Eigenbau Linux Router mit IPFire

michael

Little Overclocker

Registered: Apr 2002
Location: Feldkirchen in K..
Posts: 98

26.09.2016 - 18:58

www.ipfire.org - IPFire 2.19 - Core Update 105 released

IPFire is a free firewall distribution based on Linux.

Link: www.ipfire.org

http://www.ipfire.org/news/ipfire-2...te-105-released

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

30.09.2016 - 20:09

Um die Snort Updates zu reparieren, muss man in /srv/web/ipfire/cgi-bin/ids.cgi in Zeile 257 und 259 den Zahlenwert 2982 auf 2983 ändern.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

07.11.2016 - 11:18

Core Update 106

- Hat den Link zu Guardian aus dem Menü "versteckt" - selbe Farbe wie hintergrund. Link war da nur kommte man ihn nicht sehen. Wurde anscheinend heute oder gestern mit einem Update von Guardian gefixt.

- OpenVPN: http://wiki.ipfire.org

Zitat
FQDN or the IP of the red interface will be set automatically.

das hat auch bei mir funktioniert. Seit einem Update 105 oder 106 funktioniert das nicht mehr. Allerdings macht mich der nachfolgende Absatz stutzig:

Zitat
If you use a DSL connection, it is also possible to configure your own dynamic dns addresses in IPFire. For DSL and other dial-up connections, IP-addresses are changing, and the OpenVPN-server would no longer be available! So without a static IP, a “Dynamic Domain Name System” makes the OpenVPN-service permanently available.

Wozu muß der OpenVPNServer eine DDNS einrichten? IPfire weiß doch die externe IP von red? Und wie im ersten Absatz geschrieben wurde die bis dato auch automatisch aktualisiert? Zumindest hats bei mir funktioniert. :confused:

Wie auch immer vor dem Update hatte das Wechseln der IP keine Auswirkungen auf OpenVPN Server - natürlich auf die Clients. Seit 105/106 kann ich zwar auf das interne Netz zugreifen, aber komme nicht aus dem Netz hinaus. Also: Zugriff auf alle internen Copmputer/Server geht aber irgendeine Webpage geht nicht. Irgendwo hats da den DNS verbogen. Ping auf DomainName geht nicht, ping auf dessen IP geht schon. Muß da noch weiter forschen.

- Bei mir funktioniert möglicherweise IDS nicht und hat möglicherweise nie funktioniert. Obwohl IDS und Guardian aktiviert sind (Unter Status/Services : Running) und Regeln angekakt sind, ist unter Logs/IDS Logs : Total number of intrusion rules activated for November 07: 0 eingetragen.
Das hab ich von Anbeginn an. Seitdem wurde IpFire 4x neu installiert, einmal auf komplett neue Hardware und die ganze Konfig händisch neu gesetzt (nicht aus dem Backup).

- Seit Update ~104 funktionert das Melden des Profils an FireInfo nicht mehr bzw nicht mehr zuverlässig. Es werden bei Ort, RAM etc Fantasiewerte angezeigt.

Fazit: Die Grundfunktionien von IPFire funktionieren tadellos, schnell und stabil and das bei geringem Ressourcenverbrauch. Sobald man mehr braucht (VPN / IDS) macht es den Eindruck eine Frickelwerkes. Für Privatanwender ok in der Firma würde ich das nicht einsetzen bzw nur nach sehr intensiven Tests und dann auch keine Update ohne sehr intensiven Test einspielen.

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

07.11.2016 - 11:57

ack downhillschrott, IPFire ist sicherlich für ambitionierte Heimnetzwerker zu empfehlen, die Erfahrungen mit Linux, Networking und Firewalling (DHCP, DNS, NTP, VPN, IDS/IPS etc..) machen wollen. Man darf sich nicht erwarten, dass alles so reibungslos funktioniert wie bei deutlich teureren, kommerziellen Produkten.

