Neustart der FritzBox war die Erloesung meines Leids.

Super Support ich moechte mich hier erneut bedanken.

Ich hatte mal Kontakt mit einem Deutschen Schulungsgeber, welcher pfsense selbst schon Jahrelang einsetzt.

Leider ist diese Schulung im Sand verlaufen da es doch ein erheblicher Aufwand ist eine solche Schulung zusammenzustellen und so wie es derzeit aussieht nur einmal verkaufen zu können.

Die Kosten hätten sich auf 400 ,-  / Person für 2 Tage belaufen Schulungsort wäre die Schulungszentrale in Deutschland gewesen.

Das Zertifikat kann meinetwegen gerne ein erfolgreich teilgenommen beinhalten. Falls jemand eine solche Schulung zusammenstellen würde muss ich es ohnehin noch mit meinem Chef abklären wir währen dann zumindest 2 Personen eventuell 3 die diese Schulung besuchen würden.

Hallo Grünes Fröschli,

danke für den Hinweis mit dem WLAN, das ist wirklich recht einfach umzusetzten.
Funktioniert auf Anhieb … cool
So kann ich meine SmartPhone und meinen SmartTV aus meinem Internen Netz sehr gute verbannen UFF ich trau dem Zeug nicht so wirklich nutzen will ich es aber schon.

Was leider nochimmer nicht funktioniert ist der Zugriff WAN seitig auf den PC im DMZ.
Das NAT schein nciht wie in der Version 1.2.3 zu funktionieren.

Obwohl ich NAT wie in der Version 1.2.3, in der es prima funktioniert hat, eingerichtet habe komme ich
immer wieder nur auf das Interface der PFSense selbst (auch von Extern per DNS-Rebind Protection ist disabled)
Die PFSense macht zudem einen Redirect von HTTP auf HTTPS, Sie schickt mich immer zu sich selbst anstelle auf den Home PC.

Ich habe hier ein ALIX Board alix2d3 auf dem die PFsense läuft

Mein DSL Router ist nur Telefonzentralle und DSL Modem.
Die Einwahl macht die PFSense wo das WAN Interface als PPPoE konfiguriert ist (funktioniert wunderbar nachdem man die MAC Adresse für das WAN Interface nachkonfiguriert hat)
Vodafone läst es andernfalls nicht zu (Routerzwang von Provider)

Internet
              |
  Vodafone Router DSL easyBox 802
  als DSL Modem u. TK Anlage
      |
  -------WAN--------------------------------------------------------------------------------
  |      PPPoE      |                                                                                          |
  |                      |                                                                                          |
LAN         DMZ  172.168.1.n                                                            WLAN
  |                        |                                                                                        |
  |                        |                                                            -------------------------------------------------
Switch PC Ubuntu                                                        |                            |                            |
8 Port SSH, Apache (80 u. 443) 80 für Piwik          intern PC, NB      Smartphones            SmartTV       
  |                                                                                          PC u NB          untereinander keine komunikation
  |                                                                                      dürfen per smb
PC's                                                                                intern und surfen

Ich möchte gerne das ich von unterwegs per SSH auf den Server kann (SCP ist manchmal hilfreich) und eben
meine mini Applicationen auf dem Apache wie (Piwik, knowledgeroot, Owncloud) nutzen möchte.

So kann ich der Familie (nur der Familie !!) unterstützung leisten, das ist das einfachste Weg um dort kleine Anleitungen zum nachlesen hinterlegt/Teilen in der Owncloud.

Unter Firewall > NAT > Portforwad  habe ich
wie früher die Passenden einträge erstellt, klappt nur nicht.

Beispiel:
WAN TCP * * 172.168.1.100 80 (HTTP) 172.168.1.100 80 (HTTP)
ebenso für SSH und HTTPS

Wo kann man da nachsehen ?
Wo muß man da ebentuell noch drehen ?

Sicher mache ich da wieder eienn Anfängerfehler !!

Ich sehe ihn nur nicht

Gibt es wo ein kleines Howto wie das für den Einsatz im DSL Bereich zu konfigurieren ist ?

Die NAT Regeln sehen wie folgt aus

IPv4 TCP         * * 172.168.1.100 22 (SSH)    * none
IPv4 TCP/UDP * * 172.168.1.100 80 (HTTP) * none
IPv4 TCP/UDP  * * 172.168.1.100 443 (HTTPS) * none

Dann habe ich es nocht mit folgenden Regeln in der DMZ versucht.

