Zum Hauptinhalt springen

Diagnostizieren Sie Ihr Netzwerk wie ein Profi: Beherrschen der pfSense-Diagnosetools

Veröffentlicht am:
.
18 Minuten Lesezeit
.
Für die Englische Version

Die pfSense-Software ist eine leistungsstarke Open-Source-Firewall- und Router-Plattform. Aber wie bei jedem komplexen System kann die Fehlersuche bei Netzwerkproblemen in der pfSense-Software herausfordernd sein. Dieser Leitfaden vermittelt Ihnen das Wissen, um ein pfSense Diagnoseprofi zu werden, indem Sie die integrierten Werkzeuge und Techniken beherrschen, um Netzwerkprobleme effizient zu identifizieren und zu lösen. Dieser Artikel untersucht die folgenden Schlüsselaspekte:

  • Verständnis der pfSense-Diagnosetools: Wir werden die wesentlichen Diagnosetools erkunden, die in der pfSense-Weboberfläche leicht verfügbar sind.
  • Problemlösung mit pfSense mit Zuversicht: Lernen Sie, wie Sie diese Werkzeuge für verschiedene Netzwerkszenarien nutzen können, einschließlich Verbindungsproblemen, Firewall-Problemen, Leistungsengpässen und Routing-Fehlern.

Am Ende dieses Leitfadens werden Sie gut gerüstet sein, um eine Vielzahl von Netzwerkproblemen auf Ihrem pfSense-System zu diagnostizieren und zu beheben, und so ein reibungsloses und sicheres Netzwerk für Ihre Geräte zu gewährleisten.

Get Started with Zenarmor Today For Free

Warum sind Diagnosetools für pfSense wichtig?

pfSense bietet eine robuste Sammlung von Diagnosetools, die Ihnen helfen, Ihr Netzwerk effektiv zu beheben und zu warten. Diese Werkzeuge bieten wertvolle Informationen und Funktionen für verschiedene Netzwerkmanagement-Aufgaben.

Die wichtigsten Funktionen der pfSense-Diagnosetools sind wie folgt:

  • Netzwerk-Sichtbarkeit: Werkzeuge wie Ping und Paketaufzeichnung ermöglichen es Ihnen, den Netzwerkverkehr zu überwachen. Dies hilft, potenzielle Engpässe oder Verlangsamungen zu identifizieren, bevor sie Störungen verursachen.
  • Fehlerbehebungseffizienz: Werkzeuge wie Traceroute helfen dabei, die Ursache von Verbindungsproblemen genau zu bestimmen. Zum Beispiel, wenn eine Website langsam lädt, kann Traceroute helfen, den spezifischen Hop auf der Route zu identifizieren, der die Verzögerung verursacht.
  • Erhöhte Sicherheit: pfSense-Protokolle fungieren als Sicherheitssystem zur Überwachung. Sie protokollieren verdächtige Aktivitätsversuche, sodass Sie potenzielle Schwachstellen identifizieren und beheben können, bevor sie ausgenutzt werden.
  • Vereinfachte Wartung: Backup- und Wiederherstellungsfunktionen innerhalb der Diagnosetools die Verwaltung von Konfigurationen und Systemrücksetzungen vereinfachen, um einen reibungslosen Netzwerkbetrieb zu gewährleisten.
  • Leistungsoptimierung: Werkzeuge wie Verkehrsgrafiken und Schnittstellenstatistiken bieten Einblicke in die Netzwerkleistung. Sie können diese Informationen nutzen, um Engpässe zu identifizieren und Einstellungen zu optimieren, um die Netzwerkgeschwindigkeit zu verbessern. Durch den Einsatz dieser Diagnosetools erhalten Sie ein tieferes Verständnis für den Gesundheitszustand und die Leistung Ihres Netzwerks. Dies ermöglicht es Ihnen, Probleme proaktiv anzugehen, ein sicheres Netzwerkumfeld aufrechtzuerhalten und eine optimale Netzwerkleistung sicherzustellen.

Was sind die pfSense-Diagnosetools?

Dieser Leitfaden wird Ihnen ein umfassendes Verständnis der folgenden pfSense-Diagnosetools vermitteln:

Netzwerkverbindungsdiagnosetools

pfSense bietet eine umfassende Sammlung von Netzwerkverbindungstools, um Ihnen bei der Diagnose und Fehlerbehebung von Kommunikationsproblemen in Ihrem Netzwerk zu helfen. Diese Tools bieten wertvolle Daten und Funktionen zur Analyse und Behebung von Verbindungsproblemen.

Hier ist eine Übersicht über einige wichtige pfSense-Netzwerkverbindungstools:

ARP-Tabelle

Die ARP (Address Resolution Protocol)-Tabelle in pfSense ist ein entscheidendes Werkzeug zur Verwaltung Ihres Netzwerks. Es funktioniert wie ein Verzeichnis, das die Beziehung zwischen der IP-Adresse eines Geräts (seine Online-Identifikation) und seiner MAC-Adresse (einzigartiger Hardware-Identifikator) zeigt. Diese Informationen sind entscheidend, um zu verstehen, wie Geräte in Ihrem Netzwerk miteinander kommunizieren.

Die ARP-Tabelle übersetzt im Wesentlichen IP-Adressen, die für Menschen leichter zu merken sind, in MAC-Adressen, die von Netzwerkgeräten für die tatsächliche Datenübertragung verwendet werden.

So können Sie die ARP-Tabelle für Diagnosen nutzen:

Abbildung 1. pfSense-Diagnose > ARP-Tabelle

  • IPv4-Fokus: Diese Tabelle befasst sich speziell mit IPv4-Adressen, dem am häufigsten verwendeten Adressierungsschema in Netzwerken.
  • Dynamische vs. Statische Einträge: Die Tabelle zeigt sowohl dynamische als auch statische Einträge an. Dynamische Einträge werden automatisch basierend auf kürzlicher Kommunikation generiert und verfallen nach einer Periode der Inaktivität. Statische Einträge werden manuell für bestimmte Geräte konfiguriert und bleiben auch ohne laufende Kommunikation bestehen.
    • Informationen auf einen Blick: Für jeden Eintrag sehen Sie:
    • Schnittstelle: Die Netzwerkschnittstelle (z.B. LAN, WAN), in der das Gerät entdeckt wurde.
    • IP-Adresse: Die numerische IP-Adresse des Geräts.
    • MAC-Adresse: Die eindeutige Hardware-Adresse des Geräts. Eine unvollständige MAC-Adresse zeigt an, dass die Firewall noch auf eine Antwort wartet.
    • Hostname: Falls verfügbar, der Hostname des Geräts zur leichteren Identifizierung.
    • Status: Ob der Eintrag dauerhaft (statisch) oder dynamisch (läuft nach einer bestimmten Zeit ab) ist.
    • Verbindungstyp: Der verwendete Netzwerktyp (z.B. Ethernet).
    • Maßnahmen ergreifen: Die ARP-Tabelle auf pfSense ermöglicht es Ihnen:
    • Einzelne Einträge entfernen: Dies kann die Firewall dazu bringen, die MAC-Adresse eines Geräts neu zu erkennen, falls sie sich ändert.
    • Die gesamte Tabelle löschen: Auch wenn dies nicht immer notwendig ist, kann es hilfreich sein, wenn mehrere Geräte ihre MAC-Adressen geändert haben und die Firewall veraltete Informationen verwendet.
Diagnose von Verbindungsproblemen mit der ARP-Tabelle

Wenn ein Gerät in Ihrem Netzwerk unerreichbar scheint, überprüfen Sie die ARP-Tabelle. Wenn die IP-Adresse des Geräts fehlt oder ein veraltetes Alter aufweist, könnte dies auf ein Problem mit der IP-Adresszuweisung, der physischen Verbindung (z.B. Kabelproblem) oder darauf hinweisen, dass das Gerät selbst offline ist. Doppelte IP-Adressen in Ihrem Netzwerk können Verbindungsprobleme verursachen. Die ARP-Tabelle kann helfen, doppelte Einträge zu identifizieren, was auf einen Konfigurationsfehler hinweist, bei dem mehreren Geräten dieselbe IP-Adresse zugewiesen wurde.

Überwachung der Netzwerksicherheit mit der ARP-Tabelle

Obwohl weniger verbreitet, kann die ARP-Tabelle für grundlegende Sicherheitsüberwachung verwendet werden. Achten Sie auf verdächtige Einträge mit unbekannten MAC-Adressen. Diese könnten möglicherweise auf unbefugte Geräte hinweisen, die versuchen, auf Ihr Netzwerk zuzugreifen. Diese Methode allein ist jedoch kein narrensicheres Sicherheitsmaßnahme, und zusätzliche Sicherheitspraktiken werden empfohlen.

Im Wesentlichen bietet die ARP-Tabelle eine Echtzeitansicht der Geräte, die in Ihrem Netzwerk kommunizieren, und deren entsprechende Adressen. Diese Informationen sind entscheidend für die Fehlersuche bei Verbindungsproblemen und für einen reibungslosen Netzwerkbetrieb.

DNS-Abfrage

Das DNS Lookup-Tool in pfSense ist Ihre Brücke zwischen der für Menschen lesbaren Welt der Webseitennamen (wie zenarmor.com) und der numerischen Welt der IP-Adressen (wie 172.67.69.62). Es fungiert wie ein Übersetzer und zeigt Ihnen, ob pfSense die Internetadressen der Websites, die Sie erreichen möchten, korrekt finden kann.

Abbildung 2. pfSense-Diagnose > DNS-Abfrage

Hier ist eine Übersicht darüber, was Sie mit DNS Lookup tun können:

  • Websites suchen: Geben Sie einen Website-Namen (Hostname) oder eine IP-Adresse ein und klicken Sie auf "Lookup." pfSense wird seine konfigurierten DNS Server abfragen und Ihnen mitteilen:

    • Die entsprechende IP-Adresse für einen Hostnamen (falls erfolgreich).
    • Der Hostname, der mit einer IP-Adresse verknüpft ist (Reverse-Lookup).

    Abbildung 3. pfSense-Diagnose > DNS-Abfrage-Test

  • Testen Sie Ihre DNS-Server: Das Tool testet automatisch die verschiedenen DNS-Server, die pfSense konfiguriert ist zu verwenden, und stellt sicher, dass sie ordnungsgemäß funktionieren.

  • Antwortzeiten anzeigen: Sie erhalten eine Aufschlüsselung, wie lange jeder DNS-Server gebraucht hat, um auf Ihre Anfrage zu antworten, was Ihnen hilft, langsame oder nicht reagierende Server zu identifizieren.

