1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Banana Pi Router: Ein erster…

pfSense/m0nowall

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. pfSense/m0nowall

    Autor: Radiqual 26.11.14 - 12:26

    Wenn das Ding mit pfSense oder m0n0wall läuft, wäre das echt brauchbar.

  2. Re: pfSense/m0nowall

    Autor: rv112 26.11.14 - 12:36

    pfSense sollte normal laufen.

  3. Re: pfSense/m0nowall

    Autor: Sinnfrei 26.11.14 - 12:51

    Könnte vielleicht, aber von pfSense gibt es derzeit nur eine i386 und AMD64 Version ...

    __________________
    ...

  4. Re: pfSense/m0nowall

    Autor: am (golem.de) 26.11.14 - 12:53

    Da es die Frage schon öfters im Forum gab, hatte ich mich mal kundig gemacht.

    pfSense setzt auf FreeBSD auf. Da es bislang keinen offiziellen ARM-Support von FreeBSD gibt, ist hier formal pfSense raus. pfSense selbst listet bei seiner Hardware-Unterstützung explizit ausschließlich x86-Hardware auf.

    Zwar gibt es Ansätze, FreeBSD auch für ARM verfügbar zu machen ([www.freebsd.org]) , aber auch da fehlen bislang die üblichen Verdächtigen.

    Ich will nicht ausschliessen, dass es Leute geschafft haben, für ihren Rechner FreeBSD/pfSense entsprechend zu kompilieren und aufzusetzen. Würde aber behaupten, dass entsprechende Ansätze derzeit sehr experimentell sind.

    Grüße,
    Alexander Merz (golem.de)

  5. Re: pfSense/m0nowall

    Autor: Anonymer Nutzer 26.11.14 - 13:54

    Nicht mehr ganz - mit 10.1 RELEASE gibt es fertig ARMv6 Images - unter Anderem für RasPi's.

    https://wiki.freebsd.org/FreeBSD/arm/Raspberry%20Pi

    Download Links von diversen FTP / HTTP Mirror's kann man sich dann selbst suchen. ;)

    Problematisch ist eher dass wenn Ports jenseits von fertiges Packages installiert werden sollen - ein Compiler macht auf dem RasPi keinen Spaß.

    Das was pfSense dann zusätzlich mitbringt müsste natürlich dann zum Basis-Image noch händisch nachinstalliert werden - zumindest aber ist die Basis vorhanden.

  6. Re: pfSense/m0nowall

    Autor: vankooch 26.11.14 - 14:09

    Genau. FreeBSD lauft jetzt ganz ok auf ARMv6 chips. Die nächste version von pfsense, 2.2 wird auf FreeBSD 10.1 aufsetzten...zur Zeit wird noch 8.3 genutzt. Also kann gespannt sein ob in Naher Zukunft pfsense auf armv6 cpu lauft.

    https://doc.pfsense.org/index.php/PfSense_and_FreeBSD_Versions

  7. Re: pfSense/m0nowall

    Autor: am (golem.de) 26.11.14 - 14:35

    rugel schrieb:
    --------------------------------------------------------------------------------
    > Nicht mehr ganz - mit 10.1 RELEASE gibt es fertig ARMv6 Images - unter
    > Anderem für RasPi's.
    Leider sind die Allwinner Chips noch mal eine eigene Spezi für sich, da sind Verweise auf den Raspi immer mit Vorsicht zu geniessen. Es hat bereits jemand versucht, FreeBSD 10 auf den Banana Pi zu installieren: [forum.lemaker.org]

    WORKING:
    1. compiled supported kernel for BANANAPI based on CUBIEBOARD2 config
    2. 1024MB finally works
    3. working console login
    NOT WORKING:
    1. no networking (no GMAC)
    2. no HDMI output
    3. no LED flashing as example for Lubuntu


    Grüße,
    Alexander Merz (golem.de)

  8. Re: pfSense/m0nowall

    Autor: User_x 26.11.14 - 22:13

    OT: stimmt das eigentlich das alle OS-Firewalls kein https bzw. ssl traffic prüfen können?

  9. Re: pfSense/m0nowall

    Autor: Braineh 26.11.14 - 22:27

    IPfire hat ARM Images, wäre vielleicht 'ne Alternative, basiert ja auch auf FreeBSD...

  10. Re: pfSense/m0nowall

    Autor: Braineh 26.11.14 - 22:34

    User_x schrieb:
    --------------------------------------------------------------------------------
    > OT: stimmt das eigentlich das alle OS-Firewalls kein https bzw. ssl traffic
    > prüfen können?

    Bin kein Profi, aber ich vermute mal, dass dann die Pakete verändert werden würden und man somit SSL aushebeln würde. Bin mir allerdings auch sicher schon gelesen zu haben, dass in die Richtung gearbeitet wird, zumindest was Proxy/AV betrifft...

  11. Re: pfSense/m0nowall

    Autor: turbomettwurst 26.11.14 - 23:21

    User_x schrieb:
    --------------------------------------------------------------------------------
    > OT: stimmt das eigentlich das alle OS-Firewalls kein https bzw. ssl traffic
    > prüfen können?


