Welche Clients sind online?



  • Es steht hier ja niemand unter Zwang, die pfSense zu verwenden. Jedem steht es frei, das für seine Zwecke in seinen Augen geeignetste Produkt einzusetzen.

    Ich bin mit dem Funktionsumfang und der Anpassbarkeit via Packages mehr als zufrieden. Die pfSense hängt zwischen internen Netzen und WAN und in diesen internen Netzen gibt es andere Hosts mit unterschiedlichen Betriebssystemen, wo ich bei Bearf auch den ganzen anderen Schnickschnack installieren und ausführen kann.

    Wie hier schon erwähnt, die Fritzboxen können das ja, und noch viel mehr. Dann kann man ja auch diese verwenden. Du bestellst dir ja auch nicht im Gasthaus ein Wiener Schnitzel und beklagst dich bei Kellner, dass kein Käse drinnen ist. Wenn du den magst, bestellst dir eber Cordon Bleu. Zum Glück ist diese Welt so einfach. ;)

    Ich, für meinen Teil, wenn ich eine FB einrichten soll, packt mich ein Riesen-Frust. Schnell geht da gar nichts, wenn man das Ding nicht kennt. Zuerst muss man sich einmal durch die 200-seitige Anleitung wälzen um nur die primären Dinge wie Standard-Logindaten raus zu finden. 200 Seiten für eine simplen DSL-Router, so geschrieben, dass es nur ein Laie versteht. Mit Begriffen, die der Netzwerker verwendet, findet man darin nichts.

    Aber so hat ein jeder das Seine und ich will diesen Thread hier gar nicht in eine FB-Diskussion entführen. Möchte nur sagen, die einen sind mit pfSense zufrieden, die anderen soll das nehmen, was ihren Ansprüchen gerecht wird anstatt über dieses Produkt zu meckern. Und alles ist gut. :)

    Grüße



  • viragomann> Ich bin mit dem Funktionsumfang und der Anpassbarkeit via Packages mehr als zufrieden.  …  Ich, für meinen Teil, wenn ich eine FB einrichten soll, packt mich ein Riesen-Frust.

    Echt? Warum?

    viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.

    Nee, oder? Und bei pfSense ist es leichter? Wirklich? Es läuft trotzdem, wenn man es nicht kennt oder falsch konfiguriert?

    viragomann> Zuerst muss man sich einmal durch die 200-seitige Anleitung wälzen um nur die primären Dinge wie Standard-Logindaten raus zu finden.

    und du kommst tatsächlich mit pfSense ohne Anleitung zurecht? Irgendwas widerspricht sich hier…
    Wenn ich mir die Foren über pfSense anschaue, könnte ich meine ohne fachmännische Unterstützung und paar Anleitung kommt man nicht sehr weit mit pfSense...

    viragomann> Möchte nur sagen, die einen sind mit pfSense zufrieden, die anderen soll das nehmen, was ihren Ansprüchen gerecht wird anstatt über dieses Produkt zu meckern. Und alles ist gut. :)

    das perfekte "Produkt" gibt es nicht. irgendwas vermisst man immer, oder würde es anders machen.
    und Recht hast du auch: pfSense ist nicht die Eierlegende Wollmilchsau.

    dafür bekommt man aber die günstigste Firewall-Router-Proxy-Kombination auf dem Markt…  ;)



  • @2chemlud:

    Immer die selben Ritter der Kokosnuss, der Nutzer ist zu dooooof, um zu erkennen, was er für ein tolles Produkt hat, notfalls u zweit, immer druff…
    Eine ARP-tabel, wenn ich nur static ARP habe? Wirklich?
    So ein Müll. Ich bin weg, die Fanboy-Dichte ist nervig...

    Welche Laus ist Dir denn über die Leber gelaufen?

    Warum zitierst Du jetzt den ARP-Table, der eben denkbar ungeeignet ist und nicht den DHCP Lease Table, der, wie inzwischen mehrfach erwähnt, genau die gewünschten Infos beinhaltet?
    Schon blöd, wenn die eigenen Argumente so schnell zu Ende gehen, gell?!
    Naja, dann hauen wir nochmal kurz mit der Keule "Fanboy" um uns und verpissen uns anschließend.
    Eine konstruktive Diskussionskultur ist anders!

    PS: am Vergleich mit FritzBoxen kann ich nicht teilnehmen, da ich die Geräte nur von außen kenne.
    Und das Design stand wohl eher nicht zur Debatte. Ansonsten bin ich froh, denn "meins ist besser als Deins" ist eine Debatte auf trotzigem Kinderniveau, die nicht effektiv geführt werden kann! (Vgl. die 3 ICH-Zustände, wen's interessiert)



  • @max2012:

    viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
    Nee, oder? Und bei pfSense ist es leichter?

    Leute, das ist doch keine konstruktive Diskussion!
    Das, was man bereits kennt, ist immer einfacher zu handhaben als Neues. Das war schon immer so und wird es auch bleiben.

    Ich gehe doch auch nicht zu einem Tee-Trinker und schmeiße ihm meine Kaffee-Trinker Argumente vor die Füße und behaupte, es sei das einzig glückselig Machende. Wir können uns gern über die Zubereitung oder den Konsum austauschen, mehr aber auch nicht.
    Macht auch nichts.  ;)



  • @jahonix:

    @max2012:

    viragomann> Schnell geht da gar nichts, wenn man das Ding nicht kennt.
    Nee, oder? Und bei pfSense ist es leichter?

