Zumal hier mehrfach von Alpha-Alpha Versionen wie 2.0 gesprochen wird, das noch in ziemlichem Rohzustand vorliegt. Das ganze dann noch virtualisiert und verschlüsselt etc. - könnte es deshalb wohl so viele Probleme geben, weil man sie sich selbst erstellt?

Um auf dem Punkt von area5 aufzubauen: Lässt sich das reproduzieren wenn ein echtes Sytem arbeitet? Das könnte auch ein Nebeneffekt von der Virtualisierung sein.

Bei OpenVPN könnte(TM) es möglich sein, evtl. eine Punkt-zu-Punkt Verbindung einrichten und dann als Custom Parameter noch die Routing Regeln mit eingeben.

Ansonsten wäre mal wieder anzumerken, das sowas nichts auf einem Security-Gerät zu suchen hat. Ich baue mir meinen PC ja auch nicht in den Kühlschrank um die Kühlung zu sparen, weil der ja immer durch läuft ;)

Halte ich für übertrieben. Die minimale Wahrscheinlichkeit Schadcode auf dem System einzuschleusen, der tatsächlich Hardware zerstört (und zwar dann genau diese Hardware), halte ich für ein vielfaches niedriger, als die Probleme die durch die Virtualisierung kommen. Jede Softwareebene, die um ein Sicherheitssystem "drumherum" gebaut wird, hat selbst wieder Angriffsfläche. Somit würdest du vielleicht die verschwindend geringe Möglichkeit eines Hardware Knockouts minimieren, aber wärst ansonsten wieder anfälliger, für alles was die XEN, VM oder sonstige Umgebung angeht. Von der Verkomplizierung des Setups ganz zu schweigen. Zudem bin ich mir unschlüssig, wie gut FreeBSD respektive pfSense unter Xen (und ob überhaupt) läuft.

hallo,

leider bin ich etwas im stress diese woche.

ich habs probiert mit der Einstellung bridged, passierte aber gar nichts. auch wenn ich ein anderes subnet erstelle und auf den LAN-Gateway weiterleite geht nichts.

meine momentanen firewall-testregeln sind auf allen netzen any -> any, damit ich mir da nichts verbaue. ich setz erst konkrete regeln wenn ichs ohne fw-restriktionen zum laufen bekommen habe.

meine vermutung ist, dass sich pfsense und die hardware irgendwie nicht vertragen

Ich glaube du bringst verschiedene dinge durcheinander.

1: Du kannst aliase in allen feldern verwenden die einen roten hintergrund haben.
2: Ein alias existiert in 3 geschmäckern:

Host(s): (mehrere) einzelne IPs, Network(s): Hier kannst du mehrere CIDR-blöcke eintragen. Port(s): Hier kannst du einzelne Ports oder auch Portranges eingeben.
3: Du kannst ein alias nur im entsprechenden feld verwenden. Sprich ein Portalias kann nur in feldern verwendet werden in denen du sonst normale Port eingeben würdest. Genau gleich kannst du IP/Subnet aliase nur in feldern verwenden in denen du sonst IPs/Subnets eingeben würdest.

Wozu willst du bei "destination" mehrere aliase angeben?
Nein es ist nicht ok ein portalias in einem IP feld anzugeben. Das sollte dir fehler spucken. (Wenn nicht direkt auf der page, dann spätestens beim nächsten rule reload im systemlog).

Vielleicht hilft dir eine erklärung der felder:
Source: Die IP von der eine connection her aufgebaut wird. Im normalfall willst du hier any.
Source-port: Der port der von einer IP her verwendet wird um eine ausgehende verbindung aufzubauen. Im normalfall hier ebenfalls any.
Destination: Die IP auf der ein service läuft. Im normalfall ebenfalls any.
Destination-port: Der port auf dem ein service auf einer destination-IP läuft. Im normalfall ebenfalls any.

So wollte einfach nun mal bescheid geben das mein Problem gelöst ist.

Habe jetzt einfach eine Fritz!Box mit Zugangsdaten an WAN2 gehängt und schwupps geht alles einwandfrei.

