage über die Auslastung und andere Betriebsparameter möglich.


Wer nicht bauen möchte und ein Fertiggerät bevorzugt...:
Um es gleich vorweg zu nehmen. Wer sich den einfachen Zusammenbau dennoch nicht zutraut und doch lieber auf Nummer sicher gehen möchte, bekommt alternativ für sehr geringe Mehrkosten komplett fertige Systeme im kleinen Desktop Gehäuse oder professionell für den 19" Schrankeinbau, die nur noch mit der Stromversorgung verbunden und über die Webseite konfiguriert werden müssen. Z.B.:
https://varia-store.com/de/produkt/33456-pc-engines-apu4c2-rack-bundle-b ...
https://www.applianceshop.eu/security-appliances.html?___store=de&__ ...
oder alternativ ohne 19 Zoll mit dem Standard Gehäuse:
https://varia-store.com/de/produkt/33429-pc-engines-apu4c2-bundle-board- ...
Oder fertig customizte Intel Plattformen ohne Lüfter:
https://www.amazon.de/HSIPC-Celeron-Firewall-Security-Application/dp/B01 ...


back-to-topDie Hardware
Die hier vorgestellte Hardware Basis ist ein PC-Engines Mainboard der APU Serie der Firma PC-Engines mit 3 oder4fach LAN Interface.
Aufgrund der performanteren Quad Core CPU, der Gigabit Ports und längerfristiger Lieferbarkeit sollte man immer das APU2-Board wählen:
Das komplette Set aus Gehäuse, Board, Netzteil und Flash Speicher gibt es bequem als Bausatz zu kaufen, so das eine Bestellung der Einzelkomponenten (fast) keine Ersparnis bringt. Z.B.: Hier und Hier
Amazon hat ebenso ein Komplett Set im Portfolio:
https://www.amazon.de/PC-Engines-APU2C2-Komplett-Alu-Gehäuse/dp/B01 ...
Dort gibt es auch gleich die perfekte Dokumentation als Papier und eBook:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280/r ...
Auch eBay ist natürlich von der Partie.

Wer dennoch lieber die Einzelkomponenten bestellen möchte um noch ein paar Euro zu sparen, findet APU2 Mainboards und die entsprechenden Komponenten auch einzeln. Für den Zusammenbau ist lediglich ein Schraubendreher erforderlich.

Die folgende Abbildung zeigt das ins fertige Gehäuse montierte APU Board inkl. der mSATA Karte (vorne links):
pfsenseapu1

Die Firewall kann auch professionell für die Schrankmontage in einem 19" Zoll, 1HE Schrankgehäuse gebaut werden oder gleich fertig_im_19_Zoll_Gehäuse erworben werden
Die Integration einer MiniPCI WLAN Karte ist ebenfalls möglich um im Firewall Gehäuse zusätzlich zu den 3 LAN Interfaces noch einen WLAN Access-Point zu betreiben (z.B. für einen WLAN Gastzugang, Hotspot etc.).
Passende WLAN Mini PCI Karten finden sich hier und hier
Das u.a. Hotspot-Tutorial beschreibt die einfache Integration des WLANs.

Interessant ist auch ein kleiner passiv gekühlter PC auf Celeron Basis mit 4mal Gigabit Ethernet der Fitlet-2 der die 4 Gigabit Ethernet in Wirespeed bedienen kann.
Siehe dazu auch HIER.
Natürlich gibt es noch eine Menge anderer Mainboard Hardware oder auch fertige Rechnerplattformen die für den Einsatz von dieser und anderer Firewall Anwendungen optimiert ist. Alles Intel und AMD basierte ist supportet. Auch ein alter PC lässt sich damit recyceln. Die weiterführenden Links unten geben einen weiteren Überblick.


back-to-topDie Montage der Firewall:
Vom rein mechanischen Zusammenschrauben abgesehen, ist das einzige ToDo das Beschreiben (Flashen) der mitgelieferten SD-Flashkarte oder mSATA Modul mit der aktuellen Firmware Datei.
Zum Beschreiben verwendet man einen simplen Flash_Card_Reader wie er schon häufig in Desktop PCs zum Auslesen von SD Foto Flash Cards usw. vorhanden ist oder einen entsprechenden USB Adapter den diverse Händler anbieten z.B.: hier
Ein hiesiges_Tutorial beschreibt die Prozedur im Detail.
Wer USB Memory Sticks zum Aufspielen der Firmware Datei nutzt macht es natürlich über vorhandene USB Ports im Rechner.

Generell sollte man mit den APU-Boards aus Performancegründen nicht mehr den langsamen SD-Kartenslot und SD Karten mit dem nanobsd Image nutzen sondern immer eine kleine mSATA Karte (SSD) die den Bausätzen beiliegt oder bei Bedarf auch schnell nachgerüstet werden kann:
https://www.amazon.de/TRANSCEND-MSA370-mSATA-16GB-intern/dp/B00K9HIF56/r ...
Das nanoBSD Image zwackt zudem durch die Verwendung einer RAMdisk wertvollen RAM Speicher ab.
Fazit also: Keine SD Karten und nanoBSD Image mehr verwenden ! Nur noch da wo kein mSATA oder SSD Betrieb möglich ist.
Man nutzt dann mit der mSATA und ALIX Harware immer das Memstick Installer Image in der Variante mit seriellem Anschluss. (Wer Hardware mit Monitor Anschluß verwendet auch die Display Variante)
Jetzt speichert man das Image auf seinem Installationsmedium wie SD-Karte oder USB-Stick mit Win32Diskimager (Windows), Etcher (Mac OS und Windows) oder dd (Linux) und bootet davon um die Firmware dann final auf der internen mSATA SSD im APU Board oder dem Mainboard seiner Wahl zu installieren.
pfsensedwnld
Das nanoBSD Image wird so oder so ab der Version 2.4 NICHT mehr supportet ! Also immer besser gleich zur kleinen mSATA Karte oder SSD greifen.

Zum Beschreiben unter Windows verwendet man wie erwähnt den Klassiker Win32Diskimager oder den o.g. Etcher
Ein grafisches Windows oder MacOS Tool das selbsterklärend ist. Man wählt lediglich die entzippte Memstick Image Datei aus und klickt auf "Write"
5ba00ccff3f5205cc44571780e89abb1
Die so geflashte mSata SD Speicher Karte oder USB Stick einfach in das ALIX APU Board stecken, booten, installieren... Fertig, das wars !
Diese Installationsprozedur gilt analog auch für andere Intel/AMD basierte Mainboard Hardware.

Wichtig:
Alle neuen APU Boards besitzen einen 64bit fähigen Prozessor !
Hier ist also immer die amd64 Variante zu verwenden !
Das gilt generell auch für aktuelle Hardware auf die man die pfSense installiert.
Ab der derzeit aktuellen pfSense Version 2.4.0 wird kein i386 Image mehr zur Verfügung gestellt. Hier ist also 64Bit kompatible Hardware Pflicht.
Wer noch 32Bit i386 Hardware verwendet wie z.B. ältere PCs oder gebrauchte Watchguard Plattformen etc. der muss die 2.3.5er Version im pfSense Download auswählen.


back-to-topDie Konfiguration
Nach dem Booten hat die Firewall die folgenden Grundeinstellungen:
IP Adresse: 192.168.1.1
Pfsense Zugangspasswort: Benutzer: admin, Passwort: pfsense
Man verbindet nun ganz einfach den ganz rechten Port (LAN Port, in der obigen Abbildung das gelbe Kabel) der Firewall per Patchkabel mit einem Laptop oder PC. Per DHCP bekommt dieser dann automatisch eine IP Adresse aus dem 192.168.1.0er Netzwerk zugewiesen.
Jetzt nur noch den Web Browser der Wahl öffnen und oben ins URL Feld http://192.168.1.1 eingeben. Bei der erscheinenden Benutzerabfrage loggt man sich mit den o.a. Usernamen und Passwort ein.
Eine klassische Prozedur wie bei allen Routern, um zur web-basierenden Konfiguration zu gelangen. Daraufhin kann die Firewall über ihre Config Webseite gemäß Anforderungen konfiguriert werden.
Abb. Login/Dashboard pfSense
dashb

back-to-topInterface Zuordnung:
Dieser Schritt ist nicht zwingend erforderlich. Die Firmware weist im Default schon die Schnittstellen zu. Es ist nur für Installationen gedacht wo bestimmte Ports auf bestimmten Hardware Interfaces liegen müssen die nicht der Standard Reihenfolge entsprechen.
Die Masse der Benutzer kann diesen Schritt überspringen !

Wer keinen seriellen COM-Port mehr am Rechner hat benötigt dazu einen kleinen, preiswerten Standard USB seriell Adapter UND ein DB-9 Nullmodemkabel wie z.B. dieses hier:
http://www.reichelt.de/DELOCK-61856/3/index.html?&ACTION=3&LA=4 ...
und hier
http://www.reichelt.de/AK-143/3/index.html?&ACTION=3&LA=446& ...
der in jedem PC Shop oder beim Versender (Reichelt, Amazon) zu haben ist.
Windows User laden sich dazu eines der kostenlosen Terminal Programme PuTTY oder TeraTerm herunter.
Nach der Installation stellt man im Setup des Terminal Programms den seriellen COM Port auf 115.200 Baud, 8 Bit, 1 Stoppbit, keine Parity, keine Flow Control in den Settings ein und setzt die Schnittstelle auf den richtigen USB COM Port (Gerätemanager).
Das Nullmodemkabel schliesst man nun vorne an die serielle Schnittstelle der pfSense bzw. ALIX 2D13 oder APU1D etc. an und startet das Terminal Programm.
Hier kann man jetzt die Boot Messages des Boards usw. sehen wie an einem angeschlossenen PC Bildschirm. (Sieht man hier "Hieroglyphen" stimmt die Einstellung der seriellen Baudrate nicht !)
Check der COM Port Nummer des seriellen Ports (Adapter) im Gerätemanager:
983a4533ea97224dfd8f4e9224f670ef

TeraTerm starten mit passendem seriellem COM Port:
17f7dcd34ec34e20f48e65a42f947b12

Serielle Parameter einstellen (TeraTerm):
661e6942d3f9ccdf22e5ffa4aa472f79

Serielle Parameter und COM Port einstellen (PuTTY):
bef0a491886c4558cd5f1a560e88357c

Apple Mac User nehmen hier die Shareware ZTerm: http://www.dalverson.com/zterm/ ,machen die Einstellungen wie oben (Baudrate, etc) und setzen ebenfalls die serielle Schnittstelle unter Settings --> Modem Settings auf den Seriell USB Adapter zu setzen:

e7c9bf064328ad94ff6cabe40cb2ac81

Bei Linux erledigt das das Package minicom und den USB Seriell Adapter setzt man auf die Schnittstelle /dev/ttyUSB0.

Beim ersten Booten springt die pfSense dann in ein Menü wo man die Schnittstellen menügeführt zuordnet was selbsterklärend ist.
Das macht man einmalig, dann speichert das Board diese Zuordnung permanent !
Generell ist dieser Adapter keine Fehlinvestition. Fast alle Netzwerk Komponenten Hersteller haben serielle Schnittstellen an ihren Geräten so das man das immer gut brauchen kann.
Auch wenn mal individuelle Änderungen an der pfSense über die Shell nötig sind oder anderes Troubleshooting, ist dies Tool sehr hilfreich.
Wem die 3 physischen Ports des APU Boards bzw. die VLAN Option nicht reichen kann immer zusätzliche HW Ports mit preiswerten USB-Ethernet Adaptern wie z.B. diese oder auch der GigE-Variante hinzufügen.
Bei mehr Performance Anforderung sollte man aber auch immer entsprechende Hardware mit Onboard Ports statt USB nehmen.


back-to-topDie Internet Anbindung und Betrieb
Da die Firewall selber direkt PPPoE spricht auf dem "Internet" WAN Port, kann sie direkt an ein reines xDSL Modem, also ein wirkliches NUR xDSL Modem, angeschlossen werden. Gleiches gilt für reine Kabel-TV Modems ohne Routerfunktion und Glasfaser Anbindungen.
Natürlich ist auch der Betrieb mit einem vorhandenen, davor kaskadierten xDSL Router, TV Kabelrouter und auch LTE oder 3G Router direkt über das Ethernet Interface problemlos möglich.
Einige "Klassiker" vom Netzwerk Design mit Internet Zugang und 2 zusätzlichen Netzsegmenten zeigen die folgenden 3 Abbildungen:
Eines der meist benutzten Netzwerk Designs ist, wie unten zu sehen, ein geschütztes (Firmen) Netz und ein separates, sicher abgetrenntes Netz für Gäste und Besucher mit oder ohne Hotspot (Captive Portal) Lösung oder eben eine sichere DMZ:

c9817421dc15a0b4c5498ddbcbd98588

Die untenstehende Abbildung zeigt die Anbindung 2er Firmen oder Nachbarschaftsnetze plus VPN Zugang von außen für Remote-Mitarbeiter oder Mangement:
e7970cc4b276e8c6e24e892d0f41c1fc

Hier ein einfaches Design für eine sichere VPN LAN zu LAN Kopplung 2er oder mehr lokaler IP Netze über das Internet:

0eb6153e2b33dd4f48d5499495093e70


Die zusammengeschaltete Hardware (ohne 19" Schrank) zeigt die folgende Abbildung, wobei der Cisco Switch das Firmen Produktivnetz bedient und der Netgear Miniswitch ein Gastnetz mit WLAN Accesspoints versorgt.
Die Firewall selber ist direkt an ein preiswertes ADSL2+ DSL Modem angeschlossen und realisiert den Internetzugang. (Statt Modem kann hier natürlich auch ein vorgeschalteter Router verwendet werden).

b09d31efba50e182ff4ceede23ecf8d9
Ein passendes Alix Gehäuse für professionelle 19" Zoll Schränke, mit oder ohne integriertes Netzteil, für die o.a. Firewall findet man HIER.

WICHTIG:
Die Internet Anbindung mit einem reinen ADSL2+ oder VDSL Modem (kein Router !) bietet immer einen erheblichen technischen Vorteil, denn es entfällt einerseits ein zusätzliches, überflüssiges NAT (IP Adress Translation) und auch eine NAT Firewall vor der Firewall durch die evtl. Kaskadierung mit einem Router, die wieder Probleme mit dem Port Forwarding z.B. bei VPN usw. bringen kann.
Es ist aus Performance- und auch aus Konfigurationssicht immer vorteilhafter ein simples Nur Modem am WAN Port der Firewall zu nutzen !
Viele Router wie die bekannten Speedports oder FritzBoxen lassen sich via Setup auch als reines DSL Modem betreiben.
Achtung bei moderneren Speedport bzw. deren Firmware. Die T-Com hat hier oft die Option zur Konfiguration des reinen Modem Betriebs entfernt ! Es lohnt also ein Blick in die Details.

Wer hier auf Nummer sicher gehen will beschafft sich ein preiswertes, reines ADSL2+ Modem wie z.B. DIESES_hier !
Damit geht man dann was die ADSL2+ Installation anbetrifft keine Kompromisse ein, da diese Nur Modems auch beide Annex Varianten im ADSL sicher supporten.
Technisch noch besser ist ein Hybrid Modem wie das Vigor 130 oder besser das aktuellere Vigor 165 was ADSL und auch VDSL gleichzeitig supportet. Dazu später mehr in der Rubrik "VDSL Anbindung".

Das folgende Beispiel zeigt in der Abbildung eine Fritzbox 2170 die wunderbar als nur DSL Modem mit der pfSense zusammenarbeitet. Aktuelle FritzBox Software lässt sich mittlerweile auch wieder in den NUR Modem Betrieb (PPPoE Passthrough) konfigurieren.