    Leute, das ist doch keine konstruktive Diskussion!
    Das, was man bereits kennt, ist immer einfacher zu handhaben als Neues. Das war schon immer so und wird es auch bleiben.

    Diese meine Aussage beruhte auf meinen ersten Kontakt mit den Geräten, FB u. pfSense. Und ja, mit der pfSense hatte ich tatsächlich weniger Schwierigkeiten mich zurecht zu finden. Liegt einerseits wohl daran, dass man bei der Einrichtung auf die wesentlichen Dinge hingeführt wird und viele Erläuterungen zu den Funktionen direkt in der GUI zu finden sind, da wo man sie braucht, und andererseits mag es daran liegen, dass ich schon andere Erfahrung mit professionellen Firewalls hatte.

    So viel nur zur Erklärung dieser Aussage. Alles andere habe ich bereits zuvor erwähnt.

    Schönen Tag.



  • @viragomann:

    … und andererseits mag es daran liegen, dass ich schon andere Erfahrung mit professionellen Firewalls hatte.

    dann ist ja alles klar… würde mir bestimmt genauso gehen, wenn ich Linux-Erfahrung hätte und vielleicht hauptberuflich noch damit zu tun hätte.

    Alles fing damit an, dass ich als "Anfänger" mit pfSense unsicher war, ob die Funktion tatsächlich nicht vorhanden war; deswegen habe ich gefragt. Als dann aber anfing, nach dem Motto "für was brauchst du das, nimm dies oder jenes..." - war das ganze schon Offtopic.
    Es wurde sogar versucht über den Sinn von statischen MAC Adresse zu diskutieren... darum ging es nicht!

    Ob es Sinn macht, so eine Funktion in pfSense zu integriert, kann man sicherlich darüber streiten. Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird. Bis dahin, muß man sich mit Hilfsmitteln aushelfen, sein es mit zusätzliche Hardware oder Apps, die auf Clients laufen.

    Danke


  • LAYER 8 Moderator

    @2chemlud: Vielleicht weil du nicht diskutierst oder sagst, was du wie wo überhaupt schon ausprobiert hast? Vielleicht weil dein Ton in deinen Posts für andere mehr den Grundton von Stänkerei hat, als echte Kritik? Ich denke weder virago noch ich noch sonstjemand hier im deutschen Forum hat was mit pfSense direkt zu tun. Aber wenn jemand nur kommt und ablässt wie Scheiße doch das Produkt ist blabla etcetera - man ihm dann Vorschläge macht bzw. nachfragt, wie er wo was meint, dass es überhaupt machbar ist und dann nur Fanboy Totschlagargument kommt - sorry, das kann ich nicht ernst nehmen. Ich hab recht lange auf deinen Post geantwortet und denke immer noch, dass das was DU alles per Default haben willst noch die NSA in Ihrer Speicherwut toppt und schon sehr in Richtung Vorratsdatenspeicherung und Totalüberwachung geht. Das ist aber meine Meinung. Aber anstatt darauf zu antworten kommt ein patziges "Bah Fanboys" und weg. Sowas ist keine Diskussion, sondern entweder Trolling (von den Usern, die das tatsächlich ernst genommen und dir geantwortet haben) oder eben reine Stänkerei.

    @virago/jahonix: Sorry, aber nach dem Post von 2chemlud kann ich seinen Kommentar nicht wirklich ernst nehmen. Ich mache mir noch die Mühe und weise daraufhin, dass vieles was er will mit entsprechenden Paketen möglich ist, die es bspw. für pfSense sogar gibt. Ich persönlich kenne keine Firewall, die ihren Namen  verdient und das alles schon kann oder implementiert hat. Und um alleine so etwas wie eine aktuelle IP/ARP Liste zu haben, müsste das Device ja quasi alle paar Minuten/Intervall x einen vollen Scan aller Netze machen. Jeder Netzwerker würde da Sturm laufen deswegen, wenn man so unnötig Traffic durchs Netz produziert. Und je nach Topologie ist das richtig unschön. Aber anscheinend ist ja an einer echten Diskussion über Möglichkeiten oder Nutzen keiner interessiert. Zumindest habe ich nun schon 3x gefragt, wofür man das überhaupt braucht. Statt dessen sind wir beim "Meins ist besser als Deins". Naja.

