@Nachtfalke:

Jetzt bin ich verwirrt. Du willst festlegen, welcher deiner vielen gateways der DEFAULT ist und dann sagst du, dass du nur einen und nicht mehrere festlegen kannst. Es kann nur einen default Gateway geben ;-)

Ich will nicht mehere Gateways als "Default" angeben, sondern garkeinen, da ich las das squid sonst nicht funktioniert. ;-)
Werde es aber erstmal in Ruhe ausprobieren.
Gibt ja ne Menge Infos im Netz und hier im Forum darüber.
Die PFsense an sich und das Failover laufen auf jeden Fall zuverlässig.
Vielen Dank dafür.
Sollte ich noch Probleme haben melde ich mich.

Ein User darf doch mehrere Zertifikate haben (aka mehrere common names)? Wo genau ist da das Problem? Und wenns nicht anders geht kann man immer noch duplicate Connections aktivieren?

@senser: Und mir wirft man dummes Geschwätz vor, wenn ich mehr Informationen verlange um zu helfen. So einen Stuss habe ich lange nicht mehr gelesen. Bei einem offenen Hotspot der ggf. sogar kommerziell genutzt wird, ist man Dienstanbieter. Und ggf. zu Auskunftspflicht gezwungen und sei es nur um zu belegen, dass man nicht selbst irgendeine Urheberrechtsverletzung begangen hat. Solang die Gesetzeslage noch so bescheuert ist, müssen eben gewisse Daten geloggt werden. Nicht unbedingt alle die er da abgreifen will, aber das habe ich oben mit meinem Statement schon beschrieben.

Wenn du dir ein Freiheitskämpfer T-Shirt anziehen und zu Hause einen offenen Hotspot aufstellen willst, nur zu. Aber wenn das hier ein (teils) kommerzielles Setup ist (Beispiel: Hotel o.ä.), gelten da eben andere Spielregeln wie bei deinem CheGuevara-Gedächtnis-Fon-Hotspot. Spätestens wenn du dann mal eine Abmahnung im Haus hast, überlegst du dir das auch 2x ob das noch so cool ist. Und eine Firma oder Personengesellschaft kann das hart treffen.

Wo ich senser zustimmen muss ist, dass hier offenbar - auch durch die anderen Threads ersichtlich - nicht extrem viel technisches Verständnis für die Grundlagen und die Technik vorhanden ist. Da frage ich mich an der Stelle schon, ob es keinen Sinn gemacht hätte, lieber eine fertige kommerzielle Lösung einzukaufen als etwas halbgar hinzuklatschen, was später vielleicht keiner mehr administrieren kann oder man nur vage Ahnung hat, was man da eigentlich tut. Gerade wenn es um einen öffentlichen HotSpot geht (und das am Ende sogar noch was kommerzielles ist)? Nur ein Gedanke.

Hallo JeGr,

erstmal danke für deinen Post.
Das mit den Gruppen ist mir bewusst, da ich diese auch ausgiebig nutze. Funktioniert auch wirklich alles super.
Das mit dem default gateway switching ist auch soweit richtig, da ja in der Firewall angegeben ist, dass Gruppe xy genutzt werden soll.

Das switching benötige ich aus folgendem Grund:

Alle OpenVPN Clients sollen eine Verbindung zu einem OpenVPN Server aufbauen. Hinter dem Server ist meistens eine 100mbit Glasfaser vorhanden, die Clients sollen auch primär mit der besten Leitung die Verbindung aufbauen. Meistens ist dies auch mindestens eine 34mbit Glasfaser. Wenn aber beim Client die Glasfaser wegbricht, dann wird der Tunnel gar nicht mehr aufgebaut, da bei der OpenVPN-Config ja die Glas angegeben ist. Um dies zu umgehen, habe ich festgestellt, dass die Option "any" nur dann funktioniert, wenn das default Gateway switching an ist. Nun ist es so, dass immer zuerst die Verbindung mit dem aktuellem Default Gateway aufgebaut wird. Also habe ich die dickste Leitung als default Gateway markiert. Dass bestimmter Traffic über andere Leitungen gejagt wird, habe ich, wie du schon beschrieben hast, über Gatewaygruppen in der Firewall gelöst. Nur leider kann ich die OpenVPN-Einstellungen nicht über die Firewall beeinflussen. Auch über Floating habe ich es nicht geschafft. Es scheint wirklich so, als ob OpenVPN wirklich nur die Routing-Tabelle nutzt und das dort eingetrage Gateway wählt, um die Verbindung zum Server aufzubauen.

