Firewall Eigenbau (IPFire alix) just for fun

Ja grundsätzlich schon.

Auch wenn es im Bridge Mode nicht tangiert, hätte ich die Adressierung anderst aufgebaut.

zB.

LAN: 192.168.66.1 (DHCP: 192.168.66.30-192.168.66.60, DNS 192.168.66.1)

Wireless: 192.168.77.1

DMZ:192.168.88.1

Indem du 192.168.1.1/24 eben nicht verwendest, ersparst du dir so viel Probleme die später auftauchen könnten.

Hallo TuxOne 

Vielen Dank für die ausführliche Anleitung. Ich habe aber noch eine Frage. Wie bringe ich das System auf die CF Karte, nach meinen Informationen sind die USB Ports beim Start nicht aktiv?

 --> habs grad gefunden Sorry

Dann kann ich weder ab CD Booten, noch vom USB Stick. Oder gibt es fertige Images, die ich auf die Karte spielen kann? (Habe ich bei m0n0wall so gesehen). ->> hat sich erledigt zumindest in der theorie ists klar

Ausserdem: Ist eine 8 GB Karte zu gross, so eine habe ich noch hier rumliegen. Aber ich weiss nicht, ob es damit zu Kompatibilitätsproblemen kommen kann.

Vielen Dank für Deine Hilfe.

Du brauchst etwas um die Compact flash zu beschreiben. Verwende dazu einen handelsüblichen Media Reader.

Für ALIX gibt es spezielle Alix images von ipfire. Dieses musst du verwenden! Deine 8GB Karte sollte kein Problem sein.

Speziell an Alix und ipfire ist, dass man danach noch die Installation und Konfiguration via serieller Schnittstelle vollenden muss. Also braucht man noch so eine Schnittstelle oder einen Adapter und ein Nullmodem Kabel.

Wird in der Installation beschrieben.

Wenn man jetzt einen Card Reader hat aber keinen seriellen Adapter kann man sich auch mit pfsense oä beschäftigen.

Guten Tag zusammen

Ich habe es jetzt angeschlossen wie du gesagt hast Tuxone. Dann habe ich gewartet bis er die "Verbindung wir aufgebaut" wird, doch es kommt nie was. Was für einstellungen soll ich noch vornehmen?

gruss

Stimo

Hast du bei der RED Konfiguration DHCP-Hostname einen Namen eingetragen? Ohne sollte zwar gar nicht gehen.

Ansonsten sollte die Firewall mit RED auf DHCP eine Adresse beziehen. Unabhängig ob der Router nun im Bridge Mode ist oder nicht. Ich würde daher mal schauen das die Firewall ganz normal hinter dem Router als Client eine IP bezieht. Du musst aber darauf achten, dass es keinen Adresskonflikt mit LAN der Firewall und LAN des Swisscom Routers gibt. 

Ansonsten kann ich mir daher noch vorstellen das du den falschen Ethernet Port bei deiner Firewall gesteckt hast zB. auf Orange. Dann kommt natürlich auch nichts.

Den DHCP-Hostname habe ich eingegeben. unten dran steht etwas mit "....MTU....", muss da auch etwas rein?

Ich habe Ihn an den router wie einen client auf dem RED-plug eingesteckt und konnte Ihn anping, also er hat sich eine IP geholt. Ich muss dann nchmals einstecken sobald ich wieder etwas eit habe.

Danke schon mal.

Hallo TuxOne

Vielen Dank noch einmal für das Hilfreiche Tutorial. Ich habe das gem. Deiner Anleitung gemacht und bei mir laufen im Moment 2 SCTV Boxen bisher problemlos über den ALIX.

Bitte wheeler.

Daran besteht eigentlich kein Zweifel.

Viel Spass mit dem System.

Ich habe trotzdem noch eine Frage.

Ich habe im Syslog oft folgende Fehlermeldung:

The source address 10.1.1.100 for group 239.0.0.250, is not in any valid net for upstream VIF.

10.1.1.100 ist aber meine Synology. Sagt dir das im Zusammenhang mit SCTV etwas? Beim Googeln erhalte ich sehr viele Suchresultate zu IPTV resp igmpproxy. Kann sein, dass ich dort aufgrund der 2. Box noch einen zusätzlichen Eintrag machen müsste?

Der igmpproxy leitet alle requests weiter. Das ist ein "Schönheitsfehler". Ich schaue mal ob man zu einem igmpproxy Paket kommt mit whitelist patch. Sonst muss man das noch für ipfire bauen...

Die Meldung muss dich nicht irritieren und hat keinen Einfluss auf SCTV.

Möglich das auf deiner Synology Plex läuft und das die Meldung von GDM ist. 

Gibt es eigentlich eine Möglichkeit das Alix-Board mit pfsense als Modem+Router zu betreiben. Oder kommt man um den Bridge-Mode mit Swisscom Modem nicht herum?

