Welche Clients sind online?



  • Verwende einen Netzwerk Monitor wie Look@LAN. Der genannte zeichnet auch schöne grüne Bälle vor aktiven IPs, rote vor inaktiven.


  • Banned

    Mal im Ernst, warum kann sowas eine "security appliance" nicht ot-of-the-box? Mag sein, dass in großen Firmen niemand wirklich danach schaut, in kleinen, auf Sicherheit ausgelegten Netzen haben die Monitor-Möglichkeiten von pfSense was IPs, aber auch states per IP (nicht nur aktuell, sondern z.B. kumulativ über die letzten 24 h, Tage Wochen) deutliche Defizite.

    Jetzt werden gleich wieder irgendwelche Apps genannt werden, die das mehr oder weniger gut können, aber wrum nicht meine Firewall selbst?

    Ja, ich kann ein Feature beantragen. Aber warum gibt's das nicht schon längst?



  • @2chemlud:

    Jetzt werden gleich wieder irgendwelche Apps genannt werden, die das mehr oder weniger gut können, aber wrum nicht meine Firewall selbst?

    Ja, ich kann ein Feature beantragen. Aber warum gibt's das nicht schon längst?

    Es beruhigt mich schon mal zu wissen, dass es nicht an mir liegt!  ;D
    Wenn diese Apps/Pkg wenigstens für pfSense/FreeBSD wären, wäre alles wieder gut.
    Ich bin auch der Meinung, das gehört zur Router-Funktionalität.
    Und ja, ich betreibe pfSense als Router/Firewall/Proxy.


  • Rebel Alliance Moderator

    Ja, ich kann ein Feature beantragen. Aber warum gibt's das nicht schon längst?

    Ich bin auch der Meinung, das gehört zur Router-Funktionalität.

    Weils vielleicht eben doch nicht so viele brauchen, wie man selbst denkt? Aus meinem Umfeld kann ich nur sagen, dass das zwar nice to have wäre, aber noch kein einziger Kunde noch anderer Kollege mir das angefragt hat. Und warum gehört das zu einer Router Funktionalität? Ich mag das nicht weg diskutieren, aber sorry, ich sehe einfach den Sinn nicht. Ich definiere also statische IPs im DHCP an bestimmte Clients. Alleine das macht man im Normalfall bei 100+ Clients nicht mehr. Sollte es auch recht selten geben, dass ein Client eine definierte Adresse haben muss. Und wenn ich dann größere Umgebungen habe, ist eine Liste auch nicht mehr so klein, dass ich die so locker überblicken kann.

    Aber vielleicht mal auf die technische Seite geschaut: wie soll die Firewall das denn wissen? Deshalb sind die Anzeigen eben ungenau, denn sie kann es nur schätzen anhand des Leases und wenn das abläuft und es kommt keine Verlängerung ist es klar -> der Client ist offline. Was soll sie statt dessen machen? Jedes Mal beim Aufruf der Seite einen kompletten Ping-Scan durchs ganze lokale Netz? Unpraktisch und dauert recht lange, bis dann die Seite endlich aufgebaut werden kann. Wird es gecached, ist die Info vllt. alt. Also was dann? Alle 10min einen Scan machen und die Werte cachen? Also alle 10min komplette Broadcast Überprüfung aller IPs aus einem Netz? Dann gibts gerne noch Kisten die mit lokalen Firewalls o.ä. einfach keine Antwort auf Ping geben, also ggf. dann ARP Lookup? Oder Portprobing?

    Ich verstehe da einfach die Anforderung nicht, warum ich wissen muss - in der DHCP Ansicht auf der Firewall - welche Clients im Moment gerade online sind. Bei größeren Netzen ist man vielleicht eh mit 802.1x am Start und dann hat man andere Möglichkeiten zu sehen, wer da ist und wer nicht. Aber wofür mag man das haben?

    in kleinen, auf Sicherheit ausgelegten Netzen haben die Monitor-Möglichkeiten von pfSense was IPs, aber auch states per IP (nicht nur aktuell, sondern z.B. kumulativ über die letzten 24 h, Tage Wochen) deutliche Defizite.

    Kannst du uns sagen was genau? Und warum das bspw. mit anderen Paketen wie Snort o.ä. nicht deinen Wünschen entspricht? Würde mich interessieren.



  • @JeGr:

    Aber vielleicht mal auf die technische Seite geschaut: wie soll die Firewall das denn wissen?

    Wie gesagt, diese Funktionalität sehe ich nicht bei der Firewall, sondern beim Router.
    Und ich habe pfSense auch als Router im Einsatz.
    Hätte ich sonst ein extra Router im Einsatz, dann würde ich das "dort" erwarten.

    Wenn die Entwickler von pfSense das nicht wissen, wie man das hinkriegt, dann könnten die vielleicht bei AVM nachfragen.
    Die Fritzbox kann das sehr gut!  ;)


  • Banned

    Snort? Bitte was? Was hat das mit Möglichkeiten zum monitoren des Netzwerks zu tun? Das blockt regelbasiert das ein oder andere ab, was Cisco/NSA halt so als Regeln zulässt.

    Aber weder kann ich damit kontrollieren, wer bei mir wann wie lange im Netz ist, noch wo die einzelnen Rechner manchmal/regelmäßig (Windows update? Antivirenupdate? Adobe telefoniert nach Hause? Sonstiger Schund, der die Klappe nicht halten kann?) hinfunken.

    Mich interessiert das in meinen Netzen brennend. Das Sicherheit im Alltag für viele kein (!) Thema ist sehe ich ja schon daran, dass meine Kunden schwachsinnige shärpoints und ähnlichen Trash einsetzen und glauben, etwas für die Sicherheit ihrer Daten getan zu haben (2-Wege-Authentifizierung! OMG! Wie sicher!). Ich will Transparenz in meinem Netz, Logs, die nicht von irgendwelchem Mist aus dem DSL Modem zugespammt werden (was nur schwer zu unterbinden ist) und v.a. Logs, die wirklich aussagekräftig sind. Z.B.:

    • Wer hat sich wann an-/abgemeldet, nach MAC/IP

    • Nach MAC/IP sortiert: Welche IPs wurden angesurft, sortiert nach Häufigkeit, Zeitraum über Tage bis 1 Monat, meinetwegen

    • Welche Protokolle wurde dabei verwandt. Welches Datenvolumen gesendet/empfangen.

    • Ist irgendetwas davon in letzter Zeit auffällig/neu (regelmäßiger Kontakt)

    • Welche Anwendung hat diesen Verkehr getriggert (zumindest wenn es ein Browser war, sollte sich das ja zuordnen lassen, wenn es Google etc. können, warum meine Box nicht?).

    Wenn ich noch ein Zeit lang nachdenke wird es sicher noch mehr.

    Damit liesse sich auffälliger traffic schneller aufspüren, als mit dem Vertrauen in Firewallregeln oder NSA-gesponsorte IDS wie snort/suricata, (selbst wenn ich alles unnötige zumache, die Trottel können immer noch durch port 80/443 oder notfalls eMail-ports auf jede Kiste und wieder raus).


  • Banned

    @max2012:

    @JeGr:

    Aber vielleicht mal auf die technische Seite geschaut: wie soll die Firewall das denn wissen?