  • Firewall-Alias erstellen (Optional): Mit einem Klick können Sie Firewall-Alias basierend auf Ihren Suchergebnissen erstellen. Aliases sind wie Spitznamen für IP-Adressen oder Hostnamen und vereinfachen die Erstellung von Firewall-Regeln.

Die folgenden sind einige Beispiele für diagnostische Anwendungen zur DNS-Abfrage:

  • Überprüfung der DNS-Konfiguration: Bestätigung, dass Ihre pfSense-Firewall korrekt konfiguriert ist, um die gewünschten DNS-Server zu verwenden.
  • Fehlerbehebung bei Internetverbindung: Ermitteln, ob DNS-Auflösungsprobleme den Internetzugang verhindern.
  • Diagnose spezifischer Website-Probleme: Überprüfen, ob eine Website aufgrund eines DNS-Problems oder eines Problems mit der Website selbst nicht erreichbar ist.
  • Unbekannte IP-Adressen untersuchen: Bestimmung des Hostnamens, der mit einer verdächtigen IP-Adresse verbunden ist, was möglicherweise bei der Sicherheitsanalyse hilft.

Kurz gesagt, das DNS Lookup-Tool ist Ihre Anlaufstelle zur Überprüfung der DNS-Konfiguration von pfSense und zur Fehlersuche bei Verbindungsproblemen mit Websites.

Ping

Ping ist ein Netzwerkdiagnosetool, das ICMP-Echoanforderungen verwendet, um die Konnektivität zwischen Ihrer pfSense-Firewall und einem anderen Gerät im Netzwerk zu überprüfen. Es sendet Pakete an das Ziel und misst, wie lange es dauert, bis sie zurückkommen, was auf die Netzwerklatenzzeit hinweist.

pfSense bietet zwei Möglichkeiten, um einen Ping-Test durchzuführen:

  1. Über die GUI (Graphical User Interface)
  2. Über die Konsole

Sie können einen Ping-Test über die GUI durchführen, indem Sie die folgenden Schritte befolgen:

  1. Gehen Sie zu Diagnose > Ping.

    Abbildung 4. Pfsense-Diagnose > Ping

  2. Geben Sie den Hostname oder die IP-Adresse des Zielgeräts ein.

  3. (Optional) Wählen Sie das IP-Protokoll (IPv4 oder IPv6), wenn der Hostname auf beide aufgelöst wird.

  4. (Optional) Geben Sie die Quelladresse auf Ihrer pfSense-Firewall für den Ping an (nützlich für VPN-Tests).

  5. Stellen Sie die maximale Anzahl der Pings ein (Standardwert ist 3).

  6. Stellen Sie die Sekunden zwischen Pings ein (Standardwert ist 1 Sekunde).

  7. Klicken Sie auf Ping, um den Test zu starten.

Die Ergebnisse werden automatisch nach Abschluss angezeigt.

Sie können einen Ping-Test über die Konsole durchführen, indem Sie die folgenden Schritte befolgen:

  1. Greifen Sie lokal oder über SSH mit einem Administratorkonto auf die Konsole zu.
  2. Wählen Sie die Option Ping Host (z.B. Option 7).
  3. Geben Sie die IP-Adresse oder den Hostnamen ein, um zu pingen. Der Test wird gestartet und zeigt die Ergebnisse in Echtzeit an.
  4. Drücken Sie die Eingabetaste, um nach Abschluss zum Menü zurückzukehren.
Verständnis der Ping-Ergebnisse

Die Ping-Ergebnisse zeigen die folgenden Details an:

  • Ziel: Der Hostname oder die IP-Adresse, die Sie angepingt haben.
  • Gesendet: Anzahl der gesendeten Ping-Anfragen.
  • Erhalten: Anzahl der erhaltenen erfolgreichen Antworten.
  • Verloren: Anzahl der Pakete, die keine Antwort erhalten haben (was auf mögliche Verbindungsprobleme hinweist).
  • Minimum/Durchschnitt/Maximum/StdDev (ms): Latenz (Hin- und Rücklaufzeit) in Millisekunden für empfangene Pakete.

Einige Beispiele, wie das Ping-Diagnosetool verwendet werden kann, sind in der folgenden Liste aufgeführt.

  • Eine erfolgreiche Ping-Antwort zeigt eine grundlegende Konnektivität zwischen Ihrer pfSense-Firewall und dem Zielgerät an. Die in den Ergebnissen angezeigte Round-Trip-Zeit (RTT) liefert eine Schätzung der Netzwerkverzögerung zwischen ihnen.
  • Indem Sie verschiedene Geräte in verschiedenen Phasen Ihres Netzwerks anpingen (z.B. lokales Gerät, Gateway, externer Server), können Sie isolieren, wo Verbindungsprobleme auftreten könnten.
  • Wenn ein Ping zu einem lokalen Gerät fehlschlägt, deutet dies auf ein Problem innerhalb Ihres eigenen Netzwerksegments hin (z.B. Verkabelungsproblem, Gerätefehler).
  • Wenn ein Ping zu Ihrem Gateway (normalerweise der Router Ihres Internetdienstanbieters) fehlschlägt, weist dies auf ein Problem mit Ihrer Internetverbindung hin.
  • Wenn ein Ping zu einem externen Server erfolgreich ist, aber mit hoher Latenz, könnte das auf Netzwerküberlastung oder verzögerungsbedingte Probleme hinweisen.
  • Wenn ein Ping an ein bestimmtes Gerät abläuft (keine Antwort erhalten), bedeutet dies, dass das Gerät von Ihrer pfSense-Firewall nicht erreichbar ist. Dies könnte auf verschiedene Gründe zurückzuführen sein:
  • Das Gerät könnte ausgeschaltet oder vom Netzwerk getrennt sein.
  • Es könnten Firewall-Regeln die Kommunikation blockieren.
  • Das Gerät selbst könnte defekt sein.

Traceroute

Traceroute ist ein Tool, das den Pfad abbildet, den Pakete von Ihrer pfSense-Firewall zu einem entfernten Host im Netzwerk nehmen. Es sendet Pakete mit zunehmenden Time-To-Live (TTL)-Werten und analysiert die ICMP-Fehlermeldungen ("Time-to-live exceeded"), die von Routern auf dem Weg empfangen werden. Dies zeigt die "Hops" an, die ein Paket benötigt, um das Ziel zu erreichen.

pfSense bietet Traceroute über die GUI oder Konsole an:

Abbildung 5. pfSense-Diagnose > Traceroute

Sie können eine Traceroute über die grafische Benutzeroberfläche (GUI) durchführen, indem Sie die folgenden Schritte befolgen:

  1. Gehe zu Diagnose > Traceroute.
  2. Geben Sie den Hostname oder die IP-Adresse des Ziels ein.
  3. (Optional) Wählen Sie das IP-Protokoll (IPv4 oder IPv6), wenn der Hostname auf beide aufgelöst wird.
  4. (Optional) Geben Sie die Quelladresse auf Ihrer pfSense-Firewall für die Verfolgung an (nützlich für VPN-Tests).
  5. Stellen Sie die maximale Anzahl der Hops ein.
  6. Überprüfen Sie Reverse Address Lookup, um zu versuchen, IP-Adressen in Hostnamen zu übersetzen (verlangsamt den Prozess).
  7. Überprüfen Sie ICMP verwenden, falls UDP-Traceroute möglicherweise von Firewalls blockiert wird.
  8. Klicken Sie auf Traceroute, um den Test zu starten.

Sie können einen Traceroute über die Konsole durchführen, indem Sie die folgenden Schritte befolgen:

  1. Greifen Sie lokal oder über SSH mit einem Administratorkonto auf die Konsole zu.
  2. Verwenden Sie den Befehl traceroute [Hostname/IP-Adresse].
Verständnis der Traceroute-Ergebnisse

Die Traceroute-Ausgabe zeigt die folgenden Details:

  • Hops: Jeder "Hop" repräsentiert einen Router auf dem Weg zum Ziel.
  • IP-Adresse: Die IP-Adresse jedes Routers auf dem Weg.
  • Antwortzeiten: Hin- und Rücklaufzeiten (in Millisekunden) für an jeden Hop gesendete Pakete.
  • Reverse Lookup (falls aktiviert): Hostnamen, die den IP-Adressen entsprechen (möglicherweise nicht immer verfügbar).

Um die Diagnostik von pfSense zu verbessern, sind hier einige Beispiele, wie Traceroute nützlich sein kann:

  • Identifizierung von Routen-Hops
    • Sie geben den Hostnamen oder die IP-Adresse eines Ziels ein, das Sie erreichen möchten.
    • Traceroute sendet Proben zum Ziel, und jeder Router entlang des Pfades antwortet mit einer Hop-Anzahl.
    • Diese Hop-Zählungen repräsentieren die Reihenfolge der Router (Netzwerkgeräte), die die Pakete durchlaufen, um das endgültige Ziel zu erreichen.
  • Fehlerbehebung bei Verbindungsproblemen: Durch die Analyse der Traceroute-Ergebnisse können Sie genau feststellen, wo Verbindungsprobleme auftreten könnten:
    • Hohe Hop-Zahlen: Eine ungewöhnlich hohe Anzahl von Hops könnte auf eine lange und ineffiziente Route hinweisen, die möglicherweise die Netzwerkleistung beeinträchtigt.
    • Fehlgeschlagene Hops: Wenn ein bestimmter Hop nicht antwortet, deutet dies auf ein Problem mit diesem speziellen Router auf dem Pfad hin, was die Verbindung unterbricht.
    • Erhöhte Latenz bei bestimmten Hops: Bedeutende Verzögerungen bei einem bestimmten Hop könnten auf Überlastung oder technische Probleme in diesem speziellen Netzwerksegment hinweisen.
  • Isolierung von Netzwerkengpässen: Traceroute kann helfen, potenzielle Engpässe (langsame Punkte) auf dem Weg zu einem Ziel zu identifizieren. Wenn ein signifikanter Anstieg der Latenz bei einem bestimmten Hop auftritt, könnte dies auf eine Überlastung oder Einschränkungen in diesem Netzwerksegment hinweisen.
  • Diagnose von Problemen mit externen Servern: Obwohl es kein definitiver Test ist, kann Traceroute manchmal Hinweise auf Probleme mit dem Zielserver selbst geben. Wenn alle Hops erfolgreich sind, aber keine Antwort vom endgültigen Ziel kommt, könnte dies auf ein Problem mit der Netzwerkkonfiguration des Servers oder seiner Verfügbarkeit hinweisen.