---

@5anku schrieb:

Gibt es eigentlich eine Möglichkeit das Alix-Board mit pfsense als Modem+Router zu betreiben. Oder kommt man um den Bridge-Mode mit Swisscom Modem nicht herum?

---

Mit ALIX ist dies nicht möglich.

In diesem Fall, fehlt dir das Modem. ALIX hat nur Ethernet Anschlüsse und kein VDSL Interface.

Theoretisch wäre es möglich sich etwas zu bauen, bei dem ein entsprechendes Interface verbaut ist.

http://www.freebsd.org/releases/8.1R/hardware.html

Gang und gäbe ist dies aber nicht.

---

@Tux0ne schrieb:

Ja grundsätzlich schon.

 

Auch wenn es im Bridge Mode nicht tangiert, hätte ich die Adressierung anderst aufgebaut.

 

zB.

LAN: 192.168.66.1 (DHCP: 192.168.66.30-192.168.66.60, DNS 192.168.66.1)

Wireless: 192.168.77.1

DMZ:192.168.88.1

 

Indem du 192.168.1.1/24 eben nicht verwendest, ersparst du dir so viel Probleme die später auftauchen könnten.

 

---

hallo Tuxone

Ich komme vieleicht dieses Wochenende wieder dazu etwas zeit zu haben um das alix board endlich zum laufen zu bringen.

Ich habe nochmals eine frage. ich habe jetzt das IPFire genau so eingerichtet, also Green auf 192.168.66.1, Blau auf 192.168.77.1 und orange auf 192.168.77.1.

auf dem router muss ich nun nur noch den bridge mode aktivieren. muss ich da sonst noch etwas ändern, z.B. das standart gateway oder soll ich den auf 192.168.1.1/24 lassen?

gruss

Stimo

---

@Stimo schrieb:

---

@Tux0ne schrieb:

Ja grundsätzlich schon.

 

Auch wenn es im Bridge Mode nicht tangiert, hätte ich die Adressierung anderst aufgebaut.

 

zB.

LAN: 192.168.66.1 (DHCP: 192.168.66.30-192.168.66.60, DNS 192.168.66.1)

Wireless: 192.168.77.1

DMZ:192.168.88.1

 

Indem du 192.168.1.1/24 eben nicht verwendest, ersparst du dir so viel Probleme die später auftauchen könnten.

 

---

hallo Tuxone

 

 

auf dem router muss ich nun nur noch den bridge mode aktivieren. muss ich da sonst noch etwas ändern, z.B. das standart gateway oder soll ich den auf 192.168.1.1/24 lassen?

 

gruss

Stimo

---

Hoi Stimo

Wenn das Gateway im Bridge Mode läuft, kannst du die Standard IP belassen.

Ich würde sie trotzdem in etwas exotischeres ändern.

Würdest du die IP Weiterleitung statt des Bridge Mode verwenden, so könntest du mittels VPN aus fremden Netzen via Ipfire auf das WUI des Routers zugreifen. Da in der Schweiz viele Netzwerke mit 192.168.1.0/24 arbeiten, wäre dieses Vorhaben somit eher zu realisieren.

Wünsche dir gutes gelinge.

hallo Tuxone

ich habe es endlich hinbekommen, aber mit der IP-Weiterleitung.

ich bin gerade am igmpproxy dran. ich habe die igmpproxy.conf bearbeitet. nun ist es so das wenn ich die setup box anschalte, der Kanal lauft aber nur 5-10 sekunden lang und dann ist schluss. aber wenn ich die setupbox neustarte, dann funktioniert es wieder 5-10 sekunden lang und danach stopt es wieder. fehlt mir vieleicht etwas in der igmpproxy.conf datei? was kommt unter den zwei schwarzen balcken die du hier drauf hast?

gruss

Stimo

Hallo zusammen.

Toller Thread hier... Habe vor einer Woche mal wieder meiner ALIX-Board aus dem Schrank genommen.

Habe ipfire installiert, was soweit tiptop läuft... Ist auch eine Standard Installation...

http://fireinfo.ipfire.org/profile/d83dd679f4bddb2c9c44eb599748ca0a3eb0bfd9

Pirelli BBS / Centro grande / VF226N1W fiber mit IP Passthrough (assigned) eingerichtet. WWW ok.

Nun hat mich auch der Ehrgeiz gepackt und ich möchte SCTV ins Grüne Netz nehmen.

Was auch als einziges Sinn macht bei meiner Gebäudeverkabelung und Anordnung von PC, TimeCapsule, MacBook, Netzwerkdrucker, PS3 und NAS...

IGMP-Proxy installiert und konfiguriert wie folgt...

igmpproxy.config:

firewall.local:

rc.local:

Es scheint zu funktionieren, jedoch bleibt das Bild nach 5-10 sek stehen, was sicher auf die Multicast-Problematik zurückzuführen ist..

Ich finde aber den Fehler einfach nicht...

Hat jemand noch eine Idee oder sieht gar einen offensichtlichen Fehler?

