Hallo, hier in diesem Thread stehen meines Erachtens so viele verschieden Fragen und Probleme wo ich gar nicht verstehe, worum es geht. Deswegen antowrte ich nur auf die Frage, wie man manche Geräte vom Proxy ausnehmen kann (Fire TV) Dazu gibt es, wenn man squid im "transparent mode" laufen lässt zwei Methoden: Package –> Proxy Server: General Settings --> General Dort gibt es die beiden Funktionen: 1.) Bypass Proxy for Private Address Destination 2.) Bypass Proxy for These Source IPs Also einmal kann man entweder alle Ziel-IPs angeben, bei denen der Proxy umgangen werden soll oder aber man gibt die Source-IPs der Clients ein, die den Proxy nicht nutzen sollen. Zum Thema SquidGuard allgemein: Egal welche Anpassungen ihr vornehmt, am Ende sollten immer folgende beide Schritte stehen: Package –> Proxy filter SquidGuard: General settings --> General settings 1.) Save (ganz unten auf der Seite) 2.) Apply (ganz oben auf der Seite) Danach mal 1-2 Minuten warten, dass sich alle Datenbanken, Listen, Services wieder gestartet haben. Vorher öffnet sich oftmals keine Webseite und man denkt es geht nichts obwohl man nur Geduld braucht. Viel Erfolg!

Hallo Yoda00, DHCP Server deaktivierst du wie folgt - wenn er überhaupt eingeschaltet ist bei nur einem Interface: Services –> DHCP Server --> WAN Den Haken bei "Enable DHCP server on WAN interface" entfernen. Ist keiner drin, ist der DHCP Server aus auf der pfsense. Deine Clients enthalten dann von der FritzBox/Speedport eine IP es sei denn du hast diese statisch konfiguriert. Beim SSL-Filtering benötigst du eine "CA" (Certificate Authority) welcher du bzw. dein Browser und deine Engeräte vertrauen müssen. Beim SSL-Filtering stellt der Squid-Proxy stellvertretend ein Zertifikat aus. Dieses Zertifikat hat eine Vertrauensstellung zur CA. Jeder, der also der CA vertraut, vertraut auch allen Zertifikaten, die von dieser CA ausgestellt wurden. Das ist wichtig bei verschlüsselten Verbindungen, damit du nicht immer einer Zertifikatsfehlermeldung angezeigt bekommst. Dazu musst du noch Folgendes tun: 1. Eine neue CA auf der pfSense erstellen (Es sei denn du hast bereits eine andere CA, die man importieren kann. Davon gehe ich aber nicht aus) 2. Die CA in den Browsern deiner Clients importieren als "Vertrauenswürdige Stammzertifizierungsstelle" Zertifikat erstellen: System –> Certificate Manager --> CAs Dort auf "Add" klicken und eine neue CA erstellen. Descriptive name: Irgendein Name, dem du deiner CA geben willst. Zum Beispiel "Meine private CA" oder "Yoda00-CA" Method: Create an internal certificate authority Internal Certificate Authority Key length (bits): 2048 Digest Algorithm: sha256 Lifetime (days): 3650 Country Code: DE State or Province: Hessen City: Frankfurt am Main Organization: Yoda00 Company Email Address: optional, kann leer gelassen werden Common Name: Yoda00-CA (oder was auch immer du toll findest) Save Danch das CA Zertifikat exportieren um es später auf allen deinen Clients einspielen zu können. System –> Certificate Manager --> CAs --> Export CA (Sysmbol rechts neben der CA) Die erstellte CA musst du nun im Squid-Proxy als "CA" auswählen. Sollte nun im Pulldownmenü auswählbar sein. PS: Würde dort noch alle 3 Punkte bei "Certificate Adapt" markieren. Mittels STRG kann man mehrere Optionen auswählen. Nun die exportierte ca.crt in deinem Browser importieren. Jenachdem, welchen Browser du nutzt, kann das variieren. Irgendwo solltest du aber eine Möglichkeit finden, Zertifikate zu importieren. Importiere das ca.crt als "Vertrauenswürdige Stammzertifizierungsstelle". Danach solltest du beim Aufruf von https Webseiten keine Fehlermeldung mehr bekommen und das ausgestellt Zertifikat, was du angezeigt bekommst, dass sollte als "Herausgeber" immer deine "Yoda00"-CA" sein, oder wie auch immer du diese genannt hast. Viel Erfolg!

Jein. Ich sichere die Konfiguration der pfSense auch auf die Syno aber nicht über Wget. Warum auch - schließlich kann die Syno das sehr bequem auch via SSH. Oder umgekehrt, die pfSense kann das ebenso via SSH auf der Syno ablegen. Wie man möchte, entweder pull oder push. Zudem hast du via SSH, SCP oder SFTP nicht das Problem mit irgendwelchen WGets oder Klartext Übertragungen (SSH ist ja implizit verschlüsselt) und kannst noch dazu Logging o.ä. darum bauen wenn Bedarf besteht. Grüße

Hallo die Version 2.3.1_1 hat nun bei mir sowohl als i386 (32 Bit) als auch als amd64 (64 Bit) geklappt. Kein Crash (mehr)! Danke für die Korrektur. Gruss

Trage Dich in die announcement mailing-lists ein, dann bekommst Du die Info "von der übergeordneten Instanz" zugestellt.