    @max2012: Die pfSense bringt eine Default Einstellung eigentlich ähnlich wie eine Fritzbox mit. Beide haben auf dem WAN erstmal nix wirklich definiert dafür auf dem LAN DHCP an. Die pfSense fährt aber nicht einfach ein 192.168.178.0/24 Netz hoch, sondern möchte von mir wissen was ich habe. Ist mir lieber. Um das bei der FB zu ändern muss man ggf. erstmal den Modus auf Experte Stellen, dann das Menü finden, wo der Button ist, mit dem dann die DHCP Settings aufgerufen werden. So super intuitiv ist das auch nicht. Ich hab schon mehr wie einen Menüpunkt gesucht, den es leider nicht direkt gibt, weil man auf eine andere Seite muss und dort nen Knopf drücken, damit man zu einer neuen Seite kommt. Da die FB noch dazu keine URLs verwendet (bzw. anzeigt) kann ich die auch nicht direkt aufrufen. Nervt mich persönlich schon. Zudem führt - im Vergleich - der DHCP eine Liste der Clients und hat dort einen Namen eingetragen. Den Namen zu ändern und konsistent zu halten hat mich schon in div. FB Versionen graue Haare gekostet, weil er es eben nicht unbedingt bleibt, sondern sich mal hie und da anpasst. Domainnamen konnte man lange gar nicht definieren. Insgesamt eben alles so reduziert, dass ein Einsteiger es ggf. bedienen kann und im Experten Modus man gerade noch halbwegs genug einstellen kann um nicht völlig verloren zu sein. An anderen Sachen beißt man sich aber leider die Zähne aus und verflucht das Ding nur noch. Wie gesagt - kein A ist besser als B - der Vergleich hinkt zu sehr, da das eine wirklich ein fertiger All-in-Wonder-SOHO-Router/NAS/Telefon sein soll und das andere eine reinrassige Netzwerkappliance. Ja diese kann mit Paketen erweitert werden, aber die haben erstmal nichts mit der Grundfunktion bzw. dem Core zu tun. Der Core ist eine Router/Firewall Appliance. Das ist bei kleinen Heim-Kisten wie der FB nicht so. Die wollen im Kern alles mögliche sein, dafür aber nichts richtig (spezialisiert).

    Grüße


  • LAYER 8 Moderator

    @max:

    Ob es Sinn macht, so eine Funktion in pfSense zu integriert, kann man sicherlich darüber streiten.
    Richtig :)

    Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird. Bis dahin, muß man sich mit Hilfsmitteln aushelfen, sein es mit zusätzliche Hardware oder Apps, die auf Clients laufen.
    Falsch. Wie gesagt, es gibt etwas wie bei der FB auch - die DHCP Lease Liste. Die ist dir für deinen Zweck aber zu ungenau/nicht definitiv genug. Das ist dann natürlich blöde, ganz klar, aber es gibt somit schon etwas, nur nicht genau für deinen Zweck.

    Trotzdem bleibt immer noch die Frage: WOFÜR denn jetzt eigentlich?



  • @max2012:

    … ob die Funktion tatsächlich nicht vorhanden war ... Tatsache ist, momentan gibt es die nicht, und es steht in den Sterne, ob sowas je unter pfSense zu finden sein wird.

    "Die Funktion" ist in Deinem Post unspezifiziert. Ich gehe davon aus, dass Du die online/offline Anzeige der Hosts meinst.
    Und was zum Geier brauchst Du mehr als die online/offline Spalte in der DHCP Leases Tabelle? Grüne Farbe?



  • @JeGr:

    @max2012: Die pfSense bringt eine Default Einstellung eigentlich ähnlich wie eine Fritzbox mit. Beide haben auf dem WAN erstmal nix wirklich definiert dafür auf dem LAN DHCP an. Die pfSense fährt aber nicht einfach ein 192.168.178.0/24 Netz hoch, sondern möchte von mir wissen was ich habe … Um das bei der FB zu ändern ...

    Der Vergleich ist müßig, denn hier wird ein Enterprise-Produkt mit einem Endkundengerät verglichen.
    Im Nutzerkreis gibt es sicherlich Überschneidungen, generell sind die Geräte jedoch für unterschiedliche Anwendungsfälle gebaut (oder hat schonmal jemand eine FB in einem DataCenter in Funktion gesehen? ;) )


  • LAYER 8 Moderator

    oder hat schonmal jemand eine FB in einem DataCenter in Funktion gesehen? ;)

    Chris du wirst lachen. Ich schreibe das jetzt lieber nicht aus, weils peinlich für den damaligen Kunden wäre aber … sagen wir mal ich habe schon Pferde vor der Apotheke kotzen sehen ;)



  • @jahonix:

    (oder hat schonmal jemand eine FB in einem DataCenter in Funktion gesehen? ;) )

    Der reine Modemteil soll doch garnicht so schlecht sein … 8)

    -teddy



  • Moin,

    @max2012:

    dann ist ja alles klar… würde mir bestimmt genauso gehen, wenn ich Linux-Erfahrung hätte und vielleicht hauptberuflich noch damit zu tun hätte.

    Was hat das mit Linux zu tun?

    Bei meinen Ausflügen in die Netzwerktechnik (ich halte es mit Saga, https://www.youtube.com/watch?v=y4FKKh8PqbU)
    machte das Betriebssystem keinen wesentlichen Unterschied bei den Einstellungen. Ich betrachte es wie Werkzeug, ob ein Hammer rot oder blau oder gar schwarz ist ist für die Funktion völlig irrelevant, das gibt es andere Faktoren die zählen.
    Klar sind die Räder die man drehen muss gelegentlich an anderen Stellen und die Syntax unterscheidet sich, aber wenn man die Materie halbwegs verstanden hat ist es nicht schwer.
    Das eigentliche Betriebssystem ist bei pfSense doch eigentlich garnicht relevant: Du nimmst Einstellungen in einer Weboberfläche vor, und wie die umgesetzt werden kann Dir doch eigentlich Wumpe sein, solange es tut was es soll. Vom System bekommst Du nichts zu sehen. Auf einer Fritte läuft ja schließlich ein Linux ;)

    Für einen Laien ist eine Fritte verständlicher, weil er eigentlich nur Passwort und Zugangsdaten eingeben muss und damit schon den Boris spielen kann (" … ich bin drin ..")
    Aber was taugt der Onlinestatus der Fritte? Zeigt der ein Gerät an welches garnicht nach außen kommuniziert und eine statische Netzwerkkonfig hat? Somit wäre das nur eine Scheinsicherheit und damit völlig untauglich. Auch mit Pings findest Du nicht alle Geräte, Win7 antwortet standardmäßig nicht...