Bzgl. des DNS Problems, vermute ich, dass Port 53 UDP&TCP vom VPN-Netz zu deinem DNS-Server verboten ist.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11519

07.11.2016 - 12:57

ipfire ist ja eine abspaltung von ipcop und da hatte ich auch schon mit solchen problemen zu kämpfen. ich sehs auch so dass es nur für den heimandwender was taugt. das ist auch der grund warum ich monowall oder später pfsense ipcop/ipfire immer vorgezogen hab. das ist imho um einiges stabiler

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

07.11.2016 - 16:06

Zitat
Bzgl. des DNS Problems, vermute ich, dass Port 53 UDP&TCP vom VPN-Netz zu deinem DNS-Server verboten ist.

Hmm.. wenn das eine Firewall Regel wäre müßte die ein Update eingetragen haben. Ich wars nicht.

Nein, also an der Firewall liegt das nicht. Das ist ein Hänger in OpenVPN. Es ist tatsächlich so, dass unter Local VPN/Hostname IP immer noch die alte IP eingetragen ist was so nicht sein dürfte. Ich schaus mir heute abend genauer an, ich kann über OpenVPN schwer OpenVPN Einstellungen ändern.

edit: Nö, also seit dem Update 106 und der geänderten externen IP ist DNS über OpenVPN tot. Keine Konfigänderungen.. was merkwürdig ist:
Unter Global Settings - Local VPN Hostname/IP: war immer noch die alte externe IP eingetragen. Obwohl in so sämtlich allen HowTos die ich gefunden habe drinnen steht, dass dies automatisch ausgefüllt wird, an was ich ich auch erinnern kann. Nur bei mir steht - wenn ich das Feld frei lasse: "Invalid input for hostname."
Gebe ich dort die externe IP ein, dann wird das akzeptiert aber DNS geht deswegen immer noch nicht.
Hmmm... ich lasse es für heute bleiben. Brauche das in der nächsten Zeit nicht dringend.

edit2: Habs doch nicht gelassen.

Damit das Feld automatisch ausgefüllt wird, reicht es nicht OpenVPN zu beenden sondern es muß auch die ckeckbox "OpenVPN on RED:" deaktiviert werden. Dann "Save" klicken, dann wird der hostname eingetragen.
DNS funktioniert aber immer noch nicht. Jetzt aber wirklich erst morgen.

Bearbeitet von Valera am 07.11.2016, 21:50

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

08.11.2016 - 08:32

Probier's mal mit einem Neustart der Appliance, ansonsten wende dich an http://forum.ipfire.org/

Dort wurde mir auch schon bei ein paar Problemen erfolgreich geholfen.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11117

08.11.2016 - 17:52

Zitat von mr.nice.
Man darf sich nicht erwarten, dass alles so reibungslos funktioniert wie bei deutlich teureren, kommerziellen Produkten.
.

Man sollte bei "deutlich teureren, kommerziellen Produkten" besser keine zu hohen Erwartungen stellen ;-)

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

10.11.2016 - 08:40

ack, bevor man eine Firewall kauft muss man sich genau informieren, welche Features bei den Basis-Paketen dabei sind und was extra lizensiert werden muss, bzw. eventuell sogar mit laufenden Kosten verbunden ist.

Dieses Problem hat man bei IPFire und pfSense nicht.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

16.11.2016 - 14:35

Zitat
DNS funktioniert aber immer noch nicht.

Ein kleines Update denn mittlerweile ist ein wenig passiert und das Problem behoben:

Ich habe RAM Speicher geändert.
Core Update 107 ist rausgekommen und ich habs gleich installiert.

Dh. IPFire war mind. einmal stromlos und durch das Update 107 war mind. ein Neustart dabei. OpenVPN funktioniert wieder wie vorher. Also entweder mußte man den Strom ausschalten und komplett neu starten oder Core Update 107 hat einen Fehler beseitigt.

Bearbeitet von Valera am 16.11.2016, 14:38

michael

Little Overclocker

Registered: Apr 2002
Location: Feldkirchen in K..
Posts: 98

05.05.2017 - 10:46

es gibt wieder ein update...

www.ipfire.org - IPFire 2.19 - Core Update 105 released

IPFire is a free firewall distribution based on Linux.

