Hallo,

du kannst Benutzer und Gruppen in pfSense anlegen, welche vershciedene Rechte habe bzw. verschiedene pages sehen dürfen und verändern oder eben nicht.

Dazu gehst du in pfSense 2BETA4 auf:
System -> User Manager

Dort kannst du Gruppen oder einzelne Benutzer hinzufügen. Ich weiss ad hoc nicht egnau wo, aber dort kann man dann auch "restrictions" oder so ähnlich hinzufügen über dieses typische "+" Symbol. Dort werden dann alle Seiten aufgelistet, die die pfSense hat und du wählst eben aus, welche Seiten diese Benutzer nutzen dürfen.
ACHTUNG: Es gibt eine Seite "pfSense Dashboard". diese musst du freigeben, sonst kommt er nicht auf die Startseite und kann somit die einzelnen pages nicht annavigieren.

Anbindung an ein AD…weiss ich nicht obs geht, aber man kann wohl einen Verzeichnisdienst angeben, mit dem man sich verbinden möchte, in wie weit das klappt, musst du testen oder jemand anderes weiss mehr darüber.

ne das funktioniert auch so….hab die alle umgeschrieben und sieht bombe aus.....hab gleich nen ganz neues interface gemacht....sah doch scheiße aus :D

http://rapidshare.com/files/434674174/cyx.JPG

falls jemand was abhaben möchte vom kuchen.....pm ;)

fett dann muss ich mir ja nur noch 3x 50mbit inet besorgen und dann ABFAHRT :D

Hallo,

vieleicht nur etwas, was ich übersehen habe, aber trotz Anleitung bekomme ich auf meinem IP-TV interface (VLAN 8) keine IP (0.0.0.0). Hat jemand eine Idee was ich verkehrt gemacht habe? (Alixboard und Speedport 722).
Danke für eure Hilfe.

Also seit dem ich auf ein reines 1:1 NAT gestellt habe, also die ganze IP Adresse durchleite, funktionierts noch immer.

danke für den Tipp :)

Da muss ich minimal widersprechen. Sinnvoll erschiene mir 3, nicht 1. Da du aber nicht angibst, wie du WLAN, Drucker, etc. anschließt gehe ich einmal frech davon aus, dass du die Fritzbox daher als WLAN AP und ggf. auch als Printserver o.ä. im Einsatz hast.

Wie gesagt finde ich Methode 1 suboptimal, da man mit 2 Geräten herumspielen muss wenn etwas nicht funktioniert. Da du aber wahrscheinlich kein freies DSL modem hast (ich gehe mal von DSL aus, Kabel wäre ja wesentlich einfacher), wirst du die pfSense wohl nicht direkt ans Netz bekommen. Das hätte es viel einfacher gemacht.
Was du nun genau für die Hardware nimmst ist dir überlassen, aber ich würde in deinem Szenario mindestens 3 LANs nehmen. Spätestens wenn du dann doch irgendwann Version 3 machen willst, brauchst du LAN1 für WAN, 2 für deine "DMZ" und 3 für dein geschütztes Netz.

Für dein Vorhaben #1 aber:

Die Fritzbox macht gar nichts mit Passthrough. OpenVPN funktioniert schlicht auf UDP Port 1194. Oder was immer du konfigurierst auf der pfS. Der Port wird ganz normal wie gehabt durchgereicht an die IP, die du der pfS auf dem externen Interface zur Fritzbox hin gibst. Natürlich muss der Port da auch filtertechnisch offen sein, aber das versteht sich von selbst.

Dazu habe ich weiter oben ja bereits geschrieben: ich würde es anders machen (bzw. tue das gerade). Ich hatte selbst sehr lange zu Hause aus "Faulheitsgründen" die Fritzbox an der "Front", aber nachdem gerade die 7390 am DSL immer unstabiler geworden ist, nutze ich nun ein DSL Modem (aka ausrangierte alte Fritzbox 7170 im Modem-only-Modus) vor dem ersten Interface der pfS und lasse die Sense selbst DSL aufbauen. Viel feinere Kontrolle. Außerdem kannst du dann den VPN Tunnel direkt aus dem Internet am Frontgateway (der pfS) terminieren und musst den nicht erst umständlich durchtunneln. Fritz und alles was Ports weitergeschoben bekommt wandern in OPT1 (genannt DMZ) und werden mit Portforwardings bzw. Firewallregeln und Routen versorgt. Alles was "Ruhe" haben soll wandert nach LAN und zum LAN hin wird auch nichts aufgemacht (außer ganz wenigen Zugriffen von Servern aus der DMZ).

Ich glaube das habe ich gerade beschrieben :)

Im Prinzip schlage ich das hier vor:

      WAN / Internet             :             : PPPoE-Provider             :       .–---+-----.       |  Gateway  |  (DSL Modem)       '-----+-----'             |         WAN | IP or Protocol             |       .-----+-----.  priv. DMZ    .------------.       |  pfSense  +----------------+ DMZ-Server |       '-----+-----' 192.168.1.1/24 '------------'             |         LAN | 10.0.0.1/24             |       .-----+------.       | LAN-Switch |       '-----+------'             |     ...-----+------... (Clients/Servers)

Grüße
Grey

Da ich ein wenig Timeout seit meinem letzten längeren Besuch im Forum hatte: Ist pfDNS inzwischen offizielles Projekt oder (immer noch) weiterhin nur eine Auskopplung die man selbst baut?

