m0n0wall - Super Firewall/Router Lösung (Einfach und tolle Features)

[AbNovitas]

Nabend auch!

Ich verwende nun seit gut einem halben Jahr einen alten PC als Router, angefangen mit fli4l, dann bis heute IPCop und nun bin ich zufällig auf m0n0wall gestoßen und ich muss sagen, ich bin absolut begeistert.

Die Distribution basiert auf FreeBSD, wurde allerdings enorm abgespeckt (ISO hat knapp 5MB), besitzt allerdings unglaublich viele Features und ist supereinfach zu konfigurieren.
Die Distribution ist komplett von CD lauffähig und speichert die gesamte Konfiguration in einer einzigen XML Datei auf einer Floppy oder man installiert alles auf einer CF-Karte oder auch HDD, was aber Verschwendung wäre. (8MB sind mehr als genug)

Man muss lediglich von CD booten (dauert keine Minute) und mit Hilfe eines Text Menüs die Netzwerkkarten konfigurieren und die LAN IP zuweisen. Der Rest der Konfiguration findet in einem sehr aufgeräumten und übersichlichen Webinterface statt.

Ich liste kurz die wichtigsten Features der von mir eingesetzten, stabil laufenden Beta Version 1.2b2 auf:

• WAN/Internet per Static IP(LAN Router), DHCP, PPPoE oder PPTP (.at-User)
• DHCP Server & Relay
• DMZ und VLANs (beliegig viele Netzwerkkarten)
• WLAN (durch bridging als AP verwendbar)
• Inbound NAT, 1:1 NAT, Outbound NAT
• IPv6 NAT
• Sehr umfangreiche Firewall Konfiguration
• QoS (Trafficshaping, mit vorhandenem P2P Profil)
• DynDNS
• Clients per Wake on LAN aufwecken
• IPSec und PPTP (mit MPPE/MPPC) VPN Server
• OpenVPN 2.0 Server & Client Support (noch very experimental)
• Internetzugriff per RADIUS Server und "Startseitenlogin" userabhängig steuern
• SNMP
• Echtzeit Traffic Graph
• u.v.m.

Und das alles wird nur per Webinterface konfiguriert. Absolut keine Linux, UNIX oder Shell Kenntnisse nötig! Ein Konsolen Login ist auch garnicht möglich.
Für Modder und Neugierige gibt es trotzdem eine Shell-Execute Seite (http://m0n0wall-ip/exec.php)
Screenshots vom Webinterface der Version 1.1 gibt es hier

Voraussetzungen:
486+
64MB RAM empfohlen (48MB sollten gehen)
CDROM und Floppy oder CF-Karte/sehr kleine HDD
min. 2 Netzwerkkarten
Etwas Vorkenntnis über Netze empfohlen
Englischkenntnisse (Leider noch keine Lokalisation)

Naja, wie man wahrscheinlich merkt, bin ich absolut begeistert von dem Teil

Zu downloaden gibt es m0n0wall hier:
(Ich empfehle die Beta Version)
1.2b7 CD + Floppy Install
1.2b7 CF/HDD Install

1.11 CD + Floppy Install
1.11 CF/HDD Install

Schritt für Schritt Anleitung für Grundinstallation (Englisch)

Außerdem gibt es sehr aktive Mailinglisten, die ihr hier findet.

Bei der CD/Floppy Version könnt ihr nix kaputt machen. Testet die Version einfach!

PS: Noch ein Tipp:
Bei der Ersteinrichtung der LAN Interfaces im Textmodus müsst ihr die Netzwerkkarten den Funktionen zuordnen (LAN/WAN/DMZ). Macht das per Autokonfig, aber haltet euch an die Anleitung. Erst alle Netzkabel trennen und dann wenn ihr bei einem Interface aufgefordert werdet das Kabel nun einzustecken tut ihr es. Wenn ihr die Kabel drin lasst, findet er die Interfaces nicht und meldet "No Link detected" Ich war etwas voreilig und wunderte mich, dass er die Karten nicht erkannte

PPS: Um die Sache mit den Subnetzen zu erleichtern bietet sich folgendes kostenloses Tool an:
Wildpackets IP Subnet Calculator

Edit:
Aktuelle Versionen:
Final: 1.11
Beta: 1.2b7 (nun FreeBSD 5.3 basierend)


Die aktuelle Beta 1.2b7 sollte nur soweit reibungslos funktionieren... Changelog gibt es wie immer hier

[natty]

Moin Leute,

wollte nur anmerken das monowall auch für Leuts aus Österreich (sprich Internet via PPTP) ne coole Sache ist, schnell konfiguriert und läuft und läuft.... Schön.

Danke noch mal maniac für den tollen Tip!