    Keine (nicht auf dem Client installierte Software-)Firewall kann SSL Traffic prüfen, egal ob Open Source oder Proprietär.

    Ausnahme: man ist im Besitz eines gültigen SSL Zertifikates für den entsprechenden Hostnamen. Dann kann man sich als gültiger Endpunkt der Verbindung ausgeben, die Verbindung dechiffrieren und im Auftrag des Clients an den Server senden, das Ergebnis prüfen und schlussendlich wieder verschlüsselt an den Client zurücksenden (Proxy). Das dürfte aber in den wenigsten Fällen der Fall sein.

    Der ganze Gag von SSL besteht ja eben darin das nur die beiden Endpunkte den Inhalt der Verbindung einsehen können. Meines Wissens nach gibt es keine auf dem Markt kaufbare Technik die es einem erlaubt pauschal SSL Traffic zu durchwühlen, das ist immer mit Aktivitäten verbunden die so ziemlich überall illegal sind und ne dicke Kriegskasse erfordern.

  12. Re: pfSense/m0nowall

    Autor: grorg 26.11.14 - 23:30

    turbomettwurst schrieb:
    --------------------------------------------------------------------------------
    > Meines Wissens nach gibt es
    > keine auf dem Markt kaufbare Technik die es einem erlaubt pauschal SSL
    > Traffic zu durchwühlen, das ist immer mit Aktivitäten verbunden die so
    > ziemlich überall illegal sind und ne dicke Kriegskasse erfordern.
    In meiner ehemaligen Firma wurden alle SSL-Verbindungen umgeleitet auf einen internen Proxy (der hat dann SSL-Zertifikate on-the-fly erstellt), durchleuchtet und dann wieder mit dem Proxy-Zertifikat weitergereicht.

  13. Re: pfSense/m0nowall

    Autor: Braineh 27.11.14 - 00:36

    Wenn man das im eigenen Netzwerk macht, ist daran sicher nichts illegal. :)

  14. Re: pfSense/m0nowall

    Autor: turbomettwurst 27.11.14 - 01:21

    grorg schrieb:
    --------------------------------------------------------------------------------
    > turbomettwurst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Meines Wissens nach gibt es
    > > keine auf dem Markt kaufbare Technik die es einem erlaubt pauschal SSL
    > > Traffic zu durchwühlen, das ist immer mit Aktivitäten verbunden die so
    > > ziemlich überall illegal sind und ne dicke Kriegskasse erfordern.
    > In meiner ehemaligen Firma wurden alle SSL-Verbindungen umgeleitet auf
    > einen internen Proxy (der hat dann SSL-Zertifikate on-the-fly erstellt),
    > durchleuchtet und dann wieder mit dem Proxy-Zertifikat weitergereicht.

    Die Möglichkeiten einer eigenen CA, stimmt...
    Ok, es geht wenn man den Clients seine CA unterschieben kann :)

  15. Re: pfSense/m0nowall

    Autor: Auric 27.11.14 - 08:06

    Braineh schrieb:
    --------------------------------------------------------------------------------
    > IPfire hat ARM Images, wäre vielleicht 'ne Alternative, basiert ja auch auf
    > FreeBSD...

    nö, basiert auf Linux ;-)

  16. Re: pfSense/m0nowall

    Autor: mgh 27.11.14 - 13:27

    Bin zwar kein Netzwerkler.
    Aber dachte, dies geht mit Devices wo Full Reverse Proxy unterstützen...

    An irgendeinem Citrix Netscaler Event haben sie mal gesagt, dass alle eingehenden Sessions auf dem Netscaler terminiert sind.
    Sprich es gibt 2 Sessions Client <> Netscaler und Netscaler <> Webserver

    Das mit den Zertifikaten wie das gehandelt wird, habe ich allerdings nicht nachgefragt. Gab wichtigere Punkte, die ich klären musste...

    Nun ist der NEtscaler ja aber ne ADC und keine eigentliche Firewall und sicher kein Firewall-OS. Die kenne ich zuwenig um hier was sagen zu können...

  17. Re: pfSense/m0nowall

    Autor: Tuxraxer007 27.11.14 - 19:12

    mgh schrieb:
    --------------------------------------------------------------------------------
    > Das mit den Zertifikaten wie das gehandelt wird, habe ich allerdings nicht
    > nachgefragt. Gab wichtigere Punkte, die ich klären musste...
    Die "faken" die Zertifikate oder arbeiten mit eigenen Richtung Client.