    Auf der Arbeit habe ich managed Switche, alle unbelegten Ports sind in einem Vlan "DeppenNetz", bekommen eine IP zugewiesen und dürfen genau garnichts außer sich eine Seite mit einem Auszug aus unserer Betriebsvereinbarung der den unautorisierten Anschluss von Geräten an unsere Netze regelt, durchlesen. Das übernimmt das Captive Portal. Und ja es gibt Dummbeutel die gerne mehr möchten, die habe ich an die Geschäftsleitung verwiesen, wenn die anordnet ich muss dann würde ich sie lassen, aber mit der GF  hab ich eine Vereinbarung getroffen das sie nicht anordnen ...

    Sollte einer einen belegten Port umwidmen so bekommt das mein Monitoring wahrscheinlich mit und es gibt ein nettes Gespäch mit der GF und einer Belehrung zum Thema Sabotage.

    Seitdem ist Ruhe im Netz.

    -teddy



  • @jahonix:

    Und was zum Geier brauchst Du mehr als die online/offline Spalte in der DHCP Leases Tabelle? Grüne Farbe?

    @JeGr:

    Trotzdem bleibt immer noch die Frage: WOFÜR denn jetzt eigentlich?

    Hallo ihr beiden,

    verspricht ihr mir nicht jeden Komma und Punkt zu hinterfragen?
    Ok, passt mal auf:

    1. es muß mit statische MAC Adresse/IP-Zuordnung gearbeitet werden; weil nur bekannt MAC Adressen ins Netz dürfen; außerdem werden die Geräte nach Gruppen aufgeteilt, nach dem Motto: Gruppe A ist im Segment 192.168.10.x/24; Gruppe B ist im Segment 192.168.20.x/24, etc.
    2. sobald ich mit statische Adressen arbeite, kann ich die DHCP-Lease-Liste vergessen
    3. die ARP-Liste sagt mir nicht, wer von den Geräte gerade online ist
    4. manchmal hätte man gerne gewußt, wer alles online mit seinem Gerät ist, völlig unabhängig ob intern oder extern surft

    Ich habe mich entschlossen eine alte Fritzbox zu nehmen, und gleichzeitig als WLAN Expander einzusetzen. Dabei kann ich die andere Funktion von Nutzen machen…  8) Quasi zewi Fliegen mit einer Klappe...

    Wenn wir schon bei Sprichwörter sind, was bedeutet das?

    @JeGr:

    ich habe schon Pferde vor der Apotheke kotzen sehen ;)

    danke




  • LAYER 8 Moderator

    Danke für die Erklärung Teddy, ich dachte das Sprichtwort ist eines der Bekannteren. In dem Fall in etwa "extrem unwahrscheinlich, aber rein physikalisch möglich" -> man wird es höchst selten sehen, aber ich habe es schon gesehen. Warum will ich gar nicht wissen ;)

    1. es muß mit statische MAC Adresse/IP-Zuordnung gearbeitet werden; weil nur bekannt MAC Adressen ins Netz dürfen; außerdem werden die Geräte nach Gruppen aufgeteilt, nach dem Motto:
      Gruppe A ist im Segment 192.168.10.x/24; Gruppe B ist im Segment 192.168.20.x/24, etc.

    OK in Ordnung. Kann ich durchaus nachvollziehen, auch wenn die Sinnhaftigkeit ohne 802.1x recht schwach ist (da sich MAC Adressen sehr leicht ändern lassen). Aber von dem Fakt abgesehen, verstanden. Du vergibst also eine Latte von IP Adressen per MAC. Ist zwar Pflegeaufwand, aber OK.

    1. sobald ich mit statische Adressen arbeite, kann ich die DHCP-Lease-Liste vergessen

    Jein, nicht ganz. In meiner Liste stehen bspw. meine Server und NAS Kisten auch drin - die die an sind, stehen online, die die aus sind stehen offline drin. Also alles gut. Du bekommst eben nur keine minütlich genaue Anzeige, das macht aber die Fritzbox auch nicht!

    1. die ARP-Liste sagt mir nicht, wer von den Geräte gerade online ist

    Nein aber die DHCP Liste - siehe oben.

    1. manchmal hätte man gerne gewußt, wer alles online mit seinem Gerät ist, völlig unabhängig ob intern oder extern surft

    Das mag sein, dass man das manchmal gerne möchte :) Ich will das auch gar nicht wegdiskutieren, aber wenn du JETZT gerade AKUT wissen willst, wer surft, dann schaust du dir die State Table an und siehst ALLE States, die gerade über die Firewall aktiv sind. Mit Ihrer IP. Und da du die ja statisch vergibst, weißt du somit auch wer das ist. Insofern sehe ich das Problem jetzt nicht wirklich?

    Ich habe mich entschlossen eine alte Fritzbox zu nehmen, und gleichzeitig als WLAN Expander einzusetzen. Dabei kann ich die andere Funktion von Nutzen machen…  8) Quasi zewi Fliegen mit einer Klappe...