5aaba107afb3169ef9e958f619f844bc
Im FB Menü "Internet -> Zugangsdaten" wählt man hier einfach die Option "FritzBox als xDSL Modem nutzen".
Es sollte klar sein das dann die Firewall am Port der das WAN / Internet Interface bedient auf PPPoE Modus gestellt wird im Setup !
Dort im WAN Port Setup der pfSense werden dann auch in einem Nur Modem Setup die erforderlichen xDSL Provider Zugangsdaten (Username / Passwort) konfiguriert, also direkt im Setup der Firewall und NICHT auf dem Router Device davor ! (Siehe auch unten analog bei der VDSL Konfiguration !)
wanport

Bei einer xDSL Dauerverbindung OHNE Zeit- oder Volumenbindung vom Provider sollte man unbedingt noch den Haken "Enable Dial on Demand Mode" setzen ! Dürfte heute im Flatrate Zeitalter allerdings eher die seltene Ausnahme sein.
ACHTUNG: Die o.a. Einstellung PPPoE gilt nur für xDSL Kunden !
Kabel TV Nutzer die die Firewall direkt ans Modem anschließen belassen den WAN Port im DHCP Client Modus, da im Kabel TV PPPoE nicht verwendet wird..
Ggf. muss das Kabel-TV Modem beim Anschluss einmal stromlos gemacht werden (Mac Adress Reset).
Kabel-TV Modems sind also ebenso problemlos anzuschließen, da die Firewall ein universelles Breitband (Ethernet) Interface hat. Sie bietet zusätzlich die Option die Mac Adresse am WAN /Internet Port frei zu konfigurieren um ggf. beim Provider registrierte Kabelmodem Mac Adressen zu emulieren.
Wichtig ist hier das Ziel diese Firewall generell performant am VDSL, Kabel TV, FTTH Glasfaser und LTE, Mobilfunk quasi also an allen Infrastrukturen betreiben zu können, wie auch immer man sie letztlich anbindet.

Eine Router / Firewall Kaskade ist aber aus Performance- und Config Sicht, technisch immer die schlechtere Wahl ! Sie lässt sich aber leider oft nicht vermeiden wenn Provider die dedizierte Benutzung von eigenen TV Kabel-, LTE- oder xDSL Routern erzwingen (sog. "Zwangsrouter Problematik").
Mittlerweile ist man wenigstens in D davon per Gesetz befreit und hat die freie Wahl.
Klar ist aber auch das viele Nutzer die mit "Zwangsroutern" vom Provider ausgestattet sind oder aufgrund von Telefonie Nutzung (VoIP) oft keine solche reine Modem Option haben oder gar wechseln können. Da bleibt dann nur die o.a. Firewall an diesen vorhandenen Router als Kaskade anzuschließen. Es ist generell kein Nachteil und funktioniert auch fehlerlos.
Fazit: Auch Provider Zwangsrouter sind generell KEIN Hindernis für den Betrieb dieser Firewall !


back-to-topDie Entscheidung: pfSense oder OPNsense ?
Die meisten Benutzer werden fast ausschließlich pfSense wegen des aktuell besseren Featuresets, Stabilität, Support und moderneren Designs einsetzen, was auch eine klare Empfehlung des hiesigen Tutorials ist.
Allen die lieber europäische Firmware verwenden wollen sei das Projekt OPNsense (https://opnsense.org) ans Herz gelegt, das sich mehr an europäische Datenschutzbestimmungen hält.
Was man auch immer letztlich verwendet, das Tutorial hier mit seinen ToDos ist für beide Versionen gültig. Konfig Schritte sind ebenso für beide Versionen identisch.

pfSense glänzt hier mit mehr Features (PPoE Server, OpenVPN, Link Loadbalancing bei 2 Provider Uplinks, grafische Lastauswertung etc.) und einem konfigurierbarem Dashboard. Des weiteren ist es aktueller und wird aktiv gepflegt in Bezug auf Bugfixing und beinhaltet eine große Package Verwaltung zur Installation weiterer Features wie Proxy, URL Filter, Radius, Dynamisches Routing usw.
Ein großer Vorteil für Business Kunden ist die Option kommerziellen Support zu bekommen (NetGate).
OPNsense kommt mit einer etwas schlankeren Oberfläche und weniger Featureitis daher.
Wer etwas mehr Firewall Features und Konfigurationsmöglichkeiten wie z.B.eine grafische Auswertung und Überwachung des Traffics über ein schickes Dashboard wie hier bevorzugt...
traffic

oder ein Load_Balancing_(Lastverteilung)_zweier_Internet_Zugänge oder ein OpenVPN Umfeld benötigt, entscheidet sich dann klar für die pfSense Variante.
Es ist letztlich eine Geschmacksfrage und Frage der späteren Anwendung bzw. des vorhanden Netzwerkwissens.
Mit der aktuellen 2.4 Version liegt pfSense, was das Monitoring des Traffics und andere Parameter anbetrifft und bei den Firewall Features ganz klar vorne und muss sich auch vor kommerziellen Firewalls nicht verstecken.
Die Fülle der Funktionen und des voll customizebaren Dashboards mit seinen Status Widgets sind absolut State of the Art auch im Profibereich.
In Verbindung mit VPNs ist das ALIX Board auch erste Wahl, da es mit dem im AMD Geode Prozessor embeddeten Krypto Chip eine Hardware Beschleunigung aller kryptografischen Funktionen bietet (AES-NI) und performanceseitig damit auch kommerzielle VPN Firewalls gleicher Größenordnung ebenbürtig ist.

Die Wahl von pfSense als FW Software statt z.B. IPCop/IPFire ist auf alle Fälle die weitaus Bessere für die ALIX Board Hardware !
Auch im Hinblick auf die einfache Bedienbarkeit denn über ihr klar strukturiertes WebGUI hat die pfSense hier deutlich die Nase vorn.


back-to-topDie WLAN Erweiterung: Eine Wireless Schnittstelle (Integrierter Accesspoint oder WLAN Client) integrieren
Das ALIX Board bietet zusätzlich intern einen freien miniPCI Steckplatz. Hier kann man mit 2 bis 3 einfachen Handgriffen, in zehn Minuten, ein miniPCI WLAN Modul plus WLAN Antenne einsetzen und so eine 4te physische Schnittstelle mit integriertem WLAN nachrüsten.
Dabei kann diese Wireless Schnittstelle dazu dienen sich als WLAN Client in ein bestehendes WLAN einzuklinken und dies zu nutzen (Internet Zugang) oder selbst aktiv als WLAN Accesspoint zu arbeiten (z.B. Hotsport für Cafe, Hotel etc.)
Die pfSense Firewall Software unterstützt problemlos beide WLAN Modi !
Das o.a. ALIX Gehäuse hat per Default schon alle vorgefertigten Bohrungen, so das der Einbau von Antenne und miniPCI Board lediglich mit einem einfachen Schraubendreher in 10 Minuten ohne mechanische Arbeiten zu erledigen ist.

Die dazu erforderlichen einzelnen Schritte beschreibt DIESES_TUTORIAL Schritt für Schritt im Detail.
Die Integration einer Dual Band (2,4 Ghz und 5 Ghz WLAN) mini PCI WLAN Karte beschreibt im o.a. Tutorial das Zusatzkapitel "Dual Band Betrieb bei einer WLAN miniPCI Karte"
Um späteren Frust und einen Fehlkauf beim WLAN Modul zu vermeiden sollte man, was die unterstützten WLAN Module anbetrifft, unbedingt in diese Liste sehen:
https://docs.google.com/spreadsheets/d/11cF4UoNL68Me5ZC6qhjFPmzdW7mib56d ...
Atheros, Intel und Ralink basierte Module sollten hier erste Wahl sein.


back-to-topDie VDSL Anbindung dieser Firewall
Die pfSense Firewall (wie auch alle anderen Firewalls mit Ethernet Breitband WAN Port) lässt sich natürlich auch problemlos an allen gängigen, modernen VDSL Ports betreiben.
Nötig ist dafür lediglich ein simples VDSL Nur Modem wie z.B. ein Draytek_Vigor_130
Besser noch das derzeit aktuelle Model Vigor-165 !
Ein Zyxel_1312 funktioniert ebenfalls problemlos im nur Modem Betrieb am VDSL wie auch ein ALLNET_ALL-BM200VDSL2V
Klassische ADSL Modems findet man hier und hier.
Dazu gehört auch der Zyxel VMG8546 (bei der Telekom als Speedlink 5501) den es mittlerweile auf dem freien Markt gibt und der sich per Browser Konfig oder per Tastendruck in ein vectorfähiges, reines Modem zur Verwendung an der Firewall verwandeln lässt.

Da VDSL Daten in D immer mit einem 802.1q VLAN Tag vom Modem / Router versehen sein müssen (andere Länder ggf. unterschiedlich !) , muss dies vorher am WAN Port der pfSense definiert werden damit diese einen entsprechenden VLAN Tag mitschickt.
Die Dt. Telekom benutzt hier durchgehend den VLAN ID Tag 7. Andere Anbieter wie z.B. Vodafone nutzen am VDSL den VLAN Tag 132 !
Hier gilt es also genau hinzusehen.
Eine Schritt für Schritt Anleitung dazu findet man HIER.
Einige Speedport und das Gros der o.g Modem Modelle taggen aber auch im reinen Modembetrieb schon alle Pakete ausgehend automatisch mit der VLAN ID 7 (respektive z.B. 132 bei Vodafone). Bei diesen Modems ist somit KEINE Tagging Konfiguration der pfSense erforderlich !!
Im Einzelfall also immer ins Handbuch des Modems sehen oder selber mit dem Wireshark Sniffer nachsehen und ausprobieren !
Falls alle Stricke reissen funktioniert natürlich auch immer eine Kaskade mit einem vorgeschalteten Router. Technisch ist das durch das doppelte NAT nicht optimal aber immer noch besser als keine Firewall und ungeschützt.
Dies gilt insbesondere für Benutzer die einen billigen Provider Zwangsrouter aufgedrückt bekommen der nicht unter ihrer Hoheit ist und mit ggf. noch mit TR069 nach Hause telefoniert.

Generell ist, wie oben bereits mehrfach erwähnt, der Betrieb mit einem reinen Nur Modem und direkter Internet Terminierung auf der pfSense Firewall immer performanter und erzeugt weniger Probleme gerade bei VPN und Telefonie Nutzung.
Manchmal lässt sich aber eine Kaskade, gerade bei den sog. , bereits erwähnten, Provider Zwangsroutern nicht vermeiden.
Letztlich ist das aber auch KEIN Hinderungsgrund für den Betrieb der Firewall an solchen Anschlüssen !
Im Gegenteil, es macht sie noch sicherer, denn Provider (Zwangs)router sind das mit dem fast immer aktivem TR069 niemals.

Nachfolgend ein paar Screenshots einer am T-Com VDSL aktiven pfSense VDSL/WAN Schnittstelle mit Firewall basiertem Tagging. (Bei Vodafone muss der VLAN Tag auf 132 eingestellt werden !)
Einrichtung des VLANs mit VLAN ID 7 (Vodafone hat VLAN ID 132) und Zuweisung auf den physischen Port vr1:

vlan7

Konfiguration WAN Port:
vdslwan
Nun werden lediglich in den WAN Einstellungen der PPPoE Modus aktiviert und die Provider Zugangsdaten (User / Passwort) dort eingetragen !
ACHTUNG:
Einige Router oder reine Modem machen von sich aus schon ein VLAN Tagging mit der VLAN ID 7 ! (Siehe Bemerkung oben zum Thema Tagging bei VDSL)
Damit ist dann natürlich eine Konfiguration mit einem Tagging der Firewall selber NICHT mehr erforderlich
Hier ist dann lediglich ganz normal PPPoE einzustellen wie bei einer normalen ADSL oder ADSL2+ Konfiguration mit Modem.
Betreibt man den WAN Port mit einem NAT Router davor in einer Router_Kaskade ist diese Einstellung so oder so überflüssig, da logischerweise der vorgeschaltete Router dann das gesamte PPPoE Zugangshandling übernimmt und der WAN Port an der Firewall nur als "normaler" Ethernet Port (Statisch, DHCP) einzustellen ist.
Weitere hilfreiche Tipps zur Modemkopplung mit einem VDSL Modem gibt dieser_Thread


back-to-topIP TV zum Laufen bringen:
Bei professioneller Anwendung bzw. Firmen Anbindungen ist dieser Punkt des Tutorials sicher keine Option.
Aber auch Nutzer die die Firewall aus naheliegenden Gründen im Privatnetz einsetzen, müssen damit auf Entertainment Features natürlich nicht verzichten.
Direkt supportet die pfSense kein Multicast Routing mit PIM wie z.B. der Cisco_Router oder der Mikrotik_Router es für IP TV erfordern, aber die IGMP Proxy Funktion sorgt bei der pfSense dafür das auch IP TV im heimischen Netz funktioniert.
Unter Services -> IGMP Proxy definiert man dort einfach das Upstream und Downstream Interface mit den entsprechenden IP Netzen. Upstream sind das die Multicast Netze und Downstream das oder die lokalen IP Netze:
igmpproxy
Als nächstes erlaubt man in den Firewall Regeln die Multicast Netze für IP TV auf den WAN Port:
wan-firewall-rules
Man kann diese auch genau einschränken auf die verwendeten MC Netze des Providers. Eine Übersicht über die benutzen MC IP Adressen z.B. für Telekom Entertain findet man HIER.
Wer eine Allow ANY Regel auf dem lokalen LAN Netz verwendet deckt die Multicast Adressen damit natürlich auch ab. Ansonsten bei strikteren FW Regeln am lokalen LAN muss man diese Netze auch dort natürlich erlauben.


back-to-topTRIM Funktion auf der SSD aktivieren:
Wer mit mSATA oder SSD arbeitet sollte immer die TRIM Funktion aktivieren um die Lebensdauer des Flashspeichers zu erhöhen. In der aktuellen 2.4er Version ist TRIM per Default aktiv und das Folgende also obsolet geworden.
User der Version 2.4 und neuer müssen also bei Einsatz von SSDs oder mSATA Modulen NICHTS mehr konfigurieren !
Das Folgende ist also nicht mehr relevant.

In älteren 2.3.x Versionen ist TRIM aber nicht aktiviert, was sich aber sehr leicht nachholen lässt:
Nach dem Booten geht man über die Konsole in die Shell des Betriebssystems und sieht sich die Device ID seines Flashspeichers an mit dem Kommando cat /etc/fstab
Dort sollte dann sowas stehen wie /dev/ufsid/5870ff0328059a98 Diesen Eintrag am besten per cut and paste irgendwo sichern.
Nun bootet man wieder sein Installationsmedium von SD oder USB Stick und geht dann mit Eingabe von "2" oder "s" ind den Single User Mode. Das muss so sein denn zum Aktivieren der TRIM Funktion auf der SSD darf diese nicht gemountet sein !
Jetzt gibt man das folgende Kommando ein:
/sbin/tunefs -t enable /dev/ufsid/5870ff0328059a98

Das Programm tunefs sollte dann mit "tunefs: issue TRIM to the disk remains unchanged as enabled" antworten.
Mit /sbin/reboot oder durch Ziehen des Stromsteckers und Entfernen des Installationsmediums bootet man jetzt wieder von seinem Flashspeicher und springt zur Überprüfung der TRIM Funktion wieder in die Shell und führt tunefs -p / aus:
[2.3.2-RELEASE][root@pfSense.test.intern]/root: tunefs -p /
tunefs: POSIX.1e ACLs: (-a)                                disabled
tunefs: NFSv4 ACLs: (-N)                                   disabled
tunefs: MAC multilabel: (-l)                               disabled
tunefs: soft updates: (-n)                                 enabled
tunefs: soft update journaling: (-j)                       enabled
tunefs: gjournal: (-J)                                     disabled
tunefs: trim: (-t)                                         enabled
tunefs: maximum blocks per file in a cylinder group: (-e)  4096
tunefs: average file size: (-f)                            16384
tunefs: average number of files in a directory: (-s)       64
tunefs: minimum percentage of free space: (-m)             8%
tunefs: space to hold for metadata blocks: (-k)            6408
tunefs: optimization preference: (-o)                      time
tunefs: volume label: (-L)
[2.3.2-RELEASE][root@pfSense.test.intern]/root: 
Hier kann man sehen das die TRIM Funktion aktiv ist !