Gruß,

natty

[AbNovitas]

Hab meinen Text mal überarbeitet. U.a. für euch Österreicher

[ayww]

Ich hatte ca. ein halbes Jahr einen fli4l-Router am laufen, mit zahlreichen OPT's. Erst war ich skeptisch, ob diese Monowall den wohl ersetzen könnte.

Beim Umbau hab ich dann festgestelt, das das Board von meinem Fli4l-Rechner das booten von der Monowall-CD nicht unterstützt. Hab dann einen anderen Rechner (P2-233) genommen, mit dem hat's geklappt.

Und ich bin wirklich erstaunt: CD brennen, einlegen, Diskette formatieren und rein, Netzwerkkarten zuordnen, IP's eingeben und läuft! Und der große Vorteil gegenüber Fli4l ist das man nicht wegen jeder klitzekleinen Config-Änderung eine neue Diskette erstellen und den Router booten muss.

[Jørd]

Nicht unerwähnt bleiben sollte ipCop

[trinec]

m0n0wall gefällt mir sehr sehr gut, wenn es jetzt noch zusätzliche features gibt wie bei fli4l mit den opts dann nehm ich das direkt... ich brauch nen mailsever...

[AbNovitas]

Original geschrieben von dilor
ich brauch nen mailsever...

Wird es aber "leider" nicht geben, da m0n0wall als reine Firewall/Router Lösung gedacht ist. Und auf Routern laufen halt normalerweise keine Server...

[trinec]

Original geschrieben von MrManiac
Wird es aber "leider" nicht geben, da m0n0wall als reine Firewall/Router Lösung gedacht ist. Und auf Routern laufen halt normalerweise keine Server...

gibts für fli4l auch... kommt zeit komtm rat... bekomm ich sicher auch nach installiert über die shell... mal gucken ob ichs hinbekomme

[AbNovitas]

Aber es gibt ja einen Grund, dass alle OPTs, welche nicht für einen Router gedacht sind aus der offiziellen fli4l OPT Datenbank geflogen sind...

[trinec]

Original geschrieben von MrManiac
Aber es gibt ja einen Grund, dass alle OPTs, welche nicht für einen Router gedacht sind aus der offiziellen fli4l OPT Datenbank geflogen sind...

es geht um die möglichkeit... ich denke ich werd nen normalen unix mailserver per commandline installiert bekommen, ich werds mal nächste woche in ruhe probieren

[AbNovitas]

Halt mich mal auf dem Laufenden. Würd mich mal interessieren.

Hier sind übrigens die offiziellen Mailinglists
Dort sind einige Leute bei, die Addons entwickeln...

Leider haben die kein Forum.

[Chainsaw-Man]

Hallo,
benutze jetzt auch m0n0wall und hab noch ein paar Fragen. Vllt kann mir einer helfen

1.) Das dauernde drehen der Boot-CD ziemlich laut. Muss die CD eigentlich die ganze Zeit drinn bleiben während des Betriebs? Der Netzbetrieb läuft ja noch weiter wenn ich sie rausnheme. Nur beim Reboot der M0n0wall müsste man die wieder einlegen oder?

2.) Gibt es eine Möglichkeit sich bei seinem Provider neu einzuwählen so das man eine neue IP bekommt bzw gibt es eine Timeout Funktion nachdem M0n0wall die Verbindung zum Provider automatisch trennt? Hab bisher keine derartige Optionen gefunden.

3.) Ich hab Probleme meinen DynDns Account mit M0n0wall zu aktualisieren. Die folgenden Daten sind eingetragen:

Service-Typ: DynDns
Hostname: leer
MX: leer
Wildcards: nicht aktiviert
Username: meine Mail Adresse bei DynDns
PW: mein password bei DynDns.

Außerdem ist bei General Setup die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" aktiviert. Trotzdem aktualisiert er die IP nicht.
Ist da noch etwas zu beachten?



Gruß

Chainsaw

[AbNovitas]

Original geschrieben von Chainsaw-Man
Hallo,
benutze jetzt auch m0n0wall und hab noch ein paar Fragen. Vllt kann mir einer helfen

1.) Das dauernde drehen der Boot-CD ziemlich laut. Muss die CD eigentlich die ganze Zeit drinn bleiben während des Betriebs? Der Netzbetrieb läuft ja noch weiter wenn ich sie rausnheme. Nur beim Reboot der M0n0wall müsste man die wieder einlegen oder?

2.) Gibt es eine Möglichkeit sich bei seinem Provider neu einzuwählen so das man eine neue IP bekommt bzw gibt es eine Timeout Funktion nachdem M0n0wall die Verbindung zum Provider automatisch trennt? Hab bisher keine derartige Optionen gefunden.

