Hi,

das Problem sollte hoffentlich schon gelöst sein… ich vermute es ist ein Denkfehler.
Was hält Dich davon ab, auf der äußeren Firewallseite ein 1:1 NAT (ein- und ausgehend) zu haben, was Dir die Verbindungen zu den entsprechenden DMZ Servern durchreicht?

@SierraSix:

Zugang zum Internet erfolgt über einen LTE von Vodafone 50 Mbit.
Hotspot nur einen in der Lounge (ja auch sowas gibts im Container)
Registrierte Geräte max. 120
Nutzer Gesamt: bis 100, gleichzeitig Online in der Regel 30-40

Bisherige Überlegung:
1. Mitarbeiter müssen eine AGB und Nutzungsbestimmungen (hier werde ich nen Anwalt hinzuziehen) unterschreiben

Kannst ja mal gucken, was die HotSpot Anbieter so machen, wie z.B.:
starbucks nutzt BT OpenZone
http://fon.com
http://meinhotspot.com  (maxspot.de)

@SierraSix:

3. Captive Portal (mit Wochen Tickets)
um den Zugang eben nur Mitarbeitern zu gewähren die die AGBs und Nutzungsbedingungen anerkannt haben.
4. RADIUS (FreeRadius) mit Zertifikaten, um die Ticketweitergabe an 3te zu unterbinden
5. Squid um eben die Tätigkeiten der Nutzer zu Loggen
5.1. ggf. auch Squid Guard

Jetzt meine Fragen:
1. welche HW brauche ich um das alles zu realisieren? bisher dachte ich an nen
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsystem-mit-ALIX-2D13-WLAN-und-Zubehoer::887.html?XTCsid=d7tgbobueii7ve5kj9ts3fm2p3
Damit könnte ich pfsense, das Captive Portal abdecken.
Allerdings sollte ja der Lehre nach eigentlich die FW allein stehen und die Restlichen Dienste auf einem oder mehreren anderen Geräten sein.

2. Gibt es eine Möglichkeit auch das Downloadvolumen der Nutzer zu begrenzen? oder nach Volumen X seine Bandbreite zu reduzieren?
Dann könnte ich mir das mit den gesperrten Ports sparen.

3. Macht die Softwareauswahl bisher Sinn oder gibt es da besseres?

4. Ich habe für den Ganzen Spaß erst mal 600€ bekommen für HW Softwäre etc.. reicht das oder wie viel sollte ich veranschlagen?

Stimmt, die HW könnte reichen… RAM/Prozessorleistung kommt auf die benötigten Funktionen an; wir haben uns für eine Mehrport Variante entschieden für kleine Offices, die ich in einem allgemeinen Vorstellungsvideo zur pfSense gesehen habe. Hier gibt es bis zu 2 GB RAM und deutlich schnellere CPU, aber ist natürlich auch teurer und größer (WLAN /Antennen optional): http://soekris.com/products/net5501.html  (wir haben eine 6501 am laufen - mit GBit Ports)

Ansonsten wird hier noch in den Bannern für einen anderen Shop geworben, der seit kurzen kleinere Appliances anbietet...  Aktuell hat er mit WLAN nur 2 Modelle...
mit 512 MB Flash:
http://www.applianceshop.eu/index.php/firewalls/opnsense/opnsense-wl-pfsense-appliance.html
oder 8 GB USB DOM:
http://www.applianceshop.eu/index.php/firewalls/opnsense/opnsense-wireless-ssd-pfsense-appliance.html

Hatte wohl keine Bookmarks gesetzt, aber unter Youtube gibt es einige gute Videos, die das gut zeigen/erklären. Alles was du benötigst, kann die pfSense mit entsprechenden Paketen; einfach "pfsense captive portal" suchen, z.B.:
http://www.youtube.com/watch?v=NKr7s_RC9C8
http://www.youtube.com/watch?v=B6Hjxd1Af-s

Preislich hättest Du sogar schon 2 Module bei Deinem Setup... wenn Du keinen zentralen Server benötigst oder diesen z.B. auch virtuell irgendwo in Eurer Firma mitlassen kannst/darfst...

