@jahonix:

Oh man, und ich habe gerade "Landkarte" gelesen.  :)…

Vorsicht, wenn sich das häuft wirds Zeit für den Augendoc, bin jetzt bei Gleitsichtgläsern angelangt  8)

-teddy

Moin @teddy,

danke für die Tipps. Dies hier gefällt mir am besten:

@magicteddy:

2.) Du reduzierst die Konfiguration der Fritte auf ein Minimum (Zugangsdaten) und hängst pfSense dahinter. Dann konfigurierst Du die Fritte als exposed Host.
Alles was nicht für die Fritte bestimmt ist landet automatisch auf dem WAN Interface der pfSense. Komplette Konfiguration erfolgt auf der Seite von pfSense.

Ich muß mir erst nochmal den Netzwerkaufbau vor Ort angucken - wieviele Interfaces ich brauche - und editiere diesen Post dann.

Erstmal.

Morjen,

wir bekommen immer die Meldung "No Valid Radius Server responses".

Hintergrund: Captive Portal Voucher und FreeRadius soll verwendet werden (Lehrer sollen sich nur mit max 2 Geräten und einem User-Account anmelden können, alle anderen nur 1x)

Radius alleine mit Radius-Usern funktioniert Captive Portal ohne Voucher mit lokalen Usern funktioniert Captive Portal mit Voucher funktioniert,

nur nicht mit Radius und Voucher. DNS-Resolver ist aktiviert und funktioniert.

Danke erst mal für eure Antworten und
VG Horst

Gibt es noch einen anderen Ort, wo diese veralteten Information gespeichert sein könnten?

Im iPhone?

Schau doch mal nach, was im Netz angeboten wird, geht damit:

https://www.macupdate.com/app/mac/13388/bonjour-browser (oder was vergleichbares direkt auf dem iPhone).

Wenn "Wohnzimmer (2)" da nicht dabei ist, dann hat das iPhone das gecacht.

-flo-

Ah!
Da liegt das Problem, ich hab nämlich mit dem Wechsel zu pfSense auch den Pc gewechselt  :)

Vielen dank!

Hi,

hi , das war Spaß :-)

Ich hab mit der Antwort gerechnet.

Ich dachte es geht anders, ich hab den OpenWRT extra auf "dumb" gestellt, dass heisst der macht nichts mehr .. DCHP etc. geht alles über die PFSense und ich dachte, vielleicht gehts ja doch.

Gruß Chris

Nachdem ich nach wie vor in dem Thema nicht weitergekommen bin habe ich mich nun mal durchgerungen und eine zweite PfSense aufgesetzt die ich vor die vorhandene gesetzt habe:

Modem---------------[PPPoE---PfSense1---10.11.100.1]--------------[10.11.100.2---PfSense2---3 LAN-Netze]------------Clients

Ich habe ein reines DSL-Modem. Die PfSense1 baut die PPPoE-Verbindung auf. Das LAN-Interface hat die IP 10.11.100.1 ohne DHCP-Server. Internet-Zugriff ist von diesem Punkt aus möglich. An der PfSense2 habe ich nun die IP 10.11.100.2 als IP-Adresse des WAN-Interfaces und die IP 10.11.100.1 als Gateway angegeben.
DNS-Server ist nur auf PfSense2 aktiv.

So weit so gut, die Clients am Ende der "Schlange" haben Internetzugriff, grundsätzlich funktioniert es!
Nun ist es aber doch so, dass ich hier eine Double-NAT Situation habe.

Wie schaffe ich es nun NAT auf die PfSense1 zu beschränken? Auf welcher PfSense würdet ihr den DNS-Server laufen lassen?

Da ich ihn nicht nutze, kann ich nur meine Vermutung äußern. Ich schätze, er forwarded alle Requests bis auf die, die du unter Host Override definiert hast. Also wird er auch nicht cachen.
Für kleine Umgebung mit <10 Clients wirst du dich wahrscheinlich mehr über die "schlechte" Performance beim Resolver ärgern beim ersten Aufruf eines Hostnames.

Hier: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
und
Hier: https://forum.pfsense.org/index.php?topic=113922.0
wird noch mal einiges geklärt und erklärt.

Gerade beim Thema Forwarding und DNSSEC gibts ein paar Abhängigkeiten, die einem bewusst sein sollten, wenn man den DNS Resolver nutzen mag.

…und wenn die Übertragung von Innen initiiert wird, also klassisch etwas hochgeladen werden soll, dann kann das nur eine fehlende/falsche Rule auf dem Interface bedeuten.