    Das Verfahren wird ähnlich auch von anderen Herstellern gemacht - ist ne ziemlich schmutzige Lösung, weil das gerade bei Bankgeschäften ziemliche Probleme der Haftung aufwirft

  18. Re: pfSense/m0nowall

    Autor: turbomettwurst 27.11.14 - 23:51

    mgh schrieb:
    --------------------------------------------------------------------------------
    > Bin zwar kein Netzwerkler.
    > Aber dachte, dies geht mit Devices wo Full Reverse Proxy unterstützen...
    >
    > An irgendeinem Citrix Netscaler Event haben sie mal gesagt, dass alle
    > eingehenden Sessions auf dem Netscaler terminiert sind.
    > Sprich es gibt 2 Sessions Client <> Netscaler und Netscaler <> Webserver
    >
    > Das mit den Zertifikaten wie das gehandelt wird, habe ich allerdings nicht
    > nachgefragt. Gab wichtigere Punkte, die ich klären musste...
    >
    > Nun ist der NEtscaler ja aber ne ADC und keine eigentliche Firewall und
    > sicher kein Firewall-OS. Die kenne ich zuwenig um hier was sagen zu
    > können...

    Hat letztendlich wenig mit der Art des Gerätes zu tun, das liegt in der Funktionsweise von SSL/https.
    Jedes moderne Betriebssystem hat einige hundert CAs (Certificate Authorities) vorinstalliert. Jeder dieser CAs kann ein beliebiges Zertifikat für jede Domain ausgeben/signieren. Ist das Zertifikat von einer CA signiert die nicht im OS/Browser installiert ist kommt der vielseits bekannte Dialog das der Verbindung nicht vertraut wird.
    Wenn man nun aber eine eigene CA erstellt und diese auf seinen Clients installiert/verkankert (und damit als vertrauenswürdig deklariert) kann man Zertifikate für jeden Domain ausgeben, letztendlich sogar on the fly.
    Alles gut.. wäre da nicht BYOD :)

  19. Re: pfSense/m0nowall

    Autor: mgh 28.11.14 - 08:37

    turbomettwurst schrieb:
    --------------------------------------------------------------------------------

    > Hat letztendlich wenig mit der Art des Gerätes zu tun, das liegt in der
    > Funktionsweise von SSL/https.
    > Jedes moderne Betriebssystem hat einige hundert CAs (Certificate
    > Authorities) vorinstalliert. Jeder dieser CAs kann ein beliebiges
    > Zertifikat für jede Domain ausgeben/signieren. Ist das Zertifikat von einer
    > CA signiert die nicht im OS/Browser installiert ist kommt der vielseits
    > bekannte Dialog das der Verbindung nicht vertraut wird.
    > Wenn man nun aber eine eigene CA erstellt und diese auf seinen Clients
    > installiert/verkankert (und damit als vertrauenswürdig deklariert) kann man
    > Zertifikate für jeden Domain ausgeben, letztendlich sogar on the fly.
    > Alles gut.. wäre da nicht BYOD :)

    Nun ist aber gerade Citrix auf genau dies ausgelegt ;) und der NetScaler terminiert ja zB auch die Verbindungen vom iphone via Receiver MicroSSLVPN ins Internet via RZ, zumindest wenn man die Policies entsprechend setzt.
    Was somit ein von Citrix propagierter Standardfall ist ;) so viel Probleme mit BYOD kann das denen jetzt nun auch nicht machen...

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Support-Specialist (m/w/d)
    Allianz Technology SE, Hamburg
  2. Process Specialist (m/w/d) Controlling
    MAPAL Präzisionswerkzeuge Dr. Kress KG, Aalen
  3. Senior Software Developer (m/w / divers)
    Eurowings Aviation GmbH, Köln
  4. Software Solution Architect | Azure Cloud (m/w/d)
    Integrated Worlds GmbH, Holzgerlingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. gratis (bis 26. Mai)
  2. täglich wechselnde Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

  1. Khadas VIM4 Kleiner Bastelrechner integriert HDMI 2.1 und M.2-Slot
  2. Bastelrechner Raspberry Pi OS verwirft den Standarduser pi
  3. DIY Bastler quetscht Raspberry Pi in Kassette

Altris: Kathodenmaterial für Natrium-Ionen-Akkus kommt aus Schweden
Altris
Kathodenmaterial für Natrium-Ionen-Akkus kommt aus Schweden

Eine europäische Firma will vom Lithium wegkommen. Bis 2023 soll eine Pilotfabrik für Akku-Kathoden mit einer Kapazität von bis zu 1 GWh pro Jahr entstehen.
Von Frank Wunderlich-Pfeiffer

  1. Akkutechnik Neue Natrium-Ionen-Akkus von Lifun aus China ab 2023
  2. Rohstoffe Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise
  3. Faradion Indischer Konzern kauft Hersteller von Natrium-Ionen-Akkus

Internetinfrastruktur: Chinas Digitale Seidenstraße
Internetinfrastruktur
Chinas Digitale Seidenstraße

China baut weltweit Internetinfrastruktur und Datenzentren. Nicht nur für die Freiheit im Internet und Unternehmen aus Europa und den USA könnte das zur Bedrohung werden.
Eine Analyse von Gerd Mischler

  1. Hosting-Ausfall Prosite und Speedbone nicht erreichbar
  2. Deep-Learning Medienanstalten suchen mit KI nach Pornos und Gewalt
  3. Statistisches Bundesamt Rund 3,8 Millionen Bundesbürger leben offline