IPv4 TCP * * 172.168.1.100 80 (HTTP) * none  
IPv4 TCP 172.168.1.100 * * 80 (HTTP) * none

Folgende LAN Regel gibt es ebenso
IPv4+6 TCP LAN net * * 80 (HTTP) * none

NAT reflection hab ich auch schon versucht (Pure NAT und NAT+ Proxy)

HTTP dachte ich sollte so offen sein wie ein Scheunentor

DANKE euch

mmh, dann kannst Du - zumindest innerhalb dieses Netzwerkes - doch gar nicht routen?

Du brauchst dann den Transparent/Bridge Modus der pfSense.

Hier gibt es ein paar Hinweise dazu - auch wenn nur 1-3 Punkte davon bei Dir nutzbar sind:
http://magiksys.blogspot.de/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html

Das hier passt ggf. besser:
http://forum.pfsense.org/index.php?topic=50711.0

und in
https://doc.pfsense.org/index.php/Tutorials
gibt es einen Link zu
http://pfsense.trendchiller.com/transparent_firewall.pdf

Du regelst jeweils immer nur die Regeln für das eine Interface in der Firewall wenn du es einschränken willst brauchst du in beiden Interfaces jeweils 2 Regeln.

Source Lan1 Destination Lan2
Destination Lan2 Source Lan1.

Vielen Dank für die ausführlichen Antworten, den Rest werde ich nun auch noch hinbekommen!
Von sowas lebt ein Forum  :)

Also lt. Anfrage stehen ja diverse IPs zur Verfügung…
Dann sollte eingehendes NAT als NAT oder 1:1 NAT auf die interne IP des Owncloud Servers eingerichtet sein. Optional Outbound NAT auf manuell und owncloud Server => public IP reverse gemapped.

Wegen "https" Problem denke ich geht es hier eher um das "gültiges" Zertifikat Problem.
Das lässt sich einfach lösen - den DNS Forwarder oder den eigenen DNS Server so einrichten, dass der öffentliche DNS Name im lokalen Netzwerk auf die interne IP aufgelöst wird - und die Firewall Regeln den Zugriff erlauben.

Also streng genommen kann man pfSense unter Debian laufen lassen… in einem KVM Host :D

Haben wir hier für eine Untergruppe eingerichtet - da arbeitet die pfSense aktuell nur als OpenVPN Tunnelprovider, ist aber von mir soweit vorbereitet worden, dass sie später per Config backup/restore auf eine reale Appliance übertragen werden kann.

jupp… Fehlermeldung richtig lesen :D

"can't assign" ... => es geht also nicht um das Ziel, sondern um die Quell-IP ...
=> mit welcher Quell-IP arbeitet denn Euer SquiD?

Für Loadbalancing wird empfohlen,
tcp_outgoing_address 127.0.0.1;
im Optionsfeld davor zu schreiben (oder mit ; anzuhängen)

Aber Achtung… pfSense 2.1 hat leider einen Floating Bug... das mit dem MultiWAN Loadbalancing/ Failover mittels FloatingRules + GatewayGruppe geht daher zur Zeit nicht.

Hi,

das Problem sollte hoffentlich schon gelöst sein… ich vermute es ist ein Denkfehler.
Was hält Dich davon ab, auf der äußeren Firewallseite ein 1:1 NAT (ein- und ausgehend) zu haben, was Dir die Verbindungen zu den entsprechenden DMZ Servern durchreicht?

@SierraSix:

Zugang zum Internet erfolgt über einen LTE von Vodafone 50 Mbit.
Hotspot nur einen in der Lounge (ja auch sowas gibts im Container)
Registrierte Geräte max. 120
Nutzer Gesamt: bis 100, gleichzeitig Online in der Regel 30-40

Bisherige Überlegung:
1. Mitarbeiter müssen eine AGB und Nutzungsbestimmungen (hier werde ich nen Anwalt hinzuziehen) unterschreiben

Kannst ja mal gucken, was die HotSpot Anbieter so machen, wie z.B.:
starbucks nutzt BT OpenZone
http://fon.com
http://meinhotspot.com  (maxspot.de)

@SierraSix:

3. Captive Portal (mit Wochen Tickets)
um den Zugang eben nur Mitarbeitern zu gewähren die die AGBs und Nutzungsbedingungen anerkannt haben.
4. RADIUS (FreeRadius) mit Zertifikaten, um die Ticketweitergabe an 3te zu unterbinden
5. Squid um eben die Tätigkeiten der Nutzer zu Loggen
5.1. ggf. auch Squid Guard

Jetzt meine Fragen:
1. welche HW brauche ich um das alles zu realisieren? bisher dachte ich an nen
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsystem-mit-ALIX-2D13-WLAN-und-Zubehoer::887.html?XTCsid=d7tgbobueii7ve5kj9ts3fm2p3
Damit könnte ich pfsense, das Captive Portal abdecken.
Allerdings sollte ja der Lehre nach eigentlich die FW allein stehen und die Restlichen Dienste auf einem oder mehreren anderen Geräten sein.

