Pfsense //Multi-WAN// –-> 5 Wireless Access Point WAN! HILFE



  • Hallo liebe User

    Ich möchte gerne wie im Bild aufgezeichnet das umsetzten, jetzt meine frage ist das möglich?
    Wenn ja wie und was muss ich genau einstellen.

    • Kann pfsense sich mit Wireless Access Point verbinden? WPA2 / WEP
    • Brauche ich Total "3 Wlan USB Sticks", am pfsense Router?
    • Um sich meine Benutzer im Haus zu verbinden brauch ich noch 1 Wlan stick in AP Mode, das sich meine (Benutzer)mit dempfsense Router verbinden können. (um das Multi-WAN Internet zu nutzen)

    Wie genau muss ich da vorgehen gibt es ein wiki oder eine Anleitung um das zu umsetzten?

    Viele grüsse und danke schon im voraus.



  • Hallo,

    jeder WLAN USB Stick verhält sich wie eine Netzwerkkarte. Das heisst, du konfigurierst jeden deiner USB Sticks so, wie du das bei einer Netzwerkkarte auch machen würdest, also IP, Subnetmask, Gateway etc.

    Du brauchst also auch 3x USB. Jeweils 1 USB läuft im Client Modus und verbindet sich mit den verschiedenen SSIDs und der dritte läuft im AP Modus worauf sich deine hosts verbinden können.

    Was du aber #ndern musst ist der IP Bereich einer deiner WLAN AP. Diese müssen in verschiedenen Subnetzen liegen.
    Nutze also 192.168.1.x und 192.168.2.x

    Du solltest auch genau nachlesen, im Forum etc. welcher WLAN USB Stick sich im AP Modus betreiben lässt. Hier gibt es viele Leute, die den falschen USB Stick haben. Da kann ich dir aber leider keine Empfehlung geben. Evtl. ist es einfacher, einen zusätzlichen AP hinzustellen, diesen mit Kabel an die pfSense anzuschließen und fertig.

    Die Lastverteilung über die beiden WLAN Router richtest du dann über SYSTEM -> Routing -> Gateway Groups ein.



  • Hallo Nachtfalke

    Danke für deine Information :-)

    Ich habe mir heute 5 Wlan USB Stick`s gekauft die kompatibel sind mit FreeBSD und pfsense.

    • Der AP Mode Wlan stick könnte 1000mw Sendeleistung packen aber leider sind nur 100mw erlaubt wie schade :-)
      – Warum 5 Wlan sticks heute sind noch 3 weiter // Wlan AP Station Untervertrag gekommen // = Total 5x 100 mbit! (Die Wlan Ap`s Sind WLAN-N-Router (Signal Stärke liegt bei 99,9%) und paken locker 100mbit! Ping / MS  5 bis 10 ms
      --- Gibt es das pfsense/Interface auch auf Deutsch?

    Leider finde ich im Interface nicht die Funktion um die einzelne Wlan Netze mit der entsprechende SSID zu verbinden so wie PW WPA und co hmm :(

    Die Konfiguration der Wlan AP's habe ich wie du mir beschrieben hast gemacht.

    Der pfsense Server/Router läuft auf ein:
    Intel Core i7-3960X @ 3.30GHz
    24 GB DDR3 RAM
    2 x 3 TB SATA 6 Gb/s HDD
    1 x Samsung 830 Series 256 GB SSD
    Intel Gigabit ET Server Adapter 1GBIT

    Das müster für unser 50 bis 100 Benutzer reichen :)



  • Unter
    Interfaces -> assign -> Wireless
    solltest du die Einstellungen finden.

    Das pfsense interface gibt es selbstverständlich NICHT auf deutsch ;-) und das ist auch gut so. Wenn ich mir die sämtlichen Fachbegriffe vorstelle, die bei der Übersetzung vermutlich irrsinnigerweise mit übersetzt werden würde, ist das so, wie es ist, schon in Ordnung.

    Zum Thema Sendeleistung:
    Es gilt die Abstrahlleistung an der Antenne, das heisst, 100mW am Stick + Antenne sind bereits zuviel. Das ist ja der Grund, warum die meisten Geräte nur so um die 30-50mW haben. Weiterhin sollte m,an sich auch überlegen, ob man wirklich mit 1000mW senden muss oder ob es nicht evtl. sinn macht, die empfangenden Stationen mit einer sehr empfindlichen Antenne auszustatten. Sendeleistung ist leider nicht alles ;-)

    Das haben ich mit meinem Alfa USB WLAN Adapter auch merken müssen.



