Anfänger Fragen



  • Hallo!

    Ich überlege momentan, eine Firewall mit pfsense anzuschaffen. Ich würde diese für meinen Privatgebrauch und auch zum herum spielen verwenden, Dinge die für mich offen sind:

    Ich beziehe mein Internet von einem Mobilfunk Provider, und muss daher eines dieser Modems verwenden: webcube, webgate3, huawei 3531 (ich glaub der hat kein LTE), e3272. Keiner
    dieser Modems sind auf der Liste. In erster Linie geht es mir um ne bessere Firewall, weil die Huawei Firewall net grad die beste sein soll, aber das ganze hintereinander hängen macht meiner Ansicht nach ned viel Sinn,
    bzw. macht wohl einiges komplizierter. Vor allem weil ich auf der Huawei Weboberfläche am webgate2 keine Möglichkeit gefunden habe, die Firewall ganz abzuschalten. Wie funktioniert das ganze denn dann?
    Schließe ich den USB Stick an der Hardware an, und hinterlege den Zugriffspunkt usw? Es gibt ja einige andere Hardware Hersteller, die gleich in der Hardware ein Modem verbauen, und der Benutzer nur mehr
    die SIM einbauen muss. Leider konnte ich bisher niemanden finden, der auch LTE kann

    1. VLANS

    Wie kann ich das auf der Firewall angehen? VLANS konfiguireren, und je nach IP Adresse (DHCP) dann den Client in das dementsprechende VLAN zwingen? Oder muss ich anders arbeiten?

    Vielen Dank



  • Guten Morgen,

    zunächst das Problem 1
    https://doc.pfsense.org/index.php/Known_Working_3G-4G_Modems

    Auf dieser Seite findest du nötige Informationen bezüglich der Modems. Ein Stick, der als Modem fungiert und sich nicht nur per Software einwählen kann sollte deine Wahl sein.

    VLAN werden in der pfSense im Bereich der Interfaces angelegt. Wenn du eine kleine Box für zu Hause hast, hast du oftmals nur 1 LAN Port. An dem LAN Port der pfSense solltest du eine Hardware anschließen, die den IEEE 802.1Q Standard (VLAN) versteht, z.B. einen Switch. Auf der pfSense, unter Interfaces/VLAN erstellst du jetzt eine beliebige Anzahl an VLANS, die du nach Erstellung, als eigenständiges Interface konfigurieren solltest. Achte zur besseren Übersicht darauf, dass jedes VLAN ein eigenes Subnetz hat: VLAN 1=192.168.0.1/24 VLAN2=192.168.1.1/24 VLAN3=192.168.2.1/24. Anschließend kannst du den DHCP Server für jedes VLAN einstellen und nicht vergessen die Filter Regeln anzulegen. Mit ein paar Grundkenntnissen in Netzwerktechnik kommt man mit der pfSense bereits sehr weit.

    Viel Spaß damit!
    Grüße
    Markus


  • Moderator

    Ganz kurzer Einwand: Ich würde aus mehreren Gründen gerade bei VLANs ein wenig anders vorgehen. Zum einen andere Netze nutzen als man normalerweise so findet. Bspw. 172.16 oder 172.20 als grobe Nutzung und dann als 3. Oktett die VLAN ID nutzen. Dabei auf VLAN 0 und 1 verzichten, die sind gerne intern als "alle" oder als Default oder Management genutzt. Am Besten gleich sowas wie 10/20/30 o.ä. nutzen und das dann in das Subnetz mit hineinnehmen:

    Bspw.

    172.12.10.x (VLAN 10)
    172.20.20.x (VLAN 20)
    10.123.30.x (VLAN 30)

    Das waren jetzt 3 Beispiele, bitte nicht so verstehen, als dass man diese unterschiedlichen Netze nehmen soll/muss. Ich würde mich für ein Prefix entscheiden (wie 172.12 oder 172.20 oder 10.123).

    Der Grund dazu:

    • VLAN ins 3. Oktett zu encoden ist eine ganz angenehme Art des Debuggings und man kann an Hand der IP jederzeit sofort rauslesen, in welchem VLAN man sich befindet bzw. man suchen muss
    • ein obskureres Prefix zu nutzen hilft dabei, bei VPN-Tunneln in eine Situation zu geraten, in der die Gegenseite das gleiche Netz nutzt wie man selbst.