2. Gibt es eine Möglichkeit auch das Downloadvolumen der Nutzer zu begrenzen? oder nach Volumen X seine Bandbreite zu reduzieren?
Dann könnte ich mir das mit den gesperrten Ports sparen.

3. Macht die Softwareauswahl bisher Sinn oder gibt es da besseres?

4. Ich habe für den Ganzen Spaß erst mal 600€ bekommen für HW Softwäre etc.. reicht das oder wie viel sollte ich veranschlagen?

Stimmt, die HW könnte reichen… RAM/Prozessorleistung kommt auf die benötigten Funktionen an; wir haben uns für eine Mehrport Variante entschieden für kleine Offices, die ich in einem allgemeinen Vorstellungsvideo zur pfSense gesehen habe. Hier gibt es bis zu 2 GB RAM und deutlich schnellere CPU, aber ist natürlich auch teurer und größer (WLAN /Antennen optional): http://soekris.com/products/net5501.html  (wir haben eine 6501 am laufen - mit GBit Ports)

Ansonsten wird hier noch in den Bannern für einen anderen Shop geworben, der seit kurzen kleinere Appliances anbietet...  Aktuell hat er mit WLAN nur 2 Modelle...
mit 512 MB Flash:
http://www.applianceshop.eu/index.php/firewalls/opnsense/opnsense-wl-pfsense-appliance.html
oder 8 GB USB DOM:
http://www.applianceshop.eu/index.php/firewalls/opnsense/opnsense-wireless-ssd-pfsense-appliance.html

Hatte wohl keine Bookmarks gesetzt, aber unter Youtube gibt es einige gute Videos, die das gut zeigen/erklären. Alles was du benötigst, kann die pfSense mit entsprechenden Paketen; einfach "pfsense captive portal" suchen, z.B.:
http://www.youtube.com/watch?v=NKr7s_RC9C8
http://www.youtube.com/watch?v=B6Hjxd1Af-s

Preislich hättest Du sogar schon 2 Module bei Deinem Setup... wenn Du keinen zentralen Server benötigst oder diesen z.B. auch virtuell irgendwo in Eurer Firma mitlassen kannst/darfst...

@SierraSix:

P.S.
Sollte das alles Funktionieren, gibt es die Option das eben auch auf mehreren Standorten zu machen. Gibt es da Möglichkeiten gf. Hardware einzusparen bzw. zu zentralisieren. Soweit ich weiss geht das mit LTE nicht wegen der "nicht öffentlich zugänglichen IP"??

Es kann Sinn machen, die User zentral zu verwalten, aber das gibt auch eine zentrale Ausfallmöglichkeit… sollte also failsafe aufgesetzt sein ;)
Öffentliche IP muss auf der LTE Seite nicht sein, solange die mobilen pfSenses sich zu einer zentralen Stelle mit OpenVPN Tunnel connecten können (es gibt auch inzwischen das Paket "tinc" mit denen Mesh Netzwerke aufgebaut werden können).

http://www.heise.de/netze/artikel/Dezentrales-VPN-mit-Tinc-785436.html

Hi Karl,

eigentlich war ich auf der Suche bzgl. Problemen zum Pakct "vHosts"… ;)
@coolcat1975:

Die pfsense wird im transparenten Modus mit offiziellen IP's betrieben.
Dahinter werkelt ein apache mit div. vhosts
Gibt es eine Möglichkeit, eine Regel zu definieren die eingehende Verbindungen zu einem vhost basierend auf der URL blockt?

Sprich:
vhost1 test.foo.at 1.2.3.4
vhost2 test.bla.at 1.2.3.4

blocke alle zugriffe auf test.bla.at

falls noch nicht gelöst: ja, das geht => Squid3 z.B. installieren, den Reverse Proxy Mode konfigurieren.

