Kann pfSense das was ich möchte ?



  • Guten Morgen,

    ich möchte mir gerne eine Firewall aufsetzen, welche den Internettraffic kotrolliert und spezielle Geräte nur auf spezielle Seiten lässt ( Die der Kinder ).
    Die restlichen Geräte dürfen dann alles aufrufen.
    Weiterhin soll ein drittes Subnet aufgesetzt werden, welches den WLAN Traffic der Gäste über einen seperaten AP regelt ( Diese dürfen nur bestimmte Dinge im WWW machen, haben im internen Netz nichts zu suchen ).
    Ich habe bei mir einen Magenta Hybrid Anschluß, bei welchem ich den DSL Part über eine Fritzbox regele und das Hybridmodem baut den LTE Strang extra auf. Dieses muss ich wegen meiner Telefonie so machen, da ansonsten alle Telefonate abbrechen. Aktuell verteile ich die Geräte nach eingestelltem Gateway.
    Sehr gute wäre es, wenn ipsense den Traffic selbst via DSL oder LTE regeln könnte.
    Ich hab einen HP Proliant ML115G1 mit 2 GB RAM und 3 NICs zur Verfügung.
    Zu meiner Person, ich bin Baujahr 1977 und hab mal ANSI C gelernt ( Da gabs noch keine grafischen Oberflächen )….

    Meine Frage ist nun, kann IPSENSE das was ich möchte ?
    Oder muss ich woanders schauen ?

    Danke für Eure Antworten

    NGargh



  • Ich bin mir nicht sicher, ob pfSense alle Tasks alleine bewerkstelligen kann. Spielen wir das einmal durch:

    Man kann pfSense auf einem kleinen Rechner installieren (intel/amd) und einen Wlan-Stick oder Wlan-PCI-Adapter anschließen (Vorsicht mit den Treibern! Nicht jede Hardware kommt in Frage). PfSense kann dann selbst als Access Point agieren und man spart sich den separaten AP.

    Zum Funktionsumfang von pfSense
    Man kann Firewall, Nat und VLAN mit pfSense relativ einfach nützen. Für Gäste könnte man ein Captive Portal einrichten, um so temporär Internetzugang zu ermöglichen (mittels Einmalcode). Für den Hausgebrauch kann man auch einen Radius Server verwenden, um jedem Nutzer eine eigene Kennung und ein eigenes Passwort für den Internetzugang (oft vereinfacht "Enterprise WPA" genannt) zuzuweisen. Es sind aber auch andere Kriterien zur Authentifizierung denkbar.
    Der DHCP-Server kann selbstverständlich aufgrund von statischen Leases abweichende Informationen liefern.

    Also PFSense kann freilich Traffic aufgrund der Regeln über bestimmte Gateways natten oder mit statischem Routing verarbeiten. Das kommt ganz darauf an, was man braucht oder, was man möchte.

    Wenn mehrere Access Points im Spiel sind und mehrere getrennte WLANs vonnöten sind, würde ich fast dazu übergehen, neben PfSense einen VLAN-fähigen AP (oder einen OpenWRT-tauglichen AP mit VLAN-fähigem Switch) zu nehmen und die Netze dergestalt zu trennen. Das ist gerade dann, wenn mehrere, untereinander verkabelte APs in der Wohnung/im Haus stehen, vermutlich auch die einfachere Lösung, um dennoch separate WLANs zu betreiben. Bei VLAN werden einige Experten hinsichtlich der Sicherheit warnen, andere wiederum die Angriffsszenarien in heutiger Hard-/und Software negieren.

    Was die Kindertauglichkeit anbelangt, so ist die einfachste, aber auch die unsicherste Variante, den PCs der Kinder andere DNS-Informationen zu schicken - etwa indem sie über DHCP andere DNS-Server bekommen. Da gibt es auch kommerzielle DNS-Anbieter, wie OpenDNS, aber meines Wissens auch die DTAG. Man kann aber auch den DNS-Forwarder für bestimmte Domains oder Hosts umleiten. Ansonsten müsste man Filterlisten erstellen, die aber auch zulässige IPs sperren könnten.
    Wenn die Kinder freilich Computer-firm sind und Administratorrechte haben, nützt das alles recht wenig.

