Danke.

Da gehts darum, ob der Treiber erst bei Verwendung des Geräts, beim Anstecken eines USB-Geräts, geladen wird oder schon beim Booten.

Mir ging es aber auch noch um die spezifische Firmware(-Datei).

pfSense resp. FreeBSD sind ja strikte Open-Source-OS und wollen ja möglichst nichts drin haben, das lizenzrechtlich Probleme machen könnte. Wie mein Fedora Linux auch.

Die Firmware, die da von den Treibern gebraucht/geladen wird, ist aber meist von den Chipsatzherstellern und rechtlich geschützt. Closed Source.

Drum braucht es ja auch ein Abnicken, der Lizenzbestimmung.

Siehe hier unter

https://www.freebsd.org/cgi/man.cgi?query=rsu&apropos=0&sektion=4&manpath=FreeBSD+10.3-RELEASE+and+Ports&arch=default&format=html

After you have read the license in /usr/share/doc/legal/realtek you will
    want to add the following lines to loader.conf(5):

legal.realtek.license_ack=1

Und dann braucht es auch noch die entspr. Firmware-Datei /boot/kernel/rsu-rtl8712fw.ko.

Ist das in pfSense 2.3 schon alles fix-fertig gemacht/geregelt? Oder muss ich das noch machen, das Acknowledgment der Lizenzbestimmung?

Ich habe diverse USB-WLAN-Adpater mit Chipsätzen, die eigentlich unter pfSense 2.3 laufen sollten, aber ich bekomme Fehlermeldungen mit

urtwn0: timeout waiting for firmware readiness
urtwn1: timeout waiting for firmware readiness
urtwn1: timeout waiting for chip autoload
urtwn1: timeout waiting for chip autoload
urtwn1: timeout waiting for chip autoload

Darum frage ich vertieft danach.

Beim USB-WLAN-Adpater-Treiber rsu erscheint nur gerade

/interfaces.php?if=opt1

General Configuration
Reserved Networks

im web-GUI von PfSense.

Das liegt eventuell auch daran, dass die Firmware nicht geladen wird/fehlt.

Gruss
AW

Hallo JeGr,

mein Gedanke war, dass die Gäste eine beliebige Adresse eingeben können und immer auf die Seite zum Uploaden weitergeleitet werden.
Das funktioniert, wenn WAN angeschlossen ist und ich z.B. mit dem Handy eine beliebige Seite öffne.
Im Hintergrund wird eine DNS Anfrage gestellt (und beantwortet), der Browser versucht dann mittels der IP die Seite zu öffnen und wird auf das CaptivePortal und somit auf die Upload-Seite weitergeleitet.
Aber ohne DNS verläuft die Anfrage im Sand und es kommt eine Fehlermeldung das die Seite nicht erreichbar ist. Ohne Umwandlung in eine IP-Adresse kein Captive Portal.
Meine Gedanke war jetzt einen DNS- Server aufzusetzen und alle Anfragen mit 192.168.1.3 zu beantworten. Ginge das auch mit dem Forwarder oder Resolver?

Ich habe gerade ein wenig gelesen und wenn ich das richtig verstehe wäre der Forwarder das richtige?!? Aber was muss ich unter Host oder Domains eintragen damit alle Anfragen mit meine gewünschten IP beantwortet werden?

Vielen Dank schon mal für Eure Hilfe.

Dirk

Hallo zusammen

Leider konnte mir bisher niemand weiterhelfen. Da ich noch etwas weiter gesucht habe fand ich dass hier auf:
https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#BSDPF

To enable the transparent proxy and the DNS proxy, add the following to your torrc.

VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 53

Use the PF ruleset below as an example for FreeBSD and OpenBSD prior to 4.7.

your internal interface

int_if = "fxp0"

Tor's TransPort

trans_port = "9040"

set skip on lo

scrub in

rdr pass on $int_if inet proto tcp to !($int_if) -> 127.0.0.1 port $trans_port
rdr pass on $int_if inet proto udp to port domain -> 127.0.0.1 port domain

Use the PF ruleset below as an example for OpenBSD 4.7 and later.

your internal interface

int_if = "fxp0"

Tor's TransPort

trans_port = "9040"

set skip on lo

match in all scrub (no-df random-id)

pass in quick on $int_if inet proto tcp to !($int_if) rdr-to 127.0.0.1 port $trans_port
pass in quick on $int_if inet proto udp to port domain rdr-to 127.0.0.1 port domain

Nun bin ich mir aber nicht sicher welches Regelset ich brauche? Vor 4.7 oder nach 4.7. Da beim nach 4.7 nichts mehr über FreeBSD steht.