    Natürlich dein gutes Recht :) Ich sehe nur nicht, wie das dein Problem akut löst. Die FB hat überhaupt keine Anzeige, wer was wie wo genau jetzt macht. Nur die Home/Lan Anzeige mag schicker gestaltet sein (als Liste mit schönen grünen Bommeln, wer gerade angeblich online ist). Aber genauer ist sie nicht. Gestern abend mal kurz mit meiner FB Cable getestet, die hatte bei der Anzeige je nachdem auch locker noch Minuten später eine grüne Anzeige obwohl das Gerät schon weg war (WLAN). Wenn es nicht direkt an einem der lokalen LAN Ports hängt (die kann sie ja recht fix auslesen), sondern ein Switch dazwischen hängt, bekommt sie das auch nicht mit und sagt dir auch nur "ungefähr" wer gerade online ist.
    Was derjenige dann macht siehst du gar nicht. In der State Ansicht der pfSense oder mit bspw. pftop auf der Shell, kann ich das bei der pfSense sofort sehen und vor allem auch, wer zur Hölle gerade meine Bandbreite wegfuttert ;) Da sehe ich den Verbrecher und sein Ziel/Quelle und kann nach Rate sortieren (also nach Bandbreite) und weiß: Oha der Kollege lädt wieder irgendwelche ISOs runter.

    Aber wenn das für deinen Zweck genügt (allerdings würde die pfSense dann auch locker genügen), dann hab ich damit auch kein Problem :) Mir ging es hier lediglich darum, dass klar ist, dass es diverse Funktionen durchaus gibt, die genauso/ähnlich genau/ungenau sind wie andere auch und man mehr/andere Optionen zusätzlich zur Verfügung hat. Deshalb hatte ich die Aufregung von 2chemlud nicht verstanden. Und für deinen Zweck wie gesagt denke ich dass die Funktionen vorhanden wären.

    Grüße



  • @JeGr:

    1. sobald ich mit statische Adressen arbeite, kann ich die DHCP-Lease-Liste vergessen
      Jein, nicht ganz. In meiner Liste stehen bspw. meine Server und NAS Kisten auch drin - die die an sind, stehen online, die die aus sind stehen offline drin. Also alles gut. Du bekommst eben nur keine minütlich genaue Anzeige, das macht aber die Fritzbox auch nicht!

    Komisch, bei mir steht die immer online, auch wenn ein Client aus ist. habe ich eine Einstellung übersehen?

    @JeGr:

    1. manchmal hätte man gerne gewußt, wer alles online mit seinem Gerät ist, völlig unabhängig ob intern oder extern surft

    Das mag sein, dass man das manchmal gerne möchte :) Ich will das auch gar nicht wegdiskutieren, aber wenn du JETZT gerade AKUT wissen willst, wer surft, dann schaust du dir die State Table an und siehst ALLE States, die gerade über die Firewall aktiv sind. Mit Ihrer IP. Und da du die ja statisch vergibst, weißt du somit auch wer das ist. Insofern sehe ich das Problem jetzt nicht wirklich?

    Vielleicht, weil du nicht aufmerksam liest!  ;D  SCNR
    Ich habe geschrieben, ich will alle online Clients sehen, egal ob die im Internet sind (über/durch die Firewall), oder intern!
    Wenn einer nur intern ist, dann sehe ich ihn nicht auf der Firewall, oder?

    Dann gibt es noch ein Fall, der mir auch nicht angezeigt wird: wenn jemand sich selber eine feste IP vergibt, dann wird dieser auch nicht in der DHCP Liste erscheinen. Und nun?

    @JeGr:

    Ich habe mich entschlossen eine alte Fritzbox zu nehmen, und gleichzeitig als WLAN Expander einzusetzen. Dabei kann ich die andere Funktion von Nutzen machen…  8) Quasi zewi Fliegen mit einer Klappe...

    Natürlich dein gutes Recht :) Ich sehe nur nicht, wie das dein Problem akut löst. Die FB hat überhaupt keine Anzeige, wer was wie wo genau jetzt macht. Nur die Home/Lan Anzeige mag schicker gestaltet sein (als Liste mit schönen grünen Bommeln, wer gerade angeblich online ist). Aber genauer ist sie nicht.

    Du, nur um es klar zu stellen: ich arbeite nicht bei AVM, und ich bekomme auch keine Provision von AVM, damit ich Werbung für die mache.
    Wie ich bereits schon über pfSense gesagt habe, gilt das auch für die FB: das ist natürlich keine "Eierlegende Wollmilchsau"
    Aber in einige (wenn auch wenige) Sachen ist sie nun mal Anwenderfreundlicher (für mich zumindest) als andere Produkte.
    Und wenn ich schon eine rumliegen habe, dann kann ich die wenigstens für was (mehr oder weniger) sinnvolles einsetzen… auch wenn es nur um mein WLAN zu erweitern, und blinkende "grünen Bommeln" anzugeigen!  :)

    @JeGr:

    Und für deinen Zweck wie gesagt denke ich dass die Funktionen vorhanden wären.

    Diese Freiheit hast du, zu denken was du willst, aber ob das richtig ist oder stimmt, ist eine andere Sache…  ;)
    Kopf hoch, alles wird gut....

