1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Banana Pi Router: Ein erster…

pfSense/m0nowall

  1. Thema

Neues Thema Ansicht wechseln


  1. pfSense/m0nowall

    Autor: Radiqual 26.11.14 - 12:26

    Wenn das Ding mit pfSense oder m0n0wall läuft, wäre das echt brauchbar.

  2. Re: pfSense/m0nowall

    Autor: rv112 26.11.14 - 12:36

    pfSense sollte normal laufen.

  3. Re: pfSense/m0nowall

    Autor: Sinnfrei 26.11.14 - 12:51

    Könnte vielleicht, aber von pfSense gibt es derzeit nur eine i386 und AMD64 Version ...

    __________________
    ...

  4. Re: pfSense/m0nowall

    Autor: am (golem.de) 26.11.14 - 12:53

    Da es die Frage schon öfters im Forum gab, hatte ich mich mal kundig gemacht.

    pfSense setzt auf FreeBSD auf. Da es bislang keinen offiziellen ARM-Support von FreeBSD gibt, ist hier formal pfSense raus. pfSense selbst listet bei seiner Hardware-Unterstützung explizit ausschließlich x86-Hardware auf.

    Zwar gibt es Ansätze, FreeBSD auch für ARM verfügbar zu machen ([www.freebsd.org]) , aber auch da fehlen bislang die üblichen Verdächtigen.

    Ich will nicht ausschliessen, dass es Leute geschafft haben, für ihren Rechner FreeBSD/pfSense entsprechend zu kompilieren und aufzusetzen. Würde aber behaupten, dass entsprechende Ansätze derzeit sehr experimentell sind.

    Grüße,
    Alexander Merz (golem.de)

  5. Re: pfSense/m0nowall

    Autor: Anonymer Nutzer 26.11.14 - 13:54

    Nicht mehr ganz - mit 10.1 RELEASE gibt es fertig ARMv6 Images - unter Anderem für RasPi's.

    https://wiki.freebsd.org/FreeBSD/arm/Raspberry%20Pi

    Download Links von diversen FTP / HTTP Mirror's kann man sich dann selbst suchen. ;)

    Problematisch ist eher dass wenn Ports jenseits von fertiges Packages installiert werden sollen - ein Compiler macht auf dem RasPi keinen Spaß.

    Das was pfSense dann zusätzlich mitbringt müsste natürlich dann zum Basis-Image noch händisch nachinstalliert werden - zumindest aber ist die Basis vorhanden.

  6. Re: pfSense/m0nowall

    Autor: vankooch 26.11.14 - 14:09

    Genau. FreeBSD lauft jetzt ganz ok auf ARMv6 chips. Die nächste version von pfsense, 2.2 wird auf FreeBSD 10.1 aufsetzten...zur Zeit wird noch 8.3 genutzt. Also kann gespannt sein ob in Naher Zukunft pfsense auf armv6 cpu lauft.

    https://doc.pfsense.org/index.php/PfSense_and_FreeBSD_Versions

  7. Re: pfSense/m0nowall

    Autor: am (golem.de) 26.11.14 - 14:35

    rugel schrieb:
    --------------------------------------------------------------------------------
    > Nicht mehr ganz - mit 10.1 RELEASE gibt es fertig ARMv6 Images - unter
    > Anderem für RasPi's.
    Leider sind die Allwinner Chips noch mal eine eigene Spezi für sich, da sind Verweise auf den Raspi immer mit Vorsicht zu geniessen. Es hat bereits jemand versucht, FreeBSD 10 auf den Banana Pi zu installieren: [forum.lemaker.org]

    WORKING:
    1. compiled supported kernel for BANANAPI based on CUBIEBOARD2 config
    2. 1024MB finally works
    3. working console login
    NOT WORKING:
    1. no networking (no GMAC)
    2. no HDMI output
    3. no LED flashing as example for Lubuntu


    Grüße,
    Alexander Merz (golem.de)

  8. Re: pfSense/m0nowall

    Autor: User_x 26.11.14 - 22:13

    OT: stimmt das eigentlich das alle OS-Firewalls kein https bzw. ssl traffic prüfen können?

  9. Re: pfSense/m0nowall

    Autor: Braineh 26.11.14 - 22:27

    IPfire hat ARM Images, wäre vielleicht 'ne Alternative, basiert ja auch auf FreeBSD...

  10. Re: pfSense/m0nowall

    Autor: Braineh 26.11.14 - 22:34

    User_x schrieb:
    --------------------------------------------------------------------------------
    > OT: stimmt das eigentlich das alle OS-Firewalls kein https bzw. ssl traffic
    > prüfen können?

    Bin kein Profi, aber ich vermute mal, dass dann die Pakete verändert werden würden und man somit SSL aushebeln würde. Bin mir allerdings auch sicher schon gelesen zu haben, dass in die Richtung gearbeitet wird, zumindest was Proxy/AV betrifft...