    Das Hybridmodem ist ein spearates Gerät und hat einen Netzwerk-Port (RJ45)? Dann sollte auch das kein Problem sein, wobei ich ohne das Gerät und die Konfiguration zu kennen, darauf nicht wirklich antworten kann.

    Fritzbox: "DSL-Part" bedeutet "Fritzbox ist älteren Baudatums und als Bridgemodem konfiguriert" (was in .de nur selten der Fall sein wird) oder "Fritzbox routet"?

    Ein Beispielsetup wäre etwa: Pfsense über ein Bridge-Modem mittels PPPoE mit dem Provider verbinden, eine (Art) Freifunk-Netz wäre auf einem anderen Gateway im Netz verfügbar. Server stehen in einer DMZ. Diverse VLANs und ein Satz TP-Link TL-WR1043ND mit OpenWRT spannen diverse Funknetze auf, die entweder mittels statischer WPA2-Passphrase authentifizieren (für Drucker und anderes Zeug, das kein WPA-Enterprise kann), Gäste -> Captive Portal, Radius -> Büro. Pfsense routet zwischen diesen Netzen und regelt über die Firewall den Datenverkehr.

    Also würde ich zusammenfassen: grundsätzlich ja, vieles davon, aber alleine vermutlich nicht alles, kommt ganz darauf an. Machen kann man damit jedenfalls sehr viel, aber man muss sich auch einlesen (oder die richtigen Fragen stellen ;-)


  • Moderator

    Kurzes Kommentar:

    Man kann pfSense auf einem kleinen Rechner installieren (intel/amd) und einen Wlan-Stick oder Wlan-PCI-Adapter anschließen (Vorsicht mit den Treibern! Nicht jede Hardware kommt in Frage). PfSense kann dann selbst als Access Point agieren und man spart sich den separaten AP.

    Möchte man nicht. pfSense als AP erachte ich eher als Notlösung denn als vollwertigen Einsatzzweck, einfach weil es zu viel WLAN Kram gibt, der auf FreeBSD wegen Treibern nicht geht.
    Je nach AP den man einsetzt kann der selbst bspw. auch eine Portallösung mit dabei haben.

    Ansonsten könnte beim Thema Filter auch noch pfBlockerNG und/oder Squid (und Co) mit einbezogen werden, dann sollte das aber die Hardware auch abkönnen.



  • Wir reden wir von einem Home Use AP. Übertreiben wir es nicht.


  • Moderator

    Wir reden wir von einem Home Use AP. Übertreiben wir es nicht.

    Öh bitte? Gerade zu Hause will ich doch eine funktionierende saubere Lösung, die mir nicht ständig auf die Füße fällt und bei der dann die Familie nörgelt was alles nicht geht. Und da gehört 1) ein ordentlich funktionierendes WLAN dazu (und das heißt nicht nur eins, das bis 2GHz Band und WLAN g bis "ein bisschen" ac geht). Und 2) ist pfBlockerNG bspw. nun kein Hexenwerk oder dunkle Magie. Da hier aber auch explizit Traffic Kontrolle wegen Kids und Gästen etc. angesprochen wurde, gibt es eben auch eine Proxy Lösung. Die ist sicher etwas aufwändiger umzusetzen, aber bei den begrenzten Personen jetzt nicht so dramatisch wie in einer Firma mit 100+ Leuten. Und der Thread Ersteller sprach nicht von einem AP, sondern von einer Firewall mit ggf. separatem AP.

