DHCP von außerhalb…



  • Hallo

    Ich habe folgende Idee/Frage.
    Ich finde das Captive Protal mit den Vouchers klasse, klappt auch gut.
    Bekomme aber den Web-Proxy nicht zum laufen im Transparten Modus so das alles schön mitgeloggt wird.

    Meine Idee  ???

    Fritzbox (Vorhanden) macht die Interneteinwahl
    IPCop macht die Firewall, ist in deutsch und auch schon vorhanden mit einem Alix2D3 Board.
    Auf einem der LAN-Ports vom 2D3 (Blau) hänge ich eine weiteres Alix2C0 mit PFsense das mit das Cative Portal macht.

    Jetzt hätte ich gern das der IPCop die IP´s vergibt und man in dessen Web-Proxy die IP´s respektive die MAC´s sieht wo sie Surfen also das Web-Proxy log.
    Gibt es da sowas wie ein durchgang?
    So das man sieht welche IP so surft.

    Welche Einstellungen an der PFSense muß ich mir anschauen, mir fehlt da die Idee?

    cu Frank



  • Hallo,

    mein Vorschlag ist NAT in der PFsense abschalten und wenn die DHCP-Adressen unbedingt von IPCOP verteilt werden sollen kann man noch das DHCP Relay aktivieren bzw. konfigurieren.

    Hoffe das hilft weiter :)

    mfg.
    Livinlight



  • Hallo

    der IPCop muß die IP´s nicht unbedingt vergeben wenn ich auf dem Alix mit der PFSense den Proxy Transparent zum laufen bekomme und alles mitgeloggt wird kein thema.
    Krieg ich aber nicht hin, ideen ?

    cu

    PS: Ich teste, den Vorschlag



  • also NAT abschalten hat primär nichts mit dem Proxy zu tun, es geht halt nur darum doppeltes NAT und die eventuell resultierenden Probleme zu eliminieren, speziell im Hinblick auf eine vorgeschaltete Firewall.

    Aber der Punkt der für mich Fragen aufwirft ist, über Captive Portal sollen sich die User am Proxy anmelden?
    Vielleicht solltest du den Proxy "normal", also nicht transparent konfigurieren.



  • Hallo

    wenn ich den Proxy auf Transparentschalte dann wird zumindest beim IPCop automatisch mitgeloggt wo wer surft, außer die HTTPS seiten.
    Das ist eine Grundvoraussetzung, alles andere interessiert erstmal nicht.

    Habs gestern nicht hinbekommen, nicht um alles in der Welt, dann leb ich halt mit dem IPCop das halt ja die letzten 2 Jahre auch geklappt.
    Mich hat ja nur erstmal das Captive Portal gejuckt. Das hat geklappt.

    Gut danke erstmal, evtl sieht man sich ein zweites mal :-)

    cu Frank



  • Hallo

    Es sit doch nciht aus der Welt.
    Meine Frage

    NAT - also Firewall Regeln ?
    Hab ich in der PFSense noch ncihts eingegeben, wollt eich auch nicht.

    1.) Hab ich das richtig verstanden ?

    DHCP Relay.
    2.) Ich schalte an der LAN das DHCP aus und gebe in dem Menupunkt "DHCP Relay" die IP Adresse an wo ich DHCP verteile ?
    3.) Also bei mir ist die erste IP Die verteilt wird die 192.168.1.2 IPCop hat 192.168.1.1 also geb ich dort die 1.1 ein ?

    WAN steht auf DHCP, da er ja die IP vom Cop schon empfangen hat.

    4.)Ist das alles so richtig oder mach ich noch was falsch ?

    cu Frank



  • Du kannst NAT unabhängig von der Firewall konfigurieren.
    Zu kompletten Abschalten von NAT siehe http://doc.pfsense.org/index.php/How_can_I_completely_disable_NAT%3F
    Zum Konfigurieren von DHCP Relay siehe http://doc.pfsense.org/index.php/DHCP_Relay

    Aber das ist nur notwendig wenn der IPCOP unbedingt DHCP machen soll. Deine Zielstellung, zu sehen welche IP surft, ist netzseitig sichergestellt wenn NAT deaktiviert wird.



  • Hallo

    Also das hat ja mal geklappt :-)
    Muß dann wirklich nur alle 3 einträge durch klicken und deaktivieren.
    Dann klappts so wie ich mir das vorgestellt habe.