  • Hallo Nachtfalke

    Ich komme leider nicht weiter, immer wenn ich ein Interface OPT1 mit einer Wlan AP Station verbinde geht alles gut und nach einer zeit (ca 1 / 2 min) komme ich nicht mehr ins Interface. (Und muss alles wieder löschen)

    Habe ich was vergessen einzustellen eine Regel oder etwas in der Firewall?



  • Du musst eine Firewall Regel erstellen, die dir den Zugriff auf das Webinterface erlaubt. Auf dem LAN interface ist diese standardmässig eingerichtet, auf allen anderen musst du das, wenn du das willst, manuell tun.



  • Hi Nachtfalke

    Heute habe ich endlich zeit das Projekt weiter zu fahren,

    Ich habe zurzeit "2 WAN" Verbindung herstellen können die restlichen 3 werden folgen (Probleme mit der AP Router Station)

    Leider funktioniert die Multi WAN nicht ordnungsmäßig, wenn ich Meine Public IP überprüfe zeigt er immer nur die vom WAN an, SPEEDTEST ergibt auch nur 1 WAN Anschluss.

    Wenn ich versuche auf das Router AP Interface von den APs zu verbinden geht alles wunderbar also 192.168.1.1 und 192.168.2.1 komme ich in DSL Router Interface rein.

    Ich habe diverse Bilder mal von meiner Einstellung gemacht, evt kannst du mir da weiter helfen.

    • Firewall Regeln habe ich keine erstellt läuft alles noch auf Standard* Wenn ich was machen muss, bitte um eine genau Beschreibung.
    • Muss ich was noch im DNS forwarder einstellen?
    • Muss ich Load Balancer konfigurieren wenn ja was genau?
    • DNS Einstellungen?









  • Deine WAN Vebrindung funktioniert so, wie sie soll.
    Du hast sie lediglich falsch konfiguriert. Setze beide Gateways in der Group auf "Tier 1" damit LoadBalancing geschieht.

    Weiterhin musst du diesen Gateway auch bei den Firewall rules auf "LAN" als Gateway auswählen.



  • Hi Nachtfalke,

    Ich habe jetzt beide Gateways auf "Tier 1" gesetzt.

    Und unter der Firewall: Rules /LAN/ Das Multi Gateway ausgewählt.

    Der Speedtest ist für den ar…. er erreicht nur die 100mbit vom WAN der andere OPT1 funktioniert nicht...
    Habe ich was vergessen einzustellen?

    Die Signal Stärke ist bei 100% Ping (ms) 1 bis max 5 MS.

    Habe von QSC 5 GB Test Dateien runter geladen, der Speed hat er nur von WAN genommen... OPT1 kein trefficc :(



  • Wieso benutzt er nur den Speed von OPT1 und nicht beide gleichzeitig?



  • @M4rco-IT:

    Wieso benutzt er nur den Speed von OPT1 und nicht beide gleichzeitig?
    (…)

    Weil du ein falsches Verständnis davon hast, was LoadBalancing unter pfsense bedeutet.
    Hier wird es gut erklärt:
    http://forum.pfsense.org/index.php/topic,16923.0.html

    Zum testen, ob LoadBalancing funktioniert, teste bitte ob sich die IP ändert, wenn du die Webseite schnell und oft hintereinander neu lädst:
    www.pfsense.org/ip.php
    Ändert sich die IP; geht LoadBalancing, ändert sie sich nicht, hast du vermutlich einen Fehler in den Firewall Rules.

    Poste doch bitte nochmal deine Gateway Groups und deine firewall Regeln auf dem LAN Interface.

    PS: Benutzt du squid auf der pfsense ?



  • Hi

    Also die IP ändert sich immer also geht, LoadBalancing hmm :(

    Nein ich benutze kein squid brauch ich das?



  • @M4rco-IT:

    Hi

    Also die IP ändert sich immer also geht, LoadBalancing hmm :(

    Richtig. Gateway Group und firewall Regeln sind auch soweit korrekt.

    @M4rco-IT:

    Nein ich benutze kein squid brauch ich das?

    Nein, es würde das Ganze nur verkomplizieren, da sich mit squid die Konfiguration ändert. Die normale Konfiguration für LoadBalancing, wie du sie eingerichtet hast, funktioniert mit squid nicht mehr. Viele Leute übersehen das im ersten Moment und haben dann das Problem, dass kein LoadBalancing funktioniert obwohl augenscheinlich alles korrekt eingerichtet ist.