Link: www.ipfire.org

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

05.05.2017 - 11:18

Ja, aber aktuell ist Update 110:

www.ipfire.org - IPFire 2.19 - Core Update 110 released

IPFire is a free firewall distribution based on Linux.

Link: www.ipfire.org

unbound und DNSSEC funktionieren mittlerweile echt gut. Als DNS-Server kann ich https://dns.watch empfehlen, 84.200.69.80 und 84.200.70.40.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

06.05.2017 - 23:32

Bei mir rennt IPFire problemlos bis auf IDS/IPS. Funkt einfach nicht - activated rules: 0. Hab ich aber seit damals nicht mehr angefasst, es ist mir zu blöd. VLAN wird bei mir irgendwann aktuell, spätestens dann muß IPFire weichen.
Wer aber (bis auf iDS/IPS) eine problemfreie Routerdistri die einfach zu konfigurieren ist sucht, ist bei IPFIRE wirklich gut aufgehoben.

Danke für den Link zu DNS.Watch

Bearbeitet von Valera am 06.05.2017, 23:38

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

08.05.2017 - 10:11

Wenn man sich Snort gründlich zerschossen hat, ist es am besten IPFire neu zu installieren. Das geht eh schnell:
Backup der Einstellungen ziehen, aktuelle ISO Laden. Neu installieren, IP-Konfiguration in der shell mit Setup-Assistenten machen und das Backup per Webinterface wieder einspielen.

Bei mir läuft IDS/IPS seit einiger Zeit problemlos, deutlich besser seit Guardian 2.0.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

08.05.2017 - 16:46

Bereits 4x komplett frisch installiert auf zwei unterschiedlichen Geräten. 2x davon sogar bewußt ohne Einspielen des Backups, also Konfiguration von Scratch. Es hat nie funktioniert. Ich lass das aber jetzt auch - Rest funktioniert und soll auch so bleiben. Wie gesagt ich brauch demnächst VLANs also investier ich da nix mehr.