    Ich sehe da nichts von übertreiben, sondern die Frage "kann pfSense das". Und ja das kann sie mit eben etwas mehr Aufwand. Wenn wir es nicht "übertreiben" kann man auch SOHO Router XY mit eingebautem Kinderfilter Z nehmen. Da sich jemand für pfSense an dieser Stelle zu Hause interessiert, nehme ich eher so wahr als dass man eben keine normale klick-bunt-simpel Lösung haben möchte - sonst hätte man auch bei einer einfachen Fritte bleiben können.



  • @JeGr:

    Wir reden wir von einem Home Use AP. Übertreiben wir es nicht.

    Öh bitte? Gerade zu Hause will ich doch eine funktionierende saubere Lösung, die mir nicht ständig auf die Füße fällt und bei der dann die Familie nörgelt was alles nicht geht. Und da gehört 1) ein ordentlich funktionierendes WLAN dazu (und das heißt nicht nur eins, das bis 2GHz Band und WLAN g bis "ein bisschen" ac geht).

    Das hat aber per se nichts mit pfSense zu tun, sondern mit Fachwissen um 802.11/a/b/g/n/ac/…
    Das genannte Beispiel habe ich an einem Standort seit Jahren in Verwendung und es funktioniert stabil. Der Durchsatz liegt im Verhältnis zur Kanalauslastung mit 802.11n bei 20MHz mit g-Mode-Protection mit Atheros-basierten Geräten im Rahmen der Erwartungen um die 20 Mbit/s oder darüber.

    @JeGr:

    Und 2) ist pfBlockerNG bspw. nun kein Hexenwerk oder dunkle Magie. Da hier aber auch explizit Traffic Kontrolle wegen Kids und Gästen etc. angesprochen wurde, gibt es eben auch eine Proxy Lösung. Die ist sicher etwas aufwändiger umzusetzen, aber bei den begrenzten Personen jetzt nicht so dramatisch wie in einer Firma mit 100+ Leuten. Und der Thread Ersteller sprach nicht von einem AP, sondern von einer Firewall mit ggf. separatem AP.

    Eben. Warum mit Kanonen auf Spatzen schießen, wenn er sich gerade erst in das Thema einliest? Wir wissen ja auch nicht, ob die Kids im Vorschulalter sind oder ob es sich schon um ausgewachsene Hacker handelt.
    Die Frage war, ob pfSense für den Einsatzzweck geeignet ist - die Antwort ist: prinzipiell ja, kommt auf die Bedürfnisse an.

    @JeGr:

    Ich sehe da nichts von übertreiben, sondern die Frage "kann pfSense das". Und ja das kann sie mit eben etwas mehr Aufwand.

    Ich habe nichts anderes behauptet.

    @JeGr:

    Wenn wir es nicht "übertreiben" kann man auch SOHO Router XY mit eingebautem Kinderfilter Z nehmen. Da sich jemand für pfSense an dieser Stelle zu Hause interessiert, nehme ich eher so wahr als dass man eben keine normale klick-bunt-simpel Lösung haben möchte - sonst hätte man auch bei einer einfachen Fritte bleiben können.

    Oder, dass er der kommerziellen Variante keine Nachhaltigkeit zubilligt.
    Man muss einem erfahrenen EDV-User, der aber pfSense-Anfänger ist, nicht auf einen Schlag alles sofort implementieren lassen. Der Frust-Level spielt da auch eine Rolle.
    Mein Vorteil ist eine sehr hohe Frusttoleranz - und die habe ich damals mit 2.1beta IPv6 und Problemen mit VLAN und TX-Offloading auf gewisser Hardware auch gebraucht. Damals hätte ich pfSense beinahe verworfen, bin aber heute glücklich, dass ich weitergemacht habe. Step by step und K.i.s.s. ist meiner Ansicht nach kein verkehrter Ansatz - auch, weil ich doch ein paar Jahre Tech-Support bei einem ISP gemacht habe und da auch Newbee-Kollegen geschult habe.