Und genau aus diesem Grund spielt die Reihenfolge der Gateways eine Rolle. Also entweder kann man die Reihenfolge bestimmen oder man kann OpenVPN irgendwie beibringen Gruppen zu benutzen. Ansonsten muss ich wirklich alle Gateways manuell löschen und in der richtigen Reihenfolge anordnen, oder mit jeder einzelnen Leitung eine VPN-Verbindung aufbauen und dann per OSPF und manueller Cost-Angabe die Priorität bestimmen. Beides ist aber leider mit viel Aufwand und Dokumentation verbunden und daher möchte ich diesen Weg eigentlich nicht gehen, da ich die Systeme so einfach wie möglich halten will.

Trotzdem nochmal vielen Dank für deine Mühe

Den Signalpegel den du beschreibst, hat man auch wenn man überhaupt gar keine Antenne anschliesst.
Mehrere Möglichkeiten:

Falscher Stecker auf der Karte (scheinst du ja schon ausporbiert zu haben) Pigtail defekt Antenne defekt

Generell kannst du sagen:
2.4GHz eine Dämpfung des gesendeten Signales von 20dB in einer Distanz von ca 12cm.
5GHz eine Dämpfung des gesendeten Signales von 20dB in einer Distanz von ca 6cm.
Danach steigt die Dämpfung um 6dB pro verdoppelung der Distanz.

Wenn du also mit 20dBm auf 2.4GHz sendest, hast du in 12cm. Entfernung noch einen Pegel von 0dB.
24cm. -6dB, 48cm -12dB, ~1m -18dB, ~2m -24dB, 4m -30dB, etc.
Dies sind ideale Werte welche durch die Umgebung verschlechtert werden.

komischerweise wenn ich die Dyn DNS Adresse im Browser eingebe gelange ich auf die pfsense was ja auch nicht sein sollte.

Dann ist der Zugriff auf das Web Interface auf die WAN Adresse erlaubt. Da ihr von "innen" kommt, also vom LAN kann es je nach LAN ruleset durchaus sein, dass das erlaubt ist.

Alle 3 Varianten kannst du ja kaum versucht haben, es sei denn ihr könnt einfach mal so eben die Leitung auf ne feste IP umstellen ;)

zu 3) Für NAT reflection muss einmal in den general settings überhaupt erlaubt sein und dann bei der entsprechenden NAT Regel auch aktiviert werden damit das geht. Deshalb bin ich auch kein großer Freund dieser Idee.

zu 2) Um das überhaupt sauber zu testen, wäre es mal wichtig zu wissen wer überhaupt DNS für die Clients intern macht. Wenn der weiterhin die externe IP auflöst kannst du auf der Sense eintragen was du willst, weil sie nie gefragt wird. Dazu mal am Client sehen, welche DNSe hier eingetragen sind. Wenn ihr die über einen Windows DHCP rausgebt, wird der wohl auch seinen eigenen DNS eintragen. Also müsst ihr den anpassen oder diesem für die entsprechende Zone einen anderen Forwarder verpassen. Einfacher wäre es, wenn die pfSense selbst DHCP ist, das ist aber kein muss.

Also erstmal testen, wer überhaupt was und warum auflöst und dann von hinten nach vorne durchgehen.

Der Sinn ist recht einfach. Unsere Virtualisierung nutzt dieses Verfahren für Routed-Network. Ich kenne einige Anbieter wo das auch gemacht wird, und diese sind nicht gerade klein. Ach ja das mit der IP war nur ein Beispiel, wir reden hier von öffentlichen IP-Netzen.