Gruß
pfadmin

Hallo oder moin moin ;)

ich stehe auch vor der "Herausforderung" dass ich mit einem FTP Client hinter der pfSense auf einen FTP-Server zugreifen möchte.
Auf dem Client (Totalcommander bzw. FileZilla) habe ich jeweils passiver Mode eingestellt.
Der anfängliche Verbindungsaufbau scheint auch zu gehen, bis das Verzeichnis aufgelistet wird.

Status: Verbindung hergestellt, warte auf Willkommensnachricht…
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Status: TLS-Verbindung hergestellt.
Status: Angemeldet
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is the current directory
Befehl: TYPE I
Antwort: 200 Type set to I
Befehl: PASV
Antwort: 227 Entering Passive Mode (81,169,167,84,131,109).
Befehl: MLSD
Fehler: Die Datenverbindung konnte nicht hergestellt werden: ECONNREFUSED - Verbindung durch Server verweigert

folgendes finde ich als "Block" in den Firewall-Logs:

Apr 10 09:08:10 WAN 81.169.167.84:20 46.x.x.x:51986 TCP:S
Apr 10 09:08:08 WAN 81.x.x.x:20         46.x.x.x:51986 TCP:S
Apr 10 09:08:07 WAN 81.x.x.x:20         46.x.x.x:51986 TCP:S
Apr 10 09:08:07 LAN 10.0.0.111:51985 81.x.x.x:55286 TCP:S
Apr 10 09:08:06 LAN 10.0.0.111:51985 81.x.x.x:55286 TCP:S

81.x.x.x ist der FTP Server
46.x.x.x ist die IP meiner pfSense am WAN IF
10.0.0.111 ist der Client im LAN

Ich habe ausgehend Port 20 und 21 sogar als UDP/TCP freigegeben.
Was mache ich falsch???  :o >:( :( :-[

Vielen Dank.
HilFi

Dies erlaubt leider den Zugriff auf alle Netze. Wenn ich als DESTINATION  nicht ANY sondern nur LAN(später WAN) angebe, funktioniert der Internetzugriff nicht.
Welche Regeln fehlen ?

Wie soll er auch funktionieren, wenn du Destination "LAN" setzt? Das würde ja heißen du erlaubst auf dem Gastnetz den Zugriff in dein LAN Subnetz. Du willst ins Internet. Ergo kann das kaum stimmen.
Da du ins Internet willst und kaum alle IPs des Internets freigeben möchtest, musst du natürlich ANY als Destination für den Zugriff erlauben. Vorher aber eben noch Netze ausschließen, wo du die Clients des Gastnetzes nicht haben möchtest, also bspw. deine internen IPs im LAN oder anderen Netzen. Du kannst auch - wenn es bei dir geht - schlicht alle RFC1918 Adressen blocken. Also bspw. ein Block nach Destination 10/8, 172.16/12 und 192.168/16 machen. Vorher aber vielleicht - sofern die pfSense NTP/DNS etc. für das Netz macht - einen Allow auf deren IP machen.

Sprich:

allow any any <gästenetz_address>any -  (erlaube zugriff auf das pfSense interface im gästenetz für dns/dhcp/ntp etc.)
block any any <alias_rfc1918>any  -  (blocke alle sonstigen internen Adressen)
allow any any any any (erlaube den Rest aka zhe interwebz) ;)

Grüße</alias_rfc1918></gästenetz_address>

Hallo,

der pfSense kannst du das Problem wohl nicht anlasten, 450k States sollten für eine ganze Menge Rechner ausreichen. Du kannst die maximale Anzahl im Rahmen des Speichers noch weiter erhöhen, um einstweilen die Häufigkeit der Abbrüche zu reduzieren, das Problem ist aber vermutlich anderswo zu suchen.

Bei dieser enormen Anzahl und vor allem diesem rasanten Traffic-Anstieg ist die Ursache wohl ein Übeltäter auf einem Rechner, der sehr viele Verbindungen in kurzer Zeit aufbaut, wie zum Beispiel ein Spambot. Die Verbindungen kannst du dir ja in Diagnostics > States ansehen. Vermutlich wirst du da kaum andere Verbindungen finden als die des Übeltäters.
Also schau da einmal rein um herauszufinden von welchem Host wohin welche Verbindungen aufgebaut werden.

Grüße

Danke!

Wald vor lauter Bäumen…natürlich war's der falsche Gateway.

Boh geil!  8)

Direkt übermorgen mal ausprobieren.