    Gruß


  • LAYER 8 Moderator

    @max2012:

    Komisch, bei mir steht die immer online, auch wenn ein Client aus ist. habe ich eine Einstellung übersehen?

    Da du zu keinem Zeitpunkt irgendwelche Einstellungen diskutiert oder zur Frage gestellt hast, kann dir das kaum einer sagen. Aber hier dafür gern einen Screenshot aus meinem Labor.

    Wir sehen 2 Android Geräte an einem Access Point online (dynamisch), wap01 ist der alte AP der gerade aus ist (offline) und isis ist ein NAS das gerade an ist. Beide haben IPs statisch konfiguriert, also KEIN Lease bekommen vom DHCP Server, trotzdem werden sie korrekt angezeigt. Just sayin'

    @max2012:

    Vielleicht, weil du nicht aufmerksam liest!  ;D  SCNR
    Ich habe geschrieben, ich will alle online Clients sehen, egal ob die im Internet sind (über/durch die Firewall), oder intern!
    Wenn einer nur intern ist, dann sehe ich ihn nicht auf der Firewall, oder?

    Dann gibt es noch ein Fall, der mir auch nicht angezeigt wird: wenn jemand sich selber eine feste IP vergibt, dann wird dieser auch nicht in der DHCP Liste erscheinen. Und nun?

    Ich weiß nicht, ob du gern Fehler bei anderen suchst. Aber ich habe das so eben nicht aus deiner Info rausgelesen. "Egal ob einer intern/extern surft" - aus dem Satz kann ich ohne dein Netz zu kennen nicht ableiten, dass jemand "intern surfend" überhaupt keinen Kontakt zur pfSense haben soll. Das weißt du vielleicht - ich nicht. Deshalb meine Aussage. Und - siehe oben - das NAS ist auch nicht extern am browsen, trotzdem wird es angezeigt.

    Dein zweiter Fall ist tatsächlich interessanter, bei selbst vergebener IP wirst du den natürlich nicht in den DHCP Leases sehen. Wie auch. Aber ich möchte gern die Fritzbox sehen, die dir den anzeigt, gerade wenn er nur intern surft. Sobald er extern geht, wird sie ihn wohl anzeigen weil es States/Traffic gibt. Aber intern wirst du den auch nicht sehen.
    Ich erinnere mich da noch an dein Kommentar "ich sehe das eher beim Router" -> Siehst du jetzt, dass das keinen Unterschied macht? Auch bei deinem Beispiel AVM (die das vielleicht besser machen)? Wie willst du ein Gerät am Router sehen, das gar kein Routing in Anspruch nimmt? Und die Idee, dass ein Router einfach mal ständig sein ganzes Netz hoch und runterpingen sollte, hatten wir glaube ich schon verworfen, da es wirklich eine schlechte Idee ist (und zudem jedes Gerät mit lokaler Firewall ignorieren würde). Wenn jemand schon eine eigene MAC oder IP konfiguriert, dann hat er auch Pings aus. Und zumindest meine FB Cable oder die alte 7390 zeigte dann auch kein Gerät an, selbst wenns intern an war. DAS ist der Punkt auf den ich hinweise. Nicht dass A besser als B ist, sondern dass die Annahme A kann das schlichtweg nicht stimmt.

    @max2012:

    Du, nur um es klar zu stellen: ich arbeite nicht bei AVM, und ich bekomme auch keine Provision von AVM, damit ich Werbung für die mache.
    Wie ich bereits schon über pfSense gesagt habe, gilt das auch für die FB: das ist natürlich keine "Eierlegende Wollmilchsau"
    Aber in einige (wenn auch wenige) Sachen ist sie nun mal Anwenderfreundlicher (für mich zumindest) als andere Produkte.
    Und wenn ich schon eine rumliegen habe, dann kann ich die wenigstens für was (mehr oder weniger) sinnvolles einsetzen… auch wenn es nur um mein WLAN zu erweitern, und blinkende "grünen Bommeln" anzugeigen!  :)

    Öhm - ehrlich? Es könnte mir egaler nicht sein, ob du für AVM arbeitest oder nicht ;). Mir geht es nicht um Anti-AVM. Jedes Produkt dem der es will oder braucht. Ich zeige nur auf, dass (zum Teil) Dinge, die du behauptest AVM so toll kann, die Fritzbox eben auch nicht besser oder schlechter abliefern wird als die pfSense. Ja bei manchen Dingen wirst du in der seltsamen LAN Liste bei AVM dann Geräte finden, die dir die pfSense nicht anzeigt. (warum seltsam - siehe ein voriges Post bzgl. DHCP Naming). Aber wenn dir das reicht - deine Fälle, die du Contra pfSense anführst, deckt es eben auch nicht ab. Und dann frage ich mich, warum du dann doch die FB nimmt, die wesentlich unflexibler (sprich: nicht erweiterbar) ist als die pfsense. Wenn beide schon nicht 100% abliefern ist es doch meist geschickter wenn ich dann das nehme, was ich später wenigstens anpassen oder erweitern kann?