Routen

In pfSense definiert eine Route den Pfad, den ein Paket nimmt, um sein Zielnetzwerk zu erreichen. Es sagt der Firewall im Wesentlichen, wo sie Pakete basierend auf ihren IP-Adressen senden soll. Routen enthalten die folgenden Details auf pfSense:

  • Zielnetzwerk: Das Netzwerk, das Sie erreichen möchten (z.B. 10.0.0.0/16 für ein Subnetz).
  • Gateway: Die IP-Adresse des nächsten Hop-Routers, der das Paket zum Ziel weiterleitet. Dies könnte der Router Ihres Internetanbieters oder ein anderer interner Router in Ihrem Netzwerk sein.
  • Schnittstelle: Die physische Netzwerkschnittstelle (z.B. em0, em1) auf Ihrer pfSense-Firewall, über die das Paket gesendet wird.
Was sind die Routentypen auf pfSense?

Es gibt zwei Haupttypen von Routen in pfSense:

  1. Standardroute: Diese Route erfasst allen Verkehr, der nicht mit anderen, spezifischeren Routen übereinstimmt. Es zeigt auf das Gateway, das Sie mit dem weiteren Internet verbindet (normalerweise der Router Ihres Internetanbieters).

  2. Statische Route: Sie konfigurieren manuell eine statische Route, um der Firewall explizit mitzuteilen, wie sie ein bestimmtes Netzwerk erreichen kann. Dies ist nützlich für:

    • Erreichen von Netzwerken, die sich nicht im selben Subnetz wie Ihre pfSense-Firewall befinden.
    • Verwendung eines bestimmten Gateways für bestimmte Ziele (z.B. zur Lastverteilung).

pfSense verwendet Routen für einige VPN-Verbindungen (OpenVPN, WireGuard, VTI-Modus IPsec), bei denen die Firewall Einträge in der Routing-Tabelle für über diese VPNs erreichbare Netzwerke erstellt.

Wie man Routing-Probleme auf pfSense behebt? \nText zu übersetzen: ##### Wie behebt man Routing-Probleme auf pfSense?

Dieser Abschnitt erklärt, wie man Routing-Probleme auf Ihrer pfSense-Firewall überprüft und behebt.

Ansichts-Routen:

Sie können den Befehl route -n get [Ziel-IP] in der Konsole verwenden, um zu sehen, wie die Firewall eine bestimmte Adresse routet und zu überprüfen, ob das gewünschte Ziel mit der erwarteten Route aufgeführt ist.

Beispiel 1: Standardroute

Das Ausführen von route -n get 8.8.8.8 könnte Folgendes anzeigen:

Destination:  0.0.0.0  (default  route)
Gateway:  198.51.100.1
Interface:  igb0

Dies zeigt an, dass keine spezifische statische Route für 8.8.8.8 existiert, daher wird die Standardroute verwendet.

Beispiel 2: Spezifische Statische Route

Ausführen von route -n get 8.8.4.4 könnte Folgendes anzeigen:

Destination:  8.8.4.4
Gateway:  10.0.14.1  (alternate  gateway)
Interface:  igb5

Hier leitet eine statische Route den Verkehr zu 8.8.4.4 über das Gateway 10.0.14.1 auf der Schnittstelle igb5.

Verwendung von Traceroute:

Verwenden Sie Traceroute, um Routen zu überprüfen und Probleme mit Multi-WAN-Setups zu beheben. Traceroute zeigt jeden "Hop", den ein Paket benötigt, um ein Ziel zu erreichen, zusammen mit seiner Latenz. Greifen Sie auf Traceroute über Diagnose > Traceroute in der GUI zu oder verwenden Sie den Befehl traceroute [Ziel-IP] in der Konsole.

Routen und VPNs

Einige VPNs (wie IPsec im Tunnelmodus) verwenden die Routing-Tabelle nicht. Statische Routen funktionieren nicht mit Tunnelmodus-IPsec-Verbindungen. OpenVPN, WireGuard und VTI-Modus IPsec verwenden die Routing-Tabelle und haben Einträge für erreichbare Netzwerke.

Beispiel: OpenVPN-Routen

Die Verwendung von netstat -rWn könnte eine OpenVPN-Route anzeigen:

Destination  Gateway  Flags  Use  Mtu  Netif  Expire
...
10.6.0.0/16  10.6.203.1  UGS  0  1500  ovpnc2

Dies zeigt die OpenVPN-Schnittstelle (ovpnc2) mit einem Gateway (10.6.203.1) für das 10.6.0.0/16-Netzwerk.

Abbildung 6. pfSense-Diagnose > Routen

Testport

Test Port ist ein integriertes Tool in pfSense, das es Ihnen ermöglicht zu sehen, ob Ihre Firewall einen bestimmten Port auf einem anderen Gerät erreichen kann. Es führt im Wesentlichen einen grundlegenden TCP-Handshake durch, um zu überprüfen, ob der Zielhost aktiv ist und Verbindungen auf diesem bestimmten Port akzeptiert.

Warum Test Port verwenden?

pfSense Test Port hilft Ihnen, Verbindungsprobleme im Zusammenhang mit der Fähigkeit Ihrer Firewall zu beheben, sich mit anderen Geräten in Ihrem Netzwerk oder im Internet zu verbinden. Hier sind einige häufige Szenarien für die Verwendung des Testport-Tools:

  • Überprüfen, ob ein Server online ist und Verbindungen auf einem bestimmten Port akzeptiert (z.B. Webserver auf Port 80).
  • Überprüfen Sie, ob Ihre Firewall-Regeln korrekt konfiguriert sind, um den Datenverkehr zu einem bestimmten Port auf einem anderen Gerät zuzulassen.
  • Diagnose möglicher Probleme mit Portweiterleitung.
Wie verwendet man den Testport in pfSense?

Sie können das Test Port-Tool auf pfSense verwenden, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Diagnosen > Testport.

    Abbildung 7. Pfsense-Diagnose > Testport

  2. Geben Sie die IP-Adresse oder den Hostnamen des Zielgeräts in das Feld Hostname ein.

  3. Geben Sie die TCP-Port-Nummer an, die Sie testen möchten (z.B. 80 für Webserver).

  4. Optional einen bestimmten Quellport für den Test festlegen.

  5. Sie können die Remote Text-Option aktivieren, um den vom Server beim Verbindungsaufbau gesendeten Text anzuzeigen.

  6. Sie können eine spezifische Quelladresse für den Test auswählen.

  7. Sie können das IP-Protokoll, IPv4 oder IPv6, je nach Netzwerkprotokoll des Zielgeräts auswählen.

  8. Klicken Sie auf Test.

Die Ergebnisse werden anzeigen, ob der Verbindungsversuch erfolgreich war oder nicht. Wenn erfolgreich, kann es je nach Dienst und der Option "Remote Text" jeden vom Server zurückgesendeten Text anzeigen.

Firewall-Status- und Aktivitätsdiagnosetools

Der Hauptzweck der Firewall-Status- und Aktivitätsdiagnosetools in pfSense besteht darin, die Funktionalität Ihrer Firewall zu überwachen, zu analysieren und zu beheben. Diese Werkzeuge bieten wertvolle Einblicke darin, wie Ihre Firewall den Netzwerkverkehr verarbeitet.

Hier ist eine Übersicht über die Diagnosewerkzeuge für den Status und die Aktivität der Firewall.

pfInfo

pfInfo ist ein Diagnosetool in pfSense, das eine Fülle von Informationen darüber liefert, wie Ihre Firewall eingehenden und ausgehenden Datenverkehr verarbeitet. Denken Sie daran, es ist wie das Betrachten der Motoranzeigen in Ihrem Auto, es gibt Ihnen Einblicke in die Leistung und Aktivität Ihrer Firewall.

pfInfo befindet sich unter Diagnostik > pfInfo. Die Seite aktualisiert sich standardmäßig automatisch, aber Sie können das Kontrollkästchen "Aktualisieren" deaktivieren, um die Aktualisierungen zu pausieren.

Abbildung 8. pfSense-Diagnose > pfInfo

pfInfo zeigt verschiedene Statistiken und Zähler an, die in Abschnitte unterteilt sind. Hier sind einige wichtige Bereiche:

  • Allgemeine Zähler: Dies umfasst Bytes und Pakete, die in die Firewall hinein und hinaus übertragen werden, und zeigt das gesamte Verkehrsvolumen an.
  • Zustandstabelle: Dieser Abschnitt zeigt, wie viele aktive Verbindungen (Sitzungen) Ihre Firewall derzeit verfolgt. Es zeigt auch die Rate an, mit der neue Verbindungen erstellt und entfernt werden.
  • Zähler: Dieser Abschnitt enthält Details zu ungewöhnlichen oder fehlerhaften Paketen, die von der Firewall erkannt wurden.
  • Limit-Zähler: Dies verfolgt, wie oft Firewall-Regeln mit Einschränkungen (z.B. maximale Verbindungen pro IP) erreicht werden.
  • Tabellengrößenbeschränkungen: Dies zeigt die maximale Kapazität an, die für verschiedene von der Firewall verwendete Tabellen zulässig ist.
  • Status-Timer: Dies zeigt die für verschiedene Verbindungszustände konfigurierten Zeitüberschreitungen an (z.B. wie lange eine inaktive Verbindung offen gehalten wird).
  • Schnittstellenstatistiken: Dieser Abschnitt bietet pro Schnittstelle Paketzähler, mit denen Sie das Verkehrsvolumen auf jeder Ihrer Netzwerkverbindungen sehen können.
Wie können pfSense-Nutzer von pfInfo profitieren? \nText zu übersetzen: ##### Wie können pfSense-Nutzer von pfInfo profitieren?

Durch die Überwachung von pfInfo können Sie wertvolle Einblicke in den Zustand und die Leistung Ihrer Firewall gewinnen. Sie können pfInfo für die folgenden Zwecke verwenden:

  • Hohe Verkehrsaufkommen oder ungewöhnliche Aktivitäten identifizieren.
  • Diagnostizieren Sie potenzielle Engpässe oder überlastete Schnittstellen.
  • Überwachen Sie die Anzahl der aktiven Verbindungen und passen Sie die Firewall-Regeln bei Bedarf an.
  • Beheben Sie Probleme, die mit bestimmten Protokollen oder Pakettypen zusammenhängen.

pfTop

pfTop ist ein leistungsstarkes Tool in pfSense, das Echtzeiteinblicke in die Funktionsweise Ihrer Firewall bietet. Es fungiert wie ein Verkehrsmonitor, der Informationen über aktive Verbindungen, verwendete Firewall-Regeln und Datenübertragungsstatistiken anzeigt.

Sie können auf pfTop auf zwei Arten zugreifen:

  1. GUI: Navigieren Sie zu Diagnose > pfTop. Dies ist die benutzerfreundlichste Option.

    Abbildung 9. pfSense-Diagnose > pfTop

  2. Konsole: Wenn Sie die Befehlszeile bevorzugen, greifen Sie über SSH oder das Konsolenmenü (Option 9) auf pfTop zu und führen Sie den Befehl pftop aus.