  11. Re: pfSense/m0nowall

    Autor: turbomettwurst 26.11.14 - 23:21

    User_x schrieb:
    --------------------------------------------------------------------------------
    > OT: stimmt das eigentlich das alle OS-Firewalls kein https bzw. ssl traffic
    > prüfen können?


    Keine (nicht auf dem Client installierte Software-)Firewall kann SSL Traffic prüfen, egal ob Open Source oder Proprietär.

    Ausnahme: man ist im Besitz eines gültigen SSL Zertifikates für den entsprechenden Hostnamen. Dann kann man sich als gültiger Endpunkt der Verbindung ausgeben, die Verbindung dechiffrieren und im Auftrag des Clients an den Server senden, das Ergebnis prüfen und schlussendlich wieder verschlüsselt an den Client zurücksenden (Proxy). Das dürfte aber in den wenigsten Fällen der Fall sein.

    Der ganze Gag von SSL besteht ja eben darin das nur die beiden Endpunkte den Inhalt der Verbindung einsehen können. Meines Wissens nach gibt es keine auf dem Markt kaufbare Technik die es einem erlaubt pauschal SSL Traffic zu durchwühlen, das ist immer mit Aktivitäten verbunden die so ziemlich überall illegal sind und ne dicke Kriegskasse erfordern.

  12. Re: pfSense/m0nowall

    Autor: grorg 26.11.14 - 23:30

    turbomettwurst schrieb:
    --------------------------------------------------------------------------------
    > Meines Wissens nach gibt es
    > keine auf dem Markt kaufbare Technik die es einem erlaubt pauschal SSL
    > Traffic zu durchwühlen, das ist immer mit Aktivitäten verbunden die so
    > ziemlich überall illegal sind und ne dicke Kriegskasse erfordern.
    In meiner ehemaligen Firma wurden alle SSL-Verbindungen umgeleitet auf einen internen Proxy (der hat dann SSL-Zertifikate on-the-fly erstellt), durchleuchtet und dann wieder mit dem Proxy-Zertifikat weitergereicht.

  13. Re: pfSense/m0nowall

    Autor: Braineh 27.11.14 - 00:36

    Wenn man das im eigenen Netzwerk macht, ist daran sicher nichts illegal. :)

  14. Re: pfSense/m0nowall

    Autor: turbomettwurst 27.11.14 - 01:21

    grorg schrieb:
    --------------------------------------------------------------------------------
    > turbomettwurst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Meines Wissens nach gibt es
    > > keine auf dem Markt kaufbare Technik die es einem erlaubt pauschal SSL
    > > Traffic zu durchwühlen, das ist immer mit Aktivitäten verbunden die so
    > > ziemlich überall illegal sind und ne dicke Kriegskasse erfordern.
    > In meiner ehemaligen Firma wurden alle SSL-Verbindungen umgeleitet auf
    > einen internen Proxy (der hat dann SSL-Zertifikate on-the-fly erstellt),
    > durchleuchtet und dann wieder mit dem Proxy-Zertifikat weitergereicht.

    Die Möglichkeiten einer eigenen CA, stimmt...
    Ok, es geht wenn man den Clients seine CA unterschieben kann :)

  15. Re: pfSense/m0nowall

    Autor: Auric 27.11.14 - 08:06

    Braineh schrieb:
    --------------------------------------------------------------------------------
    > IPfire hat ARM Images, wäre vielleicht 'ne Alternative, basiert ja auch auf
    > FreeBSD...

    nö, basiert auf Linux ;-)

  16. Re: pfSense/m0nowall

    Autor: mgh 27.11.14 - 13:27

    Bin zwar kein Netzwerkler.
    Aber dachte, dies geht mit Devices wo Full Reverse Proxy unterstützen...

    An irgendeinem Citrix Netscaler Event haben sie mal gesagt, dass alle eingehenden Sessions auf dem Netscaler terminiert sind.
    Sprich es gibt 2 Sessions Client <> Netscaler und Netscaler <> Webserver

    Das mit den Zertifikaten wie das gehandelt wird, habe ich allerdings nicht nachgefragt. Gab wichtigere Punkte, die ich klären musste...

    Nun ist der NEtscaler ja aber ne ADC und keine eigentliche Firewall und sicher kein Firewall-OS. Die kenne ich zuwenig um hier was sagen zu können...

  17. Re: pfSense/m0nowall

    Autor: Tuxraxer007 27.11.14 - 19:12

    mgh schrieb:
    --------------------------------------------------------------------------------
    > Das mit den Zertifikaten wie das gehandelt wird, habe ich allerdings nicht
    > nachgefragt. Gab wichtigere Punkte, die ich klären musste...
    Die "faken" die Zertifikate oder arbeiten mit eigenen Richtung Client.

