Seite 3: VLAN für VDSL

Inhaltsverzeichnis

VLAN für VDSL

Geben Sie bei der Wiederanmeldung das neue Administratorpasswort ein; pfSense meldet sich nun mit der Seite "System Overview", die Statistiken über CPU- oder auch Speicherauslastung aufführt. Öffnen Sie dann das Menü "Interfaces" und klicken Sie auf den Befehl "Assign". Merken Sie sich, welche Bezeichnung das WAN-Interface hat (z. B. le0) und wechseln Sie zum Karteireiter "VLAN". Öffnen Sie dort über den +-Button die Seite für die Erstellung neuer VLANs und wählen Sie aus dem Menü "parent interface" das WAN-Interface aus (in diesem Beispiel also le0).

Tragen Sie im Feld "VLAN tag" den Wert "7" ein und darunter eine Bezeichnung (z. B. VDSL). Verlassen Sie die Seite über den Save-Button. Öffnen Sie anschließend das Menü "Diagnostics" und lösen Sie einen Reboot aus.

Öffnen Sie nach dem Neustart erneut das Menü Interfaces und klicken dort auf den Befehl "Assign" – nun wird der Internet-Zugang über das VLAN-Interface eingerichtet. Stellen Sie dafür unter dem Karteireiter "Interface assignements" die WAN-Schnittstelle auf das VLAN-Interface um und speichern Sie die Änderung; in unserem Beispiel lautet der komplette Eintrag "VLAN 7 on le0 (VDSL)".

Öffnen Sie das Menü "Interfaces" und klicken Sie den Befehl "WAN" an. Stellen Sie im Bereich "General configuration" das Menü "Type" auf "PPPoE" um (voreingestellt ist DHCP) und tragen Sie im Bereich "PPPoE configuration" Ihre Zugangsdaten für T-Online ein. Für den Usernamen fügen Sie die zwölfstellige Anschlusskennung, die zwölfstellige T-Online-Nummer, die vierstellige Mitbenutzernummer sowie "@t-online.de" ohne Leerstellen und Anführungszeichen hintereinander ein. Tragen Sie im Feld darunter das achtstellige Passwort ein und schalten die Funktion "Periodic resets" ein. Damit lässt sich die Zwangstrennung auf eine günstige Zeit verlegen, beispielsweise in die Nachtstunden. Speichern Sie die Einträge über den Save-Button.

Nun sollte der Internet-Zugang funktionieren. Das kann man zum Beispiel von der Konsole aus mit dem Ping-Befehl prüfen (etwa ping www.heise.de). Falls Ping-Pakete beantwortet werden, aber Surfen noch nicht klappt, sind vermutlich die eingehenden IP-Pakete noch zu groß. Auf der Konsole blendet pfSense dann Fehlermeldungen wie "vlan0 discard oversize frame" ein, weil die vom PPPoE-Server gesendeten Pakete die zulässige Paketgröße überschreiten (z. B. 1514 Bytes statt 1510). Schalten Sie in diesem Fall im Menü "Interfaces", "WAN" im Bereich "General configuration" das "MSS clamping" ein; der Menü-Eintrag dafür heißt irreführenderweise "MTU". Ein sinnvoller Anfangswert für Experimente ist 1488 Bytes. Die Änderung wirkt sich nach dem Speichern aus, danach sollten auch Web-Zugriffe und überhaupt alle Internet-Dienste funktionieren.

Fein-Tuning

Anschließend kann man die übrigen Funktionen an persönliche Bedürfnisse anpassen, also etwa Zugänge über eine serielle Schnittstelle (mit einem Terminalprogramm) oder SSH konfigurieren, den Web-Caching-Proxy einrichten oder auch statische Routen festlegen (Menü "System"). Für SSH lässt sich die sicherere zertifikatsbasierte Authentifizierung ebenso wie für den Zugriff auf das Web-Interface einstellen.

Insgesamt bietet pfSense die von leistungsfähigen Routern bekannten Funktionen wie NAT, Firewall, DynDNS, UPnP, Port Forwarding und unter den VPN-Optionen nicht nur die üblichen IPSec und PPTP, sondern von Haus aus auch OpenVPN.

Die meisten Funktionen sind bereits ab Werk sinnvoll eingerichtet, beispielsweise die NAT-Funktion, die ausgehenden Verkehr grundsätzlich zulässt oder auch der DNS-Forwarder, der standardmäßig aktiviert ist und DNS-Anfragen aus dem internen Netz an den externen DNS-Server weiterleitet. Zusätzlich lässt sich dort auch festlegen, dass Clients, die per DHCP eine IP-Adresse bekommen, automatisch ins lokale DNS eingetragen werden. Auf solche Clients kann man dann anhand ihres Namens zugreifen.

Für VDSL-Nutzer ist der Firewall-Bereich von besonderem Interesse, weil sich dort über den Traffic-Shaper Verkehrsregeln definieren lassen, um bestimmte, zeitkritische Dienste gegenüber unkritischen zu bevorzugen. Dort tragen Sie also zunächst die Up- und Downlink-Bandbreiten des VDSL-Anschlusses ein.

Stellen Sie das interne Interface auf LAN und das externe auf WAN ein und tragen Sie die Anschlussgeschwindigkeit ein (50000/10000 KBit/s oder 25000/5000 KBit/s, jeweils Empfangs- und Senderichtung). Auf den folgenden Konfigurationsseiten reservieren Sie für VoIP-Telefonate und andere zeitkritische Dienste die Mindestbandbreite. Der Mindestbedarf für VoIP hängt vom gewählten Codec ab, in der Regel sollten 120 KBit/s genügen. Bei Bedarf lässt sich dort auch Spiele-Traffic priorisieren oder auch Anwendungen wie VNC oder SMTP.

Eine nette Dreingabe ist der lokale Zeit-Server (Services/OpenNTPD), der sich die aktuelle Zeit aus dem Internet holt und diese gegenüber anfragenden LAN-Stationen meldet – so muss nicht jeder LAN-Client für diesen Bedarf immer wieder eigene Internet-Verbindungen aufbauen. Unter Services/Wake on LAN kann man auch MAC-Adresse von Clients eintragen, die man aus der Ferne wecken will.

Das Menü "Status" liefert detaillierten Informationen zu einzelnen Funktionen der Firewall, unter "Status", "Services" lassen sich auch einzelne Dienste wie der DNS Forwarder oder Squid neu starten. Über das Menü "Diagnostics" lässt sich die Konfiguration sichern und zurückspielen, die Firewall neu starten und ähnliches. Dort gibt es auch eine Funktion zum Aufzeichnen des Verkehrs (Packet Capture); gleiches geht im Prinzip über eine SSH-Konsole und den Befehl tcpdump, aber eben nicht so komfortabel. (dz/c't) ()