    Zudem weise ich auf die Packages hin. Im Speziellen bspw. "nmap" und "ipguard". Ob IPGuard noch läuft aktuell - kann ich leider nicht sagen, das Paket ist aber recht simpel, deshalb vllt auch keine großen Updates notwendig. Damit sind dann MAC<->IP Zuweisungen denkbar. NMAP sollte ein Begriff sein. Wenn du irgendwas in deinem Netz wissen willst, kann NMAP es dir garantiert sagen. Auch welcher Rechner intern aktiv ist. Im Notfall auch mit Stealth Scan und allen Schikanen. Deshalb frag(t)e ich, was du genau willst.

    @max2012:

    Diese Freiheit hast du, zu denken was du willst, aber ob das richtig ist oder stimmt, ist eine andere Sache…  ;)
    Kopf hoch, alles wird gut....

    Ich sage nur, wie ich es sehe, wenn dem nicht so ist, ist es eben so. Wenn aber keiner sagt, WAS eigentlich nicht gehen soll, ist eine Diskussion eben leider sinnbefreit. Da du Informationen nun endlich nachgeliefert hast, konnte man nun auch was dazu sagen. Hier ist aber keiner gleich Fanboy, wird bezahlt oder irgendein anderer Mist. Keiner regt sich auf, wenn du nicht pfSense nimmst. Wenns für dich nicht passt - so what.

    (Nicht bezogen auf dich - das geht jetzt allgemein:)
    Traurig finde ich nur Getöse oder Behauptungen, dass ein Produkt wie pfSense angeblich Mist sein soll, was auch immer nicht kann, es doch logisch wäre Feature X zu haben, oder Feature Y ein muss ist - ohne klar zu sagen, weswegen und warum. Denn ggf. hast du oder sonst jemand eben noch nicht darüber nachgedacht, dass es auch andere Wege nach Rom gibt. Wenn dann für dich alles gut wird - schön :) Für mich muss nichts gut werden, ich verdiene weder daran hier zu scheiben, noch muss ich mich aufregen. Im Gegenteil - ich opfere (teils sinnlos) meine Zeit um mit Leuten dann zu streiten die eine andere Grundannahme schon nicht einnehmen oder verstehen können. Und das ist schade. Ich versuche für mich in Anspruch zu nehmen, dass ich bei aller Subjektivität meines spezifischen Einsatzgebiets mit der pfSense immer noch objektiv genug beurteilen oder zumindest einschätzen kann, was möglich ist und was nicht. Und lerne dabei durch andere tolle Kollegen hier noch dazu. Hilfe, Ideen oder Denkanstöße liefere ich gerne, aber für den Zeitaufwand und die Mühe dann irgendwelche Kindergartensprüche oder Stammtischparolen zu diskutieren hab ich keinen Bedarf.

    So musste auch mal gesagt sein, damit dieses meins-ist-besser/Fanboy/sonstwas endlich mal aufhört.

    Sollten noch sinnvolle Fragen zum Thema offen sein, gerne.



  • @JeGr:

    @max2012:

    Komisch, bei mir steht die immer online, auch wenn ein Client aus ist. habe ich eine Einstellung übersehen?

    Da du zu keinem Zeitpunkt irgendwelche Einstellungen diskutiert oder zur Frage gestellt hast, kann dir das kaum einer sagen. Aber hier dafür gern einen Screenshot aus meinem Labor.

    (Bild entfernt)

    Wir sehen 2 Android Geräte an einem Access Point online (dynamisch), wap01 ist der alte AP der gerade aus ist (offline) und isis ist ein NAS das gerade an ist. Beide haben IPs statisch konfiguriert, also KEIN Lease bekommen vom DHCP Server, trotzdem werden sie korrekt angezeigt. Just sayin'

    Sollten noch sinnvolle Fragen zum Thema offen sein, gerne.

    Ich glaube das Problem identifiziert zu haben.
    Ehrlich gesagt habe ich die Option "Create an ARP Table Static Entry for this MAC & IP Address pair" bei der Anlegung von neue feste IPs nicht ganz verstanden, und habe es gesetzt, da es sich "vernünftig" angehört hat.

    Das aber verursacht, dass der Client immer "Online" angezeigt wird, obwohl der nicht mal am Netz angeschlossen ist.

    Clients, die diese Option nicht gesetzt haben, zeigen den richtigen Status an.
    Ist das ein Bug, oder warum zeigt es dauerhaft "Online" an?


  • LAYER 8 Moderator

    Ist das ein Bug, oder warum zeigt es dauerhaft "Online" an?

    Kein Bug, IMHO tut es genau das was es sagt:

    "Create an ARP Table Static Entry for this MAC & IP Address pair"

    -> er legt auf der pfSense einen statischen ARP Eintrag für die MAC Adresse an, die du angibst und verknüpft diesen mit der IP Adresse. Das ist z.B. notwendig für Wake on LAN wenn ich mich recht entsinne. Wenn ein Gerät aus ist, läuft der Eintrag in der ARP Tabelle recht fix ab und verschwindet dann. Das wird u.a. (außer Leases) dazu benutzt (und ich denke auch AVM und andere machen das ähnlich), die online/offline Geschichte anzuzeigen. Ist damit dann ein Gerät aus, läuft der Eintrag und das Lease ab -> offline. Ist es online kann es zum Einen via Lease getrackt werden (was aber ggf. eine lange Laufzeit hat) oder eben via ARP Lookup. Ein ARP "who is x.x.x.x" läuft eh im Hintergrund ab, so dass es keinen aktiven Port Scan braucht.