    VG
    Jens



  • Gut, die Liste kenne ich bereits. Habe mich eh schon angefangen damit abzufinden, das ich einen extra Stick kaufen werde müssen. Wie erkenne ich einen Stick der ohne Software funktioniert?
    Was sollte ich nehmen? Wie gesagt LTE ist ganz wichtig bei mir

    @ms-kassel:

    Guten Morgen,

    zunächst das Problem 1
    https://doc.pfsense.org/index.php/Known_Working_3G-4G_Modems

    Auf dieser Seite findest du nötige Informationen bezüglich der Modems. Ein Stick, der als Modem fungiert und sich nicht nur per Software einwählen kann sollte deine Wahl sein.

    VLAN werden in der pfSense im Bereich der Interfaces angelegt. Wenn du eine kleine Box für zu Hause hast, hast du oftmals nur 1 LAN Port. An dem LAN Port der pfSense solltest du eine Hardware anschließen, die den IEEE 802.1Q Standard (VLAN) versteht, z.B. einen Switch. Auf der pfSense, unter Interfaces/VLAN erstellst du jetzt eine beliebige Anzahl an VLANS, die du nach Erstellung, als eigenständiges Interface konfigurieren solltest. Achte zur besseren Übersicht darauf, dass jedes VLAN ein eigenes Subnetz hat: VLAN 1=192.168.0.1/24 VLAN2=192.168.1.1/24 VLAN3=192.168.2.1/24. Anschließend kannst du den DHCP Server für jedes VLAN einstellen und nicht vergessen die Filter Regeln anzulegen. Mit ein paar Grundkenntnissen in Netzwerktechnik kommt man mit der pfSense bereits sehr weit.

    Viel Spaß damit!
    Grüße
    Markus



  • Auf der Liste der unterstützten Geräte steht, man kann sich an das Forum wenden bzgl. Sticks die laut Liste nicht unterstützt sind.  Es sind in der Liste zwar euin paar LTE
    geräte dabei, aber keines unterstützt die Bandbreiten die ich brauche. Ich benötige ein Gerät das Bandbreiten wie der Webgate3 unterstützt, da bei mir bis zu 100mbits möglich sind



  • up



  • Wenn in der Forumssuche über den Stick deiner Wahl nix zu finden ist hilft leider nur ausprobieren.

    Am besten du kauft es im Internet so das du wenn es nicht klappen sollte den Stick immer noch zurück schicken kannst.

    LTE ist noch nicht ganz zum Alltag geworden und schon gar nicht bei PfSense daher bewegst du dich hier mehr oder weniger auf Neuland. Deswegen fehlen hier einfach noch die Erfahrungen.



  • Alix APU 1D4 board kaufen und ein Sierra Wireless LTE Modem als miniPCIe Karte einbauen das von pfSense
    und Deinem uns noch immer unbekannten LTE Anbieter unterstützt wird.

    Ansonsten ist ein externes LTE Modem was mit einem GB LAN Port daher kommt die wirklich beste Wahl zur Zeit
    um mit pfSense eine LTE Verbindung in Deutschland zu nutzen.

    Wenn man sich einen kleinen VLAN fähigen Switch kauft sollte das "Problem" mit den VLANs erledigt sein.
    Ebenso wenn man WLAN Teilnehmer in gewisse VLAN "zwingen" möchte ist das alles kein Thema!

    Es gibt jetzt auch im pfSense Shop SG-xxx units die mit pfSense vorinstalliert daher kommen und einen SIM
    Slot mitbringen, sollte man sich auf jeden Fall auch einmal anschauen.



  • @BlueKobold:

    Alix APU 1D4 board kaufen und ein Sierra Wireless LTE Modem als miniPCIe Karte einbauen das von pfSense
    und Deinem uns noch immer unbekannten LTE Anbieter unterstützt wird.

    Ansonsten ist ein externes LTE Modem was mit einem GB LAN Port daher kommt die wirklich beste Wahl zur Zeit
    um mit pfSense eine LTE Verbindung in Deutschland zu nutzen.