@SierraSix:

P.S.
Sollte das alles Funktionieren, gibt es die Option das eben auch auf mehreren Standorten zu machen. Gibt es da Möglichkeiten gf. Hardware einzusparen bzw. zu zentralisieren. Soweit ich weiss geht das mit LTE nicht wegen der "nicht öffentlich zugänglichen IP"??

Es kann Sinn machen, die User zentral zu verwalten, aber das gibt auch eine zentrale Ausfallmöglichkeit… sollte also failsafe aufgesetzt sein ;)
Öffentliche IP muss auf der LTE Seite nicht sein, solange die mobilen pfSenses sich zu einer zentralen Stelle mit OpenVPN Tunnel connecten können (es gibt auch inzwischen das Paket "tinc" mit denen Mesh Netzwerke aufgebaut werden können).

http://www.heise.de/netze/artikel/Dezentrales-VPN-mit-Tinc-785436.html

Hi Karl,

eigentlich war ich auf der Suche bzgl. Problemen zum Pakct "vHosts"… ;)
@coolcat1975:

Die pfsense wird im transparenten Modus mit offiziellen IP's betrieben.
Dahinter werkelt ein apache mit div. vhosts
Gibt es eine Möglichkeit, eine Regel zu definieren die eingehende Verbindungen zu einem vhost basierend auf der URL blockt?

Sprich:
vhost1 test.foo.at 1.2.3.4
vhost2 test.bla.at 1.2.3.4

blocke alle zugriffe auf test.bla.at

falls noch nicht gelöst: ja, das geht => Squid3 z.B. installieren, den Reverse Proxy Mode konfigurieren.

Bei uns laufen fast alle internen virtuellen Server hinter 2 Wildcard IPs  für 2 unterschiedliche Haupt-Domains… mit Wildcard Zert ;)

Anhand des eingehenden Mappings kannst Du in dem Fall aktiv definieren, welcher Zugriff erfolgen darf und welcher nicht. "bekannt" ist und somit geblockt wird (oder man schreibt als Fallback allss auf einen "Deny" vHost um).
Im entsprechenden Forum finden sich genügend Diskussionen zum Thema.

Nein, alle WLANs haben ihr eigenes VLAN.

Übersicht zum Verständnis:
1. WLAN ist ein Radius gesteuertes WLAN. Alle meine Kollegen aller Niederlassungen müssen drei Bedingen erfüllen, dass Sie überhaupt in das WLAN kommen. a: Zertifikat im Bauch, b: Host muss einer bestimmten AD-Gruppe angehören, c: angemeldeter Domänenuser muss auch einer bestimmten Gruppe angehören.
Am Ende des Subnetzes wo diese Clients hinkommen (VLAN2150) steht eine MS TMG 2010 die vereinfacht gesagt gerade folgendes macht: Kenne ich den Host aus dem Internen DHCP dann darf er ausgesuchte Ziele und Netze erreichen.

2. WLAN wie 1. nur könnte man hier einen Schlüssel eingeben. Wird aber nicht genutzt. Clients landen ebenfalls im VLAN2150.

3. WLAN. Hat sein Gateway nicht auf den großen Router, sondern muss von pfSense geroutet werden. Dieses WLAN verbindet Clients per Voucher direkt in das öffentliche Internet. Habe über unseren Standort dazu 34 APs montiert, die alle tagged Traffic in das VLAN 2180 forwarden, damit die pfSense dann ins WAN NATet. Hier geht es um Besucher, z. B. ein Vertriebler der das VPN seiner Firma aufsuchen will.