    So heute der Praxistest und ins Netzwerk intigrieren

    cu Frank



  • Hallo

    geht nicht… warum auch immer.

    Versuchsaufbau: (geht)
    1.) Laptop - kabel - pfSense - kabel - Router als Switch - kabel - WLAN Brücke - kabel - Router als Switch- kabel - IPCop - kabel Fritzbox ….... bekomme ich Internet

    Praxis intigration: (geht nicht)
    2.) Laptop - WLAN in Router - Kabel - pfSense - kabel - IPCop - kabel - Fritzbox …. kein Internet aber pfsense erreichbar
    3.) Laptop - WLAN in Router - Kabel - pfSense - kabel - Fritzbox .... kein Internet aber pfsense erreichbar

    Ich weiß nicht mehr weiter sorry.

    cu Frank



  • Das einfachste wäre, den IPCop rauszunehmen und alles über die pfSense laufen zu lassen.
    Wäre das machbar? Oder wieso bekommst du den transp. Proxy auf der pfSense nicht zum laufen?



  • Hallo

    naja ich bekomme den Proxy nicht zum laufen da ich eine CF KArte im Alix drinne habe.
    Und das geht mit dem Mikroimage nicht.

    Es kann ja nicht sein das ich keine Internetverbindung herstellen kann, habe nur keine idee wo der fehler liegt.

    cu



  • aus meiner Sicht hast du immer noch ein Routingproblem. Du hast in deinem Aufbau einen weiteren Router vor die PFsense geschaltet. Sind alle notwendigen Konfigurationen vorgenommen, wie z. B. Standardgateway usw.?



  • Der IPCop hat spezielle Regeln für das blaue Interface.
    Schau mal hier den Punkt "2.6.4.2. Ein Gerät hinzufügen"

    http://www.ipcop.org/2.0.0/de/admin/html/firewall-blue-access.html

    Ich werde bei Gelegenheit mal eine Skizze anfertigen, wie ich das machen würde. Die lade ich dann als Bild hoch.

    Hat denn der IPCop eine Festplatte oder auch eine CF Karte?



  • @Livinlight:

    aus meiner Sicht hast du immer noch ein Routingproblem. Du hast in deinem Aufbau einen weiteren Router vor die PFsense geschaltet. Sind alle notwendigen Konfigurationen vorgenommen, wie z. B. Standardgateway usw.?

    Hallo

    alsooooooo
    Ich habe es hinbekommen das ich NAT ausschalte.
    Geht soweit gut.
    Ich seh in meiner Firewall die IP die mein PC durch die pfSense bekommen hat.
    Leider kann ich die Firewall nicht so konfigurieren das sie diese IP durch läßt, das streickt der IPCop.

    Ich habe derzeit keine Vorstellung wie ich was eintragen muß bei der pfSense so das der IPCop DHCP macht.
    Keine vorstellung wie die Firewall ausieht oder sonstige Einstellungen in der pfSense.
    Alle versuche haben bis jetzt immer damit geendet das ich die pfSense neu ausetzten durfte.

    Ideen ?
    Was ich als beim DHCP von außerhalb beachten muß. Irgentwie werd ich im Handbuch nicht schlau…

    @g0rF:

    Der IPCop hat spezielle Regeln für das blaue Interface.
    Schau mal hier den Punkt "2.6.4.2. Ein Gerät hinzufügen"

    http://www.ipcop.org/2.0.0/de/admin/html/firewall-blue-access.html

    Ich werde bei Gelegenheit mal eine Skizze anfertigen, wie ich das machen würde. Die lade ich dann als Bild hoch.

    Hat denn der IPCop eine Festplatte oder auch eine CF Karte?

    Lassen wir mal blau außenvor.
    Derzeit auch zum längeren experimentieren hänge ich an GRÜN.
    Ist ein alter PC mit einem 512er PFsense Image per physdiskwirte auf eine HDD gezwierbelt.

    Laptop - PFsense - WLAN-Client-Bridge - noch ein paar router und so dann der IPCop
    Wie gesagt ich seh die IP die durch die pfSense verteilt wird und da streickt der IPCop da ein völlig unbekannter Nummernkreis.

    Wie bekomme ich DHCP vom IPCop auf die pfSense ?