    Wenn man sich einen kleinen VLAN fähigen Switch kauft sollte das "Problem" mit den VLANs erledigt sein.
    Ebenso wenn man WLAN Teilnehmer in gewisse VLAN "zwingen" möchte ist das alles kein Thema!

    Es gibt jetzt auch im pfSense Shop SG-xxx units die mit pfSense vorinstalliert daher kommen und einen SIM
    Slot mitbringen, sollte man sich auf jeden Fall auch einmal anschauen.

    Hallo!

    Das 1D4 Board habe ich seit Freitag, und auch bereits pfsense drauf installiert. Mein Anbieter wäre die Österreichische 3, und die bieten nur die oben angeführten Geräte an. Der Webgate 3 hat nur 100 Mbit Ports am Gerät, ausserdem gibt es klagen das der Bridge Mode nicht sauber funktioniert.

    Die eingebauten Modems am Motherboard sind lieb, aber soweit ich gesehen habe, unetrstützen die nur um die 10 mbits. Bei 3 mit LTE sind bei mir 80 Mbits möglich. (Mit möglich meine ich nicht die Werbung sondern ausprobiert, die sind da). Schön wäre natürlich mit einem Stick direkt an der PFEsense anschließen weil weniger Strom, sauberer und hoffentlich weniger Probleme. Ich hätte auch nichts dagegen, einen extra Stick zu kaufen, aber in der Liste bringt keiner den Speed, den ich hier "brauche" od. besser gesagt ausnutzen will



  • Das 1D4 Board habe ich seit Freitag, und auch bereits pfsense drauf installiert.

    Full install auf SSD oder mSATA? Oder etwa NanoBSD auf USB Stick?

    Mein Anbieter wäre die Österreichische 3,

    Und da kann man nicht anrufen und sich mit der technischen Abteilung verbinden lassen und
    sein Problem schildern? Ich denke schon, das sollte schon gehen.

    und die bieten nur die oben angeführten Geräte an.

    A sag ma nen Schmä hatter auch, da schau einer. In der Regel benötigt man nur ein
    Modem was auch die Kanäle von Ö3 bedient, das ist wie mit dem Kabelfernsehen, die Box kommt
    von Kabel Österreich und die Antenne kann er sich auch selber dazu kaufen, als Beispiel.

    Der Webgate 3 hat nur 100 Mbit Ports am Gerät, ausserdem gibt es klagen das der Bridge Mode nicht sauber funktioniert.

    100 MBit/s Ports und dann auch noch zusätzliche Probleme.

    Die eingebauten Modems am Motherboard sind lieb, aber soweit ich gesehen habe,
    unetrstützen die nur um die 10 mbits.

    ???

    Ein Sierra Wireless MC7710
    LTE:
    Band 1 (2100 MHz)
    Band 3 (1800 MHz)
    Band 7 (2600 MHz)
    Band 8 (900 MHz)2
    Band 20 (DD800 MHz)

    UMTS (WCDMA) HSDPA HSUPA HSPA+ DC-HSPA+
    Band 1 (2100 MHz)
    Band 8 (900 MHz

    So und nun muss er wohl noch heraus finden, welches Band der Ö3 verwendet
    und fertig! Denn Die SIM Karte in den SIM Slot das Alix APU und dann noch
    das Modem einbauen und eventuell vorher eine neue Firmware installieren
    sollte wohl nicht das Problem sein, oder?

    Bei 3 mit LTE sind bei mir 80 Mbits möglich. (Mit möglich meine ich nicht die Werbung sondern
    ausprobiert, die sind da).

    LTE data rates (category 3, MIMO)
    100Mbps DL within 20MHz bandwidth - Download
    50Mbps UL within 20MHz bandwidth - Upload

    Finde doch bitte mal heraus welches Band Ö3 benutzt.

    Alternativ kann man aber auch einen USB Stick nehmen und einen kleinen RaspBerry PI2 dazu
    und dann installiert man sich eben ein Linux darauf wie RasBian und steckt den USB Stick dann
    dort an. Linux hat da mehr Hardwareunterstützung denke ich mal.

    Und der RAPI2 hat auch einen GB LAN Port, na dann hast Du Dir das Modem eben selber gebaut!