Anwender die eine 32Bit i386 Plattform nutzen und damit auf die 2.3.x Version angewiesen sind, sollten die TRIM Funktion wie oben aktivieren.


back-to-topDie Beispiele aus der Praxis und weiterführende Links
Die o.a. Firewall ist Basis einiger zusätzlicher Forumstutorials die weitere Konfigurationsdetails genauer beschreiben:

Tips und Tricks zum Beschreiben des Flash Speichers:
PfSense auf apu2c2 oder apu2c4 installieren

Erfahrungsbericht pfSense auf ALIX APU1D Gigabit Board:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht

Anfängerhürden vermeiden bei einfachem Firewall Aufbau u. Design !:
Anfänger- PfSense auf APU.1D4 installieren
Bestehendes Netzwerk - seperates WLAN ohne Zugriffsmöglichkeiten auf bestehendes
Kein Erfolg mit monowall auf ALIX Board
Pfsense Port Forwarding NAT für VOIP

Nur Modem Empfehlungen für ADSL+ und VDSL:
Suche adsl2+ und vdsl modem

LAN u. WLAN Port mit einer Layer 2 Netzwerkbrücke (Bridge) zusammen verbinden:
PfSense - WiFi AP funktioniert jedoch komme ich nicht ins Internet

Gastnetz und Gast WLAN mit einer Hotspot Lösung (Captive Portal):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Komfortable Ticketverwaltung für o.a. Gastnetz Lösung mit Web Server und SMS:
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Oder Tickets zum Ausdrucken (Bondrucker):
Captive Portal Plus: pfSense Voucher PDF in der WebGUI von pfSense erzeugen oder an einen Netzwerk Bon Drucker senden
oder
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId=743 ...
oder
http://ts-telecom.net/voucherdrucker.xls (zum o.a. Tutorial)

VPN Zugang für mobile Benutzer mit Laptops und Smartphone einrichten:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

VLAN Routing bzw. Integration in Netzwerke mit 802.1q VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

pfSense als transparente Firewall einsetzen ohne Routing (Bridge):
http://community.spiceworks.com/attachments/post/0016/1351/Transparent_ ...

pfSense mit Squid und Squidguard installieren zur Kontrolle von Webseiten:
https://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy

Dual WAN Port (Providerredundanz) Balancing Firewall mit pfSense:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
http://doc.pfsense.org/index.php/Multi-WAN_2.0

VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
FritzBox7490 hinter der pfsense für VOIP.
Fritzbox hinter pfsense VOIP Probleme
http://www.3cx.com/blog/voip-howto/pfsense-firewall/

VPN mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Standortkopplung zweier oder mehrerer Standortnetze mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

VPN mit IPsec Client bzw. Standort zu Standort IPsec VPN auf Cisco, Mikrotik oder FritzBox VPN Router:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall

WLAN Erweiterung der Firewall (ALIX):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) (Kapitel "Optionale WLAN Erweiterung")
WLAN Karte in pfSense einrichten und aktivieren

pfSense HowTo Verzeichnis zu Detailthemen der Installation:
https://doc.pfsense.org/index.php/Category:Howto

Einfaches Routing 2er oder mehrerer IP Netze ohne Firewall Funktion:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Hyper-V Images für pfSense:
https://forum.pfsense.org/index.php/topic,56565.msg364122.html#msg364122

Alternative Hardware Plattformen:
PfSense - Supermicro SuperServers Mini 1U Mini 1U E300-8D (X10SDV-TP8F)
Axiomtek Hardware (Desktop) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
Axiomtek Hardware (Rackmount) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere

pfSense auf Watchguard Firebox Profi Hardware einsetzen mit Tips: (Entspr. Watchguard HW findet man z.B. auf eBay)
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox
http://www.ebay.de/sch/i.html?_trksid=p2050601.m570.l1313.TR6.TRC1.A0.X ...
Pfsense Watchguard kein Internet auf LAN
Pfsense Watchguard neu installiert bekomme jedoch die Meldung Config.xml is corrupted and is 0 bytes. Could not restore a previous backup


back-to-topWenn nichts mehr geht...
Besitzt die Firewall einen Reset Knopf der die Konfiguration löscht auf die Werkseinstellungen.
Alternativ hat das ALIX Board und auch andere pfSense Hardware wie die bekannten Watchguard Modelle einen seriellen Terminalanschluss an den man ein einfaches Textterminal wie Windows Hyperterm, PUTTY oder TeraTerm mit einem seriellen RS-232 Nullmodemkabel anschliessen kann. (Apple Macs nutzen Z-Term, bzw. minicom bei Linux)
Wer am PC oder Laptop keinen seriellen COM Port mehr hat benutzt einfach einen preiswerten USB_auf_Seriell_Adapter den jeder PC Shop für ein paar Euro hat.
Schaltet man dann das ALIX Board an, stellt das o.a. Terminalprogramm auf 9600 Baud, keine Parity, 8 Bit, 1 Stoppbit (pfSense: 38.400 Baud) und keine Flusskontrolle erhält man nun im Terminal exakt dieselben Boot Meldungen wie am PC Bildschirm und kann das Board entsprechend in der Grundkonfiguration verändern oder gemachte Einstellungen löschen oder das Board komplett resetten.
Auch ein Shell Zugang auf das darunterliegende Unix OS ist möglich.
Keine Angst: Das Terminal ist kein Muss ! Alles lässt sich auch bequem über das Webinterface einstellen. Es ist lediglich ein Notanker wenn man z.B. IP oder Passwort einmal vergessen hat.
Die Konsole ist aber immer hilfreich um dem ALIX Board und andere Hardware etwas auf die Finger zu schauen und erleichtert sehr die Fehlersuche.
Übrigens gilt das nicht nur für die pfSense allein ! Auch andere Switch und Router Systeme, speziell aus dem professionellen Bereich, haben allesamt eine serielle Schnittstelle fürs Management. Es ist also generell empfehlenswert als Netzwerker ein Kabel für seriellen Zugriff parat zu haben. face-wink
Kommentar vom Moderator Dani am 01.03.2015 um 12:43:13 Uhr
Bitte schreibt für eure Fragen einen eigenen Beitrag und verlinkt auf diese Anleitung.

Content-ID: 149915

Url: https://administrator.de/contentid/149915

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

Dani
Dani 31.08.2010 um 20:37:46 Uhr
Goto Top
Hi aqui,
wie immer.... einfach Spitze beschrieben und verständlich!


Grüße,
Dani
brammer
brammer 02.09.2010 um 13:38:41 Uhr
Goto Top
Hallo,

eigentlich hätte diese Anleitung den Wettbewerb für die beste Anleitung gewinnen sollen!

Hier ist allesgut beschrieben, es gibt Links zu den wichtigsten Begriffen oder erfordelricher Soft- und Hardware.
Schlicht und ergreifend so wie eine Anleitung sein soll, und wie wir es hier im Froum von aqui gewohnt sind.
Es gibt ja schon diverse Beiträge hier im Forum die nur noch auf die Anleitungen von aqui verweisen.

brammer
Phalanx82
Phalanx82 10.09.2010 um 15:28:13 Uhr
Goto Top
Spitze Anleitung Aqui,

aber eine Frage hätte ich da, denn ich kenne mich mit den Alix Boards nicht aus.
Wäre es auch möglich auf das Board eine Astaro 7/8 zu installieren? Diese läuft
ja auf älteren Rechnern z.B. Pentium 3 oder ähnlich schon/noch.

Wie schaut es da mit dem Alix Board aus? Hat das überhaupt Intel x86 Instruktionen
oder ist das ein ganz anderer Prozessor?

Meine Überlegung geht schon lange in die Richtung das ich mir eine kleine Rechnerbox
(ggf. Nettop) hin stelle mit ner Astaro drauf, Hardwäre hätte ich zuhauf daheim dafür, aber
alles ziemlich oversized und entsprechend auch der Stromverbrauch und die Geräuschentwicklung...
Sind alles alte Rechner bzw. deren Innenleben, teils auch neuere Hardware.

Allein schon der Verbrauch von ca. 20W und keine aktive Kühlung wären schonmal ein klares
Argument für ein Alix Board. Ich will schließlich keine Firtzbox gegen einen alten Rechner eintauschen
der mir dann Nachts auch noch den Schlaf raubt ;)


Mfg.
aqui
aqui 10.09.2010 um 18:39:38 Uhr
Goto Top
Hallo Phalanx
Wenn die Größe des RAMs reichen und Chipsatz und LAN Hardware vom Astaro OS unterstützt werden sollte das problemlos klappen.
Diskussionen im Astaro Forum waren da nicht so sicher ob die Chipsätze supportet sind.
http://www.astaro.org/local-language-forums/german-forum/27991-low-coas ...
Da müsstest du also mal recherchieren ob die aktuellen Versionen das können.
Die ALIX Boards sind x86 kompatibel. Es lässt sich auch problemlos XP auf so einem Board installieren. Da so gut wie alle Linux Derivate ebenso problemlos auf der ALIX Hardware laufen und Astaro vermutlich auch Linux basierend ist, ist die Wahrscheinlichkeit sehr groß das es klappt.
Die Frage aber die sich final stellt: Warum willst du da unbedingt Astaro raufzwingen ? Kann die mehr als M0n0wall oder pFsense oder was wäre da ein triftiger Grund ?
nofear87
nofear87 10.09.2010 um 21:28:51 Uhr
Goto Top
Hey,
danke für die erstklassige Anleitung...werde mir demnächst die Hardware bestellen und mal loslegen.

In deiner Einzelteilauflistung fehlt noch die FlashCard.... vielleicht nimmst du die der Vollständigkeit halber noch mit rein.

Sind überhaupt 4GB von nöten? Wieviel braucht denn die Monowall?

Unterstüzt die Monowall Gigabit? Und ist es möglich das AlixBoard um Gigabit zu erweitern?

MFG Robert
aqui
aqui 11.09.2010 um 13:13:21 Uhr
Goto Top
Im o.a Komplettbausatz ist eine CF Flashkarte gleich mit enthalten ! Ich nehm's aber mit rein.
Die Monowall benötigt 512 MB allerdings gibt es so kleine CF Flash Karten schon gar nicht mehr, es sei denn man recycelt eine alte Karte aus dem Digitalfotoapparat.
Mit einer Standard 1 oder 2 GiG CF Karte ist man also bestens bedient sowohl für pfSense als auch M0n0wall.
Gibts in den allseits bekannten Massenmärkten ala Blödmarkt oder im Versand sehr preiswert:
http://www.reichelt.de/?;ACTION=3;LA=444;GROUP=M71;GROUPID=3419;ARTICLE ...
4 Gig sind also nicht von Nöten, 2 reichen allemal.

Derzeit supporten die ALIX Board Varianten noch kein Gigabit sondern nur 100 Mbit. Ist aber auch nicht weiter relevant, denn WAN Verbindungen liegen kaum über 100 Mbit so das es nur bei lokaler GiG Vernetzung im LAN ggf. mal einen kleinen Engpass geben kann.
Nutzt man die Router-Firewall aber im WAN/VPN/CP Umfeld ist das alles kein Thema !
Eine "Erweiterung" ist logischerweise nicht möglich, da die 3 LAN Interfaces inklusive ihrer Buchsen fest mit dem Mainboard verlötet sind.
nofear87
nofear87 11.09.2010 um 14:13:13 Uhr
Goto Top
Danke für die ausführliche Antwort aqui ;)
Das die Karte beim Komplett-Set dabei ist war mir bewusst, ich dachte halt nur das es besser wäre sie in die Auflistung der Einzelkomponenten aufzunehmen, nicht das jemand davon ausgeht das sie beim Board dabei ist bzw. sie bei der Einzelkomponentenbestellung vernachlässigt und sich dann ärgert. Aber nun ist ja alles so wie es sein soll ;)

Ist es denn möglich die MAC Adresse der LAN Ports irgendwie auszulesen bzw stehen die irgendwo drauf? Denn die bräuchte ich um die Firewall ans UNI Netz anzubinden, da hier die Switches einen MAC Filter haben.

VPN und Monowall gleichzeitig auf dem Alix Board zu betreiben ist ja kein Problem, da Monowall VPN unterstützt, richtig?

Beste Grüße
Robert
aqui
aqui 11.09.2010 um 14:42:07 Uhr
Goto Top
Hallo Robert,
Natürlich kann man die Mac Adressen aller Interfaces bequem mit einem simplen Mausklick über die Webkonfig auslesen wie dir der folgende Screenshot zeigt:

773018becf0755d1fb9bdab9688740ba

Auf dem WAN Interface kannst du z.B. zusätzlich die Mac Adresse "spoofen" also eine Mac Adresse eintragen mit der die M0n0wall/pfSense am WAN Netz auftauchen soll. Siehe Screenshot hier:

cdc7db269dcfb7d23c6f2733728ea8ab

Das ist zum Teil bei einigen Kabel TV Modems erforderlich wo es u.U. eine feste Zuordnung von Mac zum Kunden gibt oder wenn man zwingend aus anderen Gründen eine bestimmte Mac verwenden muss wie z.B. in deinem Fall !

Und JA, natürlich supportet die Monowall/pfSense alle Arten von VPNs. (PPTP, L2TP, IPsec, OpenVPN). Wenn du das o.a. Tutorial zuende gelesen hättest, hättest du das alles unter der Überschrift "Die Beispiele aus der Praxis" gefunden !
nofear87
nofear87 11.09.2010 um 16:38:40 Uhr
Goto Top
Schande über mein Haupt face-smile Die Beispiele habe ich vorerst ausgelassen...mein Fehler.
Danke für die Mühe mit den Screens, Monowall gefällt mir immer besser face-smile

Ist das Mac Spoofen legal? Bzw. gibt es da keine Gegenmaßnahmen von meinem Admin face-smile

Lohnt es sich die paar Euro mehr für doppelt soviel Ram auf dem Board (D13) auszugeben? Oder bekommt man davon eh nichts mit?

Der Link zum Reichelt Shop mit der Flashcard funktioniert irgendwie nicht mehr...Artikel nicht mehr zuzuordnen.

Beste Grüße
Robert
aqui
aqui 11.09.2010 um 18:40:10 Uhr
Goto Top
Mac Spoofing ist ein normales technisches Feature bei Routern und Firewalls das für manche Netze zwingend erforderlich ist. Da stellt sich also diese Frage gar nicht erst.
Wenn du es einsetzt um damit IT Hürden in einer Firma zu umgehen ist das eher eine Frage des Arbeitsrechts hat aber mit technischen Features einer IT Hardware erstmal rein gar nichts zu tun....falsche Baustelle also !
Das 2D13 ist das ALIX Board der Wahl für die FW. Es macht keinen Sinn ein anderes Board zu verwenden, denn der Unterschied besteht nur in ein paar Euro.
Auch hier gilt: Mehr RAM = mehr Performance !
nofear87
nofear87 11.09.2010 um 20:49:20 Uhr
Goto Top
Ok, dann werde ich mir das auch beim Kauf zu Herzen nehmen face-smile Und schon wieder bleibt mir nur eins zu sagen: DANKE
Phalanx82
Phalanx82 21.09.2010 um 15:03:12 Uhr
Goto Top
Hmm... der Thread ist irgendwie ein wenig bei mir unter gegangen nachdem ich die Frage gepostet habe... *shrug*

Die Astaro wollte ich daher aufsetzen, da wir in der Firma schon eine pfSense im Einsatz haben, die ja ähnlich wie
die Monowall aussieht bzw. von ihr entwickelt wurde... Alles in Allem gefällt mir aber weder die pfSense noch die
Monowall so 100%ig. Die Astaro habe ich schon 2006 im Einsatz in einem anderen Unternehmen gesehen und
durfte damals im Praktikum dort auf einem Appliance die neue 6er Version aufspielen und die Konfig testen usw...