    "Service" DHCP Server hacken bei enable raus
    und dann bei DHCP Relay  wo hacke ich ein ?
    WAN oder LAN
    welchen Destinationserver ?
    Grün heißt bei mir 192.168.1.1…..

    cu Frank



  • Sorry, also ich blick da nicht mehr durch.

    Oben schreibst du, dass die pfSense auf einer CF Karte installiert ist, jetzt schreibst du, dass du ein 512er Image auf eine HDD gespielt hast…
    Das 512er Image würde ich übrigens nicht nehmen, da das speziell für solche embedded Systeme optimiert ist.

    Meine Empfehlung:

    • FritzBox als Modem konfigurieren, siehe Bild.
    • Einen kleinen alten Rechner nehmen und pfSense installieren.

    -> keep it simple  :)




  • Hallo

    ja das war alles Früher mal so-Jetzt hab ich ein alten Rechner geberbt ohne Bildschirm.
    Da hab ich ne HDD übrig.
    Ich brauch den COP weil der sachen kann das die pfSense nicht kann.
    Und ich hätte gern die pfSene wel die Captive Portal kann.

    Als die Captiv Portal Funktion un die Aufzeichnungsfunktion vom Cop.

    Also nr ganz einfach, wie DHCP von außerhalb ?

    cu



  • Also mir ist nichts bekannt, was der Cop mehr kann als pfSense.
    Wenn du mir sagst was das ist, kann ich dir sagen, wie man das auf der pfSense einstellt.

    Ansonsten wäre es hilfreich, wenn du nochmal berichtest, welche Geräte mit welchem Betriebssystem du jetzt einsetzen möchtest.

    Bisher gehe ich von folgender Hardware aus:
    -Fritzbox
    -alter Rechner mit IPCop
    -Alix embedded System mit pfSense

    Ist das korrekt?

    Wenn du die Dienste vom IPCop 1:1 durchreichen möchtest, würde ich die beiden Interfaces von pfSense einfach im BridgingModus betreiben (Interfaces -> assign -> Bridges)



  • Hallo

    Nun mal Kranktext und Butter bei die Fische…

    Also ich habe derzeit eine IPcop am Start ich versteh halbwegs wie er geht und was er kann,
    ich hätte gern die Vouchers von der pfSense oder Monowall,
    bei pfSense scheint mir der Support im Forum deutlich besser.

    Ist System:

    Fritzbox - mach Internet
    Alix IPCop - macht das was ich will
    Dann ein haufen Geräte im anschluss (ca. 20)

    Wunsch:
    Fritzbox - mach Internet
    Alix IPCop - macht das was ich will
    Ein Strag vom IPCop an pfSense welche Vouchers vergibt (wird ein Alix, ist der zeit ein alter PC ohne Bildschirm)
    Dann ein haufen Geräte im anschluss (ca. 20)

    Soderle zu testzwecken:

    Hab ich ein alten Laptop der in den PC geht mit pfSense und sich dann ins Net mit dem COP einhängt
    soweit geht das auch irgentwie.

    Ich hätte gern das die pfSense die IPVerteilung (DHCP) vom IPCop übernimmt.

    Wie stelle ich das an?
    Ich bilde mir ein, das ich das NAT abschlate, das geht schon, sind halt IP´s von der pfSense.
    Sollte aber vom COP sein.
    Dann Capitve Portal anshalten und Vouchers generieren und die Welt ist schön.

    @g0rF:

    …..

    Wenn du die Dienste vom IPCop 1:1 durchreichen möchtest, würde ich die beiden Interfaces von pfSense einfach im BridgingModus betreiben (Interfaces -> assign -> Bridges)

    Danke, ich teste…

    cu Frank



  • Hallo

    das mit der Bridge klappt soweit, nur das wieder die pfSense DHCP macht und nicht der IPCop.
    Irgentwie geht das doch ?

    Also noch mal ganz einfach.
    pfSense soll nur Captive Portal machen und der COP den rest incl DHCP.
    Alle anderen funktionen von der pfsense auf CP können gern abgeschaltet bleiben geht das ?
    Ich weiß einfach nicht wie ich das DHCP Relay eintragen soll.
    Jedesmal wenn ichd as amche klappts einfach nicht….

    cu Frank



  • Hallo

    Ich habs mal so probiert

    Internet - Fritzbox - pfSense - IPCop - Computer

    Geht so lage ich das Captive Portal nicht einschalte.
    Captiv Portal an = kein internet mehr
    CP aus = Internet

    In der Firewall vom IPCop kein eintrag…..