Verständnis der pfTop-Oberfläche (GUI)

Die pfTop-Oberfläche bietet verschiedene Optionen, um die angezeigten Informationen anzupassen. Lassen Sie uns die Schlüsselfunktionen aufschlüsseln:

  • Ansicht: Dies steuert, welche Daten angezeigt werden. Wählen Sie aus Optionen wie "Standard" (ausgewogene Ansicht), "Label" (zentriert auf Regelbeschreibungen), "Lang" (detaillierte Ansicht für breite Bildschirme) und mehr.
  • Filterausdruck: Hier können Sie die angezeigten Informationen basierend auf spezifischen Kriterien wie Protokoll, Adresse (Quelle, Ziel, Gateway) oder Richtung (eingehender/ausgehender Verkehr) filtern.
  • Sortieren nach: Sortieren Sie die angezeigten Zustände (aktive Verbindungen) nach verschiedenen Parametern wie Alter, übertragenen Bytes, IP-Adressen, Ports, Geschwindigkeiten und mehr.
  • Maximale Anzahl der Staaten: Begrenzen Sie die Anzahl der auf der Seite angezeigten Einträge, besonders hilfreich bei einer großen Anzahl aktiver Verbindungen.

Staaten

pfSense verwendet ein Konzept namens "States", um aktive Verbindungen, die durch Ihre Firewall gehen, nachzuverfolgen. Die Seite Diagnostik > Zustände in der GUI bietet eine detaillierte Ansicht dieser Zustände und liefert wertvolle Einblicke in Ihren Netzwerkverkehr.

Abbildung 10. Pfsense-Diagnose > Zustände

Jeder Status-Eintrag zeigt die folgenden Details zu einer bestimmten Verbindung an:

  • Schnittstelle: Die Netzwerkschnittstelle, über die die Verbindung in die Firewall eintritt oder sie verlässt.
  • Protokoll: Die Art der verwendeten Kommunikation, wie TCP (Web-Browsing), UDP (Streaming) oder ICMP (Ping).
  • Quelle und Ziel: Dieser Abschnitt zeigt die IP-Adressen (und manchmal Ports) der kommunizierenden Geräte an, wobei jegliche vom Firewall angewandte Netzwerkadressübersetzung (NAT) berücksichtigt wird.
  • Zustand: Dies zeigt den aktuellen Status der Verbindung an, wie "ESTABLISHED" für ein aktives Gespräch oder "SYN_SENT", wenn ein Gerät auf eine Antwort wartet. (Verweisen Sie auf den Abschnitt "Zustände interpretieren" für Details zu gängigen Zustandstypen.)
  • Pakete und Bytes: Die Gesamtzahl der Pakete und der für diese Verbindung übertragenen Daten.
  • Aktionsschaltfläche: Sie können einzelne Staaten mit dem Symbol am Ende jeder Zeile entfernen.
Verwendung des Statusfilters

Das "Statusfilter"-Panel ermöglicht es Ihnen, die angezeigten Einträge zu durchsuchen und einzugrenzen:

  • Schnittstelle: Wählen Sie eine bestimmte Netzwerkschnittstelle aus, um deren Status-Tabelle anzuzeigen.
  • Filterausdruck: Geben Sie ein Schlüsselwort oder eine IP-Adresse ein, um bestimmte Verbindungen zu finden. Die Suche berücksichtigt alle Spalten.
tipp

Tipps zur Verwendung von Zuständen sind unten aufgeführt:

  • Die Filterung ist entscheidend für Systeme mit vielen aktiven Verbindungen.
  • Sie können alle Verbindungen von einer bestimmten IP oder einem Subnetz entfernen, indem Sie "Kill States" verwenden, nachdem Sie nach der IP-Adresse gesucht haben.
  • Die Option "Statusfilter erforderlich" in den Einstellungen kann verhindern, dass die Seite geladen wird, bis Sie die Ergebnisse gefiltert haben, um eine überwältigende Datenanzeige zu vermeiden.
Verständnis der Staatstypen

Ein kurzer Überblick über einige Beispiele für Zustandstypen ist unten aufgeführt:

  • TCP-Zustände:
    • SYN_SENT: Gerät initiiert eine Verbindung (wartet auf Antwort).
    • HERGESTELLT: Die bidirektionale Kommunikation ist vollständig aktiv.
    • TIME_WAIT/FIN_WAIT: Verbindung wird geschlossen.
  • UDP/Andere Protokolle:
    • EINZELN: Gerät hat ein einzelnes Paket gesendet.
    • MEHRERE: Gerät hat mehrere Pakete gesendet.
    • NO_TRAFFIC: Keine Antwort vom Ziel erhalten.

Durch die effektive Nutzung der States-Seite und das Verständnis der Zustandstypen können Sie wertvolle Einblicke in Ihre Netzwerkaktivität gewinnen, Verbindungsprobleme beheben und potenzielle Sicherheitsbedenken überwachen.

Wie werden States in pfSense verwendet?

Zu Diagnosezwecken sind hier einige Beispiele, wie Zustände in PFSense verwendet werden können:

  • Netzwerkaktivität überwachen: Sehen Sie, welche Geräte kommunizieren, wie viel und mit welchem Protokoll. Dies hilft, Verbindungsprobleme zu beheben und Firewall-Regeln zu optimieren.
  • Sicherheitsüberwachung: Ungewöhnliche Verbindungen oder Zustände wie "SYN_SENT" könnten auf verdächtige Aktivitäten wie Port-Scans hinweisen.
  • Netzwerkmanagement: Identifizieren Sie unerwünschte Geräte, beheben Sie spezifische Verbindungsprobleme und optimieren Sie die Netzwerkleistung basierend auf den Verkehrsmustern.
  • Effizienz: Zustände helfen pfSense, Pakete schneller zu filtern, indem sie aktive Verbindungen verfolgen.
  • Debugging: Analysieren Sie Statusinformationen, um den Datenverkehr zu verstehen und Firewall-Regeln zu debuggen.

Insgesamt bieten pfSense-Status wertvolle Einblicke in die Aktivität und Sicherheit Ihres Netzwerks, sodass Sie Ihre Firewall effektiv verwalten können.

Staaten Zusammenfassung

Die Statusübersicht (Diagnose > Statusübersicht) in pfSense bietet einen Überblick über Ihre aktiven Verbindungen und ermöglicht eine schnellere Identifizierung potenzieller Probleme.

Abbildung 11. pfSense-Diagnose > Statusübersicht

Die Staatliche Zusammenfassung kategorisiert Verbindungen nach verschiedenen Kriterien:

  • Nach Quell-IP-Adresse: Dies hilft, potenzielle Quellen von Angriffen oder Portscans zu identifizieren.
  • Nach Ziel-IP-Adresse: Nützlich zur Identifizierung von Servern oder Zielen von Angriffen.
  • Gesamt pro IP-Adresse: Hebt Geräte hervor, die viele Ports verwenden, wie z.B. BitTorrent-Clients.
  • Nach IP-Adresspaar: Zeigt Verbindungen zwischen bestimmten Geräten an und hilft, ungewöhnliche Aktivitäten zwischen Client/Server-Paaren zu identifizieren.
Wie wird die Statusübersicht in pfSense verwendet?

States Summary wird auf pfSense für die folgenden Zwecke verwendet:

  • Überwachen aktiver Hosts: Sehen Sie, welche Geräte derzeit verbunden sind und Ihre Netzwerkressourcen nutzen.
  • Identifizieren Sie potenzielle Bedrohungen: Achten Sie auf verdächtige Aktivitäten wie übermäßige Verbindungen von einer einzigen Quelle oder eine hohe Anzahl von Verbindungen auf ungewöhnlichen Ports.
  • Untersuchen Sie spezifische Verbindungen: Bestimmen Sie schnell Verbindungen zwischen bestimmten Geräten zur weiteren Analyse.
tipp

Die Verarbeitung der Statuszusammenfassung kann langsam sein, insbesondere bei großen Status Tabellen oder begrenzter Rechenleistung. In solchen Fällen wird die Seite möglicherweise nicht korrekt angezeigt oder lädt sogar gar nicht. Wenn die Statusübersicht nicht verfügbar ist, ziehen Sie in Betracht, die reguläre Statusseite (Diagnose > Status) für eine detailliertere, individuelle Verbindungsansicht zu verwenden, aber seien Sie auf möglicherweise überwältigende Daten vorbereitet.

Durch die Einbeziehung der Statusübersicht in Ihre Überwachungsroutine können Sie einen schnellen Überblick über Ihre Netzwerkaktivität erhalten und potenzielle Sicherheitsprobleme oder Leistungsengpässe identifizieren.

Systemdiagnose- und Verwaltungstools

pfSense bietet eine Vielzahl von Diagnosetools zur Überwachung und Verwaltung der allgemeinen Gesundheit und Leistung Ihres Systems an. Diese Tools ermöglichen Ihnen den Zugriff auf kritische Systemfunktionen, aber seien Sie vorsichtig, da einige die Funktionsweise Ihrer Firewall erheblich beeinträchtigen können. Hier ist eine Übersicht über das System Health and Management-Tool:

Eingabeaufforderung

Die Eingabeaufforderung in pfSense (Diagnose > Eingabeaufforderung) bietet erweiterte Funktionen für erfahrene Benutzer. Es ermöglicht Ihnen, Shell-Befehle auszuführen, Dateien hochzuladen/herunterzuladen und sogar PHP-Code direkt auf der Firewall auszuführen.

warnung

Die falsche Verwendung der Eingabeaufforderung kann Ihre Firewall möglicherweise unbrauchbar machen. Gehen Sie vorsichtig vor und nur, wenn Sie ein gutes Verständnis für Befehlszeilentools und PHP-Skripting haben. Es wird empfohlen, sich an einen Supportmitarbeiter zu wenden, es sei denn, Sie sind sich Ihrer Fähigkeiten sicher. Die Eingabeaufforderung ist ein mächtiges Werkzeug, aber mit großer Macht kommt große Verantwortung. Verwenden Sie es vorsichtig und nur wenn nötig. Wenn Sie unsicher sind, erkunden Sie die Optionen der Weboberfläche oder suchen Sie Hilfe bei einem qualifizierten Fachmann.