    Naja nun, nach der Hälfte der lease-time wird ja erneuert. Wer nicht mehr erneuert is wech?

    Oder die IPs hin und wieder mal anpingen?


  • Rebel Alliance Moderator

    Oder die IPs hin und wieder mal anpingen?

    Ich würde den Hersteller schlachten, der mir mein Netz mit sinnlosen Broadcasts flutet. Das mag in nem klein bevölkerten /24 vielleicht noch OK sein, aber nicht wenn die Kiste mehrere Netze mit DHCP bespaßt und die dazu noch größer sind. Zumal ich immer noch nicht weiß warum ich die Info überhaupt will. Aber ich lerne gern dazu, deshalb hab ich auch gefragt, warum man das brauchen mag.

    Aber weder kann ich damit kontrollieren, wer bei mir wann wie lange im Netz ist,
    Captive Portal + Radius oder zeitbasierende Regeln? Alles andere ist wieder die Frage - warum. Warum soll ich das "einfach so" wissen. Wenn mir das wichtig ist, dass bspw. ein Netz, ein IP Block o.ä. nicht nach 18h ins Netz geht, dann bau ich das in die Regeln oder lassen den Zugriff über sowas wie das CP beschränken. Ist also machbar.

    noch wo die einzelnen Rechner manchmal/regelmäßig (Windows update? Antivirenupdate? Adobe telefoniert nach Hause? Sonstiger Schund, der die Klappe nicht halten kann?) hinfunken.
    State Overview, Firewall Regeln loggen. Das wovon du sprichst sind tiefgreifende Auswertungen. Das kann man bspw. ohne Probleme mit ntopng und Co. machen oder mit einem kompletten Log Cluster abdecken, an den die Firewall(s) ihre States/Flows schickt. Also: Doch das geht. Mit entsprechenden Paketen. Mir wäre das bei anderen Herstellern auch nicht bekannt, dass die tolle Dashboards einfach so mitliefern, die dir gleich Graphen, Tabellen und Listen zeigen, wer wie wann wohin mit wem gesprochen hat und Daten verschickt. Ich frage mich dann schon manchmal, warum das von pfSense einfach erwartet wird. Wer kann das denn out of the box, einfach so, ohne irgendwelche Kosten? Gibts da was?

    Mich interessiert das in meinen Netzen brennend. Das Sicherheit im Alltag für viele kein (!) Thema ist sehe ich ja schon daran, dass meine Kunden schwachsinnige shärpoints und ähnlichen Trash einsetzen und glauben, etwas für die Sicherheit ihrer Daten getan zu haben (2-Wege-Authentifizierung! OMG! Wie sicher!).

    Da kann ich dein Leid aus vollen Zügen nachempfinden… :/ Ich habe teils noch schlimmere Kunden, aber es bessert sich.

    Ich will Transparenz in meinem Netz, Logs, die nicht von irgendwelchem Mist aus dem DSL Modem zugespammt werden (was nur schwer zu unterbinden ist) und v.a. Logs, die wirklich aussagekräftig sind. Z.B.:

    Wie gesagt - das ist zu einem großen Teil machbar.

    • Wer hat sich wann an-/abgemeldet, nach MAC/IP
      Wie soll das die Firewall/der Router genau wissen?
    • Nach MAC/IP sortiert: Welche IPs wurden angesurft, sortiert nach Häufigkeit, Zeitraum über Tage bis 1 Monat, meinetwegen
      Ist keine Funktion einer Firewall, sondern von (D)PS (deep packet inspection) + Logging. Das hat auch was mit Sicherheit zu tun, nämlich Datensicherheit und Privacy. Das sind ggf. Daten der Kunden bzw. Mitarbeiter und auch die sind schützenswert. Denn wenn nirgends im Vertrag was davon steht, dass die Totalüberwacht werden, haben Sie das recht in der Pause mal zu surfen, ohne dass das jemand exzessiv mitloggt.
    • Welche Protokolle wurde dabei verwandt. Welches Datenvolumen gesendet/empfangen.
      Dito, machbar. Bandwithd, ntopng und Co.
    • Ist irgendetwas davon in letzter Zeit auffällig/neu (regelmäßiger Kontakt)
      Das würde zeitliche Analyse erfordern. Wenn du Daten so lange speicherst so etwas analysieren zu können, hoffe ich du hast einen guten Datenschutzbeauftragten. Zumal das dann schon fast an eine Art "Bewegungsprofil" grenzt. Die dürfen nicht so ohne weiteres erhoben werden.
    • Welche Anwendung hat diesen Verkehr getriggert (zumindest wenn es ein Browser war, sollte sich das ja zuordnen lassen, wenn es Google etc. können, warum meine Box nicht?).
      DPS. Das ist eine völlig andere Ebene als ein Switch (L2) oder Router (L3). Was du wissen willst ist L7, Applikation. Dazu müsste ich den Traffic explizit mitlesen, damit ich genau sehen kann, was war der User Agent bspw. Klar kann das Google, denn dein Browser hat ja ne Kennung und du surfst Google an. Dass die die Daten haben ist also normal. Dass du die einfach zwischendrin abgreifst nicht. Kannst du mit transparenten Proxies und Co machen, aber auch hier der Verweis: Datenschutz. Denn dann liest du potentiell sogar mit, WAS gesendet wird.

    Wenn ich noch ein Zeit lang nachdenke wird es sicher noch mehr.
    Glaub ich dir :) Hast du aber schonmal drüber nachgedacht, dass das zu viel des Guten ist? Ich bin auch durchaus bei dir wenns um Sicherheit und derlei geht, aber was du aufzählst grenzt an Totalüberwachung und Vorratsdatenspeicherung (Profile erstellen um zu erkennen, ob was neues gemacht wird?!)

    Damit liesse sich auffälliger traffic schneller aufspüren, als mit dem Vertrauen in Firewallregeln oder NSA-gesponsorte IDS wie snort/suricata,
    Gesponsert? ;) Die Regeln für Snort oder Suricata kommen meines Wissens auch aus der Community :)

    (selbst wenn ich alles unnötige zumache, die Trottel können immer noch durch port 80/443 oder notfalls eMail-ports auf jede Kiste und wieder raus).
    Öhm ja. Das sollen Sie ja auch, du betreibst ja offensichtlich einen Webserver :) Nein, ich bin wirklich sehr für Security, auf jeden Fall. Aber dazu packe ich dann nicht den Aluhut auf, sondern mache das was ich anbiete so sicher wie möglich. Und natürlich sind ereignisbasierte Erkennungen interessant. Aber dazu dann alles zu protokollieren und zu überwachen geht dann doch etwas weit.

    Aber von der philosophischen Frage abgesehen, dass du mir persönlich da viel zu weit gehst (und das an vielen Stellen stark ans illegale grenzt), ist es größtenteils möglich. Andere Sachen (noch?) nicht, aber das bietet auch kein anderes mir bekanntes Produkt gerade an. Insofern verstehe ich die starke Unzufriedenheit nicht, die aus deinem Post rausklingt? Vielleicht verstehe ich es aber auch nur falsch. Wie gesagt, ich lasse mich gern erhellen :)

    Grüße



  • @2chemlud:

    Mal im Ernst, warum kann sowas eine "security appliance" nicht ot-of-the-box?