Und das was Hetzner gemacht hat ist gar nicht dumm, ich würde es eher unglücklich nennen :D Da hat einfach keiner an VMs gedacht. Allerdings raffen die Privatuser auch nicht, wie man eine zugroutete IP-Adresse auf der gleichen Maschine terminiert. Daher der ganze Aufwand und daher auch der notwendige Proxy-ARP.

Nachtrag:
Das weitere Problem ist auch, dass wir einzelne IP-Adressen rüber migrieren möchten.

Gibt es denn alternative so etwas wie Custom-commands, die auch repliziert werden?

Nachtrag2:
Mit einer etwas intensiveren Suche wird man schlauer: http://doc.pfsense.org/index.php/Executing_commands_at_boot_time.

Ehm nein ;) da denkt man sich nichts aus. Einfach "New Topic" (neues Thema) statt "New Poll" (neue Umfrage) machen das nächste Mal ;) Dann musst du auch nichts eintragen.

Moin,
ok und danke für die Infos. Ich werde dann die Box vorerst belassen und einfach pfsense versuchen als KVM  nachgelagert zu betreiben. Das mit a+g ist ein guter Tipp, den ich bstimmt demnächst mal ausprobieren werde.

Hi,
dann stellt sich die Frage, ob Du auf dem ALIX noch zusätzliche Software nachinstalliert hast.(Squid, Squid-Guard, etc.)
Auch sollte man nur das nötigste loggen.
Das ALIX hat halt schon recht begrenzte Möglichkeiten was RAM usw. betrifft, und wird durch diese Sachen schon recht "ausgebremst".
Ob das die Ursache Deines Problems ist, ist zwar nicht gesagt, Du solltest aber diese Möglichkeit nicht außer acht lassen.

Gruß orcape

So, das Problem ist gelöst: Es lag am eingeschalteten Captive Portal auf dem 172.29.0.0/16 Netz. Nur Clients mit Passtrough über die Mac-Adresse lassen sich erreichen.
Danke allen für die Mühe und Hilfe

Ich verstehe die Frage auch nicht ganz, sehe es aber so, dass wohl irgendwo ein DNS Server läuft (non Windows) der den Primary macht und ein Windows-AD, der als Secondary im Spiel ist. Der Primary muss dann eben company.local an den secondary weiterreichen, sonst haben die ganzen Windows-Kisten ein Problem.

Und ja, das habe ich oben schon erwähnt in der Liste, dass der DNS Forwarder von pfSense so etwas kann. Nennt sich "Domain Overrides" im DNS Forwarder.
Wenn du es ganz Hardcore möchtest, kannst du statt dem Forwarder auch einen ganzen DNS Server installieren. Rate ich aber von ab.

"die ganzen Services" verstehe ich leider nicht. Außer DNS und DHCP etc. habe ich noch nichts gehört von irgendwelchen Hardcore Diensten. Und die laufen natürlich lokal mit ihrem eigenen Service User ohne erweiterte Rechte wie es sich gehört. Da die Firewall von außen auch nicht erreichbar sein sollte, ist da aber eh nur theoretisch. Die Gefahr käme da eher von innen als von außen.

Hallo,

wenn deine Switche dynamische VLANs können, dann könntest du die VLANs per RADIUS 802.1X dem user/schüler zuweisen. Sobald sich ein schüler an die Dose anklemmt, poppt ein Windows fenster auf und der schüler gibt seine Zugangsdaten ein. Auf Basis der Zugangsdaten kommt er dann in das entsprechende VLAN. Was die VLANs dürfen, entscheidest du dann über Firewall- und Proxy-Filter Regeln. Den Zugang zum VLAN kannst du dann ja ebenfalls per RADIUS zeitlich begrenzen.

Das CP kannst du auch nutzen mit Benutzername/Kennwort oder Voucher. Musst nur die Felder in der .html anpassen. So können schüler mit Benutzer/Kennwort durch das CP ins Netz - zeitliche Begrenzung über RADIUS.
Und Gäste oder "fleissige Schüler" bekommen einen 30min Vocuher - welcher dann unabhängig vom RADIUS 30min Zugriff erlaubt.