  • Der Mobilfunker Drei Österreich unterstützt die LTE Bänder
    Band 1 (2100 MHz)
    Band 3 (1800 MHz)
    Band 7 (2600 MHz)
    Ich kann nur eine externe Lösung empfehlen, da bei pfSense die Hardwareunterstützung nicht so überragend ist.
    Der E3272 Stick funktioniert zb. mit Tp-link mr 3420 oder DOVADO PRO - Wireless Router - 4-Port-Switch, PRO-EU

    lg.



  • @BlueKobold:

    Das 1D4 Board habe ich seit Freitag, und auch bereits pfsense drauf installiert.

    Full install auf SSD oder mSATA? Oder etwa NanoBSD auf USB Stick?

    mSATA

    Mein Anbieter wäre die Österreichische 3,

    Und da kann man nicht anrufen und sich mit der technischen Abteilung verbinden lassen und
    sein Problem schildern? Ich denke schon, das sollte schon gehen.

    Und was bringt mir das genau? Ich habe nur ein paar Modelle zur Auswahl und keine davon ist auf der Liste. Mit dem Einspielen der Treiber usw. kenne ich mich nicht aus, DESWEGEN frage ich hier ja. Jemand hat mir erklärt, das bei Linux Unix usw meist das Problem bei den LTE Sticks dieses ist, das man mit einer Custom firmware am LTE Stick dem Teil abgewöhnen muss, für Windows sich als Datenträger zu präsentieren. Was ich natürlich machen kann ist, einen Vertrag auf Probe zu nehmen, und einen LTE Stick zu testen

    und die bieten nur die oben angeführten Geräte an.

    A sag ma nen Schmä hatter auch, da schau einer. In der Regel benötigt man nur ein
    Modem was auch die Kanäle von Ö3 bedient, das ist wie mit dem Kabelfernsehen, die Box kommt
    von Kabel Österreich und die Antenne kann er sich auch selber dazu kaufen, als Beispiel.

    Was auch immer der erste Satz heißen soll. Das ist mir schon klar, das ich auch andere Geräte verwenden kann, ich bin nicht blöd. Ö3 ist übrigens ein Radiosender, der Betreiber heißt 3.

    Der Webgate 3 hat nur 100 Mbit Ports am Gerät, ausserdem gibt es klagen das der Bridge Mode nicht sauber funktioniert.

    100 MBit/s Ports und dann auch noch zusätzliche Probleme.

    Die eingebauten Modems am Motherboard sind lieb, aber soweit ich gesehen habe,
    unetrstützen die nur um die 10 mbits.

    Es gibt die Motherboards auch mit bereits eingebauten SIM Einschüben, diese hatte ich gemeint. Z.B bei meinem ist GSM/UMTS Modem drinnen. Dein Vorschlag der Sierre MC 7710 ist keine Onboard Mode Lösung wie ich gesagt habe, gschweige steht sie auf der gesupporteten Liste. Also Frage, von WO soll ich es wissen? Nochmals genau DESWEGEN frage ich hier

    Deine Lösung wirkt OK, wird aber meine letzter Ausweg sein. Ich würde gerne die Provider Hardware nehmen, oder schlimmstenfalls ein paar Euro mehr für nen alternativen USB Stick ausgeben. Ich MUSS eine Hardware bei 3 nehmen, und möchte nicht zusätzlich fast 200 EUR einwerfen

    Ein Sierra Wireless MC7710
    LTE:
    Band 1 (2100 MHz)
    Band 3 (1800 MHz)
    Band 7 (2600 MHz)
    Band 8 (900 MHz)2
    Band 20 (DD800 MHz)

    UMTS (WCDMA) HSDPA HSUPA HSPA+ DC-HSPA+
    Band 1 (2100 MHz)
    Band 8 (900 MHz

    So und nun muss er wohl noch heraus finden, welches Band der Ö3 verwendet
    und fertig! Denn Die SIM Karte in den SIM Slot das Alix APU und dann noch
    das Modem einbauen und eventuell vorher eine neue Firmware installieren
    sollte wohl nicht das Problem sein, oder?

    Bei 3 mit LTE sind bei mir 80 Mbits möglich. (Mit möglich meine ich nicht die Werbung sondern
    ausprobiert, die sind da).