Astrao bietet für den Privat Gebrauch eine kostenlose Lizenz an für alle Versionen bis hin zur ganz neuen 8er.
Von den Menus, deren Aufmachung, Funktionen und der deutschen Oberfläche bin ich daher mehr überzeugt
als von pfSense. Hab da irgendwie das Gefühl das mit der Astaro eher meine Interessen abgedeckt werden,
abgesehen von ein paar netten Zusätzen wie Viren und Spam Filterung... die ich teilweise sehr interessant finde.

Und ja die Astaro setzt auf ein gehärtetes Linux auf, afair hab ich damals glaube ich raus bekommen das es ein
stark modifiziertes Debian unter der Haube hat.

Aber Danke für den Hinweis mit dem Astaro Forum, da habe ich noch garnicht rein geschaut mangels Zeit.
Werde ich mal bei Gelegenheit nach holen face-smile


Mfg.
bodyparts
bodyparts 24.09.2010 um 12:05:55 Uhr
Goto Top
moin,

hat die m0n0wall ein Ticket System, kann ich für den Gastzugang "einfach" Tickets ausstellen?
Gibt es eine Blackliste für ungewünschte Seite / Themen usw?

Gruß

PS: TOP-Anleitung
aqui
aqui 25.09.2010, aktualisiert am 02.09.2013 um 20:35:05 Uhr
Goto Top
ChrisIO
ChrisIO 02.10.2010 um 13:08:54 Uhr
Goto Top
Wir haben hier gerade Mal über deine Anleitung gesprochen und fanden die prinzipiell ganz gut.

Ist die Speicherung der Logfiles auf der Flash-Karte nicht problematisch? Die Schreibvorgänge sollten doch die Flash-Card recht schnell killen, oder?

Die Nutzung eines externen SYSLOG-Servers sollte das Problem lösen.
aqui
aqui 03.10.2010 um 10:32:37 Uhr
Goto Top
Da hast du Recht ! Das "Killen" der Flash Karte ist mit heutigen CF Flashkarten durch verbesserte Technik in den Karten zwar nicht mehr relevant aber wichtiger ist das das Log der Firewall ein "Round Robin" Log ist.
Es hat eine bestimmte feste Größe und ist die erreicht, überschreibt es ältere Meldungen. Für den Normalbetrieb reicht das vollkommen aus und muss auch so sein, da eine CF Karte ja nun mal begrenzt ist und das Log somit limitiert werden muss.
In der Beziehung ist es dann zwingend notwendig einen Syslog Server zu benutzen wenn man über längere Perioden mitloggen will oder muss.
Wenn du das Hotspot Tutorial zur obigen FW genau gelesen hättest findest du genau diesen Punkt auch in der Thread Diskussion wieder !
Linux und Apple Mac hat einen Syslog immer gleich mit an Bord und für Winblows gibt es freie Lösungen wie z.B. den Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder den Mikrotik Syslog Server
http://www.mikrotik.com/download/MT_Syslog.exe bzw. die Anleitung dazu.
Wie du richtig bemerkst löst das das Problem umfassend bei längeren Logging Zeiten.
Phalanx82
Phalanx82 05.07.2011 um 16:54:06 Uhr
Goto Top
Hallo Aqui,

ich habe gerade aus Eigen Interesse nachgeschaut und dein Link zu den Bundles
des Online Shops funktioniert leider nicht mehr. Den müsstest Du mal anpassen:

http://shop.varia-store.com/product_info.php?info=p725_Mainboard-ALIX-2 ...

Falls es die Bundle-Übersicht war, wäre das hier der Neue Link:

http://shop.varia-store.com/index.php?cat=c179_Komplettpaket.html


Mfg.
aqui
aqui 05.07.2011 um 17:24:52 Uhr
Goto Top
Dank dir für das Feedback ! Alle URLs sind nun wieder up to date face-wink
tonabnehmer
tonabnehmer 20.07.2011 um 10:23:09 Uhr
Goto Top
Zitat von @aqui:
Das 2D13 ist das ALIX Board der Wahl für die FW. Es macht keinen Sinn ein anderes Board zu verwenden, denn der Unterschied
besteht nur in ein paar Euro.
Auch hier gilt: Mehr RAM = mehr Performance !


Das mit dem RAM gilt m. E. nur für pfSense. M0n0wall verwendet, wenn ich es richtig verstanden habe, immer nur 64 MB. Siehe hier: http://doc.m0n0.ch/handbook/hardware-sizing.html (unter 2.5.4 RAM)

Grüße,
tonabnehmer
102901
102901 06.10.2011 um 13:24:50 Uhr
Goto Top
Hallo

Ich habe mir hier das HowTo durchgelsen, ich finde es ist super gut geschrieben - RESPEKT
Jetzt hab ich ein Problem ich habe derzeit ein ALIX im betrieb und wollte auf die pfSense umschwenken. Derzeit läuft ein IPCop bei mir gut aber nicht befriedigend. Dann hab ich das mit den Vouchers gelesen das ist genau mein Ding. So also wo hängt es ? Ich habe ein 2GB CF Karte mit physdiskwrite beschrieben ohne Fehlermeldung. Steck sie ins ALIX strom dran..... nix passiert, also nix das ich mit dem ganzen rechten LAN Port auf das WEBGUI komme. Dann hab ich alle 3 Ports getestet, nix passiert. Ich habe ein ALIX mit 2x USB Anschlüssen das ist der einzige unterschied was ich auf anhieb gesehen habe. Kann es sein das es ein treiberproblem gibt oder doch ein User Problem ? Es wird auch keine IP verteilt von dem angesprochenen DHCP Server. Gut hab ich mal ein IP generiert die in den Nummerkreis fällt. Leider auch ohne erfolg. Also CF wieder raus und IPCop CF wieder rein. Hat jemand eine Lösung für mich ?
Dieses Image habe ich genommen:
http://files.nl.pfsense.org/mirror/downloads/pfSense-2.0-RELEASE-2g-amd ...

dank

cu Frank
tonabnehmer
tonabnehmer 06.10.2011 um 13:32:45 Uhr
Goto Top

AMD64 ist das falsche Image. Du musst i386 nehmen. Siehe hier: http://forum.pfsense.org/index.php/topic,38868.msg201445.html#msg201445. Statt 1821 könnte inzwischen auch ein neueres Image verfügbar sein, musst Du dann selbst schauen.

Grüße,
tonabnehmer
102901
102901 28.10.2011 um 20:56:49 Uhr
Goto Top
Hallo

ALIX und PFSense läuft soweit.
Ich frag mal so....
Ich hab noch ein altes PC gehäuse im Keller mit allem drum und drann und eine 512MB CF Karte.
Jetzt hab ich mir so ein adaper geholt wo man die CF Karte direkt auf das Motherboard stecken kann.
Ist das dann auch das i386 Image das ich auf die 512er ziehen muß oder ist es das AMD64er Image

cu Frank
aqui
aqui 28.10.2011 um 21:29:06 Uhr
Goto Top
Du sagst ja selber <Zitat> "Altes PC Gehäuse.." Vermutlich ist da also KEIN 64 Bit Prozessor drin sondern es werkelt noch mit einem ollen 32bit Intel oder AMD.
Dann ist, wie du folgerichtig erkannt hast, das i386er Image das richtige. Das 64er rennt nur auf 64 Bit Prozessoren.
parsival
parsival 13.06.2012 um 07:28:03 Uhr
Goto Top
Hallo aqui, hallo Forum!
Zunächst einmal vielen Dank für diese super Anleitung. Sie hat mich erst auf die Idee gebracht, meiner Freundin für ihr Gemeinschaftsbüro eine entsprechende Firewall/Routerlösung mit zwei getrennten Netzen aufzusetzen. Hardware ist ein alix.2d13. Im Bundle mit WLAN- und CF-Karte neu gekauft. Software sollte entweder Monowall (1.33) oder pfsense (aktuelle 386-nanobsd-4GB-Version) werden. Die CF-Karte habe ich nun schon mehrfach unter Linux geflasht. Es scheint jedes Mal funktioniert zu haben.
Anschluss per gerade neu gekauftem cross-over Kabel am rechten Port.

Doch ich bekomme keinen Kontakt zur Box. Weder bekomme ich mit dem angeschlossenen Netbook eine IP-Adresse zugewiesen, noch kann ich die Box nach manueller IP-Vergabe anpingen. Mit dem gleichen cross-over Patch-Kabel klappt beides ohne Probleme am Heimrouter. Netzteil-Stecker mehrfach abgezogen und neu gestartet. Ebenso mehrfach das Netbook unter Linux oder XP neu gestartet. Es wird versucht eine Verbindung herzustellen, die linke LED am RouterPort blinkt kurz zwei dreimal orange, danach sind beide wieder kontinuierlich grün; eine Verbindung besteht jedoch nicht.
Das Netbook hat wohl einen Realtek Gigabit Ethernet-Anschluss, das Alix-Board ja nur einen 10/100er. Ob es daran liegen kann. Werde heute Abend versuchen, a) ein altes macbook ohne Gigabit anzuschließen, b) meinen Gigabit-Switch dazwischen zu hängen, c) die Box mal anstelle des Modemrouters, der als IP die 192.168.1.1 hat, vor meinen eigentlichen Heimrouter zu klemmen .

Habt Ihr vielleicht einen Tipp?

Funktionieren Monowall bzw. pfsense in den aktuellen Versionen den überhaupt noch mit dem alix.2d13-Board? Muss ich was am BIOS ändern (wozu ich allerdings erstmal einen USB-Adapter für die serielle Schnittstelle benötige).
Beste Grüße, Paul
aqui
aqui 13.06.2012 um 13:13:04 Uhr
Goto Top
Hallo Paul !
Erstmal: Du benötigst dafür KEIN Crossover Kabel ! Ein simples Patch Kabel ist OK.
Weitere Frage: bekommst du ein Link Signal bzw. leuctet die LED am Port und zeigt einen aktiven Link an ?

Wasserdichtes Troubleshooting erreichst du über den Terminal Zugang (Kapitel "Wenn nichts mehr geht..." Im Tutorial.
Den solltest du zwingend anschliessen und dir die Boot Meldungen der Firmware ansehen.
Dort kannst du sofort sehen wo es kneift und auch ob die Flash Karte richtig beschrieben wurde.
Es liegt definitiv NICHT an der Port Speed der Netzwerk Ports ! Die NICs in den Rechnern ob Netbooks, Mac oder was auch immer supporten ALLE allesamt Autonegotiation und kaspern die Geschwindigkeit automatisch und dynamisch aus. Connecten sich also immer mit der richtigen Geschwindigkeit. Es ist möglich das dein Crossover da Ärger macht, also ein normales Kabel verwenden wenn deinen PC NIC kein MIDI-X supportet !
Das sicherste ist immer der Terminalanschluss.
Bei Linux nimmst du das bekannte Minicom, beim Mac Zterm und Winblows Putty oder TeraTerm. Steht so auch im Tutorial wie gesagt...

Beide Distros also Monowall und pfSense laufen vollkommen fehlerfrei auf sämtlicher derzeit verfügbarer ALIX Hardware !
parsival
parsival 13.06.2012 um 14:12:11 Uhr
Goto Top
Hallo aqui!
Erstmal vielen Dank für die schnelle Antwort. Gut, dass es definitiv nicht am Port-Speed liegen kann. Hatte schon Befürchtungen Alix wäre da zickig.

Werde mir möglichst schnell einen entsprechenden Adapter USB-seriell besorgen.

Zwei normale Patch-Kabel hatte ich schon probiert. Auch mit einem anderen Rechner.
Alle Ports zeigen das selbe Verhalten. Wurden Rechner und Alix mit dem Kabel verbunden, leuchten beide LED am Port des Alix grün, unterbrochen durch kurzes oranges Blinken, wenn der Rechner versucht eine IP-Adresse zu beziehen.

Ich bin sehr gespannt, was das Board über die serielle Schnittstelle preisgibt. Gibt es hier eine spezifische Anleitung, welche Angaben man dort wie anrufen kann (putty etc. ist mir grundsätzlich klar)?

Dass die Einrichtung sowohl bei Monowall als auch pfsense nicht direkt über den Web-GUI funktioniert, spricht wohl aber eher für eine falsche BIOS-Einstellung oder gar einen Defekt des alix-boards, denn die Grundkonfiguration von Monowall und pfsense müsste ja bei beiden funktionieren...
aqui
aqui 14.06.2012 aktualisiert um 13:52:09 Uhr
Goto Top
Ja, es ist zu vermuten das das Flashen der CF Karte fehlgeschlagen ist und das Bord deshalb nicht bootet.
Das siehst du aber wie gesagt nur am seriellen Port.
Ein entsprechender USB Adapter ist preiswerte Massenware:
http://www.reichelt.de/USB-Konverter/USB2-SERIELL/3/index.html?ACTION=3 ...;
plus RS232 Kabel:
http://www.reichelt.de/Sub-D-Kabel/AK-143/3/index.html?ACTION=3&GRO ...;
Ggf. die CF Karte mit h2format nochmal junfräulich mit FAT32 formatieren.
http://www.heise.de/download/h2format.html
mavnezz
mavnezz 15.06.2012 um 12:34:46 Uhr
Goto Top
Servus,

gibt es eine Möglichkeit, dass Benutzer aus dem Wlan nur auf das Internet zugreifen können (nach Captive Portal), aber andere Benutzer mittels Login auf das Firmennetzwerk?

Man könnte sich ja nach dem Authentifizieren direkt wieder mittels VPN einwählen, das wäre eine Möglichkeit, aber vielleicht geht's noch einfacher?

lg

Julian
aqui
aqui 15.06.2012 aktualisiert um 13:17:28 Uhr
Goto Top
Ja, natürlich gibt es die ! Das ist ja der tiefere Sinn einer Firewall.
Es gibt mehrere Möglichkeiten das umzusetzen:
  • Nach Mac Adresse
  • Nach IP Adresse
  • Nach Login mit dynamischer VLAN Zuweisung über Radius
usw. usw.
Kommt drauf an was du ganz genau vorhast ?!
mavnezz
mavnezz 15.06.2012 um 15:05:33 Uhr
Goto Top
Servus,

wollte mir ein ALIX.2D13 Board kaufen, dann an einem Port die Wlan Access Points über einen Switch verteilen.
An den anderen Port den Telekom Router und fertig ist das Gastnetz. Das funktioniert soweit auch schon, hab das über eine Installation auf einem PC getestet.

An dem Telekom Router hängt aber noch ein ISA 2006 Server der die Verbindung ins Unternehmensnetzwerk übernimmt. In diesem Netzwerk gibt es auch eine Laser-Richtfunkstrecke in ein anderes Gebäude, welches auch ein Gastnetzwerk bekommen soll. Kann ich dies auch irgendwie realisieren?

Wäre es klüger den ALIX Router in das Unternehmensnetzwerk mit der WAN Schnittstelle zu hängen und als Gateway den ISA zu nehmen?