    Das Verfahren wird ähnlich auch von anderen Herstellern gemacht - ist ne ziemlich schmutzige Lösung, weil das gerade bei Bankgeschäften ziemliche Probleme der Haftung aufwirft

  18. Re: pfSense/m0nowall

    Autor: turbomettwurst 27.11.14 - 23:51

    mgh schrieb:
    --------------------------------------------------------------------------------
    > Bin zwar kein Netzwerkler.
    > Aber dachte, dies geht mit Devices wo Full Reverse Proxy unterstützen...
    >
    > An irgendeinem Citrix Netscaler Event haben sie mal gesagt, dass alle
    > eingehenden Sessions auf dem Netscaler terminiert sind.
    > Sprich es gibt 2 Sessions Client <> Netscaler und Netscaler <> Webserver
    >
    > Das mit den Zertifikaten wie das gehandelt wird, habe ich allerdings nicht
    > nachgefragt. Gab wichtigere Punkte, die ich klären musste...
    >
    > Nun ist der NEtscaler ja aber ne ADC und keine eigentliche Firewall und
    > sicher kein Firewall-OS. Die kenne ich zuwenig um hier was sagen zu
    > können...

    Hat letztendlich wenig mit der Art des Gerätes zu tun, das liegt in der Funktionsweise von SSL/https.
    Jedes moderne Betriebssystem hat einige hundert CAs (Certificate Authorities) vorinstalliert. Jeder dieser CAs kann ein beliebiges Zertifikat für jede Domain ausgeben/signieren. Ist das Zertifikat von einer CA signiert die nicht im OS/Browser installiert ist kommt der vielseits bekannte Dialog das der Verbindung nicht vertraut wird.
    Wenn man nun aber eine eigene CA erstellt und diese auf seinen Clients installiert/verkankert (und damit als vertrauenswürdig deklariert) kann man Zertifikate für jeden Domain ausgeben, letztendlich sogar on the fly.
    Alles gut.. wäre da nicht BYOD :)

  19. Re: pfSense/m0nowall

    Autor: mgh 28.11.14 - 08:37

    turbomettwurst schrieb:
    --------------------------------------------------------------------------------

    > Hat letztendlich wenig mit der Art des Gerätes zu tun, das liegt in der
    > Funktionsweise von SSL/https.
    > Jedes moderne Betriebssystem hat einige hundert CAs (Certificate
    > Authorities) vorinstalliert. Jeder dieser CAs kann ein beliebiges
    > Zertifikat für jede Domain ausgeben/signieren. Ist das Zertifikat von einer
    > CA signiert die nicht im OS/Browser installiert ist kommt der vielseits
    > bekannte Dialog das der Verbindung nicht vertraut wird.
    > Wenn man nun aber eine eigene CA erstellt und diese auf seinen Clients
    > installiert/verkankert (und damit als vertrauenswürdig deklariert) kann man
    > Zertifikate für jeden Domain ausgeben, letztendlich sogar on the fly.
    > Alles gut.. wäre da nicht BYOD :)

    Nun ist aber gerade Citrix auf genau dies ausgelegt ;) und der NetScaler terminiert ja zB auch die Verbindungen vom iphone via Receiver MicroSSLVPN ins Internet via RZ, zumindest wenn man die Policies entsprechend setzt.
    Was somit ein von Citrix propagierter Standardfall ist ;) so viel Probleme mit BYOD kann das denen jetzt nun auch nicht machen...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Albert Schweitzer Stiftung - Wohnen & Betreuen, Berlin-Pankow
  2. Tönnies Business Solutions GmbH, Rheda-Wiedenbrück,Markt
  3. Oberfinanzdirektion Karlsruhe, Karlsruhe
  4. ENERTRAG Windstrom GmbH, Dauerthal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Xbox Wireless Controller Carbon Black/Robot White/Shock Blue für 58,19€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Radeon RX 6800 (XT) im Test: Die Rückkehr der Radeon-Ritter
Radeon RX 6800 (XT) im Test
Die Rückkehr der Radeon-Ritter

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.
Ein Test von Marc Sauter

  1. Radeon RX 6800 (XT) Das Unboxing als Gelegenheit
  2. Radeon RX 6000 AMD sieht sich in Benchmarks vor Nvidia
  3. Big Navi (RDNA2) Radeon RX 6900 XT holt Geforce RTX 3090 ein

Weiterbildung: Was IT-Führungskräfte können sollten
Weiterbildung
Was IT-Führungskräfte können sollten

Wenn IT-Spezialisten zu Führungskräften aufsteigen, müssen sie Fachwissen in fremden Gebieten aufbauen - um Probleme im neuen Job zu vermeiden.
Ein Bericht von Manuel Heckel

  1. IT-Profis und Visualisierung Sag's in Bildern
  2. IT-Jobs Die schwierige Suche nach dem richtigen Arbeitgeber
  3. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden

Energy Robotics: Ein kopfloser Hund für 74.500 US-Dollar
Energy Robotics
Ein kopfloser Hund für 74.500 US-Dollar

Als eines der ersten deutschen Unternehmen setzt Energy Robotics den Roboterhund Spot ein. Sein Vorteil: Er ist vollautomatisch und langweilt sich nie.
Ein Bericht von Werner Pluta

  1. Kickstarter Nibble ist ein vierbeiniger Laufroboter im Mini-Format
  2. Boston Dynamics Roboterhunde scannen ein Werk von Ford
  3. Robotik Laborroboter forscht selbstständig