Und wie, wo krieg ich die Regel in die PFsense.

Danke euch für eure Antworten

Danke für die Hilfe, der Tip mit dem anderen Browser funktioniert, liste wird jetzt geladen.

Hi Rudi,

ich habe mich dem Thema auch mal angenommen weil ich ein Backup Uplink für meine reguläre Internetverbindung haben wollte die transparent sich in meine Infrastruktur einfügt.

Ausgestattet habe ich mein APU 1D4

mit dem bis Dato aktuellsten Pfsense 2.2.6 einer Compex WLE200NX (Atheros Chips werden sehr gut unterstützt) Sierra Wireless MC 7110

Ich kann dir also bestätigen dass die MC 7110 zu 100% funktioniert :-). Getestet habe ich das ganze mit der Telekom. Testen werde ich es noch mit O2 und dem ehemaligen ePlus Netz, wenn man das noch so auseinanderhalten kann. Aber die Specs sagen dass die Karte alle LTE Frequenzen kann die von den deutschen Providern genutzt werden.

Hier muss ich mal Pishfry aus dem Forum danken der über die Karte (bzw. dem US Pendant) in einem Thread alle nötigen Infos von sich gegeben hat die man braucht um die Karte Ready für OpenBSD bzw. Pfsense zu machen. Der Thread ist folgender: https://forum.pfsense.org/index.php?topic=86064.0

Zusammengefasst: Die Karte sollte, wenn komplett neu, im QMI Modus laufen und die QMI Firmware drauf haben. Der Modus wird nicht von PFsense/OpenBSD unterstützt. Direkt eine aktuelle DIP Firmware zu flashen ging nicht. Die Firmware hat das Gerät einfach nicht gefunden. Man muss dazu erst den Modus wechseln. Dazu habe ich bei Amazon eine mPCIe Karte mit Simkartenslot gekauft und an meinen Windowsrechner gehängt (Mit Simkarte). Hier kann man auch erstmal mit dem Rechner die Karte testen. Um den Modus umzustellen habe ich mich per Putty auf den passenden Com-Port verbunden (Findet man über den Gerätemanager unter den Com-Ports). Und mit folgenden Befehlen den Modus umgestellt:

AT!ENTERCND="A710"
AT!UDPID=68A3
AT!RESET

68A1 bedeutet es ist im QMI Modus und 68A3 ist der DIP Modus. Im QMI Modus kann die Zeichenfolge auch in den Details des Gerätes im Gerätemanager sehen. Sobald es umgestellt ist registriert Windows ein neues Gerät.

Jetzt sollte das DIP Firmware Upgrade funktionieren. Das Gerät sollte vom Updater gefunden werden und die DIP Firmware geflashed werden. Ist das getan ist sie fertig für die PFsense. Rein damit und die Antenne dran. Nun sollten mehrere neue Interfaces in PFsense auftauchen (cuaU0.x). Eines davon, bei mir cuaU0.3 ist das eine welches funktioniert. Die anderen schaffen einfach keine Verbindung. Eine PPP Verbindung mit diesem Interface einrichten. Diese PPP Verbindung in einem Interface auswählen und unter Status->Interfaces den Connect Button drücken. Fertig. :-)

Die MC7710 habe ich für ca. 170 € über Ebay besorgt. So zu kaufen gibt es sie ja nicht mehr.

Urls:

mPCIe Adapter: https://www.amazon.de/gp/product/B00Q9PWUZS/ref=oh_aui_detailpage_o00_s00?ie=UTF8&psc=1 Windows QMI Treiber: https://source.sierrawireless.com/resources/airprime/software/airprime-mc-series-windows-drivers-qmi-build-4431/ DIP Firmware: https://source.sierrawireless.com/resources/airprime/software/mc7710-swi9200x_03,-d-,05,-d-,29,-d-,03_dip/ AT Tutorial: http://www.3g-modem-wiki.com/page/executing+AT-commands+under+Windows Ändern des Modus: https://forum.sierrawireless.com/viewtopic.php?f=117&t=6759, https://gist.github.com/mmv-ru/1a52c10a4d5577a5ed30 MC7710 OEM PW: http://bc.whirlpool.net.au/bc/hardware/?action=h_view&model_id=1210, https://gist.github.com/mmv-ru/1a52c10a4d5577a5ed30 Ebay: http://www.ebay.de/itm/100-NEUE-Sierra-Wireless-MC7710-AirPrime-3G-4G-LTE-HSPA-GPS-Modul-/271599015465?hash=item3f3c901629:g:zSEAAOSwHnFVpJPc

Ich hoffe das macht es einacher für alle die sich für das Thema interessieren.