    Und warum nutzt Du nicht das was vorhanden ist anstatt zu tösen?
    Natürlich gibt es die Liste der aktiven und die aller konfigurierten DHCP Leases (siehe mein Post) und dazu noch den (je nach Einstellung relativ schnell erneuernden) ARP Table.

    Alle diese Einträge sind so aktuell, wie es für die pfSense relevant ist.
    Brauchst Du einen Scan über ein Subnetz (um zB statisch konfigurierte Hosts außerhalb des pfSense scopes zu 'finden'), dann nutze die dafür vorgesehenen externen Tools. Das ist kein Drama. Ich habe sowas sowieso auf meinem Laptop installiert, um auch in anderen Netzen nach Hosts schauen zu können. Also Netze, die ich nicht errichtet habe oder in denen ich selbst nur Gast bin.
    Das ist doch sowas wie eine Grundausrüstung für jeden Netzwerker.


  • Banned

    Immer die selben Ritter der Kokosnuss, der Nutzer ist zu dooooof, um zu erkennen, was er für ein tolles Produkt hat, notfalls u zweit, immer druff…

    Eine ARP-tabel, wenn ich nur static ARP habe? Wirklich?

    So ein Müll. Ich bin weg, die Fanboy-Dichte ist nervig...



  • Es steht hier ja niemand unter Zwang, die pfSense zu verwenden. Jedem steht es frei, das für seine Zwecke in seinen Augen geeignetste Produkt einzusetzen.

    Ich bin mit dem Funktionsumfang und der Anpassbarkeit via Packages mehr als zufrieden. Die pfSense hängt zwischen internen Netzen und WAN und in diesen internen Netzen gibt es andere Hosts mit unterschiedlichen Betriebssystemen, wo ich bei Bearf auch den ganzen anderen Schnickschnack installieren und ausführen kann.

    Wie hier schon erwähnt, die Fritzboxen können das ja, und noch viel mehr. Dann kann man ja auch diese verwenden. Du bestellst dir ja auch nicht im Gasthaus ein Wiener Schnitzel und beklagst dich bei Kellner, dass kein Käse drinnen ist. Wenn du den magst, bestellst dir eber Cordon Bleu. Zum Glück ist diese Welt so einfach. ;)

    Ich, für meinen Teil, wenn ich eine FB einrichten soll, packt mich ein Riesen-Frust. Schnell geht da gar nichts, wenn man das Ding nicht kennt. Zuerst muss man sich einmal durch die 200-seitige Anleitung wälzen um nur die primären Dinge wie Standard-Logindaten raus zu finden. 200 Seiten für eine simplen DSL-Router, so geschrieben, dass es nur ein Laie versteht. Mit Begriffen, die der Netzwerker verwendet, findet man darin nichts.

    Aber so hat ein jeder das Seine und ich will diesen Thread hier gar nicht in eine FB-Diskussion entführen. Möchte nur sagen, die einen sind mit pfSense zufrieden, die anderen soll das nehmen, was ihren Ansprüchen gerecht wird anstatt über dieses Produkt zu meckern. Und alles ist gut. :)

    Grüße



  • viragomann> Ich bin mit dem Funktionsumfang und der Anpassbarkeit via Packages mehr als zufrieden.  …  Ich, für meinen Teil, wenn ich eine FB einrichten soll, packt mich ein Riesen-Frust.

    Echt? Warum?

    viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.

    Nee, oder? Und bei pfSense ist es leichter? Wirklich? Es läuft trotzdem, wenn man es nicht kennt oder falsch konfiguriert?

    viragomann> Zuerst muss man sich einmal durch die 200-seitige Anleitung wälzen um nur die primären Dinge wie Standard-Logindaten raus zu finden.

    und du kommst tatsächlich mit pfSense ohne Anleitung zurecht? Irgendwas widerspricht sich hier…
    Wenn ich mir die Foren über pfSense anschaue, könnte ich meine ohne fachmännische Unterstützung und paar Anleitung kommt man nicht sehr weit mit pfSense...

    viragomann> Möchte nur sagen, die einen sind mit pfSense zufrieden, die anderen soll das nehmen, was ihren Ansprüchen gerecht wird anstatt über dieses Produkt zu meckern. Und alles ist gut. :)

    das perfekte "Produkt" gibt es nicht. irgendwas vermisst man immer, oder würde es anders machen.
    und Recht hast du auch: pfSense ist nicht die Eierlegende Wollmilchsau.

    dafür bekommt man aber die günstigste Firewall-Router-Proxy-Kombination auf dem Markt…  ;)



  • @2chemlud:

    Immer die selben Ritter der Kokosnuss, der Nutzer ist zu dooooof, um zu erkennen, was er für ein tolles Produkt hat, notfalls u zweit, immer druff…
    Eine ARP-tabel, wenn ich nur static ARP habe? Wirklich?
    So ein Müll. Ich bin weg, die Fanboy-Dichte ist nervig...

    Welche Laus ist Dir denn über die Leber gelaufen?

    Warum zitierst Du jetzt den ARP-Table, der eben denkbar ungeeignet ist und nicht den DHCP Lease Table, der, wie inzwischen mehrfach erwähnt, genau die gewünschten Infos beinhaltet?
    Schon blöd, wenn die eigenen Argumente so schnell zu Ende gehen, gell?!
    Naja, dann hauen wir nochmal kurz mit der Keule "Fanboy" um uns und verpissen uns anschließend.
    Eine konstruktive Diskussionskultur ist anders!

    PS: am Vergleich mit FritzBoxen kann ich nicht teilnehmen, da ich die Geräte nur von außen kenne.
    Und das Design stand wohl eher nicht zur Debatte. Ansonsten bin ich froh, denn "meins ist besser als Deins" ist eine Debatte auf trotzigem Kinderniveau, die nicht effektiv geführt werden kann! (Vgl. die 3 ICH-Zustände, wen's interessiert)



  • @max2012:

    viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
    Nee, oder? Und bei pfSense ist es leichter?

    Leute, das ist doch keine konstruktive Diskussion!
    Das, was man bereits kennt, ist immer einfacher zu handhaben als Neues. Das war schon immer so und wird es auch bleiben.

    Ich gehe doch auch nicht zu einem Tee-Trinker und schmeiße ihm meine Kaffee-Trinker Argumente vor die Füße und behaupte, es sei das einzig glückselig Machende. Wir können uns gern über die Zubereitung oder den Konsum austauschen, mehr aber auch nicht.
    Macht auch nichts.  ;)



  • @jahonix:

    @max2012:

    viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
    Nee, oder? Und bei pfSense ist es leichter?

    Leute, das ist doch keine konstruktive Diskussion!
    Das, was man bereits kennt, ist immer einfacher zu handhaben als Neues. Das war schon immer so und wird es auch bleiben.

    Diese meine Aussage beruhte auf meinen ersten Kontakt mit den Geräten, FB u. pfSense. Und ja, mit der pfSense hatte ich tatsächlich weniger Schwierigkeiten mich zurecht zu finden. Liegt einerseits wohl daran, dass man bei der Einrichtung auf die wesentlichen Dinge hingeführt wird und viele Erläuterungen zu den Funktionen direkt in der GUI zu finden sind, da wo man sie braucht, und andererseits mag es daran liegen, dass ich schon andere Erfahrung mit professionellen Firewalls hatte.