Kann ich Mitarbeitern mit Laptops einen Zugang einrichten, der vollen Zugriff auf das Unternehmensnetzwerk hat? Nach MAC oder IP Filtern ist mir zu unsicher.

lg

Julian
aqui
aqui 15.06.2012 aktualisiert um 19:05:45 Uhr
Goto Top
Der Reihe nach:
1.)
Ja natürlich kannst du auch ein Gastnetz in dem Unternehmensnetz realisieren. Das hängt aber ein bischen davon ab ob die Switches dort Tagging usw. supporten, denn du musst ein separates Segment dafür schaffen. Entweder per VLAN was am sinnvollsten wäre oder mit einem separaten Switch.
2.)
Nein, das wäre nicht klüger, denn du schreibst oben was von VPN Zugriff und wenn du eine weitere NAT Firewall davor hast schaffst du dir größere Hürden für den Zugriff bzw. mehr Aufwand das zu konfigurieren.
Außerdem bist du dann immer zwangsweise abhängig von der Firewall Konfiguration für das Unternehmensnetz und kannst nur das machen was dort zugelassen ist. Damit schaffst du dir immer mögliche Engpässe.
Technisch gesehen ist es egal. Natürlich würde das auch funktionieren aber immer mit den o.g. Einschränkungen dann.
3.)
Ja das ist ohne Probleme machbar über die FW Regeln. Wie gesagt genau DAS ist der tiefere Sinn einer Firewall !
autohoti
autohoti 16.06.2012 um 13:31:36 Uhr
Goto Top
Hallo parsival,
ich habe das gleiche Problem wie Du, ich habe einen Automation PC mit CF auf der Monowall embedded-1.33 ist. Das Beschreiben der CF hat wohl funktioniert, aber ich bekomme keine Verbindung über die IP-Adresse. Der erste Versuch mit normalem Kabel hat nicht mal die LED's leuchten lassen, erst mit einem Crossover haben die LED's geleuchtet, aber die Verbindung konnte aber trotzdem über die IP nicht aufgebaut werden.
Hast Du schon eine Lösung für das Verbindungsproblem?

Gruß autohoti
aqui
aqui 16.06.2012 aktualisiert um 17:05:26 Uhr
Goto Top
@autohoti
Auch für dich gilt:
  • WAS sagt der Rechner wenn du bootest ?? (Schirmmeldungen)
  • Kannst du die typischen Bootmessages sehen auf dem Bildschirm ??
  • Kannst du in den Boot Messages sehen das deine LAN Hardware (Netzwerk Karten) sauber erkannt werden ?
  • Am Ende des Bootvorgangs bist du in einem Command Line Menü ! Kannst du von Dort Netzwerk Geräte pingen ?
Solange du keinen Screenshot oder mal einen Auszug der Bootmessages zur HW Erkennung schickst können wir dir mit den oberflächlichen Aussagen von oben hier auch logischerweise nicht zielgerichtet helfen face-sad
Genau DAS ist der Sinn ein Terminal anzuschliessen (ALIX Hardware) oder den Schirm um eben die Bootmeldungen zu sehen !
Die sind essentiell wichtig.
Wenn die HW nicht erkannt wird oder das System gar nicht von der CF richtig bootet ist vollkommen klar das nix funktioniert !
Nebenbei: Du redest von einem "Automation PC" ? Was bitte soll das sein ??
Ist das eine "normale" PC Hardware ??
Wenn ja hast du das vollkommen falsche Image auf dein CF Flash kopiert, denn bei normaler PC Hardware musst du zwingend das generic-pc-1.33.img (raw CF/HD/USB drive image for generic PCs) auf die CF Karte kopieren und natürlich niemals das embedded Image !!
Das ist ausschliesslich nur für ALIX und Soekris Mainboards gedacht.
Klar das dann bei dir auch nix klappt ! face-sad
autohoti
autohoti 16.06.2012 um 17:58:58 Uhr
Goto Top
Hallo aqui,

es tut mir leid dass ich nicht so vom Fach bin wie die Meisten hier, mich reizt halt das Thema Hotspot und möchte diesen mit einfachen Mittel auch umsetzen.

Da ich besagten Automation PC von B&R (http://www.br-automation.com/cps/rde/xchg/br-productcatalogue/hs.xsl/pr ..) zur Verfügung habe und sich die Anleitung zur Umsetzung eines Hotspots gut nachvollziehen lies wollte ich es probieren. Zuerst habe ich das embedded Image versucht, leider ohne Erfolg.
Dann wollte ich das generic-pc-1.33 Image probieren da u.U. dies das richtige Image ist, das scheiterte am Beschreiben der CF-Karte (512MB). Ich habe das übrigens ein paar Mal probiert. Immer mit der selben Vorgehensweise (physdiskwrite...) wie bei embedded Image, das ohne Probleme funktioniert hat.
Im Moment habe ich wieder das embedded Image auf der CF-Karte.

Dann habe ich mit minicom und einem seriellen Kabel an meinem Linux-Notebook versucht diese besagten Bootmessages zu sehen, leider kenne ich mich zu wenig damit aus und hatte keinen Erfolg.

lg autohoti
aqui
aqui 17.06.2012 aktualisiert um 13:09:44 Uhr
Goto Top
OK, das embedded Image ist vollkommen falsch für diese APC-620 Plattform sofern diese einen DVI Monitor Port hat, das ist klar. Dein "Automation" PC hat eine Intel ATOM CPU und ist damit i386 kompatibel !!
Für dich gilt also zwingend das generic-pc-1.33 Image, soviel ist schon mal sicher !
Also nicht "unter Umständen" sondern ganz sicher !!
Die Boot Messages siehst du doch ganz einfach wenn du mal einen simplen Monitor an diesen APC-620 anschliesst !!
In der Beschreibung steht doch ganz klar.. (Zitat):
"Alle APC620 haben eine Schnittstelle zum Anschluss eines Automation Panel oder eines Monitors integriert. "
Laut Info haben die APC-620 einen stinknormalen DVI Port zum Anschluss eines Monitors. Wo ist also dein Problem ??
Warum hast du da noch nix angeschlossenn ?? Das macht man doch so (auch als Laie) normalerweise bei einer PC Platform um den Bootvorgang zu beobachten !!??
Du MUSST also das generic-PC Image auf deine Flash Karte bringen. Keine Ahnung was du da falsch machst aber irgendwas machst du da ziemlich falsch.
Das Standardkommando physdiskwrite -u gerneric-pc-133.img hat problemlos sowohl auf einem 128 MB als auch auf einer 2G CF Flash und auch SD Karte im CF Adapter problemlos funktioniert und das Testsystem unten hat davon problemlos gebootet !
Da liegt der Fehler also irgendwie zwischen Stuhl und Keyboard...sorry.

Formatiere die CF also nochmal neu im FAT32 Format z.B. mit h2format
http://www.heise.de/download/h2format.html
und beschreibe die CF mit physdiskwrite nochmal. Poste hier ggf. mal Fehlermeldungen oder was physdiskwrite genau macht damit man dir zielgerichtet helfen kann !

Nur mal als Beispiel ein Screenshot vom Bootvorgang auf einem identischen Intel ATOM System mit dem "Generic-PC" Image auf Flash und angeschlossenem Monitor:
1.) Start des Boot Vorgangs:
4c1ce5817382351c1832d77ed5b8b8a0

2.) Default CLI Menü nach dem Booten:
76f63aef3c9b8e7d96b6aeda70c8777d
(Sieht bei pFSense geringfügig anders aus da mehr Menüpunkte vorhanden)

Fazit: Schliess also am DVI Port des AP-620C einen Bildschirm an und schon bist du schlauer !!
parsival
parsival 18.06.2012 aktualisiert um 08:12:40 Uhr
Goto Top
Hallo aqui!
Zunächst mal vielen Dank für das geduldige Beantworten meiner Fragen und die Hinweise.
Tatsächlich hat wohl das Flashen unter Linux mit dd nicht so geklappt wie es sollte. Mit Windows hat es dann jedoch geklappt. Zunächst habe ich pfsense, dann aber Monowall eingesetzt.
Passenden USB-Adapter für die serielle Schnittstelle hatte ich im Einsatz. Das half auch direkt beim Reseten, als unter Monowall nach dem Ändern der LAN 1-IP und dem Setzen der IP des zweiten Ports und der WLAN-Karte plötzlich kein Kontakt über das Web-Interface mehr möglich war. Das passierte dann gleich nochmal, denn das Web-Interface war - für mich überraschend - nicht unter der geänderten IP-Adresse (172.21.1.1), sondern unter der des zweiten Ports (172.24.1.1) erreichbar. Erst als ich dem LAN die IP 172.21.1.2 zugewiesen hatte, war das Web-Interface unter 172.21.1.2 erreichbar. Die Monowall scheint hier irgendetwas anders als pfsense zu machen. Ist es überhaupt ratsam die IP von LAN-Port 1 zu ändern?

Bevor ich es vergesse: in der obigen Anleitung sind wohl die Baud-Raten durcheinander geraten: pfsense hat 9600 und Monowall 38400.

nochmals vielen Dank!
autohoti
autohoti 18.06.2012 um 20:43:14 Uhr
Goto Top
@aqui
vielen Dank für Deine anschauliche Darstellung und Du hattest Recht mit Deiner Vermutung, der Fehler ist zwischen Stuhl und Keyboard.

Kaum hat man es richtig gemacht, funktioniert es mit dem richtigen Image.
Nachdem ich mir ein DVI-Kabel und einen Monitor besorgt habe, kommen die von Dir gezeigten screenshots auf dem Bildschirm.

D.h. der Rechner bootet, aber trotz der richtigen IP Adresse kann ich keine Verbindung aufbauen.
An welcher Schraube muss ich noch drehen?
Muss ich evtl. Änderungen am console setup machen?

Ich weiß ich stelle mich noch ziemlich doof an, aber wie soll ich es denn sonst lernen.

lg und besten Dank
autohoti
aqui
aqui 21.06.2012 aktualisiert um 13:55:26 Uhr
Goto Top
@parsival
Danke für das Feedback bzgl. der Baudraten, das checke ich nochmal und passe das Tutirial an.
Was deinen Frage zur Änderung der LAN IP anbetrifft:
Die Frage ist NICHT ob es ratsam ist sondern ob es gewollt ist z.B. wenn du die FW in ein bestehendes Netzwerk integrieren musst.
Dann hast du ja logischerweise gar keine andere Wahl die IP zu ändern !!
Fakt ist das das natürlich kein Thema ist. Du kannst am LAN Port absolut problemlos jede beliebige IP Adresse konfigurieren wie du lustig bist.
Wichtig ist das du aber im Auge behälst das sich mit Änderung der IP auch gleichzeitig eine Änderung des DHCP Servers erzwingt sofern die FW auch IP Adressen dort dynamisch vergeben soll oder muss.
Tust du das nicht musst du am Konfig Client zwangsweise die IP statisch eingeben.
Hier gilt es also etwas nachzudenken und alle von der IP abhängigen Dienste anzupassen.
Das gilt auch für die Firewall Regeln der einzelnen Ports.
Sehr wichtig ist auch die Anti Lockout Rule für das WebGUI und deren Anpassung !
Also einfach ohne Nachdenken die IP am LAN überzutippen reicht nicht immer !

@autohoti
Nein, doof stellst du dich nicht an ! Checke zuallererst die Bootmessages ob die Hardware sauber erkannt wird !
Wenn das der Fall ist dann checke im Consolmenü af welchen physischen Interfaces des Rechners welches IP Segment liegt !!
Davon ist es abhängig ob du mit einem angeschlossenen Client eine IP Adresse per DHCP bekommst. Wenn du mit dem Client am WAN Port hängst bekommst du logischerweise keine IP automatisch, dann musst du den anderen Port ausprobieren.
Ganz sicher gehst du wenn du dem Client eine statische IP z.B. 192.168.1.100 /24 im lokalen LAN vergibst.
Wichtig als erster Schritt immer versuchen das pfSense Interface anzupingen mit ping 192.168.1.1 das sollte immer klappen !!
Ggf. supporten die Interfaces an deinen APC-620 Rechner kein MIDI-X also die automatische Polungserkennung am Ethernet.
Dann musst du, sofern du hier einen PC direkt dran hast, zwingend ein Crossover (gedrehtes) Kabel verwenden oder einen kleinen 10 Euro 5 Port Switch an den Port hängen und daran dann deinen Client PC.
Wie gesagt, wenn die pfSense deine Netzwerk HW auf dem APC-620 sicher erkannt hat (Bootmessages) dann sollte das fehlerfrei laufen ! Es ist nichts zusätzliches Einzustellen die FW rennt von selber im Default !
Testweise kannst du auch mal (sofern du noch eine Flash Karte über hast) statt Monowall das pfSense Image verwenden das etwas mehr NIC HW supportet:
http://files.nl.pfsense.org/mirror/downloads/pfSense-memstick-2.0.1-REL ...
Prozedur ist die gleiche...
autohoti
autohoti 30.06.2012, aktualisiert am 02.07.2012 um 20:20:30 Uhr
Goto Top
@aqui
vielen Dank für Deine Unterstützung. Ich habe es tatsächlich geschafft, ich bin jetzt soweit daß ich über IP zur Monowall-Konfigurationsseite gelange und Änderungen vornehmen kann.
Im Augenblick kämpfe ich noch damit, daß nachdem ich beim Captive Portal die Quelltextdatei (login.html) eingefügt habe, beim Neustart von Firefox keine "Login-Seite" angezeigt wird, sondern der Quelltext an sich.

Das Problem hat sich gelöst, nachdem ich es mit einer anderen Login.html versucht hatte und diese funktioniert hat, habe ich erneut die Administrator-Login-Quelldatei abgespeichert und hochgeladen und dann hat es auch funktioniert.
Vielen Dank für Deine Geduld und die guten Ratschläge.
Jetzt geht es ans Feintuning und das Voucher-Feature, ich denke daß das auch noch eine Herausforderung ist, aber wenn es dann geklappt hat ist es ein gutes Gefühl.

lg autohoti
aqui
aqui 02.07.2012 um 20:11:39 Uhr
Goto Top
Entweder das oder du hast mit sehr hoher Wahrscheinlichkeit einen Tippfehler im HTML Code den der Browser dann nur als ASCII Text anzeigt.
Firefox hat einen Mode mit dem du den Quelltext anzeigen lassen kannst. Das sollte dein Problem schnell fixen.
Sonst erst den Tutorial HTML Code nehmen zum Testen und alles wasserdicht machen.
Dann weisst du bei solcherlei Problemen, das es wirklich nur an deinem HTML Code liegt face-wink
autohoti
autohoti 02.07.2012 um 20:26:36 Uhr
Goto Top
@aqui
danke für die Info, aber wie oben bereits geschrieben muss ich wohl einen Fehler in die html-Datei gebracht haben.
Auf jeden Fall paßt alles soweit.
Deine Tipps sind echt eine gute Hilfe beim Problemlösen.

So jetzt geht es mit Feintuning und dem Voucher weiter.
autohoti
autohoti 21.07.2012 um 16:41:27 Uhr
Goto Top
@aqui
ich bin ganz begeistert von monowall, die Hotspot-Funktion auf meiner monowall funktioniert einwandfrei, sowohl mit fest eingetragenen usern als auch mit den vouchers.
Jetzt bin ich aber seit geraumer Zeit am Suchen, wie ich eine Anzeige über das Restguthaben des Vouchers dem User anzeigen kann. Leider konnte ich bisher keine Antwort finden.
Ich habe solch eine Anzeige/Counter bereits bei anderen Programmen beispielsweise im Logoutfenster gesehen, gibt es bei monowall eine ähnliche Funktion?

lg autohoti
aqui
aqui 22.07.2012 um 11:05:06 Uhr
Goto Top
@autohoti
Hab ich auch noch nicht gesehen. Auch bei der Schwester pfSense kann man das zwar im Setup Menü sehen aber das ist ja eine Domäne des Administrators. Es erscheint dort ein Popup Window nach dem Einloggen was man im CP aktivieren kann aber das wird so gut wie von allen Browsern unterdrückt.
mavnezz
mavnezz 06.08.2012 um 14:11:30 Uhr
Goto Top
Servus,

vielleicht könnt ihr mir bei meiner Idee helfen, bzw. Antworten ob dies überhaupt realisierbar ist mit der vorhandenen Hardware.