    Und: klar. Es gibt mehrere Meinungen zu verschiedenen Themen. Die Wahrheit liegt manchmal auch in der Mitte. Danke also für Deine Ergänzung der korrekten Einschätzung in Bezug auf WLAN-Hardware-(Treiber-)Support in pfSense. Der Hostapd wäre grundsätzlich derselbe wie anderswo auch, oder?

    Vielleicht kann NGargh diese Information oder eine detaillierte, abweichende Empfehlung ja brauchen?

    Danke im Voraus. Ich lese gerne mit und bilde mich weiter!


  • Moderator

    Step by step und K.i.s.s. ist meiner Ansicht nach kein verkehrter Ansatz

    Richtig, aber deshalb muss das a) nicht für alle der richtige Ansatz sein und b) man dann nicht andere unter der Prämisse ausbremsen, weitergehende Vorschläge oder Empfehlungen zu machen. pfBlockerNG bspw. lässt sich ohne große Hexerei installieren und ist schonmal wesentlich mehr als ein bisschen DNS was die Kids heute in jedem zweiten Youtube Video erklärt bekommen, wie sie das aushebeln. Und da brauchts keine Hacker für, das kann unser 11jähriger Minecraft Bastler auch schon problemlos wenn man ihm nicht auf die Finger schaut.

    Ich kritisiere deine Posts nicht, aber du könntest dich genauso wie du das von anderen forderst, auch mit solchen Seitenkommentaren wie "übertreibs nicht", "seriös bleiben" oder "lass doch einfach" etc. zurück halten. Gerade weil es meist nicht DIE oder EINE Meinung gibt oder eben ein Ansatz für jemand zu hoch oder zu tief ist. Primär werden hier Ideen zusammengetragen. Da braucht es solche Statements nicht, denn sonst kommen in Zukunft keine mehr. Und was für jemanden zu hoch ist oder nicht, das liegt immer noch bei demjenigen selbst. Darum bitte bevor du andere kritisierst auch selbst offen sein dafür und mal nen Gang runterschalten. Danke :)



  • @JeGr:

    Step by step und K.i.s.s. ist meiner Ansicht nach kein verkehrter Ansatz

    Richtig, aber deshalb muss das a) nicht für alle der richtige Ansatz sein und b) man dann nicht andere unter der Prämisse ausbremsen, weitergehende Vorschläge oder Empfehlungen zu machen.

    Es steht Dir frei, Deine Meinung frei zu äußern. Mache davon Gebrauch, aber kritisiere nicht andere, die dasselbe tun. Ich habe in Beantwortung der Frage den Weg beschrieben, den ich selbst ausgetestet habe, wie Du das auch getan hast. Ngargh ist sicherlich in der Lage, die beste Lösung selbst zu wählen und er kann ja hier jederzeit nachfragen.
    Ich sehe keinen Grund für einen Flame War, nur weil meine Philisophie einem langsamen Heranführen entsprechen sollte und nicht einem "ins kalte Wasser stossen". Vielleicht tue ich Dir Unrecht. Das täte mir leid.

    @JeGr:

    pfBlockerNG bspw. lässt sich ohne große Hexerei installieren und ist schonmal wesentlich mehr als ein bisschen DNS was die Kids heute in jedem zweiten Youtube Video erklärt bekommen, wie sie das aushebeln. Und da brauchts keine Hacker für, das kann unser 11jähriger Minecraft Bastler auch schon problemlos wenn man ihm nicht auf die Finger schaut.

    Wir wissen über das Alter und die Fähigkeiten von ngarghs Kinder nicht Bescheid und es muss uns auch nur peripher interessieren, solange wir über die Risken der jeweiligen Herangehensweisen aufklären. Das habe ich getan.
    Nicht alle Menschen sind gleich. Wenn wir die Möglichkeiten und Wege beschreiben, wird sich die passende Lösung für den Moment finden lassen.

    @JeGr:

    Ich kritisiere deine Posts nicht, aber du könntest dich genauso wie du das von anderen forderst, auch mit solchen Seitenkommentaren wie "übertreibs nicht", "seriös bleiben" oder "lass doch einfach" etc. zurück halten.

