Bis auf die Punkte mit Snort und IDS arbeiten so unsere DC-pfSensen auch. Das Setup ist also recht einfach zu realisieren. Da ich selbst Snort und Co noch nicht am Laufen habe, kann ich leider nichts dazu einstreuen, du solltest aber darauf achten, genug CPU und RAM Power übrig zu haben, da m.E.n. Snort recht RAM-lastig werden kann.

Viele Grüße

Wenn du kurz ein paar Zeilen dazu schreiben könntest, wäre das sicherlich hilfreich. Dann muss nicht erst nachgefragt werden, wie du das gelöst hast :)

Von meiner Warte aus würde ich sagen - sofern dein Diagramm stimmt - dass du da ein paar kleine Fehler drin hast, denn die LAN/DMZ Netze sollten überhaupt nicht mehr bei der Fritzbox ankommen, aber vielleicht ist das auch irreführend gezeichnet, da du pfSense und Alix einzeln einzeichnest?

Im Prinzip wäre das Vorgehen sehr einfach zu lösen:

Fritzbox bekommt nicht mehr die beiden .1er und .2er Netze, sondern nur noch eine IP aus einem "Transfernetz" zum WAN Port der ALIX zugewiesen. Bspw. FB: 192.168.168.1, AlixWAN: 192.168.168.2. Die Alix bekommt als Default GW die FB (192.168.168.1) In der FB wird eine komplette Weiterleitung aller eingehenden Pakete aktiviert auf die IP der AlixWAN: 192.168.168.2 Die beiden anderen Interfaces der ALIX (LAN, OPT1) werden für dein .1.x und .2.x Netz vorbereitet, die ALIX bekommt im jeweiligen Netz die .1 und ist das GW des Netzes (LAN/DMZ). Regeln anlegen auf LAN/DMZ damit LAN->DMZ und DMZ->LAN reden dürfen (sofern gewünscht) Outbound NAT der pfSense auf Advanced umschalten (damit die LAN Regel erzeugt und agezeigt wird). Die LAN Regel 1:1 für das DMZ Interface kopieren, damit LAN und DMZ Internet haben. Fertig, DMZ und LAN sollten Internet haben. Wird nun ein Portforwarding benötigt in die DMZ bspw., wird diese ganz normal auf der pfSense eingerichtet, da die FB einfach alles was hereinkommt komplett an die Alix weiterleitet.

Läuft so bspw. hinter einer Kabel-FB oder auch einer DSL FB ohne Probleme. Die FB kann sogar selbst noch aus dem INet erreichbar gemacht werden (auf einem alternativem Port, da der SSL Port 443 von mir bspw. für OpenVPN oder für Management der pfsense genutzt wird) ohne dass es mit dem Restlichen NAT, PortForwarding oder sonstigem ein Problem gibt.

Kommt leider etwas spät sorry ;)

Grüße

Hallo JeGr,

wenn mein DSL Anschluß ausfällt soll der Stick die Verbindung zum rest der Welt halten.
Das funktioniert sogar schon sehr gut. Sobald ich das Modem Kabel aus der pfsense ziehe bin ich halt über 3G Online.

MfG
kaschuppke

Hallo,

nach weiterem Probieren musste ich feststellen, dass dieses Problem von einem openVPN Client Tunnel ausgelöst wurde, nach abschalten von diesem klappte alles wieder.

Hallo Corny,

das "user" hat an der Stelle nicht direkt die Bedeutung eines "Users", sondern bezieht sich eher darauf, dass die CPU tatsächlich etwas mit Prozessen aus dem Userspace zu tun hat und weder mit Interrupt Handling, noch Kernel Threads (system) oder (de)priorisierten (nice) Prozessen zu tun hat. Da auf der pfSense annähernd jeder Service als "root" läuft, würde die Anzeige also nichts bringen - er würde dir lediglich sagen, dass ca. 95% der Last durch "user" durch "root" erzeugt wird ;)

Wenn du dir ansehen willst, welcher Prozess wirklich die CPU stresst, solltest du das besser mit bspw. 'top' erledigen. Entweder auf der Konsole oder via GUI.

Grüße

Unterstützt wird PFS schon länger (ich glaube mich an 2.0 zu entsinnen). Wenn die Option ausgegraut ist, dass ist sie in dieser Kombination einfach nicht wählbar. Sprich sehr wahrscheinlich sind vorher Einstellungen gesetzt, die diese Schalter verhindern.

Ansonsten hilft bei der Einrichtung vllt. http://blog.benca.net/2012/03/05/serving-ipsec-vpn-with-pfsense/
Allerdings - sieht man auch im Blog Eintrag - kann PFS und Co. unter anderem die Android Kompatibilität brechen.

Grüße

@JeGr:

@MgT Bei einer HD Installation ist es durchaus möglich, dass die pflogs gespeichert werden. Aber Nachtfalke hat recht, was embedded Systeme angeht, die werden meist nicht gespeichert sondern sind flüchtig.

stimmt, sorry, daran habe ich gar nicht gedacht.

Hallo MgT,

auch ich wollte mich an dieser Stelle für die super Tutorials / Videos von Dir bedanken!
Würde mich auch über weitere, neue Video-Tutorials freuen.  ;)

Viele Grüße!

sorry für die verspätete Antwort. Hatte noch ein paar wichtigere Sachen um die Ohren.

Um hier das Problem als gelöst zu markieren hier die Antwort:
In dem Modem von DLINK (DSL-321B) muss der Zugang nicht auf PPPoe stehen, sondern auf BRIGDED-Modus
Dann kann man in der PFsense die Verbindung per PPPoe einrichten und das klappt sofort.

Danke trotzdem fürs mitdenken.

Hab eine Lösung gefunden. :)

Backup vom CaptivePortal erstellen.

