Hi, danke für die Antwort!

also überwachen will ich eigentlich folgendes:

ob sie lebt CPU Auslastung RAM HDD Platz Traffic vll Intrusion …
//edit

ausserdem brauch ich für "check_by_ssh" entweder ne dauerhaft VPN Verbindung... oder nen offenen SSH port nach aussen und beides will ich eher nicht ...
Danke nochmal ....

Unter Wan gibt es einen Punkt (ganz unten) 'Block private networks'    disablen 
10.0.0.0/8 ist so ein Netz also auch dein Wan
mfg max

@patrick19:

Hallo Leute,

danke euch für die zahlreichen Informationen von euch!
Lege mir einen IBM Server zu mit Vollinstallation der pfSene.

Freundliche Grüße
patrick19

Sehr nett, was denn für einen wenn ich fragen darf?

Edit: falls jemand Schwierigkeiten haben sollte ein Angebot inkl. Schienen zu finden: hab 1en zu viel.

Auf LAN erstellst du die Regeln, die nach AUßEN hin gelten sollen. Also From LAN to WAN Port 80 http…
Am WAN fässt du am besten nichts an, es sei denn du weißt, was du machst ;)

Am WAN machst du meist nur die Regeln hin, die du für eingehende Verbindungen und NAT nutzen möchtest. Zum Beispiel einen eigenen Webserver hinter der Firewall. Oder auch der SSH Zugriff auf die Box aus dem WAN.

Das was du machen möchtest passiert alles auf LAN und WLAN Interface...

Ja Carp ist pingbar.
Hab jetzt alle Netze  auf einen eigenen Switch, Status genauso wie gehabt.

Nach Neuinstallation Status  gelöst (uff)

Danke für die Geduld

Jetzt läuft es wirklich super und mein Alix liegt beim Download dann so 53-63% CPU, also schafft die Kiste das locker…

Keiner der Helfen kann?

Bin schon weiter gekommen habe keine Firewall - Logs mehr! Aber irgendwie hat IGMP Proxy Probleme siehe Log:

Jun 5 16:02:15 igmpproxy: Note: Route is not active. No kernel updates done. Jun 5 16:02:15 igmpproxy: Warn: MRT_DEL_MFC; Errno(49): Can't assign requested address Jun 5 16:02:15 igmpproxy: Note: Removing MFC: 172.26.0.161 -> 239.195.50.201, InpVIf: 1 Jun 5 16:02:15 igmpproxy: Warn: age_table_entry: SIOCGETSGCNT failing for (172.26.0.161 239.195.50.201); Errno(49): Can't assign requested address Jun 5 16:02:15 igmpproxy: Note: Route is not active. No kernel updates done. Jun 5 16:02:15 igmpproxy: Warn: MRT_DEL_MFC; Errno(49): Can't assign requested address Jun 5 16:02:15 igmpproxy: Note: Removing MFC: 10.0.22.161 -> 239.192.78.39, InpVIf: 1 Jun 5 16:02:15 igmpproxy: Warn: age_table_entry: SIOCGETSGCNT failing for (10.0.22.161 239.192.78.39); Errno(49): Can't assign requested address Jun 5 16:02:13 igmpproxy: Note: RECV V2 member report from 192.168.1.9 to 239.255.255.255 (ip_hl 24, data 8) Jun 5 16:02:13 igmpproxy: Note: The IGMP message was from myself. Ignoring. Jun 5 16:02:13 igmpproxy: Note: RECV V2 member report from 192.168.1.254 to 224.0.0.2 (ip_hl 24, data 8) Jun 5 16:02:11 igmpproxy: Note: RECV V2 member report from 192.168.1.10 to 224.0.0.252 (ip_hl 24, data 8) Jun 5 16:02:11 igmpproxy: Note: Adding MFC: 10.100.22.178 -> 239.195.255.255, InpVIf: 1 Jun 5 16:02:11 igmpproxy: Note: Adding MFC: 10.0.22.161 -> 239.195.255.255, InpVIf: 1 Jun 5 16:02:11 igmpproxy: Note: RECV V2 member report from 192.168.1.9 to 239.255.255.250 (ip_hl 24, data 8) Jun 5 16:02:09 igmpproxy: Note: RECV V2 member report from 192.168.1.9 to 224.0.0.255 (ip_hl 24, data 8) Jun 5 16:02:07 igmpproxy: Note: RECV V2 member report from 192.168.1.9 to 224.2.127.254 (ip_hl 24, data 8) Jun 5 16:02:05 igmpproxy: Note: RECV Membership query from 192.168.1.254 to 224.0.0.1 (ip_hl 24, data 12) Jun 5 16:02:05 igmpproxy: Note: RECV Membership query from 192.168.1.254 to 224.0.0.1 (ip_hl 24, data 8)

Wo könnte der Fehler liegen?

Meine Einstellungen:

Bitte um Hilfe!!!

Hi zanthos,

wie hast Du denn den read-only schutz wegbekommen?

Ich hab pfsense 1.x auf einem Alixboard laufen, jedoch brauche ich das Vouchersystem für meine Gästewlans.

Wäre schön, wenn Du mir dadrüber Auskunft geben könntest. Gerne auch von allen anderen.

Viele Grüße,
Peter

Vielen vielen Dank!!! :)

gibt es irgenwo eine Anleitung wie man sich das selber zusammenbaut? und was bräuchte man sonst noch ggf. dazu um es zum laufen zu bekommen

Danke im voraus

Dirk

Hallo Chris Vielen Dank für deine Geneile Erklärung wirklich sehr Hilfereich :)

Fehler gefunden!