Ich habe zwar keinen blassen Schwimmer warum es mit dem halbtransparenten Modem (D-Link 321B) nicht geklappt hat, weil ich mir eigentlich sicher bin das es funktionieren müsste.

Vielleicht lag es auch an meinen Providern (T-Business DSL und T-Online).
Das ganze sieht nun so aus:

/(WAN PPPoE) - (DSL-Modem) - T-Business DSL, feste IP
192.168.1**.*** - LAN pfSense Box
                                    (OPT1 Static)- (Fritz!Box Modem Router) - T-Online dyn. IP

Naja Fragen über Fragen, auf jeden Fall bin ich heil froh das es nun läuft. Vielleicht hilft dieser Thread ja noch mal irgendwem.

Liebe Grüße

chris

Bei OpenDNS kann es sein dass Deine IP Adresse als fixe Adresse angemeldet ist und dann bekommst Du bei einigen Seiten eine Fehlermeldung. Probier mal den DNS Deines Providers.

MFG

Starmanager

da gibt's dauernd wieder Diskussionen darüber, aber IPv6 ist ganz weit Unten in den Prio's. Die Entwickler sind zuwenig Fan.
m0n0wall ist da weiter. http://techblog.simoncpu.com/2009/01/pfsense-ipv6.html scheint der einzige Entwickler in dieser Richtung zu sein. Aber seit Januar ist gar nichts gegangen..

Beat

Danke geht wunderbar  :)

So nach rücksetzen auf factory defaults lässt sich dieses ebenfalls nicht wieder erreichen, hat jemand einen Rat?

Ich werde die config.xml später mal Posten, da ich sowieso neu installieren muss, sind die dort vorhandenen Daten nicht irrelevant.

Die Einstellungen der Rules sind noch Standard bzw. leicht angepasst.

Die CERTs sind ohnehin fakes, da es zum testen ist, dennoch müssen diese Funktionieren tun Sie ja auch mit der 1.2.2 und 1.2.3.

Cu
plsvw39c

/etc/inc/xmlparse.inc

So hab nun mal Testweise diese versucht
http://cvstrac.pfsense.com/fileview?f=pfSense/etc/inc/xmlparse.inc&v=1.32.2.44
http://cvstrac.pfsense.com/fileview?f=pfSense/etc/inc/xmlparse.inc&v=1.32.2.43
http://cvstrac.pfsense.com/fileview?f=pfSense/etc/inc/xmlparse.inc&v=1.32.2.42

mit dem Ergebnis
Fatal error: Cannot create references to/from string offsets nor overloaded objects in /etc/inc/xmlparse.inc on line 68

Aktuell

/* $Id: xmlparse.inc,v 1.32.2.44 2008/12/20 23:57:09 helder Exp $ /
/
    xmlparse.inc
    functions to parse/dump configuration files in XML format
    part of m0n0wall (http://m0n0.ch/wall)

Copyright (C) 2003-2004 Manuel Kasper mk@neon1.net.
    All rights reserved.

Redistribution and use in source and binary forms, with or without
    modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice,
      this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright
      notice, this list of conditions and the following disclaimer in the
      documentation and/or other materials provided with the distribution.

THIS SOFTWARE IS PROVIDED ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES,
    INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY
    AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE
    AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY,
    OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
    SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
    INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
    CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
    ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
    POSSIBILITY OF SUCH DAMAGE.
*/

/* The following items will be treated as arrays in config.xml /
function listtags() {
  / Please keep this list alpha sorted and no longer than 80 characters
  * I know it's a pain, but it's a pain to find stuff too if it's not
  */
    $ret = explode(" ",
        "alias aliasurl allowedip authserver bridged ca cacert cert config container ".
        "columnitem depends_on_package disk dnsserver dnsupdate domainoverrides ".
        "dyndns earlyshellcmd element encryption-algorithm-option field ".
        "fieldname hash-algorithm-option gateway_item gateway_group gif gre ".
        "group hosts member interface_array item key lagg lbaction lbpool l7rules ".
        "lbprotocol member menu tab mobilekey monitor_type mount ntpserver onetoone ".
        "openvpn-server openvpn-client openvpn-csc " .
        "option ppp package passthrumac phase1 phase2 priv proxyarpnet queue ".
        "pages pipe route row rule schedule service servernat servers ".
        "serversdisabled earlyshellcmd shellcmd staticmap subqueue timerange ".
        "tunnel user vip virtual_server vlan winsserver wolentry widget  "
        );
    return $ret;
}