    So viel nur zur Erklärung dieser Aussage. Alles andere habe ich bereits zuvor erwähnt.

    Schönen Tag.



  • @viragomann:

    … und andererseits mag es daran liegen, dass ich schon andere Erfahrung mit professionellen Firewalls hatte.

    dann ist ja alles klar… würde mir bestimmt genauso gehen, wenn ich Linux-Erfahrung hätte und vielleicht hauptberuflich noch damit zu tun hätte.

    Alles fing damit an, dass ich als "Anfänger" mit pfSense unsicher war, ob die Funktion tatsächlich nicht vorhanden war; deswegen habe ich gefragt. Als dann aber anfing, nach dem Motto "für was brauchst du das, nimm dies oder jenes..." - war das ganze schon Offtopic.
    Es wurde sogar versucht über den Sinn von statischen MAC Adresse zu diskutieren... darum ging es nicht!

    Ob es Sinn macht, so eine Funktion in pfSense zu integriert, kann man sicherlich darüber streiten. Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird. Bis dahin, muß man sich mit Hilfsmitteln aushelfen, sein es mit zusätzliche Hardware oder Apps, die auf Clients laufen.

    Danke


  • Rebel Alliance Moderator

    @2chemlud: Vielleicht weil du nicht diskutierst oder sagst, was du wie wo überhaupt schon ausprobiert hast? Vielleicht weil dein Ton in deinen Posts für andere mehr den Grundton von Stänkerei hat, als echte Kritik? Ich denke weder virago noch ich noch sonstjemand hier im deutschen Forum hat was mit pfSense direkt zu tun. Aber wenn jemand nur kommt und ablässt wie Scheiße doch das Produkt ist blabla etcetera - man ihm dann Vorschläge macht bzw. nachfragt, wie er wo was meint, dass es überhaupt machbar ist und dann nur Fanboy Totschlagargument kommt - sorry, das kann ich nicht ernst nehmen. Ich hab recht lange auf deinen Post geantwortet und denke immer noch, dass das was DU alles per Default haben willst noch die NSA in Ihrer Speicherwut toppt und schon sehr in Richtung Vorratsdatenspeicherung und Totalüberwachung geht. Das ist aber meine Meinung. Aber anstatt darauf zu antworten kommt ein patziges "Bah Fanboys" und weg. Sowas ist keine Diskussion, sondern entweder Trolling (von den Usern, die das tatsächlich ernst genommen und dir geantwortet haben) oder eben reine Stänkerei.

    @virago/jahonix: Sorry, aber nach dem Post von 2chemlud kann ich seinen Kommentar nicht wirklich ernst nehmen. Ich mache mir noch die Mühe und weise daraufhin, dass vieles was er will mit entsprechenden Paketen möglich ist, die es bspw. für pfSense sogar gibt. Ich persönlich kenne keine Firewall, die ihren Namen  verdient und das alles schon kann oder implementiert hat. Und um alleine so etwas wie eine aktuelle IP/ARP Liste zu haben, müsste das Device ja quasi alle paar Minuten/Intervall x einen vollen Scan aller Netze machen. Jeder Netzwerker würde da Sturm laufen deswegen, wenn man so unnötig Traffic durchs Netz produziert. Und je nach Topologie ist das richtig unschön. Aber anscheinend ist ja an einer echten Diskussion über Möglichkeiten oder Nutzen keiner interessiert. Zumindest habe ich nun schon 3x gefragt, wofür man das überhaupt braucht. Statt dessen sind wir beim "Meins ist besser als Deins". Naja.

    @max2012: Die pfSense bringt eine Default Einstellung eigentlich ähnlich wie eine Fritzbox mit. Beide haben auf dem WAN erstmal nix wirklich definiert dafür auf dem LAN DHCP an. Die pfSense fährt aber nicht einfach ein 192.168.178.0/24 Netz hoch, sondern möchte von mir wissen was ich habe. Ist mir lieber. Um das bei der FB zu ändern muss man ggf. erstmal den Modus auf Experte Stellen, dann das Menü finden, wo der Button ist, mit dem dann die DHCP Settings aufgerufen werden. So super intuitiv ist das auch nicht. Ich hab schon mehr wie einen Menüpunkt gesucht, den es leider nicht direkt gibt, weil man auf eine andere Seite muss und dort nen Knopf drücken, damit man zu einer neuen Seite kommt. Da die FB noch dazu keine URLs verwendet (bzw. anzeigt) kann ich die auch nicht direkt aufrufen. Nervt mich persönlich schon. Zudem führt - im Vergleich - der DHCP eine Liste der Clients und hat dort einen Namen eingetragen. Den Namen zu ändern und konsistent zu halten hat mich schon in div. FB Versionen graue Haare gekostet, weil er es eben nicht unbedingt bleibt, sondern sich mal hie und da anpasst. Domainnamen konnte man lange gar nicht definieren. Insgesamt eben alles so reduziert, dass ein Einsteiger es ggf. bedienen kann und im Experten Modus man gerade noch halbwegs genug einstellen kann um nicht völlig verloren zu sein. An anderen Sachen beißt man sich aber leider die Zähne aus und verflucht das Ding nur noch. Wie gesagt - kein A ist besser als B - der Vergleich hinkt zu sehr, da das eine wirklich ein fertiger All-in-Wonder-SOHO-Router/NAS/Telefon sein soll und das andere eine reinrassige Netzwerkappliance. Ja diese kann mit Paketen erweitert werden, aber die haben erstmal nichts mit der Grundfunktion bzw. dem Core zu tun. Der Core ist eine Router/Firewall Appliance. Das ist bei kleinen Heim-Kisten wie der FB nicht so. Die wollen im Kern alles mögliche sein, dafür aber nichts richtig (spezialisiert).

    Grüße


  • Rebel Alliance Moderator

    @max:

    Ob es Sinn macht, so eine Funktion in pfSense zu integriert, kann man sicherlich darüber streiten.
    Richtig :)

    Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird. Bis dahin, muß man sich mit Hilfsmitteln aushelfen, sein es mit zusätzliche Hardware oder Apps, die auf Clients laufen.
    Falsch. Wie gesagt, es gibt etwas wie bei der FB auch - die DHCP Lease Liste. Die ist dir für deinen Zweck aber zu ungenau/nicht definitiv genug. Das ist dann natürlich blöde, ganz klar, aber es gibt somit schon etwas, nur nicht genau für deinen Zweck.

    Trotzdem bleibt immer noch die Frage: WOFÜR denn jetzt eigentlich?



  • @max2012:

    … ob die Funktion tatsächlich nicht vorhanden war ... Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird.

    "Die Funktion" ist in Deinem Post unspezifiziert. Ich gehe davon aus, dass Du die online/offline Anzeige der Hosts meinst.
    Und was zum Geier brauchst Du mehr als die online/offline Spalte in der DHCP Leases Tabelle? Grüne Farbe?