Abbildung 12. pfSense-Diagnose > Eingabeaufforderung

Sie können die folgenden Aufgaben mit der Eingabeaufforderung ausführen:

  • Shell-Befehle ausführen: Führen Sie verschiedene Befehle aus, als ob Sie eine Konsole verwenden würden, um eine detaillierte Kontrolle über die Firewall zu ermöglichen. Seien Sie sich bewusst, dass einige Befehle wie ping ohne Zählung oder tcpdump ohne Begrenzung unbegrenzt laufen können und manuell beendet werden müssen. Interaktive Befehle wie vi funktionieren möglicherweise nicht richtig aufgrund der nicht-interaktiven Natur der Schnittstelle.
  • Dateien herunterladen: Dateien direkt vom Dateisystem der Firewall abrufen, indem Sie den vollständigen Pfad angeben.
  • Dateien hochladen: Laden Sie Dateien von Ihrem lokalen Computer in das /tmp/-Verzeichnis der Firewall hoch. Sie können dann andere Shell-Befehle verwenden, um sie bei Bedarf an andere Orte zu verschieben.
  • PHP-Code ausführen: Dies ermöglicht fortgeschrittenere Automatisierungsaufgaben, indem PHP-Skripte direkt auf der Firewall ausgeführt werden.

Wenn Sie sich mit der Eingabeaufforderung nicht wohlfühlen, bietet pfSense alternative Optionen für einige Aufgaben an:

  • Die Weboberfläche bietet viele Konfigurationsoptionen, die über Menüs zugänglich sind.
  • Der Paketmanager ermöglicht die Installation zusätzlicher Softwarepakete für spezifische Funktionen.

Datei bearbeiten

Während die pfSense-Weboberfläche eine breite Palette von Konfigurationsoptionen bietet, kann es Situationen geben, in denen Sie spezifische Konfigurationsdateien für eine genauere Kontrolle bearbeiten müssen. pfSense bietet einen Dateieditor (Diagnose > Datei bearbeiten), der es fortgeschrittenen Benutzern ermöglicht, Konfigurationsdateien direkt auf der Firewall zu bearbeiten. Dies ist jedoch ein leistungsstarkes Werkzeug, das Ihre Firewall potenziell unbrauchbar machen kann, wenn es falsch verwendet wird.

warnung

Das Bearbeiten der falschen Datei oder das Einführen von Fehlern kann die Funktionalität Ihrer Firewall ernsthaft beeinträchtigen. Verwenden Sie diese Funktion nur, wenn Sie ein fundiertes Verständnis der Firewall-Konfiguration und der spezifischen Datei, die Sie ändern, haben. Erwägen Sie, Unterstützung vom pfSense-Support oder einem qualifizierten Fachmann zu suchen, wenn Sie unsicher sind.

Sie können Dateien bearbeiten, indem Sie die folgenden Schritte ausführen:

  1. Gehe zu Diagnose > Datei bearbeiten im pfSense-Web-UI.

    Abbildung 13. pfSense-Diagnose > Datei bearbeiten

  2. Datei finden: Bestimmen Sie die genaue Datei, die Sie bearbeiten müssen. Zu den häufigsten Konfigurationsdateien gehören Firewall-Regeln (/conf/config.xml) oder spezifische Paketeinstellungen, die sich in ihren jeweiligen Verzeichnissen befinden.

  3. Datei laden: Gehen Sie auf die Seite "Datei bearbeiten" und geben Sie den vollständigen Pfad zur Datei in das Feld "Speichern/Laden von Pfad" ein oder verwenden Sie die Schaltfläche "Durchsuchen", um sie zu finden. Klicken Sie auf "Laden", um den Inhalt der Datei im Editor zu öffnen.

  4. Bearbeiten Sie vorsichtig: Nehmen Sie die notwendigen Änderungen am Dateiinhalte vor. Denken Sie daran, dass selbst ein kleiner Tippfehler Probleme verursachen kann.

  5. Speichern und Neustarten: Sobald Sie mit den Änderungen zufrieden sind, klicken Sie auf "Speichern", um die Datei dauerhaft zu ändern. Es wird allgemein empfohlen, die Firewall danach neu zu starten, damit die Änderungen vollständig wirksam werden.

Halt System

pfSense bietet eine sichere Möglichkeit, Ihre Firewall mit der Funktion "System herunterfahren" auszuschalten. Dies ist entscheidend, bevor das Gerät physisch ausgeschaltet wird, um Datenkorruption oder Systeminstabilität zu vermeiden.

Sie können pfSense über die Web-GUI anhalten, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Diagnose > System anhalten.

    Abbildung 14. pfSense-Diagnose > System anhalten

  2. Klicken Sie auf die Halt-Taste.

  3. Klicken Sie im Bestätigungsfenster auf OK. Dies initiiert den Herunterfahrprozess.

Sie können pfSense über die Web-Konsole anhalten, indem Sie die folgenden Schritte ausführen:

  1. Greifen Sie entweder lokal oder über SSH mit einem Administratorkonto (wie "admin" oder "root") auf das Konsolenmenü zu.
  2. Identifizieren Sie die Optionsnummer, die "Halt system" entspricht (es könnte Nummer 6 sein, aber überprüfen Sie Ihre spezifische Konsole zur Bestätigung).
  3. Drücken Sie die Eingabetaste, um diese Option auszuwählen.
  4. Geben Sie y (für ja) ein, um das Herunterfahren zu bestätigen, und drücken Sie erneut die Eingabetaste.
tipp
  • Halten Sie das System immer an, bevor Sie die Stromversorgung physisch abschalten. Dies gewährleistet ein ordnungsgemäßes Daten-Flushen und vermeidet potenzielle Probleme.
  • Nachdem das Betriebssystem angehalten hat, könnte auch einige Hardware automatisch die Stromversorgung abschalten.
  • Planen Sie automatische Abschaltungen zur Wartung oder zur Energieeinsparung mithilfe von Cron-Jobs (falls auf Ihrem System anwendbar).
  • Erwägen Sie die Verwendung einer USV (unterbrechungsfreie Stromversorgung), um Ihre Firewall vor unerwarteten Stromausfällen zu schützen.

Begrenzungsinfo

pfSense bietet eine Funktion namens "Limiters" (Diagnose > Limiter-Info), mit der Sie die Bandbreitennutzung für bestimmte Zwecke steuern und überwachen können.

Abbildung 15. pfsense Diagnosen > Drossel-Info

Limiter definieren die maximale Bandbreite für bestimmte Verkehrsarten oder Geräte in Ihrem Netzwerk. Im Gegensatz zu Traffic Shaping (CBQ), das eine Mindestbandbreite garantiert, stellen Begrenzungen sicher, dass der Datenverkehr ein festgelegtes Limit nicht überschreitet.

Anwendungsfälle für Limiter sind wie folgt:

  • Bandbreite pro Benutzer begrenzen: Weisen Sie einem bestimmten Gerät eine bestimmte Internetgeschwindigkeit zu (z.B. Benutzer X auf 1 Mbps begrenzen).
  • Gerechte Bandbreitenteilung: Verteilen Sie die verfügbare Bandbreite gleichmäßig auf mehrere Benutzer in Ihrem Netzwerk (z.B. 10 Mbps gleichmäßig zwischen allen LAN-Benutzern teilen).
  • Netzwerksegmentierungskontrolle: Begrenzen Sie die Gesamtbandbreite für ein bestimmtes Netzwerksegment (z.B. das "OPT"-Netzwerk auf 5 Mbps beschränken).
  • Protokollspezifische Limits: Kontrollieren Sie die Bandbreitennutzung für spezifische Protokolle wie FTP (z.B. den FTP-Verkehr auf 2 Mbps begrenzen).
Verständnis der Begrenzungsinformationen

Die Limiter-Info-Seite zeigt die folgenden Details zu aktiven Limitern im Textformat an:

  • Begrenzungsname: Der Name, den Sie dem Begrenzungsgerät zugewiesen haben.
  • Bandbreite: Die maximale Bandbreite, die diesem Drossler zugewiesen ist.
  • Parameter: Zusätzliche Einstellungen für den Limiter.
  • Aktueller Verkehrsfluss: Die Echtzeitmenge des Verkehrs, die derzeit durch den Limiter fließt.
Verwendung von Begrenzungsinformationen

Diese Seite bietet einen schnellen Überblick über Ihre Limiter-Nutzung. Sie können den Verkehrsfluss analysieren und potenzielle Engpässe oder Bereiche identifizieren, in denen Sie Anpassungen vornehmen müssen.

  • Drosselungen werden typischerweise paarweise erstellt: eine für den eingehenden Verkehr (Download) und eine für den ausgehenden Verkehr (Upload).
  • Drosselungen sind hierarchisch organisiert, mit einer Wurzel-Drosselung (Hauptleitung) und untergeordneten Drosselungen (Warteschlangen) mit zugewiesenen Gewichten (Prioritäten).

Durch das Verständnis von Limitern und die effektive Nutzung von Limiter Info können Sie die Kontrolle über die Bandbreitenzuweisung erlangen und die Netzwerkleistung an Ihre spezifischen Bedürfnisse anpassen.

NDP-Tabelle (für IPv6)

pfSense verwendet das Neighbor Discovery Protocol (NDP) für IPv6-Netzwerke. Die NDP-Tabelle (Diagnose > NDP-Tabelle) hilft Ihnen zu sehen, welche IPv6-Geräte in Ihrem Netzwerk kürzlich mit Ihrer Firewall kommuniziert haben.

Abbildung 16. pfSense Diagnosen > NDPTable

Jeder Eintrag in der NDP-Tabelle liefert Details über ein benachbartes Gerät:

  • IPv6-Adresse: Die eindeutige Adresse, die dem Gerät in Ihrem Netzwerk zugewiesen ist.
  • MAC-Adresse: Die physische Adresse der Netzwerkschnittstellenkarte (NIC) des Geräts. Wenn als "(Unvollständig)" aufgeführt, hat die Firewall noch keine Antwort erhalten.
  • Hostname (falls verfügbar): Der Name des Geräts, der durch eine DNS-Rückwärtssuche ermittelt wurde (möglicherweise nicht immer verfügbar).
  • Schnittstelle: Die Netzwerkschnittstelle auf Ihrer Firewall, an der das Gerät gesehen wurde.
  • Ablaufdatum: Wie lange der Eintrag gültig bleibt:
    • Permanent: Statische Einträge für Ihre Firewall oder bestimmte Geräte.
    • <time remaining>: Dynamische Einträge, die ablaufen, wenn das Gerät nicht innerhalb der angegebenen Zeit kommuniziert.
  • Aktionen:
    • Entfernen: Manuell einen Eintrag entfernen (kann nützlich sein, wenn sich die MAC-Adresse eines Geräts ändert).
    • NDP-Tabelle löschen: Alle Einträge löschen (selten notwendig, kann aber helfen, wenn viele Geräte ihre MAC-Adressen ändern).
Anwendungsfälle für die NDP-Tabelle

Anwendungsfälle für die NDP-Tabelle sind wie folgt:

  • Fehlerbehebung bei Verbindungsproblemen: Identifizieren Sie Geräte, die Schwierigkeiten bei der Kommunikation haben, indem Sie ihre NDP-Einträge überprüfen.
  • Überprüfung der Firewall-Regeln: Überprüfen Sie, ob die erlaubten Geräte in der Tabelle angezeigt werden.
  • Überwachung der Netzwerkaktivität: Verfolgen Sie, welche Geräte Ihr Netzwerk aktiv nutzen.
  • Sicherheitsüberwachung: Achten Sie auf ungewöhnliche Geräte oder übermäßige Kommunikation von bestimmten Adressen.