Bei uns laufen fast alle internen virtuellen Server hinter 2 Wildcard IPs  für 2 unterschiedliche Haupt-Domains… mit Wildcard Zert ;)

Anhand des eingehenden Mappings kannst Du in dem Fall aktiv definieren, welcher Zugriff erfolgen darf und welcher nicht. "bekannt" ist und somit geblockt wird (oder man schreibt als Fallback allss auf einen "Deny" vHost um).
Im entsprechenden Forum finden sich genügend Diskussionen zum Thema.

Nein, alle WLANs haben ihr eigenes VLAN.

Übersicht zum Verständnis:
1. WLAN ist ein Radius gesteuertes WLAN. Alle meine Kollegen aller Niederlassungen müssen drei Bedingen erfüllen, dass Sie überhaupt in das WLAN kommen. a: Zertifikat im Bauch, b: Host muss einer bestimmten AD-Gruppe angehören, c: angemeldeter Domänenuser muss auch einer bestimmten Gruppe angehören.
Am Ende des Subnetzes wo diese Clients hinkommen (VLAN2150) steht eine MS TMG 2010 die vereinfacht gesagt gerade folgendes macht: Kenne ich den Host aus dem Internen DHCP dann darf er ausgesuchte Ziele und Netze erreichen.

2. WLAN wie 1. nur könnte man hier einen Schlüssel eingeben. Wird aber nicht genutzt. Clients landen ebenfalls im VLAN2150.

3. WLAN. Hat sein Gateway nicht auf den großen Router, sondern muss von pfSense geroutet werden. Dieses WLAN verbindet Clients per Voucher direkt in das öffentliche Internet. Habe über unseren Standort dazu 34 APs montiert, die alle tagged Traffic in das VLAN 2180 forwarden, damit die pfSense dann ins WAN NATet. Hier geht es um Besucher, z. B. ein Vertriebler der das VPN seiner Firma aufsuchen will.

4. WLAN. Hat das Ziel z. B. Lieferanten von uns, die gelieferten und betriebenen Geräte erreichbar zu machen. Hier habe ich zur Zeit ein Mehrpfadigkeit durch zwei Gateways, weil ich nicht den ganzen Tag damit zur Zeit zubringen kann hier was zu bauen. Die "Externen" sind Grundsätzlich vertraueneswürdig, habe aber keinen grund auch grundsätzliche alle 27 Netze hier im haus und die 182 in den anderen Standorten grundsätzlich erreichbar zu machen. Der Traffig wird hier mit dem VLAN 2170 getaggt und kann sowohl vom Hauptrouter als auch der pfSense gesehen werden. der Router soll das aber in naher Zukunft nicht mehr können, sondern nur noch die beiden pfSensen (Cluster) sehen, die in den Transportnetz auf den Router routen und das was von den pfSensen nocht kommt an Ihre Ziel zu lassen.

"Multi-DHCP-Relay"
Der DHCP hat jetzt sieben NICs in der VM. Jede NIC steht in einen VLAN. Nur eine NIC "Servernetz-NIC" hat ein Gateway. Die weiteren sechs NICs warten den ganzen Tag auf DHCP-Request-Broadcast.

Im DHCP-Relay-Menu der pfSense kann ich nur ein Ziel angeben für alle Interfaces der pfSense. Das ist mein Problem. Ich kann ja leider nicht auf jedes OPT-NIC der pfSense ein Relay legen.

Hallo nochmal,

danke für die Wertvollen Tipps. Da ich auch keine weitere Möglichkeit gesehen haben als hier intern ein Problem, hab ich dem Power-Lan-Server der hinter dem Port 801 steckt, kurzerhand einen anderen Port verpasst und siehe da es funktioniert!!

Danke für die Hilfe!!
Gruß Carlo

So 2 Tunnel stehen Quagga OSPF läuft, Routen passen, ping funtzt in alle Netze.
Aber nur der Tunnel der am Default Gateway anliegt wird genutzt.
Wie stellt man das nu ein ? :-) ???

OPSF.PNG
OPSF.PNG_thumb

Hallo ,
als erstes mal vielen Dank für eure Antworten und entschuldigt bitte meine späte Antwort.

Der Witz an der Geschicht ist: Das Problem hat sich gelöst. Am Montag habe ich nochmal verschiedene Einstellugen geprüft und nix hat funktioniert. Dachte ich.
2 Stunden später hat ein Kollege mit einem Techniker bei O² telefoniert und der fragt wo unser Problem sei es funktioniert doch alles. Als ich mich dan im System angemeldet habe war tatsächlich alles i.O.

Nun die Einstellungen:
Infos kommen aus folgendem Artikel: http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html

Nur das VLAN muss ID 11 sein.