    LTE data rates (category 3, MIMO)
    100Mbps DL within 20MHz bandwidth - Download
    50Mbps UL within 20MHz bandwidth - Upload

    Finde doch bitte mal heraus welches Band Ö3 benutzt.

    Alternativ kann man aber auch einen USB Stick nehmen und einen kleinen RaspBerry PI2 dazu
    und dann installiert man sich eben ein Linux darauf wie RasBian und steckt den USB Stick dann
    dort an. Linux hat da mehr Hardwareunterstützung denke ich mal.

    Und der RAPI2 hat auch einen GB LAN Port, na dann hast Du Dir das Modem eben selber gebaut!


  • Moderator

    Bitte nochmal editieren, so sieht keiner, was deine eigenen Antworten sind!



  • Ich habe jetzt zum testen einen Webgate 3 an der FW hängen, die im Bridge Mode ist. Ich sehe auf der pfsense Oberfläche, das auf dem WAN Interface eine IP anliegt. Weiters sehe ich unter den DNS Servern 2 weitere neben dem 127.0.0.1. Wenn ich zum testen auf FW einen nslookup mache, so sieht das funktionierend aus.

    Ich kann aber nach wie vor nicht auf der Firewall Packages aus dem Internet runterladen, er sagt mir ich soll die Verbdinung prüfen. Habt ihr Tipps für mich? Meine Rules schauen momentan so aus: (Attachment)

    Hat wer Tipps für mich?
    Was habe ich übersehen?




  • Klick mal bitte auf den Karteireiter WAN (oben im Bild).
    Oder besser was ist denn am WAN Port eingestellt worden?



  • Die DNS Server sind von der pfSense erreichbar?
    Im Zweifel versuch mal einen Ping über die GUI im Diagnostic Menu.



  • Mein WAN Reiter ist leer, dachte das brauche ich nur wenn ich Ports nach extern in Form von Port Forwarding machen will.
    Was muss ich einstellen?

    danke



  • @BlueKobold:

    Klick mal bitte auf den Karteireiter WAN (oben im Bild).
    Oder besser was ist denn am WAN Port eingestellt worden?

    Mein WAN Port ist leer, was muss ich da einstellen?



  • @interessierter:

    @BlueKobold:

    Klick mal bitte auf den Karteireiter WAN (oben im Bild).
    Oder besser was ist denn am WAN Port eingestellt worden?

    Mein WAN Port ist leer, was muss ich da einstellen?

    NACHTRAG:

    Also am WAN Port selber ist schlicht DHCP eingestellt, und er holt sich die IP auch brav. Schön langsam weiss ich aber wirklich nicht mehr, warum das ganze nicht will. Ich habe sogar testweise auf WAN und LAN eine any/any Rule eingestellt, geht trotzdem nicht. Auch das surfen nicht.

    Wo ist sein Problem?


  • Moderator

    Die Netbios Regeln sind quark. Das ist eben MS Broadcast Gedöns, erlaubt werden muss das auf dem Router NIE. Das soll gerade nicht nach extern weiter dürfen. Und .255 ist die Broadcast IP, macht also keinen echten Sinn.



  • @JeGr:

    Die Netbios Regeln sind quark. Das ist eben MS Broadcast Gedöns, erlaubt werden muss das auf dem Router NIE. Das soll gerade nicht nach extern weiter dürfen. Und .255 ist die Broadcast IP, macht also keinen echten Sinn.

    Es war ein Versuch, aber das hilft mir nicht weiter.
    Warum komme ich nicht durch, obwohl any/any gesetzt ist?



  • Also am WAN Port selber ist schlicht DHCP eingestellt,

    Nicht PPPOE?



  • @BlueKobold:

    Also am WAN Port selber ist schlicht DHCP eingestellt,

    Nicht PPPOE?

    Nein, eigentlich nicht. Sollte ich das einmal probieren? Wenn ich ein PC hinter dem Webgate3 bin, dann bekomme ich ja auch mit DHCP zugeteilt. Benutzer und Password brauche ich nicht, wieso also PPPOE?



  • Hi,
    was hast Du unter NAT-Outbound für eine Einstellung gewählt.
    Gruß orcape