Merci und Gruss

hallo Sebmaster

Ich hab auch versucht Swisscom TV darüber laufen zu lassen. Zuerst hatte ich auch dieses Problem mit den 5-10 sek. und dann den Stop. Ich habe dann im rc.local die vorletzten Zeilen weggenommen und villeicht noch was anderes was ich jetzt nicht mehr in erinnerung habe, du kannst ja mal meine drei files unten anschauen. Ich habe einfach noch eine zweite Box die ich eingestellt habe. Aber die Hauptswisscombox habe ich via Powerline angeschlossen und es läuft auch sauber bis er dann nachladen muss und da fängt es etwa mühsam zu werden, weil es nicht mehr flüssig läuft. Ich denke das es aber direkt an der Alix liegt den ich hatte vorher auch die Hauptswisscombox via Powerline direkt mit dem router verbunden und es lief ohne Probleme sogar mit gleichzeitigem streamen, immer via powerline, von meinen NAS auf die Mediabox. Ich denke eben das es wirklich an der CPU und die Netzwerkkarten und vorallem auch der knappe Arbeitspeicher des Alix board liegt. Versuch einfach einmal deine configs mit meinen zu vergleichen, vielleicht fällt dir etwas auf. Die zwei IPs habe ich noch mit (-) ausgetauscht.

igmpproxy.config:

########################################################
#
#   Example configuration file for the IgmpProxy
#   --------------------------------------------
#
#   The configuration file must define one upstream
#   interface, and one or more downstream interfaces.
#
#   If multicast traffic originates outside the
#   upstream subnet, the "altnet" option can be
#   used in order to define legal multicast sources.
#   (Se example...)
#
#   The "quickleave" should be used to avoid saturation
#   of the upstream link. The option should only
#   be used if it's absolutely nessecary to
#   accurately imitate just one Client.
#
########################################################

##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave


##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint red0 upstream  ratelimit 0  threshold 1
        altnet 239.0.0.0/8      #MBONE
        altnet 224.0.0.0/4      #Well know Mcst
	 altnet 195.186.0.0/16   #Swisscom Infra
	 altnet 192.168.66.70/32 #SCTV Master Box
	 altnet 192.168.66.71/32 #SCTV Slave Box


##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint green0 downstream  ratelimit 0  threshold 1
	 altnet 192.168.66.70/32  #SCTV Master Box
	 altnet 192.168.66.71/32  #SCTV Slave Box


##------------------------------------------------------
## Configuration for eth2 (Disabled Interface)
##------------------------------------------------------
phyint blue0 disabled
phyint tun0 disabled
phyint red0 disabled

firewall.local:

#!/bin/sh
# Used for private firewall rules
# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
        /sbin/iptables -I IPTVFORWARD -i red0 -d 224.0.0.0/4 -j ACCEPT
        /sbin/iptables -I IPTVINPUT -i red0 -d 224.0.0.0/4 -j ACCEPT
        # end for igmpproxy
        ;;
  stop)
        ## add your 'stop' rules here
        /sbin/iptables -D IPTVINPUT -i red0 -d 224.0.0.0/4 -j ACCEPT
        /sbin/iptables -D IPTVFORWARD -i red0 -d 224.0.0.0/4 -j ACCEPT
       # end for igmpproxy
       ;;
  reload)
      $0 stop
      $0 start
      ## add our 'reload' rules here
      ;;
*)
      echo "Usage: $0 {start|stop|reload}"
      ;;
esac

rc.local:

#!/bin/sh
###############################################################################
#                                                                             #
# IPFire.org - A linux based firewall                                         #
# Copyright (C) 2007  Michael Tremer & Christian Schmidt                      #
#                                                                             #
# This program is free software: you can redistribute it and/or modify        #
# it under the terms of the GNU General Public License as published by        #
# the Free Software Foundation, either version 3 of the License, or           #
# (at your option) any later version.                                         #
#                                                                             #
# This program is distributed in the hope that it will be useful,             #
# but WITHOUT ANY WARRANTY; without even the implied warranty of              #
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the               #
# GNU General Public License for more details.                                #
#                                                                             #
# You should have received a copy of the GNU General Public License           #
# along with this program.  If not, see <http://www.gnu.org/licenses/>.       #
#                                                                             #
###############################################################################
# Used for private calls after boot                                           #
###############################################################################


/usr/local/sbin/igmpproxy /etc/igmpproxy.conf &

Hi Sebmaster

Du hast verschiedene Fehler.

Die Interfaces werden bei ipfire umbenannt. green0, red0 usw, statt eth0, eth1)

Zudem sieht deine rc.local nicht sauber aus.

Versuche es mit diesen 3 Dateien. Ich habe die igmpproxy.conf für dich angepasst.

https://www.dropbox.com/sh/d859idwe2uh7o8h/j_rr2-AvAb

Lade diese in dein System und mach einen Reboot.