  • Danke Nachtfalke, jetzte habe ich es verstanden was da genau gemacht wird :-)

    Eine frage habe ich noch wie kann ich mein Netz schützen, vor ARP-Spoofing IP / LAN Scanner / Man-in-the-middle-Angriff ??
    Das pfsense Webinterface vor brute-force Attacken schützen, oder das es nur für mich sichtbar ist!!!

    Die Wlan AP Router Interface sind ja im LAN ja erreichbar, wie kann ich die das ausschalten das es auch wieder nur für mich sichtbar ist?

    Wie sieht es aus mit mit der Sicherheit meiner Kunden aus im Lan/WAN/Netz, jeder sieht wer im Wlan/LAN drin ist. Kann man das irgendwie Filtern das jeder Kunde keine Kunden im Netz sieht?

    Vielen DANK



  • Den Zugriff auf pfsense kannst du über firewall regel steuern. das heisst, du gibst deinem "admin" rechner eine feste IP und erlaubst nur von dieser "source IP" den Zugriff auf das pfsense interface mit port 80 bzw. besser port 443.

    Vor ARP spoofing kannst du dich nicht wirklich shcützen - zumindest nicht mit pfsense als router. ARP läuft auf schicht 2 ab, das heisst, du müsstest sicherheitsmechanismen auf schicht 2 einbauen, also auf den switches und dem AP. Damit sich clients im gleichen subnetz nicht sehen können, beiten verschiedene switch/AP hersteller optionen an. Beim WLAN heisst es "host isolation" oder ähnlich, bei switches gibt es sowas wie "Private VLAN". Beide Methoden isolieren jeden host so dass dieser nur seinen eigenen traffic sehen kann.

    Solange der Zugriff auf den WLAN AP nicht über pfsense läuft, kannst du da nichts machen.

    Wenn du also nicht die Möglichkeit hast, deine interfaces über eine firewall zu schützen, solltest du zumindest starke kennwörter und httpS verwenden oder das Netzwerkdesign überdenken.  Netzwerkgeräte im gehobenen Pressegment bieten sogenannte "Management interfaces" an. Nur über diese kann man die Geräte konfigurieren. Mann erstellt dann verschiedene VLANs, im Management sind nur die Schnittstellen zur Konfiguration der Geräte drin und in den anderen VLANs dann die "kunden".



  • @M4rco-IT:

    @M4rco-IT:

    Nein ich benutze kein squid brauch ich das?

    Nein, es würde das Ganze nur verkomplizieren, da sich mit squid die Konfiguration ändert. Die normale Konfiguration für LoadBalancing, wie du sie eingerichtet hast, funktioniert mit squid nicht mehr. Viele Leute übersehen das im ersten Moment und haben dann das Problem, dass kein LoadBalancing funktioniert obwohl augenscheinlich alles korrekt eingerichtet ist.

    Genau vor diesem Problem stehe ich gerade, ich benutze squid und würde nun gerne LoadBalancing einrichten. Kannst du mir bitte erklären, was ich dabei beachten oder abweichend einstellen muss?

    Vielen Dank für die Hilfe!



  • @mojoe:

    @M4rco-IT:

    @M4rco-IT:

    Nein ich benutze kein squid brauch ich das?

    Nein, es würde das Ganze nur verkomplizieren, da sich mit squid die Konfiguration ändert. Die normale Konfiguration für LoadBalancing, wie du sie eingerichtet hast, funktioniert mit squid nicht mehr. Viele Leute übersehen das im ersten Moment und haben dann das Problem, dass kein LoadBalancing funktioniert obwohl augenscheinlich alles korrekt eingerichtet ist.

    Genau vor diesem Problem stehe ich gerade, ich benutze squid und würde nun gerne LoadBalancing einrichten. Kannst du mir bitte erklären, was ich dabei beachten oder abweichend einstellen muss?

    Vielen Dank für die Hilfe!

    Nein. Ich selbst nutze es nicht in dieser Zusammenstellung, aber es gibt viele Threads hier im Forum die dieses Thema behandeln.
    Das Ganze läuft dan über Floating rules und in den squid custom options muss etwas eingetragen werden.
    Die Sucher im Forum nach den Schlagwirten "squid loadbalancing" oder "squid multiwan" oder "squid multi-wan" werden sicherlich braucbare Ergebnisse liefern.
    http://forum.pfsense.org/index.php/topic,38882.0.html

    Dieser Thread ist von der namensgebung allerdings nicht dafür geeignet, über squid + MultiWAN zu diskutieren - besser woanders nochmal posten bzw. an einen bestehenden thread anhängen :)


Locked