Letzteres würde die geringe Anzahl an Antworten erklären ;)

Hallo Power_Matz,

Fernsehen klappt nun, dank der Hinweise, jedoch komme ich (noch) nicht an die Streaming-Inhalte von Videoload und dem TV-Archiv ("Film der Woche" und so was..). Durch die entsprechenden Seiten navigieren klappt, aber auf der "letzten Webseite vor dem Ausleihen" fehlen bereits die Vorschau-Bilder.

Da mit dem T-Online Speedport W722V am selben Anschluss alles klappt fehlt mir noch irgend etwas im pfSense. Ich vermute, dass die fehlenden Inhalte von einem anderen Server kommen, welcher (noch) geblockt wird.. Komme da aber nicht weiter.

Wenn das Speedport Router/Modem wenigstens so was wie exposed host (manchmal fälschlicherweise als DMZ bezeichnet) können würde, dann könnte ich das ja einfach seinen Teil machen lassen und mit pfSense in Reihe zwei leben..

.olaf

Damit dieses Thema nicht vollends abdriftet in komische Spekulationen über Gehalt von Aussagen wollte ich - da gerade aktuell - noch etwas dazu beigeben.

Was sich für die schnelle und testweise Angriffserkennung gut eignet ist eine spezielle Regel auf dem Border Gateway, also der dem Internet zugewandten Firewall die mit ihrem Interface direkt am "WAN" hängt. Dort ein sprechendes Alias anlegen vom Typ Netzwerke und es in etwa "RejectBadGuys" nennen. Aber noch keine Netze eintragen.
In der Filtertabelle nun als obersten Punkt eine Regel vom Typ "Block" eintragen von der Quelle "RejectBadGuys" Ports "any" to "any"/"any".  Diese sollte nach ihrem Einfügen auch keinerlei Filterung machen (da im Alias noch nichts eingetragen ist).

Fällt dir nun im Log eine IP auf, die dir Suspekt vorkommt oder dir sehr viel Traffic oder Zugriffe auf Geräte erzeugt, die hinter deiner Firewall stehen, so kannst du - um Luft zu bekommen - diese Adresse mit /32er Netz in die Tabelle aufnehmen oder das gesamte Netzsegment aus dem die Zugriffe kommen in das Alias aufnehmen.

Wir hatten bei einem alten Arbeitgeber den Fall, dass es einige Fälle gab, in denen die Webserver bspw. von einem Sturm an Zugriffen überrannt worden sind, die alle einer Handvoll IP Adressen aus dem gleichen Segment zugeschrieben werden konnte. Diese konnte man dann, bis man weitere Maßnahmen ergriffen hatte, über diese Schnellblockregel aussperren. Um zu sehen, dass sie greift kannst du zusätzlich die Regel noch loggen lassen, dann sieht man sehr schnell ob es gut oder schlecht war. Natürlich kann man auch recht flugs eine einzelne Regel generieren wenn man im Filterlog einen Zugriff erkennt, aber wenn es diverse Adressen aus einem ähnlichen Segment sind ist man mit einer Blocktabelle wie dem Alias schneller. Zumal in solchen Situationen häufig jede Sekunde zählt in denen es heißt: "Je schneller die Zugriffe aufhören umso größer die Wahrscheinlichkeit, dass die Server weiterleben und nicht umfallen".

Grüße
Grey

Immer gerne. Vielleicht hilft dir auch http://wiki.hetzner.de/index.php/VMware_ESXi noch ein klein wenig weiter, wo einige Netz-Spezialitäten beschrieben sind.

Grüße
Grey

Hmm, das "Cannot dump. Device not defined…" macht mich etwas stutzig: Gibts da Probleme mit der CF Karte oder dem Speichermedium?

Warum "so groß"? Also wenn es 2TB wären, wäre die Sorge sicher berechtigt ;) Aber ich denke kaum, dass sich die ALIX bei "kleinen" 160GB einen großen Patzer leisten dürfte. :)

Dann würde ich es auf einen Versuch ankommen lassen :) Nochmal reinschauen ob vielleicht doch irgendwo was steht (Proxy müsste ja das SSL Offloading übernehmen) und ansonsten mal mit Regel versuchen.

Grüße
Grey

Habt ihr alle Grundvoraussetzungen geprüft, oder ob irgendetwas geblockt wird, was benötigt wird? Funktionieren DNS (und Reverse) Auflösung sauber? Ping? Ist evtl. beim Upload eine andere Strecke dicht oder muss Verkehr priorisiert werden? Wie sieht das grobe Setup aus, könnt ihr uns da einen Hinweis geben? (Bspw. mittels der ASCII Grafiken die freundlicherweise als Sticky im dt. Forum gepinnt wurden)

Grüße
Grey

Um die generelle Frage zu beantworten - Ja. Ich denke du zielst mit 1194 auf OpenVPN ab, wobei dort per Default der 1194er Port UDP spricht (was auch ganz gut so ist).

Bei einem Kunden von uns war diese Konstellation so geregelt, dass sowohl udp/1194 möglich, als auch tcp/443 erlaubt war, was mit Hotels immer sehr schön funktioniert hat. In deinem Fall dürfte das mit dem SSL Port schwierig werden, da diesen ja bereits der Webserver wegnimmt. Wenn du aber im Hotel auch mit 8080 nach draußen erlaubt wirst, spricht nichts dagegen, diesen zusätzlich bei OpenVPN und Co. zu konfigurieren. Ich würde aber den udp/1194 intakt lassen, da im Normalfall die Verbindung darüber "angenehmer" ist, als doppelt-verpacktes TCP über SSL.

Grüßend
Grey