Paketaufzeichnung

pfSense bietet ein integriertes Tool zum Erfassen von Netzwerkverkehrspaketen, mit dem Sie die Kommunikation in Ihrem Netzwerk analysieren können. Packet Capture, zu finden unter Diagnostik > Paketaufnahme, fungiert wie ein Aufnahmegerät für Ihren Netzwerkverkehr. Es erfasst die Datenpakete, die durch eine bestimmte Netzwerkschnittstelle fließen, und ermöglicht Ihnen, Details wie Quelle, Ziel, Protokoll und Inhalt (falls zutreffend) zu analysieren.

Anwendungsfälle für die Paketaufnahme sind wie folgt:

  • Fehlerbehebung bei Netzwerkproblemen: Identifizieren Sie die Ursache von Verbindungsproblemen, indem Sie Kommunikationsmuster untersuchen.
  • Sicherheitsüberwachung: Analysieren Sie verdächtige Aktivitäten oder potenzielle Sicherheitsverletzungen, indem Sie nach ungewöhnlichen Verkehrs mustern suchen.
  • Anwendungsleistungsanalyse: Überwachen Sie das Verhalten der Anwendung und identifizieren Sie Engpässe oder Ineffizienzen.
  • Überprüfung der Firewall-Regeln: Bestätigen Sie, ob der erlaubte Datenverkehr wie erwartet durch die Firewall fließt.

Abbildung 17. pfSense-Diagnose > Paketaufzeichnung

Verwendung von Packet Capture

Sie können die Paketaufzeichnung auf pfSense verwenden, indem Sie die folgenden Schritte befolgen:

  1. Navigieren Sie zu Diagnose > Paketaufnahme.
  2. Konfigurieren Sie die Aufnahmeoptionen:
    • Schnittstelle: Wählen Sie die Netzwerkschnittstelle aus, um den Datenverkehr zu erfassen.
    • Paketaufzeichnungsfilter: Wählen Sie einen vordefinierten Filter oder definieren Sie einen benutzerdefinierten Filter, um die erfassten Daten einzugrenzen (z.B. nur den Datenverkehr zu einer bestimmten IP-Adresse oder einem bestimmten Port erfassen).
    • Paketanzahl: Setzen Sie ein Limit für die Anzahl der zu erfassenden Pakete (empfohlen, um eine Überlastung der Erfassung zu vermeiden).
    • Paketlänge: Wählen Sie, wie viele Daten von jedem Paket erfasst werden sollen (komplettes Paket oder nur Header).
    • Promiskuitätsmodus: Aktivieren Sie dies, um gesamten Verkehr auf der Schnittstelle zu erfassen, selbst Pakete, die nicht direkt an die Firewall adressiert sind (mit Vorsicht verwenden, einige Treiber könnten damit nicht gut umgehen).
    • Anzeigeoptionen: Definieren Sie, wie die erfassten Daten in der GUI angezeigt werden sollen (z.B. Aktivierung der Namensauflösung für IP-Adressen).
  3. Klicken Sie auf Start: Dies beginnt mit der Erfassung von Paketen. Die erfassten Daten werden in einem Live-Vorschaufenster angezeigt.
  4. Klicken Sie auf Stop (oder warten Sie auf das Zähl-Limit): Dies beendet die Erfassung und ermöglicht Ihnen, die Ergebnisse anzusehen.
Ansehen der erfassten Daten

Sie können die erfassten Daten auf pfSense auf folgende Weise anzeigen:

  • Ansicht: Dies zeigt die erfassten Pakete im Standard-tcpdump-Format innerhalb der GUI an.
  • Herunterladen: Dies ermöglicht es Ihnen, die erfassten Daten als Datei zu speichern, um sie später in einem speziellen Tool wie Wireshark (empfohlen für eine eingehende Analyse) zu analysieren.

Neustart

Das gelegentliche Neustarten Ihrer pfSense-Firewall ist eine gesunde Praxis, ähnlich wie das Neustarten Ihres Computers. Sie müssen Ihre pfSense-Firewall möglicherweise aus den folgenden Gründen neu starten:

  • Anwenden von Updates: Nach der Installation von Software-Updates wird oft ein Neustart empfohlen, um sicherzustellen, dass die Änderungen vollständig wirksam werden.
  • Probleme lösen: Ein Neustart kann manchmal vorübergehende Störungen oder Speicherprobleme beheben, die Probleme verursachen könnten.
  • Leistungsmaintenanz: Regelmäßige Neustarts können helfen, eine Leistungsverschlechterung im Laufe der Zeit zu verhindern.
Neustartmethoden in pfSense

pfSense bietet mehrere Möglichkeiten zum Neustart, jede mit ihren eigenen Vorteilen:

  1. Normaler Neustart (Diagnose > System neu starten): Dies ist die traditionelle Methode, das gesamte Betriebssystem neu zu starten. Es ist immer verfügbar und zuverlässig.
  2. Reroot (Diagnose > System neu starten): Dies ist eine schnellere Option, die Kernservices neu startet, ohne das gesamte System neu zu laden. Es eignet sich für Situationen, in denen ein schneller Neustart erforderlich ist.
  3. Einzelbenutzermodus (nur Konsole): Diese erweiterte Option startet die Firewall mit minimaler Funktionalität zu Troubleshooting-Zwecken. Verwenden Sie es mit Vorsicht und nur unter Anleitung eines qualifizierten Fachmanns.
  4. Neustart mit Dateisystemprüfung (Diagnose > System neu starten): Diese Methode startet die Firewall neu und führt eine Dateisystemprüfung durch, um potenzielle Probleme zu identifizieren und zu beheben. Verwenden Sie dies, wenn Sie eine Dateisystembeschädigung vermuten.
Wie man pfSense neu startet

Sie können pfSense über die GUI (Graphical User Interface) neu starten, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Diagnose > System neu starten.

    Abbildung 18. pfSense-Diagnose > Neustart

  2. Wählen Sie Ihre bevorzugte Neustartmethode aus den Optionen.

  3. Klicken Sie auf "Absenden", um den Neustartvorgang zu starten.

Sie können pfSense über die Konsole neu starten, indem Sie die folgenden Schritte ausführen:

  1. Greifen Sie lokal oder über SSH mit einem Administratorkonto auf das Konsolenmenü zu.
  2. Wählen Sie die Menüoption "System neu starten".
  3. Drücken Sie die Eingabetaste.
  4. Wählen Sie die gewünschte Neustartmethode, indem Sie den entsprechenden Buchstaben eingeben.
  5. Drücken Sie erneut die Eingabetaste.

SMART-Status

pfSense bietet ein wertvolles Tool namens S.M.A.R.T. Status an, um den Gesundheitszustand der Festplatten Ihrer Firewall zu überwachen. S.M.A.R.T. steht für Self-Monitoring, Analysis and Reporting Technology. Es ist eine integrierte Funktion in den meisten modernen Festplatten und SSDs, die es ihnen ermöglicht, ihre eigene Leistung und Zuverlässigkeit zu überwachen. Durch die Überwachung verschiedener Indikatoren kann S.M.A.R.T. potenzielle Ausfälle möglicherweise erkennen, bevor sie zu Datenverlust oder Ausfällen führen.

Abbildung 19. pfSense-Diagnose > SMART-Status

Steckdosen

pfSense verwendet die Seite Diagnose > Sockets, um Informationen über aktive Verbindungen auf Ihrer Firewall anzuzeigen. Das Verständnis von Sockets und wie man diese Seite interpretiert, kann ein wertvolles Diagnosewerkzeug sein.

Abbildung 20. pfSense-Diagnose > Sockets

Ein Socket ist ein virtueller Endpunkt, der für die Kommunikation zwischen Programmen in einem Netzwerk verwendet wird. Es ist wie ein dedizierter Kanal, der zwischen zwei Anwendungen zum Austausch von Daten eingerichtet wird. pfSense selbst verwendet Sockets für verschiedene Zwecke, wie zum Beispiel:

  • Zugriff auf die Weboberfläche (GUI)
  • Kommunikation mit Daemons (Hintergrunddienste)
  • Ausgehende Verbindungen, um Repositories zu aktualisieren oder Informationen abzurufen
Verwendung von Sockets für Diagnosen

Die Sockets-Seite bietet wertvolle Informationen zur Fehlersuche bei Netzwerkverbindungsproblemen. So verwenden Sie Sockets:

  1. Verstehen der Daten: Die Seite zeigt Informationen in Spalten an:

    • Benutzer: Der Betriebssystembenutzer, der mit dem Socket verbunden ist (normalerweise root für Systemprozesse).
    • Befehl: Das Programm oder der Daemon, der den Socket verwendet (z.B. httpd für die Webschnittstelle).
    • PID: Die Prozess-ID des Programms, das den Socket verwendet.
    • FD: Die Dateideskriptor-Nummer für den Socket (interner Systembezeichner).
    • Proto: Das Transportprotokoll und die Adressfamilie (TCP4, UDP6, usw.).
    • Lokal: Die lokale IP-Adresse und der Port des Sockets auf Ihrer pfSense-Box.
    • Fremd (Optional): Die Remote-IP-Adresse und der Port für ausgehende Verbindungen (nur angezeigt, wenn "Alle Socket-Verbindungen anzeigen" angeklickt wird).

  2. Verbindungen analysieren: Standardmäßig zeigt die Seite nur "hörende" Sockets an. Dies sind Sockets, die aktiv auf eingehende Verbindungen an bestimmten Ports warten. Ein Klick auf "Alle Socket-Verbindungen anzeigen" zeigt zusätzliche Informationen an:

    • Eingehende Verbindungen: Diese Sockets kommunizieren aktiv mit einem anderen Gerät im Netzwerk.
    • Ausgehende Verbindungen: Diese Sockets repräsentieren Verbindungen, die von pfSense zu externen Servern initiiert werden.