4. WLAN. Hat das Ziel z. B. Lieferanten von uns, die gelieferten und betriebenen Geräte erreichbar zu machen. Hier habe ich zur Zeit ein Mehrpfadigkeit durch zwei Gateways, weil ich nicht den ganzen Tag damit zur Zeit zubringen kann hier was zu bauen. Die "Externen" sind Grundsätzlich vertraueneswürdig, habe aber keinen grund auch grundsätzliche alle 27 Netze hier im haus und die 182 in den anderen Standorten grundsätzlich erreichbar zu machen. Der Traffig wird hier mit dem VLAN 2170 getaggt und kann sowohl vom Hauptrouter als auch der pfSense gesehen werden. der Router soll das aber in naher Zukunft nicht mehr können, sondern nur noch die beiden pfSensen (Cluster) sehen, die in den Transportnetz auf den Router routen und das was von den pfSensen nocht kommt an Ihre Ziel zu lassen.

"Multi-DHCP-Relay"
Der DHCP hat jetzt sieben NICs in der VM. Jede NIC steht in einen VLAN. Nur eine NIC "Servernetz-NIC" hat ein Gateway. Die weiteren sechs NICs warten den ganzen Tag auf DHCP-Request-Broadcast.

Im DHCP-Relay-Menu der pfSense kann ich nur ein Ziel angeben für alle Interfaces der pfSense. Das ist mein Problem. Ich kann ja leider nicht auf jedes OPT-NIC der pfSense ein Relay legen.

Hallo nochmal,

danke für die Wertvollen Tipps. Da ich auch keine weitere Möglichkeit gesehen haben als hier intern ein Problem, hab ich dem Power-Lan-Server der hinter dem Port 801 steckt, kurzerhand einen anderen Port verpasst und siehe da es funktioniert!!

Danke für die Hilfe!!
Gruß Carlo

So 2 Tunnel stehen Quagga OSPF läuft, Routen passen, ping funtzt in alle Netze.
Aber nur der Tunnel der am Default Gateway anliegt wird genutzt.
Wie stellt man das nu ein ? :-) ???

OPSF.PNG
OPSF.PNG_thumb

Hallo ,
als erstes mal vielen Dank für eure Antworten und entschuldigt bitte meine späte Antwort.

Der Witz an der Geschicht ist: Das Problem hat sich gelöst. Am Montag habe ich nochmal verschiedene Einstellugen geprüft und nix hat funktioniert. Dachte ich.
2 Stunden später hat ein Kollege mit einem Techniker bei O² telefoniert und der fragt wo unser Problem sei es funktioniert doch alles. Als ich mich dan im System angemeldet habe war tatsächlich alles i.O.

Nun die Einstellungen:
Infos kommen aus folgendem Artikel: http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html

Nur das VLAN muss ID 11 sein.

Ist die Festplatte wirklich auf IDE eingestellt, vll irgendwo noch AHCI an oder so hatte das gleiche Problem.

Ich schiesse auch mal aus der Hüfte  ;)

Stell den Proxy ins LAN, gib ihm eine feste IP aus dem LAN und stelle sicher, dass er ins Internet kommt (GW, DNS, etc). In der pfSense machst Du dann eine Rule Block alles in Richtung Internet, ausser der Proxy IP. Jetzt darf nur noch der Proxy ins Internet.
Konkret im "LAN"-Tab bei den Rules einfach die "Default allow LAN to any rule" ändern und bei Source einfach nur die Proxy IP anstatt des LAN-Net reintun.

Wenn der Proxy im Internet steht, dann auch die "Default LAN to any rule" ändern, allerdings jetzt die Destination. Dort jetzt anstatt "any" die Proxy IP eintragen, jetzt kommen die internen Clients nur noch auf den Proxy.

Der Proxy muss in beiden Fällen an jedem Client konfiguriert werden.

Mein Netz ist an der Stelle recht flach, da die PS hier auch per LAN angebunden sind und somit direkt hinter der pfSense hängen. Bei mir läuft auch überhaupt kein upnp Daemon. Im Gegenteil, das ganze läuft auch noch hinter doppelter NAT (Kabel-Router macht eine, pfSense macht die zweite). Insofern verstehe ich da nicht, was PSN für ein Problem hat.