Standortvernetzung mit OpenVPN aber ohne TAP!!!!

In deutscher Sprache und einfach zum abtippen funktioniert 100% und ist ich möchte meinen tausend mal
aufgesetzt und erfolgreich konfiguriert worden. Da sollte also nichts "schief" gehen.

Bin immer noch an der IPv6 Thematik dran.
Was mir aufgefallen ist, sollte die WAN Schnittstelle nicht auch wenigstens eine Link-lokal IPv6 Adresse haben ?

*** Welcome to pfSense 2.3-RELEASE-pfSense (amd64) on pfsense *** WAN_PORT (wan)  -> re2        -> v4: 192.168.217.2/24 LAN_BRIDGE0 (lan) -> bridge0    -> v4: 172.16.17.254/24 LAN_PORT (opt1) -> re1        -> WLAN_BRIDGE0 (opt2) -> ath0_wlan0 -> WLAN_GUEST (opt3) -> ath0_wlan1 -> v4: 172.16.19.254/24 PIA_VPN (opt4)  -> ovpnc1    -> v4: 10.104.1.6/32 WLAN_VPN (opt5) -> ath0_wlan2 -> v4: 172.16.20.254/24 VLAN10_DMZ (opt6) -> re1_vlan10 -> v4: 172.16.50.254/24 VLAN20_VPN (opt7) -> re1_vlan20 -> v4: 172.16.21.254/24 0) Logout (SSH only)                  9) pfTop 1) Assign Interfaces                10) Filter Logs 2) Set interface(s) IP address      11) Restart webConfigurator 3) Reset webConfigurator password    12) pfSense Developer Shell 4) Reset to factory defaults        13) Update from console 5) Reboot system                    14) Disable Secure Shell (sshd) 6) Halt system                      15) Restore recent configuration 7) Ping host                        16) Restart PHP-FPM 8) Shell Enter an option: 8 [2.3-RELEASE][root@pfsense.lan-net.local]/root: ifconfig re2 re2: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500         options=8209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic,linkstate>ether 00:0d:b9:33:9c:42         inet 192.168.217.2 netmask 0xffffff00 broadcast 192.168.217.255         nd6 options=23 <performnud,accept_rtadv,auto_linklocal>media: Ethernet 100baseTX <full-duplex>status: active [2.3-RELEASE][root@pfsense.lan-net.local]/root:</full-duplex></performnud,accept_rtadv,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic,linkstate></up,broadcast,running,promisc,simplex,multicast>

Das  Neighbor Discovery ist aktiv. In der Firewall sehe ich immer wieder IPv6 Adressen welche am WAN geblockt werden auf Port 1900, 5355 usw. Nicht das noch Regeln auf dem WAN-Interface nötig sind um die v6 IP-Adressen anzunehmen ?

Das mit dem Dashboard habe ich jetzt auch nicht so ganz verstanden  :-
Zu deinem eigentlichen Problem, wie machen sich die "Verbindungsabbrüche" den bemerkbar ?
Bist Du über LAN oder WLAN angebunden ?

In dem Fall würde ich im Hintergrund zwei mal einen dauer ping laufen lassen.
Einmal intern auf die pfSense und einmal auf einen Server im Internet. Dann sollte sichtbar sein was es ist.
Ein internes Netz Problem oder der Provider.

So habs hinbekommen, weiß aber nicht warum !?

Hab bei System / Advanced / Firewall & NAT unter Network Address Translation.
Den NAT Reflection mode for port forwards umgestellt auf Pure NAT und den Hacken bei Enable automaic outbound NAT for Reflection.

Jetzt gehts aber hab keine Ahnung was das jetzt wirklich macht - hat da jemand eine Erklärung dazu??

Besten Dank!

Also hier mal die Erfolgsmeldung: Die Migration hat glänzend funktioniert. Ich bin jetzt online mit dem neuen APU2.

Nach der Installation auf die mSATA holt sich pfSense die Konfig vom USB-Stick und ist dann sofort passend konfiguriert. Beim ersten Start der Web-UI wird zwar dennoch der Wizard aufgerufen, aber den habe ich einfach abgebrochen. Ein paar Einstellungen mußte ich in der Web-UI noch vornehmen, da ja die HW anders ist. Das waren aber nur Kleinigkeiten.

-flo-

Im squidguard

Firefox und Internet Explorer haben rein gar nichts angezeigt. Es lag am Zertifikat.