Bearbeitet von Valera am 08.05.2017, 16:48

michael Little Overclocker Registered: Apr 2002 Location: Feldkirchen in K.. Posts: 98	26.09.2016 - 18:58 www.ipfire.org - IPFire 2.19 - Core Update 105 released IPFire is a free firewall distribution based on Linux. Link: www.ipfire.org http://www.ipfire.org/news/ipfire-2...te-105-released
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	30.09.2016 - 20:09 Um die Snort Updates zu reparieren, muss man in /srv/web/ipfire/cgi-bin/ids.cgi in Zeile 257 und 259 den Zahlenwert 2982 auf 2983 ändern.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	07.11.2016 - 11:18 Core Update 106 - Hat den Link zu Guardian aus dem Menü "versteckt" - selbe Farbe wie hintergrund. Link war da nur kommte man ihn nicht sehen. Wurde anscheinend heute oder gestern mit einem Update von Guardian gefixt. - OpenVPN: http://wiki.ipfire.org Zitat FQDN or the IP of the red interface will be set automatically. das hat auch bei mir funktioniert. Seit einem Update 105 oder 106 funktioniert das nicht mehr. Allerdings macht mich der nachfolgende Absatz stutzig: Zitat If you use a DSL connection, it is also possible to configure your own dynamic dns addresses in IPFire. For DSL and other dial-up connections, IP-addresses are changing, and the OpenVPN-server would no longer be available! So without a static IP, a “Dynamic Domain Name System” makes the OpenVPN-service permanently available. Wozu muß der OpenVPNServer eine DDNS einrichten? IPfire weiß doch die externe IP von red? Und wie im ersten Absatz geschrieben wurde die bis dato auch automatisch aktualisiert? Zumindest hats bei mir funktioniert. Wie auch immer vor dem Update hatte das Wechseln der IP keine Auswirkungen auf OpenVPN Server - natürlich auf die Clients. Seit 105/106 kann ich zwar auf das interne Netz zugreifen, aber komme nicht aus dem Netz hinaus. Also: Zugriff auf alle internen Copmputer/Server geht aber irgendeine Webpage geht nicht. Irgendwo hats da den DNS verbogen. Ping auf DomainName geht nicht, ping auf dessen IP geht schon. Muß da noch weiter forschen. - Bei mir funktioniert möglicherweise IDS nicht und hat möglicherweise nie funktioniert. Obwohl IDS und Guardian aktiviert sind (Unter Status/Services : Running) und Regeln angekakt sind, ist unter Logs/IDS Logs : Total number of intrusion rules activated for November 07: 0 eingetragen. Das hab ich von Anbeginn an. Seitdem wurde IpFire 4x neu installiert, einmal auf komplett neue Hardware und die ganze Konfig händisch neu gesetzt (nicht aus dem Backup). - Seit Update ~104 funktionert das Melden des Profils an FireInfo nicht mehr bzw nicht mehr zuverlässig. Es werden bei Ort, RAM etc Fantasiewerte angezeigt. Fazit: Die Grundfunktionien von IPFire funktionieren tadellos, schnell und stabil and das bei geringem Ressourcenverbrauch. Sobald man mehr braucht (VPN / IDS) macht es den Eindruck eine Frickelwerkes. Für Privatanwender ok in der Firma würde ich das nicht einsetzen bzw nur nach sehr intensiven Tests und dann auch keine Update ohne sehr intensiven Test einspielen.
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	07.11.2016 - 11:57 ack downhillschrott, IPFire ist sicherlich für ambitionierte Heimnetzwerker zu empfehlen, die Erfahrungen mit Linux, Networking und Firewalling (DHCP, DNS, NTP, VPN, IDS/IPS etc..) machen wollen. Man darf sich nicht erwarten, dass alles so reibungslos funktioniert wie bei deutlich teureren, kommerziellen Produkten. Bzgl. des DNS Problems, vermute ich, dass Port 53 UDP&TCP vom VPN-Netz zu deinem DNS-Server verboten ist.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11519	07.11.2016 - 12:57 ipfire ist ja eine abspaltung von ipcop und da hatte ich auch schon mit solchen problemen zu kämpfen. ich sehs auch so dass es nur für den heimandwender was taugt. das ist auch der grund warum ich monowall oder später pfsense ipcop/ipfire immer vorgezogen hab. das ist imho um einiges stabiler
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	07.11.2016 - 16:06 Zitat Bzgl. des DNS Problems, vermute ich, dass Port 53 UDP&TCP vom VPN-Netz zu deinem DNS-Server verboten ist. Hmm.. wenn das eine Firewall Regel wäre müßte die ein Update eingetragen haben. Ich wars nicht. Nein, also an der Firewall liegt das nicht. Das ist ein Hänger in OpenVPN. Es ist tatsächlich so, dass unter Local VPN/Hostname IP immer noch die alte IP eingetragen ist was so nicht sein dürfte. Ich schaus mir heute abend genauer an, ich kann über OpenVPN schwer OpenVPN Einstellungen ändern. edit: Nö, also seit dem Update 106 und der geänderten externen IP ist DNS über OpenVPN tot. Keine Konfigänderungen.. was merkwürdig ist: Unter