Die im ersten Posting genannte PFSense Konfiguration war und ist völlig in Ordnung.

Der Verursacher war hier Kaspersky auf dem "Server" 192.168.99.61.

Innerhalb des Segmentes hat er zwar die Zugriffe auf den Port 80 erlaubt … sowie aber eine Anfrage über den Router (und dann durch die Firewall hindurch) kam, wurde diese geblockt.

Gar nicht ^^"
Soweit ich weiss ist der Server auf dem die translation files lagen an denen gearbeitet wird auch gar nicht mehr existent.

Vieken dank werde ich machen sobald ich einbischen Zeit finde :)

@GruensFroeschli:

Das funktioniert (bis auf das beschriebene problem) so?
Wenn ja, bin ich äusserst erstaunt.
Hast du vielleicht auf den beiden WANs unterschiedliche Gateways?

Ja, das läuft (bis auf die geschilderten Probleme) tadellos.

Ich sehe da eigentlich keine Probleme, denn das default-gateway ist ja immer "nur" WAN und jedes weitere Interface gehört zu einem beliebigen Netzwerk.
Wenn "WAN2" zum selben Netzwerk gehört wie WAN ABER einen andere IP hat, dann sollte das ohne Probleme laufen.

In den Regeln wird der Weg (gateway) über WAN2 ja gezielt ausgewählt und nur bestimmte Pakete gehen über WAN2 raus.

Meine Vermutung, dass es hier ggf. ein grundsätzliches Problem mit der pfSense gibt, wurde kürzlich durch ein weiteres Problem relativiert. Wenn ich WAN2
(jetzt als VLAN Interface) über LAN an einen lokalen Switch per VLAN-Tag schicke und an ein untagged Interface das WAN2 Modem anschliesse (also ohne Tagging),
dann bekommt die pfSense keine IP per DHCP zugewiesen. Das Motorola Modem verweigert die Vergabe.

Kann es sein, dass die Motorola-Modems von Untity Media die Mac des Interfces der pfSense clonen und dann transparent die Daten durchschicken? Dann würde ein Switch natürlich diesen Vorgang verhindern … andernfalls müsste eine DHCP Server auf dem Motorola-Modem laufen und das ist für die öffentlichen IP Adressen ja nicht der Fall,
denn es gibt kein Transfernetz o.ä. ...

@GruensFroeschli:

Rein von der Art her wie die Routing-table funktioniert, kann es gar nicht gehen zwei mal das selbe subnet mit dem selben Gateway zu haben ;)

Warum und wie genau sieht denn dieser Routing Table aus bei einem WAN und einem zusätzlichen WAN2, das auf ein beliebiges Interface vergeben wurde.

Es bleibt jedoch die Frage offen, warum ab und zu das WAN Interface nicht mehr "default-gateway" ist ?!?

Grüße FBI01

Ahhh…habs schon rausgefunden!!

Man muss zuerst das Filesystem auf read-write stellen per

/etc/rc.conf_mount_rw

dann unter /cf/conf/ im File config.xml diese Zeile wieder hinzufügen (ich habs unter <maximumstates>eingefügt)

<disablenatreflection>yes</disablenatreflection>

das Filesystem wieder auf read-only stellen mit

/etc/rc.conf_mount_ro

zum Schluss das File wieder einlesen mit

/etc/rc.reload_all

und es lief wieder! So jetz muss ich mich nur noch der NAT-Rule widmen, wo ja wohl der Fehler liegen dürfte!</maximumstates>

ok also das mit der rule funzt nicht.

ich bin wie folgt vorgegangen (pfsense is by the way version latest)
firewall ~> rules
lan
add new rule

dort die einstellungen wie folgt:
action : block
interface : lan
protocol : any (funzte nicht…daher mit tcp getestet...ergebnis ~~> ich schreibe gerade mit dem offiziell gesperrten rechner :) )
source type : single host
source ip : 192.168.1.101 (der rechner der gesperrt werden soll und der bekommt auch nur diese ip)
destination port range : entweder any oder http...je nachdem was ich bei protocoll gewählt habe...funzt beides nicht.
log : haken aktiviert da ich sehen will ob der gesperrte rechner versucht rauszugehen.

nun wie bereits geschrieben...der rechner der eigentlich gesperrt sein sollte (also der mit ip 101) ist problemlos rausgekommen denn ich surfe gerade mit dem und poste das hier.

was habe ich denn falsch gemacht?

edith sagt:
ok habe den fehler gerade gefunden. scheinbar ist bei pfsense die reihenfolge der regeln wichtig.
nachdem die sperre ganz unten stand griff sie nicht da vorher eine andere regel alles rauslässt.
gut wiss mer das auch :)

Hi,

also es ist möglich ne pfSense auf dem Thinclient zu installieren!

habs hinbekommen. Nachdem ich durch irgendwelche umstände auf einmal eine Verbindung per COM-Port hergestellt bekommen hab, konnte ich die embedded Version installieren.

Die Firewall läuft einwandfrei.

weniger als 128MB RAM sollte man jedoch definitiv nicht verwenden.
…

Mit 2,8 Mbits downstream Durchlauf hat der Prozessor eine Auslastung von ca. 70%.

Danke!

// kann geschlossen werden

Hat sich erledigt, habe pfsense neu installiert. Laeuft jetzt.
Gruss Alex