  3. Fehlerbehebung mit Sockets: Hier sind einige Möglichkeiten, Sockets für Diagnosen zu verwenden:

    • Dienste identifizieren: Überprüfen Sie, welche Ports von bestimmten Diensten wie der Web-GUI (Port 80) oder OpenVPN (Port 1194) verwendet werden.
    • Überprüfen Sie den Dienststatus: Wenn ein Dienst nicht funktioniert, überprüfen Sie die Sockets-Seite auf Aktivitäten auf seinem zugewiesenen Port. Fehlende Einträge könnten auf ein Problem mit dem Dienst hinweisen.
    • Debugging ausgehender Verbindungen: Überprüfen, ob pfSense eine Verbindung zu externen Servern herstellen kann, indem nach etablierten Sockets mit entfernten IP-Adressen gesucht wird.
    • Ressourcennutzung verfolgen: Eine hohe Anzahl von Sockets kann auf eine intensive Netzwerkaktivität oder eine mögliche Erschöpfung der Ressourcen hinweisen.

Systemaktivität

Die Seite Diagnose > Systemaktivität in pfSense ist ein wichtiges Werkzeug zur Überwachung der Gesamtgesundheit und Leistung Ihrer Firewall. Es bietet eine Echtzeitansicht verschiedener Systemressourcen, ähnlich der Ausgabe des Befehls top in der Befehlszeile.

Abbildung 21. pfsense-Diagnose > Systemaktivität

Die Systemaktivitätsseite zeigt die folgenden wichtigen Kennzahlen zu Ihrem pfSense-System an:

  • System Load Average: Dies zeigt an, wie beschäftigt die CPU Ihrer Firewall in der letzten Minute, den letzten 5 Minuten und den letzten 15 Minuten war. Ein hoher Durchschnittslastwert über längere Zeiträume könnte auf Leistungsengpässe hinweisen.
  • Prozesszustände: Es zeigt die Anzahl der Prozesse in verschiedenen Zuständen wie laufend, schlafend, wartend usw. Eine hohe Anzahl von "wartenden" Prozessen könnte auf einen Ressourcenengpass oder eine bestimmte Anwendung hinweisen, die Verzögerungen verursacht.
  • CPU-Auslastung: Dies zeigt den Prozentsatz der CPU-Zeit an, die derzeit vom System genutzt wird. Eine durchgehend hohe CPU-Auslastung könnte auf den Bedarf an einem Hardware-Upgrade oder einer Leistungsoptimierung hinweisen.
  • Speichernutzung: Dies bietet eine Aufschlüsselung der Speicherauslastung für verschiedene Bereiche wie aktive Prozesse, zwischengespeicherte Daten und Puffer. Hoher Speicherverbrauch kann zu Leistungsproblemen führen. Beziehen Sie sich auf die Dokumentation zur "Speicherverwaltung" für Details zu jeder Speicherkategorie.
  • ZFS ARC-Nutzung (falls zutreffend): Wenn Ihre pfSense ZFS-Speicherpools verwendet, zeigt dieser Abschnitt, wie der Adaptive Replacement Cache (ARC) den Speicher nutzt. Der ARC verbessert die Speicherleistung. Beziehen Sie sich auf die Dokumentation "ZFS Tuning", um die ARC-Nutzung zu verwalten.
  • Swap-Speicher-Nutzung: Dies zeigt an, wie viel Swap-Speicher (Festplatte, die als virtueller Speicher verwendet wird) genutzt wird. Häufige Nutzung des Swap-Speichers weist auf unzureichenden RAM für die aktuellen Aufgaben hin.
  • Aktive Prozesse: Dies ist eine Liste der derzeit auf Ihrer Firewall laufenden Prozesse. Sie können deren CPU- und Speicherauslastung sehen.
Verwendung der Systemaktivität für Diagnosen

Die Seite "Systemaktivität" hilft Ihnen, potenzielle Leistungsprobleme zu identifizieren und zu beheben. Einige Möglichkeiten, die Systemaktivität zu nutzen, sind wie folgt:

  • Überwachen Sie die CPU-Auslastung: Wenn die CPU-Auslastung konstant 100% erreicht, könnte es an der Zeit sein, ein Hardware-Upgrade in Betracht zu ziehen oder die Ressourcenzuteilung zu optimieren.
  • Identifizieren Sie ressourcenintensive Prozesse: Suchen Sie nach Prozessen, die übermäßig viel CPU oder Speicher verbrauchen. Dies könnte auf eine bestimmte Anwendung hinweisen, die Leistungsprobleme verursacht.
  • Untersuchen Sie die hohe Lastdurchschnitt: Ein dauerhaft hoher Lastdurchschnitt deutet darauf hin, dass Ihre Firewall Schwierigkeiten hat, mit dem Netzwerkverkehr Schritt zu halten. Analysieren Sie andere Metriken wie CPU- und Speicherauslastung, um den Engpass zu identifizieren.
  • Überwachen Sie die Speichernutzung: Wenn der freie Speicher kontinuierlich niedrig ist, könnte es sinnvoll sein, nach Speicherlecks zu suchen oder mehr RAM hinzuzufügen.
  • Überwachen der ZFS ARC-Nutzung (falls zutreffend): Ein gut abgestimmter ARC kann die Speicherleistung verbessern. Überwachen Sie die ARC-Nutzung, um sicherzustellen, dass der Speicher effektiv genutzt wird.
  • Überwachen der Swap-Nutzung: Häufige Swap-Nutzung deutet darauf hin, dass das System stark auf den Speicherplatz der Festplatte angewiesen ist, um unzureichenden RAM auszugleichen. Erwägen Sie, RAM hinzuzufügen oder den Speicherverbrauch durch Anwendungen zu reduzieren.

Tabellen

pfSense verwendet Tabellen, um Listen von IP-Adressen, Netzwerken oder Hostnamen, die in Firewall-Regeln verwendet werden, zu organisieren und zu verwalten. Diese Tabellen bieten Flexibilität und vereinfachen die Regelerstellung. Denken Sie an Tabellen als benannte Listen, auf die pfSense in Firewall-Regeln verweisen kann. Arten von Tabellen in pfSense sind wie folgt:

  • Statisch: Diese Tabellen enthalten vordefinierte Einträge, die sich selten ändern, wie die "Bogons"-Liste von ungenutzten IP-Bereichen.
  • Dynamisch: Diese Tabellen werden automatisch basierend auf Ereignissen befüllt, wie zum Beispiel "sshguard", das IP-Adressen enthält, die wiederholt fehlgeschlagene Anmeldeversuche hatten.
Vorteile der Verwendung von Tabellen

Die Vorteile der Verwendung von Tabellen sind unten aufgeführt:

  • Wartbarkeit: Das Aktualisieren eines einzelnen Eintrags in einer Tabelle spiegelt sich in allen Regeln wider, die darauf verweisen, was die Regelverwaltung erleichtert.
  • Lesbarkeit: Firewall-Regeln werden klarer, wenn sie sich auf benannte Tabellen anstelle von verstreuten IP-Adressen beziehen.
  • Flexibilität: Tabellen ermöglichen die Erstellung von wiederverwendbaren Listen für verschiedene Zwecke.
Zugriff auf und Verwendung von Tabellen

Sie können auf Tabellen zugreifen und diese anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu Diagnose > Tabellen, um Tabellen anzuzeigen.

    Abbildung 22. pfSense-Diagnose > Tabellen

  2. Wählen Sie die gewünschte Tabelle aus dem Dropdown-Menü Tabelle aus.

  3. Die Seite zeigt die Einträge in der ausgewählten Tabelle an.

  4. Um Einträge (Dynamische Tabellen) zu entfernen, verwenden Sie das X-Symbol neben einem Eintrag, um ihn vor seinem automatischen Ablauf aus einer dynamischen Tabelle zu entfernen.

warnung

Verwenden Sie dies nicht für manuell erstellte oder dateibasierte Tabellen. Bearbeiten Sie den Alias und entfernen Sie den Eintrag dort stattdessen.

Was sind Standardtabellen in pfSense?

Standardtabellen in pfSense sind unten aufgeführt:

  • bogons/bogonsv6: Diese Tabellen listen ungenutzte IP-Bereiche auf, die automatisch blockiert werden, wenn "Block Bogon Networks" auf einer beliebigen Schnittstelle aktiviert ist. Sie können sie manuell mit der Schaltfläche "Aktualisieren" aktualisieren.
  • cpzoneid: Interne Tabellen, die vom Captive Portal verwendet werden, nicht für die manuelle Verwaltung vorgesehen.
  • negate_networks: Diese Tabelle enthält Netzwerke, in denen die Firewall Negationsregeln für Richtungsrouten erstellt hat.
  • snort2c: Dynamisch mit blockierten IP-Adressen gefüllt, die von IDS/IPS-Systemen (Snort oder Suricata) identifiziert wurden.
  • sshguard: Diese dynamische Tabelle listet IP-Adressen mit wiederholten fehlgeschlagenen Anmeldeversuchen für SSH oder die GUI auf.
  • tonatsubnets: Bei der Verwendung von automatischem ausgehendem NAT enthält diese Tabelle Netzwerke, für die der ausgehende Datenverkehr automatisch übersetzt wird.
  • virusprot: Eine dynamische Tabelle, die IP-Adressen enthält, die die in den Firewall-Regeln festgelegten Grenzwerte überschreiten.
  • vpn_networks: Diese Tabelle listet entfernte Netzwerke auf, die über VPN-Verbindungen zugänglich sind.
Verwendung von Tabellen für Diagnosen

Sie können Tabellen für die folgenden Diagnosezwecke in pfSense verwenden.

  • Untersuchen Sie NAT-Probleme: Überprüfen Sie die "tonatsubnets"-Tabelle, um zu bestätigen, ob bestimmte Subnetze durch automatisches ausgehendes NAT abgedeckt sind.
  • Identifizieren Sie blockierte IPs: Überprüfen Sie die Tabellen "snort2c" und "sshguard", um IP-Adressen zu sehen, die von IDS/IPS blockiert oder bei fehlgeschlagenen Anmeldeversuchen gesperrt wurden.
  • Überprüfen Sie die Bogon-Sperrung: Stellen Sie sicher, dass die "Bogons"-Tabellen gefüllt und auf dem neuesten Stand sind, um eine effektive Sperrung zu gewährleisten.

Diagnosewerkzeuge für das Konfigurationsmanagement

pfSense bietet eine robuste Sammlung von Diagnosetools, die speziell zur Verwaltung der Konfiguration Ihrer Firewall entwickelt wurden. Diese Werkzeuge sind unerlässlich, um sicherzustellen, dass Ihre Firewall effizient und sicher funktioniert. Lassen Sie uns einige wichtige Werkzeuge näher betrachten und ihre Zwecke bei der Diagnose von Konfigurationsproblemen erkunden:

Authentifizierung (Test)

pfSense bietet ein integriertes Tool unter Diagnostik > Authentifizierung, um Anmeldeinformationen gegen Ihre konfigurierten Authentifizierungsserver zu testen. Dieser Leitfaden vermittelt Ihnen das Wissen, um häufige Anmeldeprobleme mit diesem Tool zu beheben.