Global Settings - Local VPN Hostname/IP: war immer noch die alte externe IP eingetragen. Obwohl in so sämtlich allen HowTos die ich gefunden habe drinnen steht, dass dies automatisch ausgefüllt wird, an was ich ich auch erinnern kann. Nur bei mir steht - wenn ich das Feld frei lasse: "Invalid input for hostname." Gebe ich dort die externe IP ein, dann wird das akzeptiert aber DNS geht deswegen immer noch nicht. Hmmm... ich lasse es für heute bleiben. Brauche das in der nächsten Zeit nicht dringend. edit2: Habs doch nicht gelassen. Damit das Feld automatisch ausgefüllt wird, reicht es nicht OpenVPN zu beenden sondern es muß auch die ckeckbox "OpenVPN on RED:" deaktiviert werden. Dann "Save" klicken, dann wird der hostname eingetragen. DNS funktioniert aber immer noch nicht. Jetzt aber wirklich erst morgen. Bearbeitet von Valera am 07.11.2016, 21:50
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	08.11.2016 - 08:32 Probier's mal mit einem Neustart der Appliance, ansonsten wende dich an http://forum.ipfire.org/ Dort wurde mir auch schon bei ein paar Problemen erfolgreich geholfen.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11117	08.11.2016 - 17:52 Zitat von mr.nice. Man darf sich nicht erwarten, dass alles so reibungslos funktioniert wie bei deutlich teureren, kommerziellen Produkten. . Man sollte bei "deutlich teureren, kommerziellen Produkten" besser keine zu hohen Erwartungen stellen ;-)
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	10.11.2016 - 08:40 ack, bevor man eine Firewall kauft muss man sich genau informieren, welche Features bei den Basis-Paketen dabei sind und was extra lizensiert werden muss, bzw. eventuell sogar mit laufenden Kosten verbunden ist. Dieses Problem hat man bei IPFire und pfSense nicht.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	16.11.2016 - 14:35 Zitat DNS funktioniert aber immer noch nicht. Ein kleines Update denn mittlerweile ist ein wenig passiert und das Problem behoben: Ich habe RAM Speicher geändert. Core Update 107 ist rausgekommen und ich habs gleich installiert. Dh. IPFire war mind. einmal stromlos und durch das Update 107 war mind. ein Neustart dabei. OpenVPN funktioniert wieder wie vorher. Also entweder mußte man den Strom ausschalten und komplett neu starten oder Core Update 107 hat einen Fehler beseitigt. Bearbeitet von Valera am 16.11.2016, 14:38
michael Little Overclocker Registered: Apr 2002 Location: Feldkirchen in K.. Posts: 98	05.05.2017 - 10:46 es gibt wieder ein update... www.ipfire.org - IPFire 2.19 - Core Update 105 released IPFire is a free firewall distribution based on Linux. Link: www.ipfire.org
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	05.05.2017 - 11:18 Ja, aber aktuell ist Update 110: www.ipfire.org - IPFire 2.19 - Core Update 110 released IPFire is a free firewall distribution based on Linux. Link: www.ipfire.org unbound und DNSSEC funktionieren mittlerweile echt gut. Als DNS-Server kann ich https://dns.watch empfehlen, 84.200.69.80 und 84.200.70.40.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	06.05.2017 - 23:32 Bei mir rennt IPFire problemlos bis auf IDS/IPS. Funkt einfach nicht - activated rules: 0. Hab ich aber seit damals nicht mehr angefasst, es ist mir zu blöd. VLAN wird bei mir irgendwann aktuell, spätestens dann muß IPFire weichen. Wer aber (bis auf iDS/IPS) eine problemfreie Routerdistri die einfach zu konfigurieren ist sucht, ist bei IPFIRE wirklich gut aufgehoben. Danke für den Link zu DNS.Watch Bearbeitet von Valera am 06.05.2017, 23:38
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	08.05.2017 - 10:11 Wenn man sich Snort gründlich zerschossen hat, ist es am besten IPFire neu zu installieren. Das geht eh schnell: Backup der Einstellungen ziehen, aktuelle ISO Laden. Neu installieren, IP-Konfiguration in der shell mit Setup-Assistenten machen und das Backup per Webinterface wieder einspielen. Bei mir läuft IDS/IPS seit einiger Zeit problemlos, deutlich besser seit Guardian 2.0.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	08.05.2017 - 16:46 Bereits 4x komplett frisch installiert auf zwei unterschiedlichen Geräten. 2x davon sogar bewußt ohne Einspielen des Backups, also Konfiguration von Scratch. Es hat nie funktioniert. Ich lass das aber jetzt auch - Rest funktioniert und soll auch so bleiben. Wie gesagt ich brauch demnächst VLANs also investier ich da nix mehr. Bearbeitet von Valera am 08.05.2017, 16:48

Eigenbau Linux Router mit IPFire

Forum Index > Hardware > Peripherie > Netzwerktechnik

michael

mr.nice.

Valera

mr.nice.

davebastard

Valera

mr.nice.

spunz

mr.nice.

Valera

michael

mr.nice.

Valera

mr.nice.

Valera