    Bei mir im Test habe ich das NAS nur als DHCP angelegt (und auch Router, Access Point etc.) für den Fall, dass das mal resettet wird und auf DHCP umfällt. Dann wird via DHCP die gleiche IP vergeben, die es eh hat. Selbst statisch konfiguriert, kennt der DHCP damit aber die Zuordnung und kann via ARP nachsehen, ob das NAS da ist. Et voila, eine (nicht ganz perfekte) online Liste. :)

    Nächtliche Grüße



  • @JeGr:

    Bei mir im Test habe ich das NAS nur als DHCP angelegt (und auch Router, Access Point etc.) für den Fall, dass das mal resettet wird und auf DHCP umfällt. Dann wird via DHCP die gleiche IP vergeben, die es eh hat. Selbst statisch konfiguriert, kennt der DHCP damit aber die Zuordnung und kann via ARP nachsehen, ob das NAS da ist. Et voila, eine (nicht ganz perfekte) online Liste. :)

    wie gesagt, das Dumme ist nur, es zeigt immer "online", auch wenn das Gerät mal aus ist; wie mein Drucker.
    Schon die ganze Zeit aus, aber in der Liste ist es weiterhin "online".

    Um nochmal nachzuhaken, weil es keine ausführliche Beschreibung gibt: wann verwendet man das Häkchen bei "Create an ARP Table Static Entry for this MAC & IP Address pair", und wann nicht?
    Bzw. wann sollte ich es auf jeden Fall setzen, und wann sollte ich es auf keinen Fall setzen?

    Danke für die Mühe es zu erklären


  • LAYER 8 Moderator

    OK ich versuche es simpel zu halten ;)

    ARP an sich ist ein ziemlich simples Protokoll ohne große Sicherheitsfeatures. Deshalb gibt es inzwischen auch einige doofe Attacken, bei denen man sich das zu nutze macht, bspw. ARP cache poisoning. Dazu wird dir ein falscher ARP Eintrag untergejuckelt, womit dein Rechner dann falsche IP Pakete zusammenbaut, weil er sie nicht an die korrekte MAC Adresse sendet. Um so etwas zu unterbinden und ggf. kritische Systeme direkt zu "schützen", kann man statische ARP Einträge hinterlegen, damit man seine Tabelle nicht mit nonsense überschrieben bekommt (bspw. 00-00-00-00-00-00). Das kann allerdings auch ins Auge gehen, denn wenn sich bspw. das System ändert und eine neue MAC hat, sucht man oftmals recht lange (weil kaum einer an ARP denkt), bis man den Fehler gefunden hat und den neuen ARP Eintrag abändert.

    Im Falle DHCP ist static ARP aber noch für andere Dinge gut. Zum einen für Wake on LAN - da das Gerät aus ist, muss man ja ein Magic Packet an die entsprechende MAC Adresse des Servers senden um ihn aufzuwecken. Dazu braucht man entweder einen Client in den man das selbst einträgt oder der DHCP Server kennt die Zuordnung und sendet das Paket.
    Das andere ist, dass du DHCP ähnlich wie WLAN bspw. auf MAC Adressen beschränken kannst (deny unknown clients). Dann sind nur die Clients erlaubt, deren MAC du eingetragen und hinterlegt hast. Zusätzlich kannst du dann mit static ARP entries noch dafür Sorgen, dass NUR die Clients, die du mit diesem Eintrag gelistet hast, mit dem DHCP reden können und von ihm eine IP bekommen. Andere nicht. Damit muss jedes Gerät dass eine IP dynamisch bekommt angelegt werden, ansonsten muss es statisch konfiguriert werden oder bekommt keine IP.

    Hoffe das bringt etwas Licht ins Dunkel und meine Infos sind nicht so ganz veraltet ;) Ist schon ne Weile her.

    Viele Grüße



  • Also unabhängig von pfSense verwende ich noch zwei weitere Tools, um das Netzwerk zu überwachen. Einmal Icinga und einmal Observium.

    Icinga zeigt mir an, welche Hosts und Services (nicht) laufen und notifiziert mich über Pushover. Observium überwacht die Hosts und zeichnet eine Langzeit-Statistik auf:

    Hier ein paar Beispiele, wie das dann aussieht:

    ![Screen Shot 2015-06-24 at 21.01.38.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.01.38.png)
    ![Screen Shot 2015-06-24 at 21.03.38.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.38.png)
    ![Screen Shot 2015-06-24 at 21.03.38.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.38.png_thumb)
    ![Screen Shot 2015-06-24 at 21.03.24.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.24.png_thumb)
    ![Screen Shot 2015-06-24 at 21.03.05.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.05.png)
    ![Screen Shot 2015-06-24 at 21.01.38.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.01.38.png_thumb)
    ![Screen Shot 2015-06-24 at 21.03.24.png](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.24.png)
    ![Screen Shot 2015-06-24 at 21.03.05.png_thumb](/public/imported_attachments/1/Screen Shot 2015-06-24 at 21.03.05.png_thumb)



  • @dkrizic:

    Also unabhängig von pfSense verwende ich noch zwei weitere Tools, um das Netzwerk zu überwachen. Einmal Icinga und einmal Observium.

    Sieht vernünftig aus.
    Momentan benutze ich unter pfSense ntopng. Scheint auch einiges zu beherrschen; bin noch nicht ganz durch, was es alles kann.


Log in to reply