Folgende Zeilen fehlten im alten Backup:

<captiveportal><test>Test <zoneid>8000</zoneid> . . .</test></captiveportal>

Diese einfügen, abspeichern und das Backup wiederhrstellen.

Kann jemand erklären was die Zoneid bedeutet? Diese lag beim Anlegen eines neuen CaptivPortal bei 8000.

Grüße
Schwabe

Also Server habe ich mal getauscht leider bleibt das Problem weiter bestehen.
Noch Ideen?

Hey JeGr,
ja ich habe an pfsense selbst einen factory reset durchgeführt. Gerade eben habe ich jetzt Version 2.1 installiert. Dann weise ich mit der autoconfig WAN und LAN den Ports hinzu. Beim zuweisen stecke ich dann jeweil ein Netzwerkkabel in den vorgesehenen Port und bestätige mit Enter.
WAN bekommt per DHCP eine IP aus dem Bereich 192.168.2.0/24 und LAN ist ja standart mäßig 192.168.1.1

Dann loge ich mich auf der IP im 192.168.2.0/24 Bereich ein und führe den Wizard durch. Danach geht bei mir nichts mehr. Ich werde jetzt das ganze mit der LAN Schnittstelle versuchen vielleicht ist das schon der Fehler?

Edit: 17:33Uhr 19:09.2013:

Ich habe heute erneut versucht über den LAN-Anschluss auf die pfsense zu kommen. Alles ohne Erfolg. Nach dem dann nicht mal nach einem factory reset ein UP und DOWN der Netzwerkkarte angezegit wurde. Habe ich diese getauscht. Jetzt funktioniert alles reibungslos.
Danke für eure Hilfestellung!

TCP Port 20/21 muss über eine Leitung gehen. Ports größer 1024 musst du nicht freigeben. Wir reden hier nur von ZIEL Ports.
FTP-Helper ist - meines Wissens - nur nötig, wenn man im eigenen Netz einen FTP Server betreibt.

Nach Änderungen solltest du die States zurücksetzen an der pfsense, damit nicht noch bestehende Verbindungen (States) verwendet werden.

Sorry, da hast du in der Tat recht! Beide Karten sind jeweils für vorhandene pfSense Installationen gedacht (selbstgebaute Systeme).
Antennen und Kabel gibt es auch alles bei ebay, wobei das ganz schön ins Geld geht für den Kleinkram, 3 EUR für 2 Kabel und je 3 EUR für eine Antenne (4 insgesamt benötigt). Falls da jemand einen Tipp hat, wo man das zusammen und günstiger bekommt ;-)

Für alle, die es interessiert.

Das Problem tritt bei der neuesten Version (2.1) nicht mehr auf.

@GruensFroeschli:

Hmmm… ich müsste mal die WRAP images updaten.

Ganz vergessen, Dankeschön dafür, dass ich nicht extra mir die Mühe mit den Images machen musste und das Du Speicherplatz und Netzwerkbandbreite dafür bereitgestellt hast.

Man möge mir Pessimismus vorwerfen, aber nachdem es in FreeBSD 8.x kaum wirklich viel Auswahl an Treibern für WLAN gibt, halte ich es persönlich für diesen Zweck nicht sinnvoll, die pfSense als WLAN Gateway zu nutzen. Router, Firewall, Filter, AccessPortal etc. sofortiges JA.
Aber WiFi in der Wohnung: Ich persönlich war gerade erst eine Woche im Norden in Urlaub und hatte sogar WLAN in der Wohnung. Das hätte ich jetzt nicht unbedingt benötigt, aber es war schön zu haben. Oder wäre. Denn es war alter Standard, 54MBit mit schlechter Sendeleistung und Abdeckung, ständigen Reconnects etc. Das hat einem vom Telefon mehr Akku leergezogen mit dem ständigen neuverbinden und Verbindungsabbrüchen, als dass es wirklich sinnvoll wäre.

@PHPMAN: Wenn du deinen Kunden in der Wohnung wirklich was Gutes tun willst (vllt. bin ich ja mal Kunde ;)) dann klinke den WLAN Teil aus und beschaffe dafür einen günstig/guten WLAN AP. Der muss nicht routen und nix. Reiner Access Point. Und hänge den an die pfSense dran. Wenn du dann noch ein Device hinstellst, dass 3 Ports hat und den LAN Port sogar noch auf einen Switch oder auf Dosen auflegst, wäre das der Traum von jedem, der aus Gründen eben mit Laptop und Smartphone/Tablet in Urlaub fährt. LAN fürs Laptop, WLAN fürs Telefon, super! :)

Ansonsten müsstest du für eine Empfehlung etwas mehr Info liefern: Wichtig wäre dann nämlich, was du Filtern willst und ungefähr wie, und vor allem wie groß die DSL Leitung ist. Bspw. bei 16MBit/s genügt auch eine ALIX mit 3 Interfaces und Captive Portal. Warum den Kunden noch großen ContentFilter auflasten? Die Zahlen doch dafür dass sie Internet in der Wohnung haben und nicht beschnittene Auswahl an Webseiten? Durch Captive Portal und Freischaltung/Anmeldung weißt du auch ganz genau wer es war und sollte jemand gegen den Anschluß klagen, kannst du klar belegen, wer in der Wohnung war -> Haftung gegessen.

Grüße

hallo

irgendwie hat der verkäufer mir einen x1250e verkauft statt einen x750e da hat ich glück gehabt 8-)

den lüfter hat ich schon ausgebaut und 3 neue 9 db lüfter eingebaut hört sich schon besser an.
nun frage ich mich wenn das netzteil ein Standard atx netzteil ist damit ich pico psu einbauen kann.

danke für die antwort bin halt ein noob in sache firewall mit pfsence