    Das mag am Tonfall liegen, in dem Deine eigenen Nachrichten abgefasst sind und wie sie im Moment individuell auf mich wirken.
    Aber ich gebe zu, nicht unbedingt selbst das personifizierte Optimum an sozialer Kompetenz zu sein. Ein freundliches, konkret darauf hinweisendes Wort werde ich jedoch stets akzeptieren. Dennoch werde ich meine Meinung nicht zurückhalten.

    @JeGr:

    Gerade weil es meist nicht DIE oder EINE Meinung gibt oder eben ein Ansatz für jemand zu hoch oder zu tief ist. Primär werden hier Ideen zusammengetragen. Da braucht es solche Statements nicht, denn sonst kommen in Zukunft keine mehr. Und was für jemanden zu hoch ist oder nicht, das liegt immer noch bei demjenigen selbst. Darum bitte bevor du andere kritisierst auch selbst offen sein dafür und mal nen Gang runterschalten. Danke :)

    Zustimmung. Aber nicht jeder Hinweis ist für jeden Nutzer und seine Anforderungen geeignet. Darum sollten wir zwar Alternativen anbieten, aber auch eine Empfehlung für den Einstieg nahelegen.

    Wenn jemand seinen Background schildert und sich als erfahrener Programmierer darstellt, so muss er deswegen noch lange nicht mit Struktur und Erscheinungsbild eines für ihn neuen OS und seiner GUI in all seiner Komplexität sofort konfrontiert werden. Wenn eine gewisse Tendenz zu abwertenden Kommentaren über das jeweilige Vorhaben des Fragestellers - wie im anderen Thread - oder eine Konfrontation mit allen erdenklich Features auf einmal stattfindet, kann das ebenso abschreckend wirken. Das wollen wir doch im Grunde beide gerade nicht.

    Wir bieten hier beide -ich kann nur für mich sprechen- unentgeltlich Lösungswege und Erfahrungswerte für einen konkreten Fragesteller an. Da liegt es nahe, sich individuell und nicht verallgemeinernd nach den Bedürfnissen zu erkundigen. Die Poster sind sicherlich mündig genug, selbst die für sie passende Lösung zu finden, soweit die Lösungswege und Risken gut genug -etwa auch an Beispielen- ausgeführt sind. Ich selbst habe zwar sehr viel aus "RTFM" gelernt, wäre aber manchmal über weniger harsche Worte, sondern eine weiterführende Erläuterung glücklich gewesen. In diesem Sinne versuche ich Fragen auch zu beantworten, wenn ich kann.

    Ich denke, dass ich jetzt einen Eindruck von Dir gewonnen habe, der uns Konflikte dieser Art in Hinkunft vermeiden lässt. Ich bitte um Pardon, für den schlechten Start.


  • Moderator

    Dennoch werde ich meine Meinung nicht zurückhalten.
    Dann sei doch bitte bei anderen genauso freundlich ohne sie ständig zu kritisieren oder tot-zu-zitieren und die Posts zu sezieren.

    Darum sollten wir zwar Alternativen anbieten, aber auch eine Empfehlung für den Einstieg nahelegen.
    Und warum sollte ich annehmen, dass es um "Einstieg" geht? Wer sagt dir das? Wieder nur eine Annahme. Der TE kann durchaus sehr technisch kompetent sein, er fragt schließlich nur nach Machbarkeit. Warum sollte ich daraus "Anfänger" ableiten? Zudem wäre es schön, wenn du nicht deine Maßstäbe zur Allgemeinheit machst. Es ist ja durchaus freundlich, dass du das so handhabst wie du möchtest, aber dann lass andere Leute so antworten und Lösungen anbieten, die sie für machbar/richtig halten ohne hier eine Dauerdiskussion zu starten. So einfach. Mir im Speziellen aber vorzuwerfen die Leute zu überfordern oder zu übertreiben halte ich für vermessen, da du weder meinen noch den Stand des TEs kennst. Genau deshalb bat ich, dich dahingehend zu zügeln. Und sollte die Frage kommen: Nein, das negative Karma hast du nicht von mir. Ich halte mich aus +/- Vergabe als Mod raus.