  • @JeGr:

    @max2012: Die pfSense bringt eine Default Einstellung eigentlich ähnlich wie eine Fritzbox mit. Beide haben auf dem WAN erstmal nix wirklich definiert dafür auf dem LAN DHCP an. Die pfSense fährt aber nicht einfach ein 192.168.178.0/24 Netz hoch, sondern möchte von mir wissen was ich habe … Um das bei der FB zu ändern ...

    Der Vergleich ist müßig, denn hier wird ein Enterprise-Produkt mit einem Endkundengerät verglichen.
    Im Nutzerkreis gibt es sicherlich Überschneidungen, generell sind die Geräte jedoch für unterschiedliche Anwendungsfälle gebaut (oder hat schonmal jemand eine FB in einem DataCenter in Funktion gesehen? ;) )


  • Rebel Alliance Moderator

    oder hat schonmal jemand eine FB in einem DataCenter in Funktion gesehen? ;)

    Chris du wirst lachen. Ich schreibe das jetzt lieber nicht aus, weils peinlich für den damaligen Kunden wäre aber … sagen wir mal ich habe schon Pferde vor der Apotheke kotzen sehen ;)



  • @jahonix:

    (oder hat schonmal jemand eine FB in einem DataCenter in Funktion gesehen? ;) )

    Der reine Modemteil soll doch garnicht so schlecht sein … 8)

    -teddy



  • Moin,

    @max2012:

    dann ist ja alles klar… würde mir bestimmt genauso gehen, wenn ich Linux-Erfahrung hätte und vielleicht hauptberuflich noch damit zu tun hätte.

    Was hat das mit Linux zu tun?

    Bei meinen Ausflügen in die Netzwerktechnik (ich halte es mit Saga, https://www.youtube.com/watch?v=y4FKKh8PqbU)
    machte das Betriebssystem keinen wesentlichen Unterschied bei den Einstellungen. Ich betrachte es wie Werkzeug, ob ein Hammer rot oder blau oder gar schwarz ist ist für die Funktion völlig irrelevant, das gibt es andere Faktoren die zählen.
    Klar sind die Räder die man drehen muss gelegentlich an anderen Stellen und die Syntax unterscheidet sich, aber wenn man die Materie halbwegs verstanden hat ist es nicht schwer.
    Das eigentliche Betriebssystem ist bei pfSense doch eigentlich garnicht relevant: Du nimmst Einstellungen in einer Weboberfläche vor, und wie die umgesetzt werden kann Dir doch eigentlich Wumpe sein, solange es tut was es soll. Vom System bekommst Du nichts zu sehen. Auf einer Fritte läuft ja schließlich ein Linux ;)

    Für einen Laien ist eine Fritte verständlicher, weil er eigentlich nur Passwort und Zugangsdaten eingeben muss und damit schon den Boris spielen kann (" … ich bin drin ..")
    Aber was taugt der Onlinestatus der Fritte? Zeigt der ein Gerät an welches garnicht nach außen kommuniziert und eine statische Netzwerkkonfig hat? Somit wäre das nur eine Scheinsicherheit und damit völlig untauglich. Auch mit Pings findest Du nicht alle Geräte, Win7 antwortet standardmäßig nicht...

    Auf der Arbeit habe ich managed Switche, alle unbelegten Ports sind in einem Vlan "DeppenNetz", bekommen eine IP zugewiesen und dürfen genau garnichts außer sich eine Seite mit einem Auszug aus unserer Betriebsvereinbarung der den unautorisierten Anschluss von Geräten an unsere Netze regelt, durchlesen. Das übernimmt das Captive Portal. Und ja es gibt Dummbeutel die gerne mehr möchten, die habe ich an die Geschäftsleitung verwiesen, wenn die anordnet ich muss dann würde ich sie lassen, aber mit der GF  hab ich eine Vereinbarung getroffen das sie nicht anordnen ...

    Sollte einer einen belegten Port umwidmen so bekommt das mein Monitoring wahrscheinlich mit und es gibt ein nettes Gespäch mit der GF und einer Belehrung zum Thema Sabotage.

    Seitdem ist Ruhe im Netz.

    -teddy



  • @jahonix:

    Und was zum Geier brauchst Du mehr als die online/offline Spalte in der DHCP Leases Tabelle? Grüne Farbe?

    @JeGr:

    Trotzdem bleibt immer noch die Frage: WOFÜR denn jetzt eigentlich?

    Hallo ihr beiden,

    verspricht ihr mir nicht jeden Komma und Punkt zu hinterfragen?
    Ok, passt mal auf:

    1. es muß mit statische MAC Adresse/IP-Zuordnung gearbeitet werden; weil nur bekannt MAC Adressen ins Netz dürfen; außerdem werden die Geräte nach Gruppen aufgeteilt, nach dem Motto: Gruppe A ist im Segment 192.168.10.x/24; Gruppe B ist im Segment 192.168.20.x/24, etc.
    2. sobald ich mit statische Adressen arbeite, kann ich die DHCP-Lease-Liste vergessen
    3. die ARP-Liste sagt mir nicht, wer von den Geräte gerade online ist
    4. manchmal hätte man gerne gewußt, wer alles online mit seinem Gerät ist, völlig unabhängig ob intern oder extern surft

    Ich habe mich entschlossen eine alte Fritzbox zu nehmen, und gleichzeitig als WLAN Expander einzusetzen. Dabei kann ich die andere Funktion von Nutzen machen…  8) Quasi zewi Fliegen mit einer Klappe...

    Wenn wir schon bei Sprichwörter sind, was bedeutet das?

    @JeGr:

    ich habe schon Pferde vor der Apotheke kotzen sehen ;)

    danke




  • Rebel Alliance Moderator

    Danke für die Erklärung Teddy, ich dachte das Sprichtwort ist eines der Bekannteren. In dem Fall in etwa "extrem unwahrscheinlich, aber rein physikalisch möglich" -> man wird es höchst selten sehen, aber ich habe es schon gesehen. Warum will ich gar nicht wissen ;)

    1. es muß mit statische MAC Adresse/IP-Zuordnung gearbeitet werden; weil nur bekannt MAC Adressen ins Netz dürfen; außerdem werden die Geräte nach Gruppen aufgeteilt, nach dem Motto:
      Gruppe A ist im Segment 192.168.10.x/24; Gruppe B ist im Segment 192.168.20.x/24, etc.

    OK in Ordnung. Kann ich durchaus nachvollziehen, auch wenn die Sinnhaftigkeit ohne 802.1x recht schwach ist (da sich MAC Adressen sehr leicht ändern lassen). Aber von dem Fakt abgesehen, verstanden. Du vergibst also eine Latte von IP Adressen per MAC. Ist zwar Pflegeaufwand, aber OK.

    1. sobald ich mit statische Adressen arbeite, kann ich die DHCP-Lease-Liste vergessen

    Jein, nicht ganz. In meiner Liste stehen bspw. meine Server und NAS Kisten auch drin - die die an sind, stehen online, die die aus sind stehen offline drin. Also alles gut. Du bekommst eben nur keine minütlich genaue Anzeige, das macht aber die Fritzbox auch nicht!

    1. die ARP-Liste sagt mir nicht, wer von den Geräte gerade online ist

    Nein aber die DHCP Liste - siehe oben.