/* Package XML tags that should be treat as a list not as a traditional array */
function listtags_pkg() {
    $ret = array("depends_on_package", "onetoone", "queue", "rule", "servernat", "alias", "additional_files_needed", "tab", "template", "menu", "rowhelperfield", "service", "step", "package", "columnitem", "option", "item", "field", "package", "file");

return $ret;
}

function startElement($parser, $name, $attrs) {
    global $parsedcfg, $depth, $curpath, $havedata, $listtags;

array_push($curpath, strtolower($name));

$ptr =& $parsedcfg;
    foreach ($curpath as $path) {
        $ptr =& $ptr[$path];
    }

/* is it an element that belongs to a list? */
    if (in_array(strtolower($name), $listtags)) {

/* is there an array already? /
        if (!is_array($ptr)) {
            / make an array */
            $ptr = array();
        }

array_push($curpath, count($ptr));

} else if (isset($ptr)) {
        /* multiple entries not allowed for this element, bail out */
        die(sprintf("XML error: %s at line %d cannot occur more than once\n",
                $name,
                xml_get_current_line_number($parser)));
    }

$depth++;
    $havedata = $depth;
}

function endElement($parser, $name) {
    global $depth, $curpath, $parsedcfg, $havedata, $listtags;

if ($havedata == $depth) {
        $ptr =& $parsedcfg;
        foreach ($curpath as $path) {
            $ptr =& $ptr[$path];
        }
        $ptr = "";
    }

array_pop($curpath);

if (in_array(strtolower($name), $listtags))
        array_pop($curpath);

$depth–;
}

function cData($parser, $data) {
    global $depth, $curpath, $parsedcfg, $havedata;

$data = trim($data, "\t\n\r");

if ($data != "") {
        $ptr =& $parsedcfg;
        foreach ($curpath as $path) {
            $ptr =& $ptr[$path];
        }

if (is_string($ptr)) {
            $ptr .= $data;
        } else {
            if (trim($data, " ") != "") {
                $ptr = $data;
                $havedata++;
            }
        }
    }
}

function parse_xml_config($cffile, $rootobj, $isstring = "false") {
    global $listtags;
    $listtags = listtags();
        if (isset($GLOBALS['custom_listtags'])) {
          foreach($GLOBALS['custom_listtags'] as $tag) {
            $listtags[] = $tag;
          }
        }
    return parse_xml_config_raw($cffile, $rootobj, $isstring);
}

function parse_xml_config_pkg($cffile, $rootobj, $isstring = "false") {
    global $listtags;
    $listtags = listtags_pkg();
        if (isset($GLOBALS['custom_listtags_pkg'])) {
          foreach($GLOBALS['custom_listtags_pkg'] as $tag) {
            $listtags[] = $tag;
          }
        }
    return parse_xml_config_raw($cffile, $rootobj, $isstring);
}

function parse_xml_config_raw($cffile, $rootobj, $isstring = "false") {

global $depth, $curpath, $parsedcfg, $havedata, $listtags;
    $parsedcfg = array();
    $curpath = array();
    $depth = 0;
    $havedata = 0;

$xml_parser = xml_parser_create();

xml_set_element_handler($xml_parser, "startElement", "endElement");
    xml_set_character_data_handler($xml_parser, "cdata");

if (!($fp = fopen($cffile, "r"))) {
        die("Error: could not open XML input\n");
    }

while ($data = fread($fp, 4096)) {
        if (!xml_parse($xml_parser, $data, feof($fp))) {
            log_error(sprintf("XML error: %s at line %d\n",
                        xml_error_string(xml_get_error_code($xml_parser)),
                        xml_get_current_line_number($xml_parser)));
            return -1;
        }
    }
    xml_parser_free($xml_parser);

if (!$parsedcfg[$rootobj]) {
        die("XML error: no $rootobj object found!\n");
    }

return $parsedcfg[$rootobj];
}

function dump_xml_config_sub($arr, $indent) {

global $listtags;