Und wie bereits im vorherigen Post gesagt, wenn deine Switche VLANs können und deine pfsense auch, brauchst du nicht mehrere pfsense installieren. Du kannst ja für verschiedene interfaces an der pfsense das CP einschalten. In version 2.1 von pfsense kannst du sogar sagen, dass das CP auf interface A über RADIUS und Benutzername/Kennwort funktionieren soll, das CP auf interface B aber nur über Voucher. Und interface C soll zum Beispiel beides erlauben.

Du könntest dir auch diese Funktion des CPs mal anschauen:

Pass-through credits allowed per MAC address Waiting period to restore pass-through credits

So könnte jeder Schüler oder Gast pauschal ein paar credits bekommen die dann alle 24h resetet werden.

Mit den VPN Clients wirds noch nen Zacken schwerer, da diese auf jeden Fall geroutet und ggf. dem Drucker nichtmal bekannt sind. Allerdings - wenn es sich da nur um Laptops/PCs handelt, sollte denen das per IP verbunden relativ egal sein, sofern die Routen, Regeln und Namen passen. Aber bspw. ein per VPN eingewähltes iPhone wird per App garantiert nicht glücklich werden. Dafür sind diese Art Drucker/Geräte aber auch überhaupt nicht ausgelegt, weil das meistens nur Arbeitsgruppen-Geräte sind. Keine Full-Scale Printserver für Unternehmenseinsatz.

Evtl. kannst du mit der ALIX auch noch eine zweite SSID aufspannen und diese bridgen. Da ich aber strikt WiFi APs von Border-Gateway Geräten trenne, kann ich dir das nur bedingt sagen. Zumal pfSense nicht gerade die beste Plattform für WiFi ist (durch eingeschränkte Treiberverfügbarkeit). An der Stelle fand ich es dann durchaus einfacher, vorhandene Geräte bzw. ein zusätzliches mit einzubringen.

Bspw. hat privat meine KabelBW Fritz!Box eh nur single-Band WiFi. Macht aber nichts, deshalb macht sie im 2,4GHz Band eben Gäste-AP. Die kommen dann ins Internet und gut. Eine andere alte Fritzbox macht dafür dann im LAN selbst hinter der pfSense den "echten" WiFi AP im 2,4 und 5GHz Band, der ist dann auch stark verschlüsselt und nur für interne Geräte.

Bei meinem letzten WiFi Projekt waren es bspw. APs von HP, die dann auch multiple VLANs und multiple SSIDs pro Kanal aufspannen können. Damit ist das dann sehr einfach zu realisieren, gleich auch noch mit Anbindung an ein internes AD und Auth per Radius ;) Das dürfte an dieser Stelle aber etwas Overkill sein.

Und das Problem ist behoben?

Du könntest dich auch bspw. bei OpenDNS anmelden und diesen Account eintragen. Das ist zwar kein klassischer DynDNS, aber über diesen Account kann man die IP somit auch abfragen (wenn man nur die IP braucht). Wenn aber irgendwo ein DNS Name benötigt wird, bleibt nur

a) ein anderer dDNS Provider mit besseren Konditionen der unterstützt wird
b) das ganze selbst machen mit RFC2136 kompatiblem DNS
c) sich irgendwo mit einer Skriptsprache des Vertrauens einen Mini-Webservice aufsetzen, der bspw. eine Mail versendet wenn sich die Sense anmeldet.

Grüße

Also habe den Fehler gefunden. Ich weiss zwar nicht warum aber ich muss expliziert das ICMP Protokoll freigeben…

Jetzt steht soweit alles nur bekomme ich unter IPsec Status neben der VPN Verbindung ein rotes X angezeigt. Sonst war das immer gelb.

Komischerweise steht nicht mal was im LOG :(

Jemand eine Idee dazu?

Gruß
Alex

Problem könnte sein, dass WAN und LAN in der selben Range sind? Wenn ja - doof - dann musst du WAN ändern in ein anderes Segment. Ansonsten kannst du immer nur auf LAN zugreifen, alles andere wird von den Default Rules geblockt.

@mrsunfire:

Sehr interessant! Preis?

Board ca. 160 Euro und Gehäuse ca. 50 Euro.