    1. manchmal hätte man gerne gewußt, wer alles online mit seinem Gerät ist, völlig unabhängig ob intern oder extern surft

    Das mag sein, dass man das manchmal gerne möchte :) Ich will das auch gar nicht wegdiskutieren, aber wenn du JETZT gerade AKUT wissen willst, wer surft, dann schaust du dir die State Table an und siehst ALLE States, die gerade über die Firewall aktiv sind. Mit Ihrer IP. Und da du die ja statisch vergibst, weißt du somit auch wer das ist. Insofern sehe ich das Problem jetzt nicht wirklich?

    Ich habe mich entschlossen eine alte Fritzbox zu nehmen, und gleichzeitig als WLAN Expander einzusetzen. Dabei kann ich die andere Funktion von Nutzen machen…  8) Quasi zewi Fliegen mit einer Klappe...

    Natürlich dein gutes Recht :) Ich sehe nur nicht, wie das dein Problem akut löst. Die FB hat überhaupt keine Anzeige, wer was wie wo genau jetzt macht. Nur die Home/Lan Anzeige mag schicker gestaltet sein (als Liste mit schönen grünen Bommeln, wer gerade angeblich online ist). Aber genauer ist sie nicht. Gestern abend mal kurz mit meiner FB Cable getestet, die hatte bei der Anzeige je nachdem auch locker noch Minuten später eine grüne Anzeige obwohl das Gerät schon weg war (WLAN). Wenn es nicht direkt an einem der lokalen LAN Ports hängt (die kann sie ja recht fix auslesen), sondern ein Switch dazwischen hängt, bekommt sie das auch nicht mit und sagt dir auch nur "ungefähr" wer gerade online ist.
    Was derjenige dann macht siehst du gar nicht. In der State Ansicht der pfSense oder mit bspw. pftop auf der Shell, kann ich das bei der pfSense sofort sehen und vor allem auch, wer zur Hölle gerade meine Bandbreite wegfuttert ;) Da sehe ich den Verbrecher und sein Ziel/Quelle und kann nach Rate sortieren (also nach Bandbreite) und weiß: Oha der Kollege lädt wieder irgendwelche ISOs runter.

    Aber wenn das für deinen Zweck genügt (allerdings würde die pfSense dann auch locker genügen), dann hab ich damit auch kein Problem :) Mir ging es hier lediglich darum, dass klar ist, dass es diverse Funktionen durchaus gibt, die genauso/ähnlich genau/ungenau sind wie andere auch und man mehr/andere Optionen zusätzlich zur Verfügung hat. Deshalb hatte ich die Aufregung von 2chemlud nicht verstanden. Und für deinen Zweck wie gesagt denke ich dass die Funktionen vorhanden wären.

    Grüße



  • @JeGr:

    1. sobald ich mit statische Adressen arbeite, kann ich die DHCP-Lease-Liste vergessen
      Jein, nicht ganz. In meiner Liste stehen bspw. meine Server und NAS Kisten auch drin - die die an sind, stehen online, die die aus sind stehen offline drin. Also alles gut. Du bekommst eben nur keine minütlich genaue Anzeige, das macht aber die Fritzbox auch nicht!

    Komisch, bei mir steht die immer online, auch wenn ein Client aus ist. habe ich eine Einstellung übersehen?

    @JeGr:

    1. manchmal hätte man gerne gewußt, wer alles online mit seinem Gerät ist, völlig unabhängig ob intern oder extern surft

    Das mag sein, dass man das manchmal gerne möchte :) Ich will das auch gar nicht wegdiskutieren, aber wenn du JETZT gerade AKUT wissen willst, wer surft, dann schaust du dir die State Table an und siehst ALLE States, die gerade über die Firewall aktiv sind. Mit Ihrer IP. Und da du die ja statisch vergibst, weißt du somit auch wer das ist. Insofern sehe ich das Problem jetzt nicht wirklich?

    Vielleicht, weil du nicht aufmerksam liest!  ;D  SCNR
    Ich habe geschrieben, ich will alle online Clients sehen, egal ob die im Internet sind (über/durch die Firewall), oder intern!
    Wenn einer nur intern ist, dann sehe ich ihn nicht auf der Firewall, oder?

    Dann gibt es noch ein Fall, der mir auch nicht angezeigt wird: wenn jemand sich selber eine feste IP vergibt, dann wird dieser auch nicht in der DHCP Liste erscheinen. Und nun?

    @JeGr:

    Ich habe mich entschlossen eine alte Fritzbox zu nehmen, und gleichzeitig als WLAN Expander einzusetzen. Dabei kann ich die andere Funktion von Nutzen machen…  8) Quasi zewi Fliegen mit einer Klappe...

    Natürlich dein gutes Recht :) Ich sehe nur nicht, wie das dein Problem akut löst. Die FB hat überhaupt keine Anzeige, wer was wie wo genau jetzt macht. Nur die Home/Lan Anzeige mag schicker gestaltet sein (als Liste mit schönen grünen Bommeln, wer gerade angeblich online ist). Aber genauer ist sie nicht.

    Du, nur um es klar zu stellen: ich arbeite nicht bei AVM, und ich bekomme auch keine Provision von AVM, damit ich Werbung für die mache.
    Wie ich bereits schon über pfSense gesagt habe, gilt das auch für die FB: das ist natürlich keine "Eierlegende Wollmilchsau"
    Aber in einige (wenn auch wenige) Sachen ist sie nun mal Anwenderfreundlicher (für mich zumindest) als andere Produkte.
    Und wenn ich schon eine rumliegen habe, dann kann ich die wenigstens für was (mehr oder weniger) sinnvolles einsetzen… auch wenn es nur um mein WLAN zu erweitern, und blinkende "grünen Bommeln" anzugeigen!  :)

    @JeGr:

    Und für deinen Zweck wie gesagt denke ich dass die Funktionen vorhanden wären.

    Diese Freiheit hast du, zu denken was du willst, aber ob das richtig ist oder stimmt, ist eine andere Sache…  ;)
    Kopf hoch, alles wird gut....

    Gruß


  • Rebel Alliance Moderator

    @max2012:

    Komisch, bei mir steht die immer online, auch wenn ein Client aus ist. habe ich eine Einstellung übersehen?

    Da du zu keinem Zeitpunkt irgendwelche Einstellungen diskutiert oder zur Frage gestellt hast, kann dir das kaum einer sagen. Aber hier dafür gern einen Screenshot aus meinem Labor.

    Wir sehen 2 Android Geräte an einem Access Point online (dynamisch), wap01 ist der alte AP der gerade aus ist (offline) und isis ist ein NAS das gerade an ist. Beide haben IPs statisch konfiguriert, also KEIN Lease bekommen vom DHCP Server, trotzdem werden sie korrekt angezeigt. Just sayin'

    @max2012:

    Vielleicht, weil du nicht aufmerksam liest!  ;D  SCNR
    Ich habe geschrieben, ich will alle online Clients sehen, egal ob die im Internet sind (über/durch die Firewall), oder intern!
    Wenn einer nur intern ist, dann sehe ich ihn nicht auf der Firewall, oder?

    Dann gibt es noch ein Fall, der mir auch nicht angezeigt wird: wenn jemand sich selber eine feste IP vergibt, dann wird dieser auch nicht in der DHCP Liste erscheinen. Und nun?