    ALso brauch ich wieder die DHCP Lösung, wie schon mehrfach angesprochen.
    Lösungsvorschläge ?

    cu Frank



  • Du kannst den DHCP Service in der pfSense ja einfach ausschalten (siehe Grafik)

    Services -> DHCP Server




  • Hallo

    also den hab ich auch schon gefunden.
    und wenn ich die interfaces in Bridge geschaltet habe dann macht der IPCop DHCP ?

    Weil daran scheitert es derzeit….

    DHCP muß IPCop machen.....

    danke

    cu



  • Es sollte nur einen DHCP im Netz geben, deshalb musst du den DHCP der pfSense deaktivieren.

    Wenn du dann die beiden Interfaces auf bridged einstellst, werden die Pakete vom IPCop einfach "durchgereicht".

    So sollte es dann funktionieren.



  • Hallo

    ALso wenn ich den nur wieder hinbekommen würde.

    Ich hatte es einmal geschaft das der COP DHCP machen kann an meinem PC:
    Nur war das NAT noch nicht ausgeschltet.
    Als ich dann deaktiviert hatte hat der COP kein DHCP mehr gemacht….
    Und auch mit NAT hab ich es nicht wieder hinbekommen.
    So ein Dreck...

    Ich kann mich nur daran erinnern das ich WAN und LAN als Bridge gemacht hatte und DHCP auf LAN aus gemacht und als Relay mein COP mit 192.168.1.1 eingetragen hatt und ein Hacken bei Circut oder wie auch immer auf den pfSense und dann gings.
    NAT aus - und schon geht nicht mehr.
    Und ich habs auch über 1h danach nicht mehr hinbekommen. Auch nicht mit NAT an.
    Der Weg scheint mir richtig. Aber er ist Steinig und Hart.

    Ich würde ja glatt mal zu jemanden hinkommen der die pfSense richtig versteht, aber das sind bestimmt wieder 1000de von km wenn man aus dem Odenwald kommt.

    cu Frank



  • Hi,

    irgendwie scheint dein Problem persistent zu sein :).
    Es ist aber nicht so schwer. Was ich aus den Posts ziehe ist das: Fritzbox –> IPcop --> PFsense --> Clienten.
    Ich gehe davon aus das IPcop richtig konfiguriert ist, das richtige Interface angesprochen wird und der Bereich (Clientbereich) in DHCP richtig eingerichtet wurde.
    Warum der IPcop unbedingt DHCP machen soll ist mir immer noch nicht klar, aber letztlich egal. In PFsense muss der DHCP-Server deaktiviert werden, weil sonst das Relay nicht konfiguriert werden kann.
    Im Relay muss die interfaceadresse von IPcop hinterlegt werden die mit PFsense verbunden ist und auf der der DHCP von IPcop auf Anfragen lauscht. Ich gehe weiterhin davon aus das die Theorie zu DHCP und Netzwerk klar ist, sprich Broadcast, Broadcastdomäne und Subnetze. Dann sollte auch klar sein das es ohne Relay nicht funktionieren kann. Zum testen wäre es vielleicht sinnvoll die Firewall auf PFsense zu deaktivieren und PFsense damit als eine reine Routingplattform zu konfigurieren, dies geht global. NAT abschalten hast du ja schon bewältigt, dies ist notwendig damit IPcop die eigentlichen Clientadressen (IP) sehen kann. Wenn das alles funktioniert kannst du letztlich daran gehen das Captiveportal zu konfigurieren. Zum Thema Routing, selbstverständlich müssen bei Abschaltung von NAT für alle aus Sicht des IPcop hinter PFsense liegenden Netze die entsprechenden Rückrouten konfiguriert werden, sonst geht exakt garnichts, weil IPcop sonst nicht weiss wo er die Antwortpakete hinschicken soll.

    Viel Erfolg
    Livinlight



  • Hallo

    Ich habe das Projekt aufgegeben.
    Da ich es nur teilweise zu laufen bekommen habe aber entweder der Nummerkreis nicht stimmt oder das CP mit meinen Vorstellungen nicht gelaufen ist.

    FTP versenden die Access.log-dateien…. als Cron-Job....schwierig aber bestimmt lösbar.
    Und/Oder die Accesslog-Dateien mit der Endung des Datums nicht mit fortlaufender Nummer...das wäre auch was.