Ich habe ein Alixboard (3 Ports) mit der der aktuellen PFsense Version laufen.

- Wan Port hängt am DSL Modem (PPPOE)
- Lan Port 1 = Firmennetzwerk
- Lan Port 2 = Hotspot

Soweit funktioniert alles ohne wenn und aber. Kann ich den Wan Port auch doppelt belegen? Sprich PPPOE und DHCP verwenden, sprich 2 Gateways ins Netz benutzen? PPPOE (ADSL) ist langsam, da drüber nur POP3 und SMTP. Die andere Verbindung (DHCP oder acuh STATIC) ist eine SDSL Verbindung, da gerne dann HTTP Traffic. Squid Proxy Package ist auch installiert.

Der Wan Port hängt an einem Switch, wo das DSL Modem angeschlossen ist, der SDSL Router würde auch dann da dran kommen.

Ist dieses Scenario realisierbar, oder muss ich ein ALIXBoard mit 4 Ports kaufen?

VIelen Dank

Julian
aqui
aqui 06.08.2012 aktualisiert um 16:22:29 Uhr
Goto Top
Das würde klappen mit einem kleinen Workaround:
Du musst VLANs etablieren am WAN Port und deine beiden Interfaces darauf legen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dann nimmst du einen kleinen VLAN Switch wie z.B. den Cisco SG-200-8 oder den Mikrotik 750 und schliesst die FW mit einem tagged Link an der beide VLANs beinhaltet und am Switch splittest du das dann wieder auf in 2 physische Interfaces.
Der Mikrotik hat den Vorteil das er selber Router ist und du mehr WAN Optionen auf diesen Interfaces dann hast.
So wäre das immer problemlos lösbar mit 3 Interfaces.
Es muss ja auch nicht das WAN Interface sein !
Du kannst auch die 2 LAN Ports also Firmennetzwerk und Hotspot so auf 2 VLANs legen an einem Interface und nutzt die restlichen 2 dann für das WAN. Auch sorum wäre das möglich.
Ansonsten bleibt nur die Lösung mit 4 Interfaces.
geklgekl
geklgekl 09.10.2012 um 11:53:24 Uhr
Goto Top
Hallo

ich habe eine Frage zu den schönen Netzwerkdarstellungen im Artikel. Wie heisst das Tool mit dem man solche schematischen Darstellungen mit so schönen Symbolen erstellen kann?
Gruss Gerhard
brammer
brammer 09.10.2012 um 12:30:15 Uhr
Goto Top
Hallo,

das hat aqui mit Visio gemacht.

brammer
aqui
aqui 09.10.2012 um 13:51:11 Uhr
Goto Top
Oder mit Omnigraffle wenn man an einem Mac sitzt face-wink
geklgekl
geklgekl 09.10.2012 um 14:01:02 Uhr
Goto Top
Kennt vielleicht jemand auch ein entsprechendes Tool unter Linux?
113395
113395 18.09.2013 um 14:03:25 Uhr
Goto Top
Wow, echt geschmeidig. Danke für diesen Tollen Beitrag
dank diesem Beitrag habe ich sehr viel Geld gespart face-smile
aqui
aqui 19.09.2013 aktualisiert um 19:28:32 Uhr
Goto Top
Danke für die Blumen face-smile Dafür ist ein Forum ja da !!

.@gekigeki
Das Linux Zeichentool ist "Dia"
https://projects.gnome.org/dia/
MickyMaus
MickyMaus 26.10.2013 um 17:31:12 Uhr
Goto Top
Hallo,

erst mal auch von mir herzlichen Dank für diese spitzen Anleitung!

Mich würde da noch eine Sache interessieren ... und zwar habe ich vor, das Gerät als Router/Firewall hinter meinem Zwangs-Kabel-Router zu nutzen. Ich würde darauf gerne über pfsense openVPN als Client betreiben, und zwar mit einer 256 Bit (vermutlich AES) Verschlüsselung.
Die Frage ist, da mein Kabel doch eine recht hohe Bandbreite hat, z.Zt. 50 Mbit/s (es wären aber auch bis zu 150 Mbit/s möglich!), ob der AMD Geode Prozessor das auch schafft (jetzt mal davon ausgegangen, die VPN-Gegenstelle liefert überhaupt die Bandbreite!)?

Erst wollte ich mir einen normalen handelsüblichen Router kaufen, z.B. was von TP-Link und das Ganze evtl. über ddwrt realisieren, habe dann aber irgendwo gelesen, dass die Bandbreiten bei openVPN 256 Bit Verschlüsselung doch sehr in die Knie gehen, so dass vielleicht nur noch ca. 1,5 Mbit/s dabei raus kommen!
Z.Zt. habe ich openVPN noch dezentral auf mehreren Systemen (also z.B. Linux- oder Windows PC) laufen und da ist das mit dem Speed kein Problem ... und das sollte natürlich auch so bleiben, wenn ich das Ganze über eine zentrale Schnittstelle laufen lasse.

Hat da zufällig jemand Erfahrungswerte?
aqui
aqui 29.10.2013 um 19:10:22 Uhr
Goto Top
Die ct' hat das getestet und der Router schafft mit dem ALIX Board 100 Mbit in Wirespeed. Beim VPN ist das etwas geringer lag aber im oberen 80er Bereich.
Voraussezung ist aber das man im pfSense Setup den Hardware Cryptochip des ALIX aktiviert hat !

Billige Consumer Router haben keinerlei Krypto Hardware an Bord, machen das also in SW und da kommen dann billige SoC Chips in solchen Systemen sehr schnell an ihre Grenzen.
Marsax
Marsax 06.01.2014 um 19:51:34 Uhr
Goto Top
Hallo aqui

Vielen Dank für deine super Tutos.
Habe gerade einige zu monowall etc. gelesen und wollte nun monowall herunterladen.
Dabei ist mir aufgefallen, dass die aktuelle Version 1.34 von 11/12/2012 stammt
Das scheint mir relativ alt zu sein. Oder ist das so üblich bei dieser SW? Oder wird die nicht mehr weiter entwickelt?

Danke und Gruss
aqui
aqui 06.01.2014 um 20:00:28 Uhr
Goto Top
Monowall ist eher konservativ in den Releases und diese kommen sehr spärlich. Ist da also üblich.
Du solltest immer besser die Schwester pfSense einsetzen, die wird erheblich aktiver gepflegt und hat einen Sack mehr Features an Bord !
christianW
christianW 08.04.2014 um 17:45:27 Uhr
Goto Top
Hallo Aqui,
super Beitrag habe diesen gerade gefunden. Ich bin darauf gestossen da ich auf der Suche nach einer neuen Lösung für mich bin.

Bisher habe ich immer einen Linksys WRT54GL Router für die portbasierenden VLANs genutzt die Zugriffsbeschränkungen habe ich per IPTables auf IP-Basis gelöst. Zu dem bot der WRT54GL OpenVpn was ich zwigend benötige.

Nun habe ich aus Performancegründen nach einem neuen Modell mit 1Gbit-LAN gesucht. Hier begannen nun die Probleme, hier ist meiner Meinung nach DD-WRT zu ver"bug"t. Entweder gehen die VLANs nicht ordentlich in der GUI zu konfigurieren , dann wieder fehlt bei der nächten Verison das WLAN gänzlich usw. so schleifen sich die Probleme durch jede Verison. Hier bin ich nun auf die pfSense gestossen Port-Vlans, openVPN usw.

Jetzt stellt sich die Frage, da ich Port-basierende VLANS benutzen möchte/benötige, gib es diese Lösung auch mit mehr LAN-Anschlüssen ? Ich würde 4xVlans benötigen und dann natürlich 1x WAN . Zudem kann ich bei der pfSebse die Zugriffsregeln per IpTables konfigurieren ?

Vielen Dank für die Unterstützung
C.
aqui
aqui 08.04.2014 aktualisiert um 18:46:31 Uhr
Goto Top
Wenn du ALIX Hardware einsetzt hast du auf deren MBs halt eben nur 3 Interfaces. Soekris ist noch ein zertifizierter Hersteller für pfSense/Monowall kompatible embedded Hardware. Da gibt es 4 Port Boards mit den net5501 und net6501 Boards.
Da aber jegliche i386 und auch 64bit Hardware supportet ist kannst du dir ein pfSense FW System ja auch selber customizen mit einer 1 HE Mini ITX Maschine und mit entsprechenden Mehrport NICs oder Einzelnics dadrauf.
Eine weitere HW Alternative wäre z.B. eine gebrauchte Watchguard Firebox Hardware die mit pfSense problemlos rennt, allerdings dann eben gebraucht und oft nicht leise...

Wenn du aber mit VLANs arbeitest dann überträgst du diese VLANs ja doch üblicherweise mit einem Tag auf ein physisches Interface der FW.
Dieses Interface ist dann durch den VLAN Tag wieder intern virtuell unterteilt in n mal so viele Sub Interfaces für die dann wieder separate Firewall Regeln erstellbar sind. Siehe auch im VLAN Tutorial hier.
Damit kommst du ja dann prima auch mit simplen 3 Interfaces aus wenn du eins eben in 4 VLANs separierst virtuell.
Denkbar ist auch das du aus Performancegründen eben 2 Interfaces mit je 2 VLANs unterteilst. So bekommt man das ja auch gelöst mit 3 Interfaces und VLANs.
Mit iptables kannst du das nicht regeln, denn pfSense oder Monowall basiert auf FreeBSD Unix und nicht Linux.
Ist auch gar nicht nötig, denn die Firewall hat, wie du oben ja sehen kannst, ein vollständiges FW Ruleset was über eine grafische Klicki Bunti Oberfläche umfassend administriert werden kann. Rumfrickeln auf dem CLI ala iptables ist also gar nicht erforderlich !
Das FW Leben wird dann ganz einfach mit Grafik GUI. face-wink
christianW
christianW 08.04.2014 um 23:35:55 Uhr
Goto Top
Hallo aqui,
vieln Dank für Deine schnelle Erleuterungen, mein HP Switch ProCurve 1800-24G wäre in der Lage VlanTags zu setzen, somit käme ich mit zwei Ports wie beschrieben hin. Allerdings ist mir gerade aufgefallen das die von Dir im Link angegebenen Modell 10/100 Schnittstellen haben.
Das hätte zur folge wenn ich von VLAN zu VLAN kopiere wieder auf eine 100mbit Schnittstelle im Durchsatz reduziert bin, oder sehe ich das falsch ?
aqui
aqui 09.04.2014 aktualisiert um 09:14:05 Uhr
Goto Top
Nein, das siehst du richtig. Wenn du Gigabit haben willst, dann musst du folgende ALIX Hardware verwenden:
ALIX Boad APU.1C
http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-ALIX-APU1C ...
Oder sinnvollerweise gleich als Bundle mit passendem Gehäuse und Netzteil:
http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU-1C-Bu ...

Bei Soekris wäre dann das 6501 das einzige Board was 1 GiG hat aber dann eigentlich mit etwas zuviel Ports....
christianW
christianW 10.04.2014 um 01:00:41 Uhr
Goto Top
Hallo,
ja danke soweit, ich habe mir erst einmal zum Testen das "kleine Bundle" bestellt. Da ich zwischen den VLANs nicht so viel kopiere, eher nur expliziet IP Adressen z.B. ein Drucker im anderem Haushalt (VLAN) zugänglich machen will, ist dies nicht so entscheidet. Im selben VLAN ist eben 1Gb gegeben.

Ich hoffe das das Gerät den Download von 64Mbit/s und 5Mb/s Upload schafft ?
Aus diesem Grund habe ich den wrt54GL mit ddwrt nicht mehr nutzen können, dieser hatte im Download einen deutlichen Verlust von ca. 20Mbit/s.
Vielleicht war das Gerät mit dem kleinem Prozessor/Ram und dd-wrt, VLANs sowie den IPtables übervordert ?
aqui
aqui 10.04.2014 aktualisiert um 18:56:19 Uhr
Goto Top
Ich hoffe das das Gerät den Download von 64Mbit/s und 5Mb/s Upload schafft ?
im ct' Test hat die pfSense auf dem ALIX mit ca. 94 Mbit/s bidirektional fast Wirespeed geschafft. Mit VPN war es etwas weniger.
Die geforderten 64Mbit/s und 5Mb/s sind dann also eher wie ne Lachnummer für die Hardware....
Kannst du mit NetIO oder iPerf auch selber nachmessen.
kleinem Prozessor/Ram und dd-wrt, VLANs sowie den IPtables übervordert ?
Ja das ist so. Alle diese billigen etwas älteren Konsumer Systeme haben einen schwachbrüstigen SoC an Bord. Bei denen ist meist bei 10-15 Mbit Schluss. Mit NAT und PPPoE noch weniger.
coli
coli 24.04.2014 um 14:21:25 Uhr
Goto Top
UPDATE !
PC Engines hat ein
[http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-ALIX-APU1C-System-Board-1-GHz-2-GB-DDR3-RAM-3x-LA::3101.html?XTCsid=rsb465ag1iqh8v7jlnpisbgr86
neues_Mainboard] im Portfolio, das APU.1C !!
3 mal 1 Gigabit Ethernet, Dual Core CPU mit 2 GiG DRAM und minPCI und SIM Slots für Wireless LAN, GSM/UMTS/LTE Module.
Damit ist nun auch ein Firewalling auch mit 1 GBit/s Wirespeed auf 3 Ports möglich.
UPDATE !


Hallo Aqui,

ich bin mir nicht sicher ob ich es möglicherweise überlesen habe, doch sagte man mir heute im Varia-Store, dass das neue Board nicht mit der derzeitigen pfSense Version kompatibel ist und sie deshalb kein Komplettsystem angeboten wird ...

PC Engines APU.1C4 Bundle (Board, Netzteil, Speicher, Gehäuse) - auch für das APU.1C: http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU-1C4-B ...

Hast du einen anderen Wissensstand bzw. weiß du wann pfSense an das neue Board angepasst wird ?

Danke vorab !
Coli
aqui
aqui 24.04.2014 um 17:41:06 Uhr
Goto Top
Hallo Coli,
Auf der pfSense Seite gibt es diverse Performancetests und Tips wenn man nach APU.1C sucht:
https://forum.pfsense.org/index.php?topic=73885.0 usw.
Eine komplette Live Bootmessage von einem pfSense auf genau dieser HW sieht man z.B. hier:
https://plone.lucidsolutions.co.nz/networking/pfsense/boot-pfsense-v2.1. ...
Das alles könnte man ja schlecht testen wenn es grundlegende Probleme gäbe und sieht doch aus als ob es funktioniert.
Persönlcih habe ich die HW noch nicht in den Fingern aber die Postings bei pfSense selber und in diversen Foren bestätigen das eher nicht.
Hat der Varia Store Kollege das wenigstens mal näher spezifiziert WAS dort nicht kompatibel sein soll ??
coli
coli 24.04.2014 um 18:02:30 Uhr
Goto Top
Hallo Aqui,
ich werde morge versuchen mehr herauszufinden und berichte danach, wenn ich Glück hatte ...
LG, Coli
coli
coli 30.04.2014 um 08:15:44 Uhr
Goto Top
Hallo Aqui,

folgendes Statement habe ich erhalten:

Unserer technische Abteilung ist schon über der Planung dieses PfSense systemes. Leider gibt es noch keine genaue Auskunft.