3.) Ich hab Probleme meinen DynDns Account mit M0n0wall zu aktualisieren. Die folgenden Daten sind eingetragen:

Service-Typ: DynDns
Hostname: leer
MX: leer
Wildcards: nicht aktiviert
Username: meine Mail Adresse bei DynDns
PW: mein password bei DynDns.

Außerdem ist bei General Setup die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" aktiviert. Trotzdem aktualisiert er die IP nicht.
Ist da noch etwas zu beachten?



Gruß

Chainsaw

Zu 1)
Je nach CD Laufwerk sollte sich die CD nach ein paar Minuten aufhören zu drehen. So ist es jedenfalls bei mir. Falls nicht, kannst du die CD auch rausnehmen, da lediglich beim booten die CD in Anspruch genommen wird.

Zu 2)
Nein, Softwaremäßig gibt es (noch) keine Möglichkeit. Da hilft dann nur Strom vom Modem trennen, m0n0wall rebooten oder eine Einstellung in den WAN Settings zu ändern.

Edit: Seit der Version 1.2b2 gibt es einen Disconnect Button

Zu 3)
Der Username für den DynDNS sollte eigentlich nur ein name sein und keine Mail Adresse. Ich habe als Usernamen auch nur mrmaniac2k, statt meiner Mail.
Außerdem musst du beim Hostnamen deine DynDNS Domain angeben. z.B. chainsaw.dyndns.org
Die DNS Einstellung im General Setup hat damit aber nichts zu tun...

[Chainsaw-Man]

@ maniac

Danke, hab die meisten Probleme jetzt lösen können. Allerdings zickt vpn manchmal rum. Werd mal die neuste Beta probieren.

Gruß

Chainsaw

[Roger Wilco]

Mittlerweile gibt es auch einen Fork von m0n0wall names pfSense, der auf FreeBSD 5.x basiert. Der Fork unterstützt u. a. pf und AltQ von OpenBSD, was ihn meines Erachtens noch etwas interessanter als m0n0wall macht.

[sashXP]

ich hab nun auch bei tronico bestellt einen WRAP 3-PORT Bestellt... und freue mich schon riesig drauf meinen derzeitigen elsa Lancom Dsl10 durch m0n0wall abzulösen... leider ist derzeit keine lieferung möglich erst ab Feb 05 wieder :/


naja denk mal das sich das warten lohnt

[AbNovitas]

Wäre schön, wenn du uns ein kurzes Review schreiben könntest. Überlege auch, mir in nächster Zeit so ein Teil zu holen, um endlich meinen mit Paketband befestigten, gehäuselosen Router aus meinem Schreibtisch entfernen zu können

Welche Version hast du dir den gekauft und vor allem, für wie viel?

[sashXP]

die mit den 3 Lan schnittstellen von WRAP + Gehäuse und AC Adapter

alles in allem so 150€

von: http://www.tronico.net/

freu mich aufjedenfall schon riesig, allein wegen dem Hardware Traffic Shaping

[mip]

@MrManiac:
Ich habe unter http://board.gulli.com/thread/355994 einen kleinen Review verfasst.
Zu WLAN, Nachrüstung zusätzlicher Mini-PCI Netzwerkkarten, sowie Nutzung des USB Ports hab ich allerdings noch nix geschrieben - werde ich in den nächsten Tagen mal machen. Dann kommt auch ein etwas besserer Test.
Bestellt habe ich direkt bei pcengines.ch, die sind ein Stück günstiger als der deutsche Reseller. Versandkosten von 11EUR (Vorkasse) waren im Rahmen dessen, was auch deutsche Onlineshops z.T. kosten. Lieferung war innerhalb weniger Tage da (vergleichbar mit innerdeutscher Zustellung), Kosten für Zoll kamen nicht hinzu.
Ich habe den WRAP.1D-1 (2LAN, 2 Mini-PCI), würde weniger bastelfreudigen aber eher zum WRAP.1D-2 (3 LAN, 1 Mini-PCI) raten.

[nekoid]

Original geschrieben von MrManiac

• QoS (Trafficshaping, mit vorhandenem P2P Profil)

Weisst du zufällig womit das implementiert wurde? Auf der Seite habe ich dazu keine Details gefunden und ich bin auch gerade zu faul mir das selber anzusehen
Da das ganze auf FeeBSD 4.x basiert würde ich auf das mitgelieferte IPFW und dummynet tippen. Eine andere Möglichkeit wäre das wesentlich mächtigere atlq von dem es auch einen als patch verfügbaren FreeBSD 4.x port gibt (und seit FreeBSD 5.3 fest mit pf integriert wurde).