Ich besorg mir erstmal einen 3. USB Stick. (install stick, boot stick, kopier vom boot stick - für wenn mal nix mehr geht)
Hab nämlich

"Enable Static ARP entries" bei Services > DHCP angeklickt.

Was soll ich sagen… es macht GENAU das was da steht.
"This option persists even if DHCP server is disabled. Only the machines listed below will be able to communicate with the firewall on this interface."

Und schwups... ging nix mehr. Kabelmodem tot. Auf Console oder webinterface einloggen geht nie mehr.
AUSSER von dem PC wo man vorher schon statisch hingeroutet hat. Von da aus konnte ich den Haken wieder entfernen und ich war gerettet.
Aber ich hatte den Haken natürlich von einem ganz anderen Ort aus gesetzt und konnte mich ab da nicht mehr einloggen - und hab mich dann gewundert.  ;D Fehler sitzt immer VOR dem PC.  :D

Danke!

Roelli.

Ich beantworte mir die Frage hier mal schnell selbst, habe das SOLL-Szenario testweise nachgebaut, bisher funktioniert alles soweit.
Die pfsense Firewall bekommt über das mgmt Interface Internetzugriff, kann also auch z.B. Softwareupdates etc. ziehen und die beiden Zonen trust und untrust werden transparent getrennt bzw. gefiltert.  8)

Also mittels SSH kann ich es verbinden aber wie schreibe ich das entsprechende php script ?

Ich habe diesen Code gefunden der eine deaktivierte Regel aktiviert und die Änderungen übernimmt aber wenn ich es im WebGUI ausführen will kommt nur folgende Fehlermeldung:

/bin/script_regel.php: global: not found
/bin/script_regel.php:
: not found
/bin/script_regel.php: 2: Syntax error: word unexpected (expecting ")")

Hier mal das Script:

/Regel aktivieren/
global $config;
parse_config(true);
$config['filter']['rule']['71']['disabled'] = false;
write_config();
exec();

require_once("config.inc");
require_once("functions.inc");
require_once("filter.inc");
require_once("shaper.inc");
require_once("ipsec.inc");
require_once("vpn.inc");

/* Änderungen übernehmen */
get_interface_arr(true);

$retval = 0;
                $retval = filter_configure();

clear_subsystem_dirty('filter');

pfSense_handle_custom_code("/usr/local/pkg/firewall_rules/apply");

echo "The settings have been applied. The firewall rules are now reloading in the background.";

@Raffi:

Ich würde gerne auf der pfSense snort und squid laufen lassen, geht das? Ist das Sinnvoll?

Ob der Einsatz von sinnvoll ist hängt davon ab, was Du damit bezwecken willst.  ;)
Squid (proxy) macht dann Sinn, wenn Du z.B. den Internetzugriff der User durch Sperrlisten beschränken (ACL's) oder cachen willst. Wenn Du das nicht willst, brauchst Du auch keinen Proxy.
Snort als IPS macht m.E. nur Sinn, wenn man sich gut damit auskennt und die Meldungen auch zu deuten weiß. Sonst wirst Du von angeblichen 'Einbruchsversuchen' geradezu überrollt.
Wenn Du keine Dienste über das Internet anbietest (z.B. FTP, HTTP, Email, usw.) und Du die Firewall nur als 'Deluxe-Ruoter' als Ersatz für eine FrtitzBox nutzt, macht snort m.E. keinen echten Sinn.

@Raffi:

Ist-Zustand:
Standort A (VDSL100down-40up mit einer Fritz.box 7390) Standort B (VDSL50down-10up Fritz.box 7490) diese sind per Fritz.box VPN miteinander vernetzt.
Soll-Zustand:
die pfSense soll die Fritz.box ersetzen und die Fritz.box soll hinter der pfSense als TK-Anlage agieren.

Hat einer diese Konstellation und kann mir Tipps geben?

Warum nicht die Fritzbox weiter den Internetzugang/Telefonie machen lassen und die pfsense dahinter als Exposed Host!? Ist deutlich einfacher zu konfigurieren.  :)

Hey.
Da ich viel Aliase verwende wird das ziemlich hässlich.  ;D

Möglicherweise habe ich den "Fehler" auch schon gefunden.
Nachdem ich die States alle gelöscht habe, konnte ich die genannte Verbindung nicht nochmal finden.

Ich hatte für das Gerät kurzzeitig mal eine allow all Regel drin.
Vielleicht ist dadurch die Verbindung offengeblieben?
Wie lange bleiben die States den bestehen, da ich die VM sicherlich in der Zeit mal durchgestartet habe.