LG, Coli
aqui
aqui 30.04.2014 um 18:06:55 Uhr
Goto Top
Komisch...da ist die pfSense Community weltweit scheinbar schon weiter wo es ja fehlerfrei arbeitet... ?!
Na da bleiben wir dann mal gespannt was dabei rauskommt. Danke fürs Feedback.
christianW
christianW 04.05.2014 um 00:36:57 Uhr
Goto Top
coli
coli 07.05.2014 um 22:35:13 Uhr
Goto Top
Zitat von @christianW:

Hallo,
hier im Vario-Store sind die Komplettsysteme aber anscheinend erhältlich


DANKE für den Hinweis, anscheinend ist es soweit face-smile
christianW
christianW 10.05.2014 um 14:44:09 Uhr
Goto Top
Hallo,
weiß jemand ob es möglich ist, den Konfigurationsfile einer "ALIX Board 100 Mbit" auf das andere Modell APU1C4 direkt zu übernehmen ?


MfG
aqui
aqui 10.05.2014 um 15:52:53 Uhr
Goto Top
Sollte klappen... Hängt aber davon ab ob die 3 LAN Interfaces dieselbe Bezeichnung haben. Wenn nicht verweigert er das.
Das ist ein XML File den du einfach mit einem Text Editor ansehen kannst.
christianW
christianW 13.05.2014 um 16:49:53 Uhr
Goto Top
Hallo nochmal,
ich habe da einfach ein Problem mit dem openvpn.

Ich hab eine neue pfSense aufgesetzt und OpenVpn konfiguriert. VPN Server läuft, intern Ping auf die VPN Server Adresse möglich.

Nun wollte ich die VPN Einwahl erst einmal simulieren. Habe das Gerät mit meinem aktuellem Router verbunden.
LAN-Port (192.168.0.0/24) >pfsense WAN mittels DHCP konfiguriert >192.168.0.100/24

Portforwording am Router vom 192.168.0.1/24 UDP1194 > 192.168.0.100/24
Firewallregeln WAN-Port und OpenVpn sind angelegt.

Nun bin ich mit dem Notebook im 192.168.0.0 Netz und möchte mich Remoteadresse 192.168.0.100 verbinden.
Dies funktioniert einfach nicht! Es kommt keine Verbindung zu Stande, ich sehe einfach nicht warum ?
aqui
aqui 13.05.2014 aktualisiert um 16:58:55 Uhr
Goto Top
LAN-Port (192.168.0.0/24) >pfsense WAN mittels DHCP konfiguriert >192.168.0.100/24
Das geht NICHT !!

LAN und WAN sind hier im gleichen IP Netzwerk ! Das klappt logischerweise nicht !
Lass es so wie es sein soll und im Default ist, das LAN und WAN in unterschiedlichen IP Netzen sind und klemme den OVPN Client einfach in das Netz am WAN Port an.
  • Entferne in den global Settings am WAN Port den Haken (Block RFC 1918 IP Networks) und
  • Erlaube in der Firewall Regel am WAN Port das UDP 1194 Pakete von any die WAN Port IP erreichen dürfen.
Fertig....
Dann kannst du genau wie später Live testen ob es von remot klappt.
Alle Details dazu findest du in diesem Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit besonderen Hinweisen dort für ein Testsetup und des Regel Settings !!

Bitte für dieses Detailproblem einen separaten Thread aufmachen um das Tutorial hier nicht zu sehr aufzublähen !!
Jaedy1992
Jaedy1992 02.06.2014 um 08:51:39 Uhr
Goto Top
@ aqui

Sehr gute Anleitund! Danach kann man eigentlich keine Fragen mehr haben face-smile
Selbst überschneidende Themen sind sehr gut mit Links gekenzeichnet.

Hab mir heute die Komponenten bestellt. Mal schauen wie lange sie bis nach
Thailand brauchen -.-
Wenn ich damit fertig bin brauche ich was neues zum basteln. Was schlägst
du einem IT-Noob (wie mir) noch als schönes Projekt vor (Vorzugsweise
Netzwerkkomponenten :D)?

Gruß

JD
aqui
aqui 02.06.2014 um 09:03:28 Uhr
Goto Top
Wie wärs mit einem Management Server auf einem Raspberry Pi:
Netzwerk Management Server mit Raspberry Pi
für einen Gäste Hotspot:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Mal im Ernst... auf diese sinnfreie "Killerfrage" kann man nicht fundiert antworten, denn du weisst vermutlich selber wie umfangreich allein das Kapitel "Netzwerke" in der gesamten IT ist !!
Jaedy1992
Jaedy1992 02.06.2014 um 10:50:55 Uhr
Goto Top
Danke für den Tipp.
Ich weiss, dass das Thema "Netzwerke" gelinde gesagt verdammt groß ist. Da ich
aber, wie oben angedeutet, kaum Erfahrung habe ist mir jedes subthema recht um
etwas dazu zu lernen.
Irgendwo muss man ja schließlich anfangen ;)
aqui
aqui 02.06.2014 aktualisiert um 17:17:20 Uhr
Goto Top
Da ich aber, wie oben angedeutet, kaum Erfahrung habe
..und dann aber gleich in ein Administrator Forum... Respekt !!
kai700
kai700 06.07.2014 um 18:38:43 Uhr
Goto Top
Hallo,
ich bin auf diese Seite gestoßen, weil ich nach Webprotokoll (protokollieren der besuchten seiten) gesucht habe. Meine fritzbox 3170 hat kein webprotokoll. Ob die neueren eins haben, ist mir nicht ganz klar. Es gibt zwar Kindersicherung und Black/Whitelist, aber ein Webprotokoll?
Kann die FW hier auch ein "lesbares" webprotokoll liefern? Mit der Fritzbox kann man ja auch aufzeichen und mit wireshark auslesen. Das scheint eher nur tempörär sinnvoll und die Pakete erschließen sich nicht gleich. Kann man mit der FW auch eine Liste der besuchten URLs logen?
Gruss Kai
aqui
aqui 06.07.2014 aktualisiert um 20:04:15 Uhr
Goto Top
Nein die Fritzbox kann keine besuchten URLs mitprotokollieren. Auch die Kindersicherung ist in 3 Minuten geknackt wie in der Regel üblich bei billigen Consumer Routern.
Kurze Antwort auf deine Frage:
Ja, das funktioniert problemlos !
Du musst dir über die Package Verwaltung der pfSense FW einen Proxy (Squid) installieren und der protokolliert dann alle besuchten Webseiten rechtssicher mit so wie du es möchtest.
Die FW ist dafür nicht zwingend erforderlich. Das klappt natürlich auch über einen Stand alone Proxy und deiner Fritzbox wenn du den auf einem separaten kleinen Rechner installierst. Bei nicht zu hoher DSL Speed reicht dafür auch ein Raspberry_Pi.
Infos zum allseits bekannten Klassiker Squid findest du hier:
http://www.squid-handbuch.de/hb/

Detailfragen dazu solltest du in einem separaten Thread posten um das Tutorial hier nicht allzu aufzublähen.
kai700
kai700 07.07.2014 um 22:26:11 Uhr
Goto Top
Danke. Vielleicht noch eine abschließende Frage hier in diesem Thread. Wenn FW + Proxi, dann ist pfSense als FW quasi die bessere Wahl und das geht auch auf einer Hardware. Mir ist noch eingefallen, dass ich ein NAS (24/7) habe (1,6Ghz Atom, 1GB Ram), auf dem ich auch Squid installieren könnte. Ist das evtl. gleichgut/besser/schlechter geeignet? Hauptsächlich mach ich damit lokale und remote backups. Gruss Kai
aqui
aqui 08.07.2014 um 19:23:08 Uhr
Goto Top
Ja, pfSense hat die Option Packages zusätzlich zur FW Funktion nachzuinstallieren. Du kannst damit den Squid UND die Firewall auf einer HW betreiben was bei kleinen Installationen durchaus einen Vorteil hat da weniger HW.
FW Puristen sehen sowas aber kritisch, da solche Funktionen auch wieder einen zusätzlichen Angriffspunkt bieten und solche Admins diese Funktionen strikt trennen.
Deshalb kann man diese Frage nicht mit ja oder neinen beantworten. Es kommt eben auf individuelle Faktoren wie die Größe des Netzes, den zu erwartenenden Cache Traffic und auch die Sicherheits Policy an.

Bei großen Installationen / Netzwerken besteht der Nachteil das die Cachedaten des Proxies schnell sehr groß werden können. Sinnvoll ist hier also immer eine mechanische Festplatte oder SSD einzusetzen.
Wenn man die pfSense auf einem alten PC oder 1 HE Server betreibt ist das kein Thema, da diese dann meist mit an Bord ist.

Sehr häufig wird die FW aber als 24/7 Gerät mit einem Flash Speicher (üblicherweise CF bei Verwendung der o.a. ALIX Hardware) betrieben, deren Datenvolumen dann begrenzt ist. Multiple Schreiboperationen nagen zusätzlich an der Lifetime eines statischen Flash Speichers.
Hier ist es dann in der Tat sinnvoller den Squid tatsächlich auf einem NAS z.B. oder extra Rechner zu installieren.
Du machst dich damit dann unabhängig von Speicherproblemen die dann auch deine FW außer Gefecht setzen könnten.
Wenn du also noch genügend Platz auf dem NAS hast macht es je nach Größe des Netzes durchaus Sinn das dafür zu verwenden.
michi1983
michi1983 12.02.2015 aktualisiert um 13:17:27 Uhr
Goto Top
Hallo @aqui,

kannst du mir ev. bei der Auswahl des Images helfen welches ich runterladen muss für dieses Produkt?

Muss ich hier einen bootfährigen USB Stick erstellen um vom selbigen zu booten um das System dann auf der mSATA Disc zu installieren?

Danke für die Hilfe!
aqui
aqui 12.02.2015 aktualisiert um 14:01:26 Uhr
Goto Top
Ja, da du kein CF gewählt hast was sich über Imager extern beschreiben lässt musst du das über einen Bootstick oder ein USB CD Laufwerk installieren.
Da das ALIX kein VGA Port hat musst du immer das serial Image nehmen dann dann hast du den Bildschrim auf der seriellen Konsole mit PuTTY oder TeraTerm.
pfSense-memstick-serial-2.2-RELEASE-i386.img.gz
Bei CD ists dann entsprechend das LiveCD Image.

Es wäre sinnvoller gewesen NICHT die mSSD zu nehmen sondern das Image bootfertig auf einer simplen 4G SD Karte im APU1D4 zu installieren !
Das wäre dann das nanobsd Image gewesen:
pfSense-2.2-RELEASE-4g-i386-nanobsd.img.gz
Was du dann mit physdiskwrite oder dem Win32DiskImager hättest direkt bootfertig aufs Flash schreiben können. (Wenn du Winblows als OS verwendest)
Zumal die Nanobsd Image auch auf Flash Speicher optimiert sind und möglichst wenig Schreiboptionen ausführen um das Flash möglichst lange am Leben zu halten.
michi1983
michi1983 12.02.2015 um 14:03:51 Uhr
Goto Top
Okay, vielen Dank für die Aufklärung.
Ich habe noch nichts bestellt face-smile Wollte deshalb vorher mal abklären wie das ablaufen würde.
Dann werde ich deinen Tipp befolgen!

Schönen Tag noch
aqui
aqui 12.02.2015 um 14:16:53 Uhr
Goto Top
Erleichtert dir die Installation ungemein.
Achte darauf das du eine Class 10, mindestens aber Class 6, SD Karte nimmst die entsprechenden Lese- Schreibdurchsatz hat. Und nicht gerade das NoName Teil vom Blödmarkt Grabbeltisch face-wink Ein paar Euro mehr lohnt sich da....
michi1983
michi1983 13.02.2015 aktualisiert um 09:41:00 Uhr
Goto Top
Hallo @aqui,

eine Frage hätte ich noch bis das Gerät dann geliefert wird.

Es geht um unsere Infrastruktur im Büro.
Wir haben einen Business SDSL Anschluss.

Es gibt ein Zhones SNE2040G Modem
Dahinter ein Mikrotik Routerboard

Am Mikrotik hängt eine Webcam, ein AVM VoIP Gateway 5188 an dem die AGFEO Telefonanlage hängt und der Server (Ubuntu 12.04 LTS).
Der Server hat 2 NICs. Vom Mikrotik bekommt der Server eine statische öffentliche IP und die andere NIC regelt das LAN (DHCP). Am LAN Port des Servers hängt ein Cisco Small Business SG218 Switch.

Die komplette Hardware außer dem Server und dem Cisco Switch stammen vom Provider und wird von denen gemanaged.

"Alles" was ich jetzt in puncto Sicherheit tun kann ist meines Erachtens nach den Server vom LAN physisch zu trennen mit der PfSense, ist das korrekt?
Also der WAN Port der PfSense bekommt dann die statische IP vom Mikrotik (wie es der Server vorher getan hat).
Auf einen LAN Port der PFSense kommt der Server dran mit einer fixen IP und auf den 2. LAN Port der PfSense kommt der Cisco Switch dran.
DHCP im LAN würde dann die PfSense übernehmen?!

Den Verkehr zwischen LAN und Server steuere ich dann über die PfSense FW.

Wäre das so die "korrekte" Vorgehensweise oder habe ich etwas übersehen/vergessen?

Beste Grüße

Edit://
Wenn die PfSense mehr Ports hätte, wäre es natürlich eine Option den Mikrotik vom Provider komplett wegzulassen und alles selbst zu managen.
Ich denke aber, das würden die nicht zulassen weil es auch um QoS beim VoIP geht und sie dann keine "Garantie" mehr übernehmen.
aqui
aqui 13.02.2015 um 09:46:14 Uhr
Goto Top
den Server vom LAN physisch zu trennen mit der PfSense, ist das korrekt?
Ja, wenn du das so möchtest ist das korrekt !
Auf einen LAN Port der PFSense kommt der Server dran mit einer fixen IP und auf den 2. LAN Port der PfSense kommt der Cisco Switch dran.
Auch das ist ein simples und klassisches Design und funktioniert fehlerlos.
DHCP im LAN würde dann die PfSense übernehmen?!
Auch das geht natürlich problemlos. Du hast alle Optionen offen wie du es gerne hättest und was Sinn macht.
Den Verkehr zwischen LAN und Server steuere ich dann über die PfSense FW.
Das ist der Sinn und Zweck einer Firewall in so einem Design face-wink
oder habe ich etwas übersehen/vergessen?
Nein, alles richtig bedacht.
Wichtig ist nur zu klären ob das oben von dir zitierte Modem auch WIRKLICH ein reines Modem ist und KEIN Router !!!
Bei einem Modem musst du die PPPoE Provider Zugangsdaten direkt am WAN Port der pfSense definieren und bekommst hier auch die öffentliche IP Adresse.
Ist das Teil KEIN Modem sondern ein Router, dann musst du am WAN Port DHCP Client aktivieren oder eben eine statische IP Adresse (erheblich besser !) definieren aus dem Transfer IP Netz zum Provider !
michi1983
michi1983 13.02.2015 aktualisiert um 09:54:49 Uhr
Goto Top
Zitat von @aqui:

Wichtig ist nur zu klären ob das oben von dir zitierte Modem auch WIRKLICH ein reines Modem ist und KEIN Router !!!
Bei einem Modem musst du die PPPoE Provider Zugangsdaten direkt am WAN Port der pfSense definieren und bekommst hier auch die
öffentliche IP Adresse.
Ist das Teil KEIN Modem sondern ein Router, dann musst du am WAN Port DHCP Client aktivieren oder eben eine statische IP
Adresse (erheblich besser !) definieren aus dem Transfer IP Netz zum Provider !