Sie können die Authentifizierung testen, indem Sie die nächsten Schritte befolgen:

Abbildung 23. pfSense-Diagnose > Authentifizierung

  1. Navigieren Sie zu Diagnose > Authentifizierung.
  2. Wählen Sie den Authentifizierungsserver: Wählen Sie den Server aus, den Sie testen möchten (z.B. RADIUS, LDAP).
  3. Geben Sie Benutzername und Passwort ein: Geben Sie die Anmeldeinformationen ein, die Sie überprüfen möchten.
  4. Klicken Sie auf "Test."

Das Tool zeigt die Ergebnisse des Authentifizierungsversuchs an. Ein erfolgreicher Test bestätigt, dass die Anmeldeinformationen für den gewählten Server gültig sind.

Häufige Probleme und Lösungen

Häufige Authentifizierungsprobleme und deren Lösungen auf pfSense sind unten aufgeführt:

  • RADIUS-Authentifizierungsserver
    • Fehlende/unvollständige RADIUS-Antwortattribute: Die Firewall unterstützt möglicherweise nicht eine große Anzahl von Attributen, die vom RADIUS-Server zurückgegeben werden. Reduzieren Sie die Anzahl der Attribute auf dem Server, wenn möglich.
  • LDAP-Authentifizierungsserver
    • Falscher LDAP DN: Überprüfen Sie, ob der Base DN und der Suchbereich mit der Konfiguration Ihres LDAP-Servers übereinstimmen. Verwenden Sie einen LDAP-Browser, um die richtigen Einstellungen zu finden.
    • Bind-Anmeldeinformationen-Probleme: Stellen Sie sicher, dass der Benutzername für authentifizierte Bindungen korrekt ist und über ausreichende Berechtigungen auf dem LDAP-Server verfügt.
    • Gruppenmitgliedschaftsprobleme: Überprüfen Sie die Einstellungen für "Suchbereichsebene" und "Erweiterte Abfrage", um sicherzustellen, dass sie genau widerspiegeln, wie Gruppen auf Ihrem LDAP-Server definiert sind.
  • Verbindungsprobleme
    • Non-SSL/TLS: Überprüfen Sie, ob der LDAP-Server auf dem richtigen Port lauscht und ob Ihre Netzwerkverbindung funktioniert. Verwenden Sie Paketaufzeichnungstools wie Wireshark, um den Netzwerkverkehr zu analysieren.
    • SSL/TLS:
      • PHP und GUI neu starten: Nach der Durchführung von Konfigurationsänderungen mit SSL/TLS, starten Sie diese Dienste neu, damit die Änderungen wirksam werden.
      • Hostname erforderlich: Der in der Konfiguration verwendete Hostname des Servers muss mit dem Common Name (CN) oder Subject Alternative Name (SAN) des Serverzertifikats übereinstimmen.
      • Korrekter Port: Stellen Sie sicher, dass der konfigurierte Port (389 für STARTTLS oder 636 für ldaps) mit dem Port übereinstimmt, auf dem der LDAP-Server lauscht.
      • CA-Zertifikat: Importieren Sie das richtige CA-Zertifikat, das vom LDAP-Server verwendet wird, in den Zertifikatsmanager von pfSense.
      • Serverprotokolle und Paketaufzeichnungen: Konsultieren Sie die LDAP-Serverprotokolle und nutzen Sie Paketaufzeichnungen, um Fehler zu identifizieren, die vom Server selbst ausgehen.

Indem Sie diese Schritte befolgen und häufige Fallstricke verstehen, können Sie Login-Probleme mit dem Authentifizierungstest-Tool von pfSense effektiv beheben und ein sicheres Login-Erlebnis für Ihre Benutzer gewährleisten.

Sicherung & Wiederherstellung

Stellen Sie sich Folgendes vor: Sie haben Stunden damit verbracht, Ihre pfSense-Firewall zu konfigurieren, Firewall-Regeln zu erstellen, VPNs einzurichten und alles für optimale Sicherheit und Netzwerkleistung zu optimieren. Plötzlich geht etwas schief. Vielleicht ein Konfigurationsfehler, ein Hardwareausfall oder sogar ein Stromausfall. Jetzt sind Ihre sorgfältig konfigurierten Firewall-Einstellungen verschwunden, was Ihr Netzwerk anfällig macht.

Hier kommen Backups als Lebensretter ins Spiel. Ein pfSense-Firewall-Backup ist eine Momentaufnahme Ihrer gesamten Konfiguration zu einem bestimmten Zeitpunkt. Es erfasst alle Einstellungen, Regeln und Richtlinien, die Sie definiert haben, und erstellt im Wesentlichen ein digitales Abbild des Gehirns Ihrer Firewall. Wir werden einige Konzepte erklären, bevor wir auf die Einzelheiten des Sicherungs- und Wiederherstellungsprozesses für pfSense Firewalls eingehen.

  • Backup-Kompatibilität: Backups und Firewall-Versionen müssen kompatibel sein, um eine erfolgreiche Wiederherstellung zu gewährleisten. Dies hängt von der Konfigurationsrevision ab, nicht nur von der Softwareversion.
  • Vollständige vs. Teilweise Backups: Ein vollständiges Backup stellt die gesamte Konfiguration wieder her, während ein teilweises Backup einen bestimmten Abschnitt (z.B. Firewall-Regeln) wiederherstellt.
  • Aktualisierung vs. Herabstufung: Backups mit einer niedrigeren Revision können während der Wiederherstellung aktualisiert werden. Backups mit einer höheren Revision können nicht auf ältere Versionen wiederhergestellt werden.
  • Verschlüsselung: Backups können zur Sicherheit verschlüsselt werden. Sie benötigen das Passwort, um sie wiederherzustellen.

Alles, was Sie über das Sichern und Wiederherstellen Ihrer pfSense-Firewall wissen müssen, wird im Folgenden erklärt:

  1. Auswahl der Wiederherstellungsmethode: Es gibt 3 Wiederherstellungsmethoden auf pfSense:

    1. GUI-Wiederherstellung (Einfach, aber erfordert zusätzliche Einrichtung): Dies ist die einfachste Methode für die meisten Benutzer, erfordert jedoch einen separaten PC, der mit dem Netzwerk verbunden ist.
    2. Wiederherstellung der Konfigurationshistorie (Kleinere Probleme): Verwenden Sie dies zur Wiederherstellung von kleineren Konfigurationsfehlern. Es erfordert keinen zusätzlichen PC.
    3. Mounten der Disk-Wiederherstellung (Erweitert): Diese erweiterte Methode beinhaltet das Anschließen der pfSense-Speicherfestplatte an eine andere Maschine für den direkten Dateizugriff.

  2. Wiederherstellung mit der GUI: Sie können die nächsten Schritte befolgen, um über die pfSense-GUI wiederherzustellen:

    1. Navigieren Sie zu Diagnosen > Backup & Wiederherstellung.
    2. Klicken Sie auf den Abschnitt "Backup wiederherstellen".
    3. Wählen Sie den Wiederherstellungsbereich (gesamte Konfiguration oder spezifischer Abschnitt) aus.
    4. Durchsuchen und wählen Sie die Sicherungsdatei aus.
    5. Klicken Sie auf "Konfiguration wiederherstellen". Die Firewall wird neu starten und die wiederhergestellten Einstellungen anwenden.

  3. Wiederherstellung aus der Konfigurationshistorie: Sie können die folgenden Schritte ausführen, um aus der Konfigurationshistorie auf pfSense wiederherzustellen:

    1. Gehen Sie zu Diagnosen > Sicherung und Wiederherstellung.
    2. Klicken Sie auf die Registerkarte "Config History".
    3. Suchen Sie das gewünschte Backup in der Liste (basierend auf Datum und Konfigurationsversion).

    className="ideal-image" alt="pfSense-Diagnose Backup & Wiederherstellung" />

    Abbildung 24. pfsense Diagnosen > Backup & Wiederherstellung

Werkseinstellungen

Das Zurücksetzen Ihrer pfSense-Firewall-Konfiguration auf die Werkseinstellungen ist in mehreren Szenarien eine nützliche Option. Vielleicht haben Sie bedeutende Konfigurationsänderungen vorgenommen, die Instabilität oder unerwartetes Verhalten verursacht haben, und Sie möchten zu einem bekannten guten Zustand zurückkehren. Vielleicht beheben Sie ein komplexes Problem und vermuten eine Konfigurationsbeschädigung. Oder Sie bereiten sich möglicherweise darauf vor, ein pfSense-Gerät außer Betrieb zu nehmen und möchten sicherstellen, dass alle sensiblen Daten und benutzerdefinierten Einstellungen vollständig gelöscht werden.

Der Werksreset-Prozess bringt Ihre pfSense-Firewall im Wesentlichen auf einen leeren Stand zurück, indem er alle benutzerdefinierten Firewall-Regeln, NAT-Konfigurationen, VPN-Einstellungen, DHCP-Bereiche und andere Anpassungen entfernt, die Sie vorgenommen haben. Zusätzlich versucht es, alle Drittanbieter-Pakete zu deinstallieren, die Sie über den pfSense-Paketmanager installiert haben.

Abbildung 25. pfSense-Diagnose > Werkseinstellungen

Sie können die Werkseinstellungen Ihrer pfSense über die GUI zurücksetzen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zum Menü Diagnose > Werkseinstellungen.
  2. Überprüfen Sie die betroffenen Artikel (auf der Seite aufgeführt).
  3. Klicken Sie auf "Werkseinstellungen" und bestätigen Sie mit "OK."

Sie können die Werkseinstellungen Ihres pfSense über die Konsole zurücksetzen, indem Sie die folgenden Schritte ausführen:

  1. Greifen Sie auf das Konsolenmenü zu (lokal oder per SSH mit Administratorrechten).
  2. Wählen Sie die Option "Auf Werkseinstellungen zurücksetzen" (z.B. Option 4).
  3. Bestätigen Sie mit "y" und drücken Sie die Eingabetaste, um den Reset zu starten.

Sie können die Werkseinstellungen Ihres pfSense-Hardwareknopfs (nur Netgate-Geräte) zurücksetzen, indem Sie die folgenden Schritte befolgen:

  1. Schalten Sie das Gerät ein.
  2. Nach der initialen POST-Sequenz drücken und halten Sie die Reset-Taste, bis die System-LEDs ausgehen oder das System neu startet.
Letztes Update am von Zenarmor