    Ich weiß nicht, ob du gern Fehler bei anderen suchst. Aber ich habe das so eben nicht aus deiner Info rausgelesen. "Egal ob einer intern/extern surft" - aus dem Satz kann ich ohne dein Netz zu kennen nicht ableiten, dass jemand "intern surfend" überhaupt keinen Kontakt zur pfSense haben soll. Das weißt du vielleicht - ich nicht. Deshalb meine Aussage. Und - siehe oben - das NAS ist auch nicht extern am browsen, trotzdem wird es angezeigt.

    Dein zweiter Fall ist tatsächlich interessanter, bei selbst vergebener IP wirst du den natürlich nicht in den DHCP Leases sehen. Wie auch. Aber ich möchte gern die Fritzbox sehen, die dir den anzeigt, gerade wenn er nur intern surft. Sobald er extern geht, wird sie ihn wohl anzeigen weil es States/Traffic gibt. Aber intern wirst du den auch nicht sehen.
    Ich erinnere mich da noch an dein Kommentar "ich sehe das eher beim Router" -> Siehst du jetzt, dass das keinen Unterschied macht? Auch bei deinem Beispiel AVM (die das vielleicht besser machen)? Wie willst du ein Gerät am Router sehen, das gar kein Routing in Anspruch nimmt? Und die Idee, dass ein Router einfach mal ständig sein ganzes Netz hoch und runterpingen sollte, hatten wir glaube ich schon verworfen, da es wirklich eine schlechte Idee ist (und zudem jedes Gerät mit lokaler Firewall ignorieren würde). Wenn jemand schon eine eigene MAC oder IP konfiguriert, dann hat er auch Pings aus. Und zumindest meine FB Cable oder die alte 7390 zeigte dann auch kein Gerät an, selbst wenns intern an war. DAS ist der Punkt auf den ich hinweise. Nicht dass A besser als B ist, sondern dass die Annahme A kann das schlichtweg nicht stimmt.

    @max2012:

    Du, nur um es klar zu stellen: ich arbeite nicht bei AVM, und ich bekomme auch keine Provision von AVM, damit ich Werbung für die mache.
    Wie ich bereits schon über pfSense gesagt habe, gilt das auch für die FB: das ist natürlich keine "Eierlegende Wollmilchsau"
    Aber in einige (wenn auch wenige) Sachen ist sie nun mal Anwenderfreundlicher (für mich zumindest) als andere Produkte.
    Und wenn ich schon eine rumliegen habe, dann kann ich die wenigstens für was (mehr oder weniger) sinnvolles einsetzen… auch wenn es nur um mein WLAN zu erweitern, und blinkende "grünen Bommeln" anzugeigen!  :)

    Öhm - ehrlich? Es könnte mir egaler nicht sein, ob du für AVM arbeitest oder nicht ;). Mir geht es nicht um Anti-AVM. Jedes Produkt dem der es will oder braucht. Ich zeige nur auf, dass (zum Teil) Dinge, die du behauptest AVM so toll kann, die Fritzbox eben auch nicht besser oder schlechter abliefern wird als die pfSense. Ja bei manchen Dingen wirst du in der seltsamen LAN Liste bei AVM dann Geräte finden, die dir die pfSense nicht anzeigt. (warum seltsam - siehe ein voriges Post bzgl. DHCP Naming). Aber wenn dir das reicht - deine Fälle, die du Contra pfSense anführst, deckt es eben auch nicht ab. Und dann frage ich mich, warum du dann doch die FB nimmt, die wesentlich unflexibler (sprich: nicht erweiterbar) ist als die pfsense. Wenn beide schon nicht 100% abliefern ist es doch meist geschickter wenn ich dann das nehme, was ich später wenigstens anpassen oder erweitern kann?

    Zudem weise ich auf die Packages hin. Im Speziellen bspw. "nmap" und "ipguard". Ob IPGuard noch läuft aktuell - kann ich leider nicht sagen, das Paket ist aber recht simpel, deshalb vllt auch keine großen Updates notwendig. Damit sind dann MAC<->IP Zuweisungen denkbar. NMAP sollte ein Begriff sein. Wenn du irgendwas in deinem Netz wissen willst, kann NMAP es dir garantiert sagen. Auch welcher Rechner intern aktiv ist. Im Notfall auch mit Stealth Scan und allen Schikanen. Deshalb frag(t)e ich, was du genau willst.

    @max2012:

    Diese Freiheit hast du, zu denken was du willst, aber ob das richtig ist oder stimmt, ist eine andere Sache…  ;)
    Kopf hoch, alles wird gut....

    Ich sage nur, wie ich es sehe, wenn dem nicht so ist, ist es eben so. Wenn aber keiner sagt, WAS eigentlich nicht gehen soll, ist eine Diskussion eben leider sinnbefreit. Da du Informationen nun endlich nachgeliefert hast, konnte man nun auch was dazu sagen. Hier ist aber keiner gleich Fanboy, wird bezahlt oder irgendein anderer Mist. Keiner regt sich auf, wenn du nicht pfSense nimmst. Wenns für dich nicht passt - so what.

    (Nicht bezogen auf dich - das geht jetzt allgemein:)
    Traurig finde ich nur Getöse oder Behauptungen, dass ein Produkt wie pfSense angeblich Mist sein soll, was auch immer nicht kann, es doch logisch wäre Feature X zu haben, oder Feature Y ein muss ist - ohne klar zu sagen, weswegen und warum. Denn ggf. hast du oder sonst jemand eben noch nicht darüber nachgedacht, dass es auch andere Wege nach Rom gibt. Wenn dann für dich alles gut wird - schön :) Für mich muss nichts gut werden, ich verdiene weder daran hier zu scheiben, noch muss ich mich aufregen. Im Gegenteil - ich opfere (teils sinnlos) meine Zeit um mit Leuten dann zu streiten die eine andere Grundannahme schon nicht einnehmen oder verstehen können. Und das ist schade. Ich versuche für mich in Anspruch zu nehmen, dass ich bei aller Subjektivität meines spezifischen Einsatzgebiets mit der pfSense immer noch objektiv genug beurteilen oder zumindest einschätzen kann, was möglich ist und was nicht. Und lerne dabei durch andere tolle Kollegen hier noch dazu. Hilfe, Ideen oder Denkanstöße liefere ich gerne, aber für den Zeitaufwand und die Mühe dann irgendwelche Kindergartensprüche oder Stammtischparolen zu diskutieren hab ich keinen Bedarf.

    So musste auch mal gesagt sein, damit dieses meins-ist-besser/Fanboy/sonstwas endlich mal aufhört.

    Sollten noch sinnvolle Fragen zum Thema offen sein, gerne.



  • @JeGr:

    @max2012:

    Komisch, bei mir steht die immer online, auch wenn ein Client aus ist. habe ich eine Einstellung übersehen?

    Da du zu keinem Zeitpunkt irgendwelche Einstellungen diskutiert oder zur Frage gestellt hast, kann dir das kaum einer sagen. Aber hier dafür gern einen Screenshot aus meinem Labor.