@Franz: WLAN ist glaube ich an der Stelle das geringste Übel, denn jeder Einsteiger WLAN AP kennt inzwischen das Häkchen, ob WLAN Geräte miteinander reden dürfen oder nicht. Etwas teurere APs können da sogar VLAN und Multi-SSID. Aber ich bin nach wie vor kein Freund - da stimme ich dir zu - von dieser GIGA VLAN Lösung, nur um jeden einzelnen Anschluß in ein VLAN zu quetschen. Zum Einen ist Wachstum somit ein Gräuel, Problemsuche und -lösung übel und der Overhead an Routing massiv. Je nachdem was vornedran für eine pfSense steht, muss diese JEDES VLAN routen. Damit holt man sich lustige andere Probleme mit ans Bein. (Intra-VLAN Traffic bspw. könne die Backplane oder CPU so stark auslasten, dass kaum mehr anderer Traffic ins Internet funktioniert)

Das halte ich persönlich für "ein bisschen Internet" einfach für etwas übertrieben. Zumal der Zugriff aufs Web dann ja noch - so ich es richtig verstanden habe - über das CP abgeprüft wird. Wenn ihr das als "Business Internet" anbietet, kann ich den Aufriß an Security etc. ja noch nachvollziehen (dann würde ichs aber anders aufbauen via Port Security u.ä.). Aber für etwas off time internet access wäre mir der Management Aufwand zu hoch.

Grüßend

@shiversc: Cache in welcher Hinsicht? Varnish o.ä. agieren meist aus einer Ramdisk, die würden also eher von mehr RAM profitieren als von einer SSD?

Grüße

Ja, die Switch-Infra kann das (Cisco Switche mit IOS) … die sind auch mit Sicherheit richtig eingestellt (ist ein grosses Netz).

Unter transparent verstehe ich, dass ich vor und hinter der Firewall die selben IP-Adressen habe.

Gruss craCH

Hallo,
habe geschafft IPsec Verbindung mit dem Shrew Soft VPN Client aufzubauen und die Pakete werden damit auch durch die Firewall geroutet. Mit dem Cisco Client funktioniert das Routing leider nicht. Sollte jemand einen Trick für den Cisco Client kennen, bitte her damit!
@Snemelc:
Wenn die Verbindung steht, dann könnte evtl. die Firewall Regel fehlen. Ist die Firewall-Regel unter "Firewall: Rules: IPsec" hinzugefügt? So ungefähr:
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 * * * * * * none   Permit IPSEC traffic.
Wenn ja, dann würde ich testweise die Pakete loggen (Log packets that are handled by this rule), dann sieht man ob die Pakete durchkommen.
Evtl auch NAT Regel unter "Firewall: NAT: Outbound" kontrolieren. Sollte auf Manual Outbound NAT rule generation umgestellt werden und für den IP-Bereich der unter VPN: IPsec: Mobile zugewiesen wurde eine NAT Regel hinzufügen wie z.B.:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN  10.110.10.0/24 * * * WAN address * NO NAT fuer IPsec
Natürlich sollte auch dann für LAN Bereich eine ähnliche  NAT Regel geben.

Wegen deines Probleme würde ich mal einen Bugreport machen.

Bezüglich des Thin Clients, weißt du aber, dass es für den optionalen Slot auch NICs, ich glaube sogar Dual-NICs gibt?

OK, das mit dem Server muß ich mir nochmal näher ansehen. Beim Test mit dem DHCP bin ich aber auch einen anderes Problem gestoßen.

Mein Netzwerk ist jetzt folgendermaßen aufgebaut:

WAN->pdSense -> Switch -> Clients / Drucker 10.1.0.x /255.255.0.0
                                          -> WLAN-Router -> Clients  10.1.5.x/255.255.0.0

Die Clients aus dem WLAN können nicht auf den Drucker und die Laufwerke der direckt am Switch hängenden Clints zugreifen. Der Router ist ein Buffalo WZR-HP.
Hat da jemand eine Idee wie ich das bewerkstelligen kann?