    Derzeit wird jeden Tag

    access.log.0
    access.log.1
    access.log.2

    schön wäre

    access.log.20120109
    access.log.20120108

    cu


  • Moderator

    Da du ja leider nie genau herausgerückt hast, was du denn genau versuchst zu bauen, sondern nur mit "ipcop tut was ich kann" das abgeblockt hast, ist hier wohl wirklich leider Feierabend mit der Lösung, allerdings bin ich - wie manch anderer hier - durchaus der Meinung, dass das mit pfSense allein locker auch alles funktioniert hätte.

    Vielleicht kannst du ja - auch wenn dus nicht mehr versuchst - beschreiben was du vorhattest, dann kann man ja evtl für das nächste Mal helfen ;)



  • Hallo

    Also hier die Problematik
    Ich hätte gern eine Dokumentation wie und wo welche Seiten besucht wurden.
    Welche IP welche Mac ist usw.
    Beim IPCop stand massig dabei 1 Klick los geht’s mit dem Dokumentieren.
    pfSense muss man Squid Packet suchen und installieren dann alle möglichen Parameter eintragen, wenn man das hat geht’s auch.

    Die Log Dateien per FTP auf Webspace sicher.
    IPCop nicht ganz einfach aber lösbar. mit „Wput“
    Eintragen als Cron-Job nicht einfach aber logisch und nachvollziehbar

    pfSense sieht das Script so oder so ähnlich aus.

    
    #!/bin/sh
    # This script allows you to divert output of
    # date command to the mkdir command
    # resulting in creating a directory of todays date
    cd ..
    cd var
    cd squid
    cd logs
    Today="`date +%m%d`"
    mkdir $Today
    cp ac* $Today
    cd $Today
    tar cfv accesslog"$(date +%Y%m%d)".tar  ac*
    gzip accesslog"$(date +%Y%m%d)".tar
    cp accesslog2012* /var/squid/logs
    rm *
    cd ..
    rmdir $Today
    ftp -n <<eoftp<br>open host.de
    user benutzername passwort
    ascii
    lcd /var/squid/logs
    prompt
    mput accesslog*
    quit
    EOFTP
    cd ..
    cd ..
    cd ..
    cd ..
    cd ..
    cd var
    cd squid
    cd logs
    rm accesslog*</eoftp<br> 
    

    Boar ey….. ohne die Hilfe von http://forum.pfsense.org/index.php?action=profile;u=34362
    Schlicht und ergreifend unmöglich für jemand der kaum oder keine Programmierkenntnisse hat.

    Eintragen als Cron-Job mit dem Cron Packet wenn man weiß das es sowas gibt = einfach.

    Alles in allem hat mich nur das Captive Portal gereizt, ansonsten ist die pfSens viel Spielzeug im vergleich zum ICop
    Achja die 1xKlick Regel Erstellung in der pfSense ist auch ein sehr guter Vorteil im vergleich zum IPCop da ist es etwas aufwendiger.
    Gruppierungen und Zusammenfassungen sind wiederum im IPCop einfacher.

    IPCop in Deutsch und leichter zu bedienen.
    pfSense mehr Möglichkeiten, wer es will.

    IPCop vergibt jedes mal eine neu IP zu einer Mac. Das macht die pfSense nicht wenn die nummern ab 201 vergeben werden und eine 201 vergebe wurde, diese offline geht und ein andere PC online geht dann bekommt der andere PC die 201. Der IPCop mehrt sich die MAC´s automatisch vergibt zu jeder MAC eine neue IP, es sein den alle verfügbaren IP´s wurde vergeben, dann  fängt er wieder von vorn an. Sehr schönes verhalten was ich bei der pfSense vermisse. Also sie muß das automatisch machen und nicht ich Händisch eingreifen.
    Das Sichern der Portal Authentifizierung und des DHCP Protokolls läuft analog der sicherung des Squids ab, das war dann wenn man es weiß einfach 

    Derzeit pfSense am laufen wegen dem CP mal schauen, danke an mein Helfer ohne den ich soooooooooooo ein Hals auf die pfSense hätte 

    Ich hoffe ich kann anderen Helfen mit dem Script, der Cron und dem Squid der auf Transparent Proxy läuft 

    cu



  • Schön, dass es jetzt so läuft wie Du es gerne hättest  ;)

    …und danke für das posten deiner Lösung!


Locked