Zertifikatsfehler bekomme ich jetzt natürlich immer noch, da es nur ein selbst signiertes ist. Das ausgelieferte zertifikat hatte diese form im CN "Bla Bla Blub". Ohne punkte oder anderem Bezug zum hostnamen.

Du meinst wahrscheinlich net.link.bridge.phil_member und net.link.bridge.phil_bridge.
Das hatte ich eingestellt und es funktionierte ja auch alles. bis auf das die Kiste plötzlich nicht mehr erreichbar ist.
vielleicht muss ich doch nochmal alles von Grund auf neu machen…
Wollte das aber eigentlich vermeiden, weil sooo viel Spaß macht das ja nun doch nicht. ;-)

Gruß Kai

Ich habe jetzt das pfSense-memstick-serial-2.2.6-RELEASE-amd64.img für mein neues APU2 heruntergeladen. Installiert habe ich es auch schon, serielle Konsole geht auch.(*) Jetzt muß ich nur noch die alte durch die neue Box ersetzen, dafür brauche ich aber einen Zeitraum, in dem meine Frau das Internet nicht braucht.  ;)

(*) In der Konsole gibt es nach den Anzeigen des BIOS ab dem Bootvorgang von der HD eine ziemlich kaputte Anzeige. Man kann es lesen, aber ein Teil sieht aus, als ob Zeichen gedoppelt werden, ein erstes pfSense-Boot-Menü in einem Logo zeigt nach jedem Zeichen offenbar ein Leerzeichen an. Ab dem Bootvorgang von FreeBSD sieht es wieder vernünftig aus. Ist das Problem bekannt / lösbar?

wenn die Packages gar kein Bestandteil der eigentlichen Firewall sind, wundert mich das nicht mehr. ;)

Naja ich will es damit auch nicht "wegdiskutieren", aber es stecken hinter den Packages eben andere Maintainer als hinter dem Core. Teils leider nicht mehr aktive Leute, weshalb mit 2.3 auch viele Pakete erstmal im Nirvana hängen, von denen ich hoffe, dass sich jemand als Maintainer findet. Teils sind aber auch die Upstream Projekte inzwischen tot.

Naja, das Meckern ist ja kein eigentliches Mecker, nur ein Hinweis auf die Umstände, die mir nicht gefallen ^^

Deshalb auch mit ;) Augenzwinkern.

Der Openvpn Server müsste noch etwas erweitert werden (user log, anzeige, config export), dass habe ich aber vorgeschlagen bzw. mich an die existierenden Feature Requests drangehängt.

Was fehlt dir denn? User logins siehst du doch in den Logs? Config-Export in welcher Hinsicht (Client Config hat ein extra Package das das erledigt, ansonsten via System Backup?)

(Habe mir einen pfsense Boot Stick erstellt, der an der Firewall hängt und auf den regelmäßig die Config.xml kopiert wird. Im Fehlerfall dann stick ziehen und auf neuer Hardware installieren, Netzwerkkarten richtig Zuweisen, automatisches packages installieren, reboot und fertig ;)

Auch eine interessante Idee. Wir haben da was Skript-artiges gebastelt, was per SSH/SCP die config.xml und alle subversionen zyklisch runterlädt und gegen ein lokales GIT auto-committed, dann aber mit den Infos aus der pfSense, also wer was wann wie verändert hat. Damit haben wir quasi noch ein halbes Audit-Log dazubekommen.

Die Komplexität ein eigenes Package zu erstellen oder die Unmöglichkeit schnell eine eigene Seite reinzuhängen stört mich aber wirklich.

Mich manchmal schon, wenn ich mir denke, dass ich das gern machen würde aber es mich viel zu viel Zeit kosten wird ;)

Den Punkt mit der eigenen Seite verstehe ich allerdings noch nicht ganz :)

Grüße
Jens

@Markus: Wie in anderem Thread bereits geschrieben könnte man auch mit einem Server glücklich werden indem man besondere Clients einzeln eine fixe IP zuweist und den Rest dann einfach blockiert, aber das sei jedem selbst überlassen :)

@cartel:

Hey. Leider finde ich keine Anhaltspunkte warum ich für den VPN-Tunnel ein anderes Netz verwenden sollte. Warum nicht gleich in VLAN oder LAN? Was spricht dagegen?

Hallo … wie meinen ???
Welches Netz meinst du genau?
Oder fragst du wirklich warum das Netz das zwichen den Verbindungen genutzt und über das Internet geroutet wird ein anderes sein soll als dein lokales?
Welche VPN-Verbindungsart wählst du .... ?? und so vieles mehr was eine Antwort schwer macht.

LG