    (Bild entfernt)

    Wir sehen 2 Android Geräte an einem Access Point online (dynamisch), wap01 ist der alte AP der gerade aus ist (offline) und isis ist ein NAS das gerade an ist. Beide haben IPs statisch konfiguriert, also KEIN Lease bekommen vom DHCP Server, trotzdem werden sie korrekt angezeigt. Just sayin'

    Sollten noch sinnvolle Fragen zum Thema offen sein, gerne.

    Ich glaube das Problem identifiziert zu haben.
    Ehrlich gesagt habe ich die Option "Create an ARP Table Static Entry for this MAC & IP Address pair" bei der Anlegung von neue feste IPs nicht ganz verstanden, und habe es gesetzt, da es sich "vernünftig" angehört hat.

    Das aber verursacht, dass der Client immer "Online" angezeigt wird, obwohl der nicht mal am Netz angeschlossen ist.

    Clients, die diese Option nicht gesetzt haben, zeigen den richtigen Status an.
    Ist das ein Bug, oder warum zeigt es dauerhaft "Online" an?


  • Rebel Alliance Moderator

    Ist das ein Bug, oder warum zeigt es dauerhaft "Online" an?

    Kein Bug, IMHO tut es genau das was es sagt:

    "Create an ARP Table Static Entry for this MAC & IP Address pair"

    -> er legt auf der pfSense einen statischen ARP Eintrag für die MAC Adresse an, die du angibst und verknüpft diesen mit der IP Adresse. Das ist z.B. notwendig für Wake on LAN wenn ich mich recht entsinne. Wenn ein Gerät aus ist, läuft der Eintrag in der ARP Tabelle recht fix ab und verschwindet dann. Das wird u.a. (außer Leases) dazu benutzt (und ich denke auch AVM und andere machen das ähnlich), die online/offline Geschichte anzuzeigen. Ist damit dann ein Gerät aus, läuft der Eintrag und das Lease ab -> offline. Ist es online kann es zum Einen via Lease getrackt werden (was aber ggf. eine lange Laufzeit hat) oder eben via ARP Lookup. Ein ARP "who is x.x.x.x" läuft eh im Hintergrund ab, so dass es keinen aktiven Port Scan braucht.

    Bei mir im Test habe ich das NAS nur als DHCP angelegt (und auch Router, Access Point etc.) für den Fall, dass das mal resettet wird und auf DHCP umfällt. Dann wird via DHCP die gleiche IP vergeben, die es eh hat. Selbst statisch konfiguriert, kennt der DHCP damit aber die Zuordnung und kann via ARP nachsehen, ob das NAS da ist. Et voila, eine (nicht ganz perfekte) online Liste. :)

    Nächtliche Grüße



  • @JeGr:

    Bei mir im Test habe ich das NAS nur als DHCP angelegt (und auch Router, Access Point etc.) für den Fall, dass das mal resettet wird und auf DHCP umfällt. Dann wird via DHCP die gleiche IP vergeben, die es eh hat. Selbst statisch konfiguriert, kennt der DHCP damit aber die Zuordnung und kann via ARP nachsehen, ob das NAS da ist. Et voila, eine (nicht ganz perfekte) online Liste. :)

    wie gesagt, das Dumme ist nur, es zeigt immer "online", auch wenn das Gerät mal aus ist; wie mein Drucker.
    Schon die ganze Zeit aus, aber in der Liste ist es weiterhin "online".

    Um nochmal nachzuhaken, weil es keine ausführliche Beschreibung gibt: wann verwendet man das Häkchen bei "Create an ARP Table Static Entry for this MAC & IP Address pair", und wann nicht?
    Bzw. wann sollte ich es auf jeden Fall setzen, und wann sollte ich es auf keinen Fall setzen?

    Danke für die Mühe es zu erklären


  • Rebel Alliance Moderator

    OK ich versuche es simpel zu halten ;)

    ARP an sich ist ein ziemlich simples Protokoll ohne große Sicherheitsfeatures. Deshalb gibt es inzwischen auch einige doofe Attacken, bei denen man sich das zu nutze macht, bspw. ARP cache poisoning. Dazu wird dir ein falscher ARP Eintrag untergejuckelt, womit dein Rechner dann falsche IP Pakete zusammenbaut, weil er sie nicht an die korrekte MAC Adresse sendet. Um so etwas zu unterbinden und ggf. kritische Systeme direkt zu "schützen", kann man statische ARP Einträge hinterlegen, damit man seine Tabelle nicht mit nonsense überschrieben bekommt (bspw. 00-00-00-00-00-00). Das kann allerdings auch ins Auge gehen, denn wenn sich bspw. das System ändert und eine neue MAC hat, sucht man oftmals recht lange (weil kaum einer an ARP denkt), bis man den Fehler gefunden hat und den neuen ARP Eintrag abändert.

    Im Falle DHCP ist static ARP aber noch für andere Dinge gut. Zum einen für Wake on LAN - da das Gerät aus ist, muss man ja ein Magic Packet an die entsprechende MAC Adresse des Servers senden um ihn aufzuwecken. Dazu braucht man entweder einen Client in den man das selbst einträgt oder der DHCP Server kennt die Zuordnung und sendet das Paket.
    Das andere ist, dass du DHCP ähnlich wie WLAN bspw. auf MAC Adressen beschränken kannst (deny unknown clients). Dann sind nur die Clients erlaubt, deren MAC du eingetragen und hinterlegt hast. Zusätzlich kannst du dann mit static ARP entries noch dafür Sorgen, dass NUR die Clients, die du mit diesem Eintrag gelistet hast, mit dem DHCP reden können und von ihm eine IP bekommen. Andere nicht. Damit muss jedes Gerät dass eine IP dynamisch bekommt angelegt werden, ansonsten muss es statisch konfiguriert werden oder bekommt keine IP.

    Hoffe das bringt etwas Licht ins Dunkel und meine Infos sind nicht so ganz veraltet ;) Ist schon ne Weile her.

    Viele Grüße



  • Also unabhängig von pfSense verwende ich noch zwei weitere Tools, um das Netzwerk zu überwachen. Einmal Icinga und einmal Observium.

    Icinga zeigt mir an, welche Hosts und Services (nicht) laufen und notifiziert mich über Pushover. Observium überwacht die Hosts und zeichnet eine Langzeit-Statistik auf:

    Hier ein paar Beispiele, wie das dann aussieht:

    ![Screen Shot 2015-06-24 at 21.01.38.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.01.38.png)
    ![Screen Shot 2015-06-24 at 21.03.38.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.38.png)
    ![Screen Shot 2015-06-24 at 21.03.38.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.38.png_thumb)
    ![Screen Shot 2015-06-24 at 21.03.24.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.24.png_thumb)
    ![Screen Shot 2015-06-24 at 21.03.05.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.05.png)
    ![Screen Shot 2015-06-24 at 21.01.38.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.01.38.png_thumb)
    ![Screen Shot 2015-06-24 at 21.03.24.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.24.png)
    ![Screen Shot 2015-06-24 at 21.03.05.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.05.png_thumb)



  • @dkrizic:

    Also unabhängig von pfSense verwende ich noch zwei weitere Tools, um das Netzwerk zu überwachen. Einmal Icinga und einmal Observium.

    Sieht vernünftig aus.
    Momentan benutze ich unter pfSense ntopng. Scheint auch einiges zu beherrschen; bin noch nicht ganz durch, was es alles kann.


Log in to reply