$xmlconfig = "";

foreach ($arr as $ent => $val) {
        if (is_array($val)) {
            /* is it just a list of multiple values? /
            if (in_array(strtolower($ent), $listtags)) {
                foreach ($val as $cval) {
                    if (is_array($cval)) {
                        $xmlconfig .= str_repeat("\t", $indent);
                        $xmlconfig .= "<$ent>\n";
                        $xmlconfig .= dump_xml_config_sub($cval, $indent + 1);
                        $xmlconfig .= str_repeat("\t", $indent);
                        $xmlconfig .= "\n";
                    } else {
                        $xmlconfig .= str_repeat("\t", $indent);
                        if($cval === false) continue;
                        if(($cval === true) || ($cval === "")) {
                            $xmlconfig .= "<$ent/>\n";
                        } else {
                            $xmlconfig .= "<$ent>" . htmlspecialchars($cval) . "\n";
                    }
                }
                }
            } else {
                / it's an array */
                $xmlconfig .= str_repeat("\t", $indent);
                $xmlconfig .= "<$ent>\n";
                $xmlconfig .= dump_xml_config_sub($val, $indent + 1);
                $xmlconfig .= str_repeat("\t", $indent);
                $xmlconfig .= "\n";
            }
        } else {
            if ((is_bool($val) && ($val == true)) || ($val === "")) {
                $xmlconfig .= str_repeat("\t", $indent);
                $xmlconfig .= "<$ent/>\n";
            } else if (!is_bool($val)) {
                $xmlconfig .= str_repeat("\t", $indent);
                $xmlconfig .= "<$ent>" . htmlspecialchars($val) . "\n";
            }
        }
    }

return $xmlconfig;
}

function dump_xml_config($arr, $rootobj) {
    global $listtags;
    $listtags = listtags();
        if (isset($GLOBALS['custom_listtags'])) {
          foreach($GLOBALS['custom_listtags'] as $tag) {
            $listtags[] = $tag;
          }
        }
    return dump_xml_config_raw($arr, $rootobj);
}

function dump_xml_config_pkg($arr, $rootobj) {
    global $listtags;
    $listtags = listtags_pkg();
        if (isset($GLOBALS['custom_listtags_pkg'])) {
          foreach($GLOBALS['custom_listtags_pkg'] as $tag) {
            $listtags[] = $tag;
          }
        }
    return dump_xml_config_raw($arr, $rootobj);
}

function dump_xml_config_raw($arr, $rootobj) {

$xmlconfig = "\n";
    $xmlconfig .= "<$rootobj>\n";

$xmlconfig .= dump_xml_config_sub($arr, 1);

$xmlconfig .= "\n";

return $xmlconfig;
}

?>

–------------------

nach erstem eruieren der Dateien, ergab dies selbigen Fauxpas!!!

Cu
plsvw39c/mk@neon1.net

Hallo

Punkt 2-4 sind erledigt danke.

Jetzt habe ich nur noch das Problem mit dem Dynamic DNS.
die Seite heisst richtig www.freedns.afraid.org, vielleicht weiss jemand
was ich einstellen muss damit auch dort Dynamic DNS funktioniert.

Ich verwende die 1.23 RC1 seit einer geraumen Weile. Der Konsolenzugriff hat bei mir zumindest immer nur mit root funktioniert. Wenn ich das Kennwort ändere im Web-IF, dann ist auch der 'Zugriff via Konsole nur noch mit dem neuen PW möglich.
Eine Alternative, um das ganze noch sicherer zu machen, ist die Umstellung des ssh, damit nur noch Zugriffe mit Zertifikaten möglich ist. Läuft bei mir als Standard im gesamten Netz. Zudem kannst du den Port umstellen, was auch einwandfrei funktioniert.
Wie das mit der 1.22 ist, weiß ich nicht, hab ich nie verwendet.
Ansonsten schau mal in die Logs, ob dort Auffälligkeiten zu sehen sind.

http://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks%3F

der Thread, danke für den Hinweis

http://forum.pfsense.org/index.php/topic,2718.0.html

Regards
heiko