Klingt mit der Anzahl der VLANs etwas nach Overkill. GästeWLAN seperiert ist ja durchaus OK, das "normale" WLAN soll ja aber eher wie LAN behandelt werde (vermute ich), insofern würde ich das ggf. ins LAN bridgen oder zumindest gleich behandeln. VLAN 1 würde ich nicht vergeben, das default-VLAN macht manchmal wenn es in Nutzung ist Probleme bzw. ist Fallback. Zudem sollte das Modem nicht in ein VLAN, da das Modem überhaupt nichts von dem IP Layer weiß. Modem einfach direkt an die pfSense anschließen und gut. Nix VLAN.

Warum dann noch irgendwelche Streaming Clients extra nehmen? Hört sich eher an, als wären die wie der SmartTV zu behandeln. Nicht nur VLANs nutzen, weil man es kann, nur nutzen, wenn es Sinn macht.

ja das klingt so, als könnte er VLAN Tagging auf den SSIDs. Dann wäre es denkbar, wenn der AP am Switch mit den PCs etc. hängt, das interne WLAN auf das gleiche VLAN wie die PCs zu taggen, damit bspw. ein Laptop mit den PCs kommunizieren kann, Gäste aber in ein extra VLAN zu legen.

Sicherheitslücken… vielleicht. Deshalb mag ich persönlich keine SmartTVs, sondern mach das lieber über eine extra kleine Box. Wenn du Interesse hast, gern per PN, da das ein ganz anderes Thema ist, aber da gibts auch Lösungen wie der Raspberry, der sich dann bspw. via HDMI-CEC direkt wie ein SmartTV mit der Fernbedienung des Fernsehers steuern lässt.
Eine Isolation ist aber m.E. eher weniger notwendig. Wichtig ist nur, dass niemand von außen auf das Gerät kommt. Dann hält sich auch der Gefahrenaspekt mit Schadsoftware in Grenzen. Denn wenn ein SmartTV "gehackt" wird ist das den anderen Geräten eher egal. Schlimmer ist da eher, wenn das Ding bspw. noch ne Kamera für Skype hat, dass dich jemand bespitzeln kann.

Nein. Es ist alles verboten was nicht explizit erlaubt wird. Lediglich auf dem LAN ist immer eine Default Regel "abgehend ins Internet alles erlauben aus dem LAN", aber ansonsten ist jedes Interface per default erstmal dicht und muss Stück für Stück aufgemacht werden. Default ist auch eine NAT von LAN auf WAN. Wenn man bspw. aus GästeVLAN ins Internet will, muss dafür dann auch ein NAT Eintrag rein dito NAS, TV, etc. Und natürlich entsprechende Regeln.

PfBlocker ja. Snort halte ich eigentlich für zu Hause für ein wenig Overkill, aber jedem das Seine :)

Grüße

@GruensFroeschli:

Sind diese zwei Verbindungen auf den gleichen Server?
Wenn ja: Es ist nicht möglich mehr als eine PPTP Verbindung auf einen Server von der gleichen öffentlichen IP zu haben.

Für Erklärung wieso:
https://doc.pfsense.org/index.php/PPTP_Troubleshooting
http://forum.pfsense.org/index.php?topic=41556.0

Hallo, danke für die Links, die haben alle Fragen beantwortet.

LG. Manfred

Gerne etwas kleiner :P WLAN-Clients werden auch in Zukunft maximal 10-15 Stück sein. Reichweite aktuell vernachlässigbar.
Outdoor ist gut, wird aber nicht benötigt. Wenn alles so läuft wie geplant und auch die Räumlichkeiten vorbereitet sind, wird der Fokus auf dem LAN-Betrieb liegen (dann auch mit ordentlichem Switch ;) ); WLAN bleibt weiterhin für mobile Geräte bestehen.