    Und damit wäre es schön, wenn das Dauer-Zitieren jetzt ein Ende hätte und man den TE wieder zu Wort kommen lässt ohne seinen Thread noch weiter OT zu führen.



  • @JeGr: Bevor Du weiter reflexartig über mich herfällst, und auf sachliche Kritik nicht eingehst, stütze Dich doch einfach auf die von ngargh im Erstposting des Threads dargelegten Fakten und Anforderungen.

    Dafür, dass Du, obwohl man von einem Moderator besseres erwarten dürfte, einen Satz aus dem Kontext reißt und Fakten nicht sinnerfassend gelesen hast, kann ich nichts.

    In der Sache:
    Offene Fragen an Dich, Ngargh -

    • Welche exakte Rolle die FB spielt. (Bridge oder Router).

    • Ob andere APs/Router bereits vorhanden sind; eventuell, ob diese VLAN-fähig wären, sofern der Bedarf an getrennten Netzen besteht.

    Hinsichtlich pfBlocker wirst Du, JeGr, Ngargh sicherlich kompetent beraten.


  • Moderator

    @JeGr: Bevor Du weiter reflexartig über mich herfällst, und auf sachliche Kritik nicht eingehst,
    Wo tue ich das? Wenn du meinst ich falle über dich her, lies doch auch mal deine Antworten. Und sowas kann man auch per PN machen, wenn man das klären möchte, aber du scheinst das ja lieber breitzutreten, was ich nicht nachvollziehen kann.

    stütze Dich doch einfach auf die von ngargh im Erstposting des Threads dargelegten Fakten und Anforderungen.
    Richtig, da steht u.a. extra AP etc. - und deshalb hatte ich auf dein Posting gemeint, man möchte an der Stelle auch wirklich nen extra AP und kein WLAN auf der pfSense.
    Ansonsten hatte ich nur weitere Möglichkeiten (in meinem ersten Posting) aufgezeigt. Wenn man jetzt betrachtet, wo du das hingezerrt hast, frage ich mich, warum:

    Dafür, dass Du, obwohl man von einem Moderator besseres erwarten dürfte,
    man hier von mir besseres erwarten sollte.

    einen Satz aus dem Kontext reißt und Fakten nicht sinnerfassend gelesen hast, kann ich nichts.
    Habe ich vom OP nicht getan. Von dir mag das an ein paar Stellen sicher zutreffen, da sage ich gar nichts gegen. Dass du aber eine Meinung hier vertritts wie eine Eisenbahnschiene und davon nicht abweichst und statt dessen mir ständig Dinge vorwirfst beende ich die Diskussion mit dir hier. Es scheint nichts zu bringen. Leider habe ich erst später andere Threads von dir auch im engl. sprachigen Teil gesehen, die genauso Enden. Es scheint also durchaus nicht nur meine begrenzte und besserungswürdige Moderatorfähigkeit zu sein, dass du andere Meinungen nicht gelten lassen kannst. Da das aber keinen Sinn hat mit einem Missionar zu diskutieren bin ich hier raus.

    Ich gebe aber gern meine freie Zeit weiter in den/die Threads sobald der OP etwas mehr wissen möchte oder beiträgt. Nur weitere Diskussionen mit epek bringen niemandem etwas.



  • Nach diesem gegenseitigen Bashing mit Moderatorenbeteiligung hat der OP sicher einen guten Überblick über die Community erhalten und kann sich nun ein eigenes Bild machen. Ich bin aber froh, dass ich so etwas hier nicht oft lese, zumindest im deutschsprachigen Teil und hier oft Hilfe erhalte.

    Das gehört hier nicht hin!

    Grüße
    pfadmin