Dann schätze ich, dass es kein reines Modem ist. Denn bisher musste ich nirgendwo Zugangsdaten eintragen, sondern einfach eine statische IP aus unseren reservierten 6 IP Adressen. Entweder sind die Daten also im Modem/Router eingetragen oder im Mikrotik Routerboard dahinter (sofern das überhaupt möglich ist).

Danke für Einschätzung! Dann werd ich nächste Woche wenn die PfSense da ist mal loslegen face-smile
aqui
aqui 13.02.2015 um 11:02:53 Uhr
Goto Top
Dann schätze ich, dass es kein reines Modem ist.
"Schätzen" ist in der IT bekanntlich keine gute Basis. Besser ist du "weist" es !!
sondern einfach eine statische IP aus unseren reservierten 6 IP Adressen.
OK, dann ist die Sache klar, denn dann bekommst du ein kleines eigenes Subnetz vom Provider transparent geroutet.
Das ist technisch die allerbeste Lösung für die pfSense die dann am WAN Port eben diese eine IP aus dem 6er Kontingent bekommt und die entsprechenden Gateway und DNS Einträge des Providers.
Solltest du dann besser auch klar so im Sachverhalt schildern denn wie jeder netzwerker weiss ist ein himmelweiter Unterschied zwischen Modem und Router.
Ein Fakt der hier leider sehr oft im Forum verwechselt wird da Laien fast immer einen Router fälschlicherweise als Modem bezeichnen.
Gut das das nun geklärt ist und die pfSense wird vollkommen problemlos in dem Umfeld funktionieren, da kannst du mal sicher von ausgehen !
michi1983
michi1983 17.02.2015 aktualisiert um 19:23:16 Uhr
Goto Top
Hallo @aqui,

Ich hatte gehofft, ich muss deine Kentnisse nicht weiter bemühen jedoch habe ich leider ein Problem bei der Installation.

Ich habe die pfsense heute bekommen und mir auch gleich eine SD Karte geholt.
Allerdings hatte der Laden nur eine 32GB Karte Class10.

Ich habe jetzt folgendes Problem, dass ich nicht weiß, ob mein "Problem" an der Größe der SD Karte liegt.
Muss es denn genau eine 4GB Karte sein?

Ich hab die Karte wie von dir beschrieben mit dem Win32DiskImager mit dem pfSense-2.2-RELEASE-4g-i386-nanobsd.img beschrieben und danach eingebaut.
Ich bekomme aber einfach keine Verbindung her auf das Webinterface.
Ich kann auch die 192.168.1.1 nicht anpingen, ganz egal ob ich die IP fix eintrage am PC oder mittels DHCP beziehen lasse (wobei ich ja nicht mal eine zugewiesen bekomme).
Kann ich denn irgendwie "verifizieren", dass das Schreiben des Image auf die Karte funktioniert hat? Oder liegt das Problem wirklich an der zu großen SD Karte?
Ich habe
8ad434baa16d61eb4b27037e981824f9
einen Screenshot vom Partitionsprogramm gemacht damit man sieht wie die Karte beim Schreiben des Images partitioniert wurde.

Ich habe übrigens Windows 8.1 im Einsatz falls das für die Fehlersuche bzw. Anweisungen hilfreich sein sollte.

Beste Grüße
aqui
aqui 17.02.2015 aktualisiert um 16:43:55 Uhr
Goto Top
Muss es denn genau eine 4GB Karte sein?
Nein nicht zwingend.
Ich bekomme aber einfach keine Verbindung her auf das Webinterface.
Du bist auch richtig auf dem LAN Port ?? Siehe dazu auch diesen Thread:
Kein Erfolg mit monowall auf ALIX Board
bzw. auch
Bestehendes Netzwerk - seperates WLAN ohne Zugriffsmöglichkeiten auf bestehendes
Kann ich denn irgendwie "verifizieren", dass das Schreiben des Image auf die Karte funktioniert hat?
Ja, das ist kinderleicht zu machen.
Schliesse ein Terminal (PuTTY oder TeraTerm) an die serielle Schnittstelle des ALIX an und sehe der Firewall beim Booten zu.
Dort siehst du den ganz normalen Boot Prozess mit den Schrimmeldungen. Dort kannst du ganz genau sehen ob das Image vom Flash korrekt bootet.
Der erste Thread oben hat Detailinfos dazu und auch....
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

P.S.: Du musst hier bitte KEIN externen Bilderlinks die häufig Zwangswerbung enthalten benutzen. Beim Erstellen des o.a. Threads kann dir nicht entgangen sein das es hier ein Bilder Hochladen Funktion gibt ! Es sei denn mit Tomaten, Augen und so... du weisst ?!
Wenn du unter "Meine Fragen" also deinen Thread oben mit Klick auf "Bearbeiten" editierst dann siehst du den Klickbutton oben links.
Klicken, Bild hochladen und den dann erscheinenden "Bilder Link" mit Rechtsklick und Copy und Paste hier in JEGLICHEN Text bringen (auch bei Antworten funktioniert das !)
Et voila...statt Link siehst du dann dein Bild !
Kann man übrigens auch wunderbar noch nachträglich machen face-wink
michi1983
michi1983 17.02.2015 aktualisiert um 18:56:27 Uhr
Goto Top
Hallo,

vielleicht ist es auch einfach schon zu spät für mich, aber ich finde beim bearbeiten beim besten Willen keine Option für den Bilderupload. Zumindest bei Kommentaren nicht. Beim Erstellen ist es mir bekannt, dass das funktioniert :/
Vielleicht hab ich ja wirklich Gemüse auf den Augen.

Den richtigen Port hab ich verwendet, wie in deiner Anleitung beschrieben.

Hm, das mit dem Terminal habe ich fast vermutet aber wollte ich irgendwie umgehen. Jetzt werde ich mir einen USB-Seriell Adapter bestellen oder eine PCIe - Seriell Karte. Sonst hab ich keine Möglichkeit mich mit der seriellen Schnittstelle des ALIX zu verbinden.

Danke für die Hilfe!

Schönen Abend noch.
aqui
aqui 17.02.2015 aktualisiert um 19:25:42 Uhr
Goto Top
keine Option für den Bilderupload. Zumindest bei Kommentaren nicht. Beim Erstellen ist es mir bekannt, dass das funktioniert :/
Und auch nur DA geht es ! Steht ja oben alles. Lade das Bild da hoch und paste einfach den Bilder "URL" in deinen Antwortstext !
Dann erscheint auch das Bild und zwar in jedem beliebigen Text hier ob Thread, Antwort oder PM ! So einfach ist das face-smile

Denn Port kann man aber nicht festlegen und bei anderer HW mag das anders sein als bei den 100 Mbit ALIX.
Das Terminal zeigt dir ja sicher an welche Ports WIE aktiv sind !
aber wollte ich irgendwie umgehen.
Warum das denn ?? Wenns dir doch sofort hilft ?!
Das sind 5 Euro für einen simplen USB Seriell Adapter und die Termianl SW ist kostenlos ! Einfacher kanns doch nun nicht sein, oder ??
Bestellen musst du den auch nicht, denn gibts bei jedem PC Shop oder Blödmarkt ! Das ist ein Massenartikel.
Du kannst sonst nur anhand der LEDs kontrollieren ob das Bord richtig bootet und das ist wenig aussagekräftig.
Hilfreich ist hier:
https://forum.pfsense.org/index.php?topic=73885.105
und
http://www.pcengines.ch/pdf/apu1.pdf
michi1983
michi1983 17.02.2015 um 19:25:35 Uhr
Goto Top
Ahhh jetzt habs auch ich verstanden :D ist erledigt.

Werde mir morgen einen Adapter besorgen und dann hoffentlich den Fehler finden.
aqui
aqui 17.02.2015 um 19:26:06 Uhr
Goto Top
Den findest du dann ganz sicher face-wink
12ha34
12ha34 21.02.2015 um 13:51:35 Uhr
Goto Top
Hallo aqui,

tolle Anleitung die Lust auf eine pfSense FW macht. Ich bin bei der Suche nach einer geeigneten FW für ein kleines Netzwerk auf Deinen Thread gestoßen. Die Performance soll dabei auch noch entsprechend gut sein. Daher meine Frage,
gibt es eine Aussage zu den erreichbaren Durchsatzraten (FW, VPN etc) der pfSense beispielsweise im Vergleich zur ZyWall USG 20?

Also vielen Dank und schöne Grüße
aqui
aqui 21.02.2015 um 14:39:43 Uhr
Goto Top
Laut Test vom ct' Magazin schafft die pfSense mit einer ALIX 2D13 HW im NAT und PPPoE Modus direkt an DSL Anschlussen fast Wirespeed mit ca. 90 Mbit. Mit aktivem VPN Tunnel ist es geringfügig weniger aber durch den bordeigenen Cryptochip besser als Vergleichs HW in diesem Bereich.
Das neue APU1D von ALIX schafft ähnliche Raten (880 Mbit bei PPPoE / NAT) durch die bordeigenen 1 GiG LAN Ports.
Wenn du keine PPPoE Encapsulation benötigst sind die Werte halt besser und erreichen fast Wirespeed.
12ha34
12ha34 21.02.2015 um 16:24:21 Uhr
Goto Top
Vielen Dank, das hört sich gut an. Dann werde ich mir mal die entsprechende HW beschaffen und das nach Deiner Anleitung testen.

Grüße
12ha34
12ha34 22.02.2015 aktualisiert um 13:10:28 Uhr
Goto Top
Hallo aqui,

bei dem APU1D4 Boards (oder für die Bundle ) steht etwas von 64bit Unterstützung, muss ich da die AMD64 Version der pfSense Images wählen? Kannst Du was zum Unterschied des normalen Bundle zu dem mit der Embedded Box sagen?
Ansonsten würde ich das "normal" APU1D4 Bundle mit einer 8GB SD Karte bestellen und entsprechend Deiner Anleitung vorgehen. Hat das APU1D4 auch einen bordeigenen Cryptochip?

Grüße du Danke
aqui
aqui 22.02.2015 um 14:41:50 Uhr
Goto Top
Stimmt, der Prozessor hat 64 Bit support. Damit sollte man ein pfSense-2.2-RELEASE-4g-amd64-nanobsd-upgrade.img.gz Image auf die SD Karte flashen können und das sollte wunderbar klappen.
was zum Unterschied des normalen Bundle zu dem mit der Embedded Box sagen?
Was soll da der Unterschied sein ?? Was ist normal und was ist embedded ?? Ist etwas wirr. Normal hast du ein Mainboard, da ist ein SD Kartenslot drauf, man flasht ne 4 oder 8 Gig SD Karte mit dem Image, steckt die in den Kartneslot, schraubt das Board ins Gehäuse und gutt iss.
Was soll da jetzt normal und embedded sein ???
Das D4 Borad musst du nicht nehmen es reicht auch das normale D1 D4 mit mehr RAM muss man nur nehmen wenn man viele größere Packages dazuinstalliert und laufen lässt.
Die neue CPU hat auch einen Crypto Beschleuniger an Bord in HW.
12ha34
12ha34 22.02.2015 aktualisiert um 15:17:26 Uhr
Goto Top
Mit dem Embedded meine ich die Version aus dem Varia-store
PC Engines APU1D4 Bundle mit Embedded Box (Art. APU1C4-BUNDLE-EB)

mit normal meinte ich:
PC Engines APU1D4 Bundle (Art. APU-1C4-BUNDLE)

Ich habe halt keinen Unterschied beim Board gesehen (nur beim Gehäuse) und daher die Frage ?

Grüße
aqui
aqui 23.02.2015 aktualisiert um 13:27:07 Uhr
Goto Top
Keine Ahnung was ein "embedded" Gehäuse zu einem richtigen Gehäuse sein soll. Dafür musst du beim Händler mal anrufen.

Ich würde immer das hier nehmen:
http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1C-1D- ...
12ha34
12ha34 23.02.2015 um 12:04:19 Uhr
Goto Top
Alles klar, danke nochmal!
12ha34
12ha34 27.02.2015 um 23:57:53 Uhr
Goto Top
So habe die Hardware jetzt da aber wider erwarten nicht zum Fliegen bekommen face-sad, habe das APU1D4 Bundel mit einer 8GB SD genommen. Habe am PC das pfSense-2.2-RELEASE-4g-amd64-nanobsd.img Image via DiskWrite aufgespielt und die SD Karte in das Board gesteckt und gebootet. Bekomme am rechten Port keinen Zugriff auf die Hardware. Weder mit statisch vergebener IP aus dem 192.168.1.0/24 Bereich noch via DHCP. Laut Anleitung sollte das doch funken oder? Muss ich am APU1D4 noch irgendeine (Boot) Option setzten? Wüsste aber nicht welche? Hoffe Ihr habt noch einen Tipp für mich. Soll ich ein anderes Image testen? Welches?

Grüße
aqui
aqui 28.02.2015 aktualisiert um 09:21:14 Uhr
Goto Top
Hast du einen Terminal Adapter angeschlossen ??
Was sagt der ??
Kannst du die Boot Meldungen des Boards sehen ?
Bootet die pfSense wie sie soll ? Was zeigen die Boot LEDs an ??

Was häufig mit neueren Images passiert ist die Tatsache das die Interfaces nicht fest zugewiesen werden beim allerersten Start der Firmware und über das Terminal dann die Zuweisung gemacht werden muss.
Beim Booten spricht die Firewall deshalb automatisch in dieses Menü was man dann per Terminal einstellen kann.
vr0 Port = LAN
vr1 Port = WAN
Danach startet die Firewall dann in den funktionierenden Modus.

Wichtig ist hier also ein angeschlossenes Terminal mit PuTTY oder TeraTerm !!!
12ha34
12ha34 28.02.2015 um 10:04:33 Uhr
Goto Top
Hallo Aqui,

LEDs sind nach dem einschalten alle 3 drei für 2s grün, dann nur die linke LED (außen am Rand) dauerleuchten. Terminal hatte ich gestern noch angeschlossen und sehe zumindest das das BIOS Bootet und die SD Karte als Bootmedium ausgewählt wird. Dann sehe ich keine Meldungen mehr, vermute das das an den unterschiedlichen Baudraten Board (115200 <-> 9600) pfsense liegt. Beim "umschalten" bekomme ich im Windows einen Bluescreen so dass ich mir erst mal einen neuen USB->Seriell Adapter holen muss face-sad. Aber ich bin guter Dinge das es mit dem dann vorangeht. Ich werde eine Rückmeldung geben.

Grüße
12ha34
12ha34 28.02.2015 aktualisiert um 11:50:47 Uhr
Goto Top
Mit dem neuen USB to Serial Adapter läuft alles wunderbar face-smile und hat dann auch auf Anhieb geklappt. terminal läuft auch komplett mit 115200 bei Bootmenü und pfsense durch! Automatische Konfiguration der Adapter war dann auch kein Problem. Jetzt geht's ans konfigurieren und Testen.

Beim im Bootmenü habe ich auf der Konsole 2 Optionen

1. pfsense
2. pfsense

automatisch startet das die Nummer 2. Kann mir einer sagen was es damit auf sich hat?


Grüße und Danke
aqui
aqui 28.02.2015 um 12:09:15 Uhr
Goto Top
Klasse wenns nun klappt ! face-big-smile
Das sind 2 Partitions die auf der Flash Karte erzeugt werden. Falls eine mal strauchelt kannst du von der anderen booten face-wink
Ist ein Sicherheitsfeature.
12ha34
12ha34 28.02.2015 um 12:24:47 Uhr
Goto Top
Aha gut zu wissen, sind also völlig redundant und es ist egal von welcher ich boote und die Konfiguration mache?

Grüße und Danke
aqui
aqui 28.02.2015 um 18:42:53 Uhr
Goto Top
Ja....