Wenn ich das richtig verstehe ist User A/B der gleiche Rechner? Dann musst Du dich entweder ausloggen oder den Timeout abwarten. Die Session hängt nicht am Browser sondern an der MAC.

Hallo, ich sag es mal so, dein Projekt als Anfänger?! Finger davon!!! Auch wenn die pfSense ein wirklich gutes Projekt / Produkt ist, in den falschen Fingern bringt dir das auch nicht viel. Dann hier eine kurze Einweisung. Es gibt Tagged VLAN Ports an einem Switch und Untagged Ports. Du kannst z.B. das default VLAN in dem sich alle Geräte etc. befinden als Untagged betreiben und dennoch ein weiteres VLAN auf dem selben Port taggen. Das erspart dir, jedes VLAN einzeln mit einem Port am Switch verbinden zu müssen. In deinem Fall bedeutet das konkret, nimm die FRITZ!Box und bleibe Glücklich in der derzeitigen Konstellation. Die pfSense hängst du also einfach an einen freien Port deiner FRITZ!Box, von dort aus (pfSense) geht es dann in deinen Switch. pfSense WAN ist verbunden mit der FRITZ!Box und pfSense LAN Port ist mit deinem Switch verbunden. Der Port am Switch bekommt dann ein zusätzliches VLAN, z.B. die VLAN ID 20. Diese Taggest du am Switch, wo die pfSense LAN angeschlossen wurde. Dann erstellst du ein VLAN auf der pfSense mit der ID 20 und weist es dem LAN Interface zu. Du siehst sofort ein neues Interface und kannst einen eigenen DHCP Dienst usw. darauf anbieten. Dein WLAN Accesspoint erstellt eine zusätzliche SSID (WLAN Profil) mit dem VLAN 20. z.B. mit dem Namen Gast-WLAN. Thats it. In dieser einfachen Version bekommt ein Client im Gast WLAN automatisch eine IP Adresse von der pfSense und der Traffic wird komplett über die Verbindung pfSense zu FRITZ!Box geleitet. Die eigentliche Absicherung mit RADIUS im WLAN, CaptivePortal im Gastnetz, SNORT usw. kann später erfolgen, wenn du etwas mehr eingearbeitet bist in die Materie. Das wichtigste ist dabei, dass deine Auerswald weiterhin funktioniert und du dir um mit der pfSense starten zu wollen, nicht erst weiteres Wissen aneignen musst. Natürlich sollte dein Ziel sein, die FRITZ!Box nur noch als Gateway zu missbrauchen. Deine pfSense übernimmt dann die Funktion der Firewall & Router. Siegen ist jetzt ein Eck weit weg von mir, aber per PM oder hier über das Forum können wir uns gerne austauschen. Grüße Markus

Ich hab keine Probleme mit Samba 4. Kannst du mal deine Konfiguration posten?

Gibt es wenn du die PPP Verbindung einrichtest vielleicht mehrere Link Interfaces? Vielleicht mal mit einem anderen testen wenn es mehrere gibt.

Abend DHCP ist Aktiviert bekomme jetzt auch eine Verbindung über WLAN , nur wenn ich Captive Portal Aktiviere bekomme ich die Login seite nicht aufgerufen er schreibt egal bei welcher Website keine Verbindung. wenn ich Captive Portal wieder ausschalte geht das Internet.?!?! hat dort jemand eine Idee?

Hallo wo kann ich im Squidguard einstellen das er die https Seiten sperrt wie die http Seiten? Vielen dank im vorraus schonmal MfG Timm

Ahoi, wer baut denn mit was die VPN Verbindung auf? Grüße

Super! Freut mich, dass es hingehauen hat!

Bei einem Server würde ich das an der Stelle ähnlich lösen (wollen). Lokale WSUS Server bzw. lokales Repository. Na mal sehen ob sich da eine Lösung finden lässt.

Wenn du DHCP Clients statisch konfigurierst (sprich die MAC hinterlegst) wird das auch in der Liste angezeigt. Das entspricht etwa dem, was die FB da macht. Du musst dabei ja nicht zwangsläufig eine IP fest vergeben. 2 Stunden entspricht dem Unterschied zwischen GMT und MEST. Die Lease Zeiten werden m.W. vom DHCP Daemon einfach in UTC/GMT angegeben (zur einfacheren Umrechnung), die GUI zeigt diese eben "raw" an. Gruß

Hast du in deinen Firewallregeln auch diese Gateway Group angegeben Ja das habe ich. Ich habe unter "Advanced features" und unter dem Punkt "Gateway" den Gruppen Namen von Gateway Groups eingetragen, so wie es in der Anleitung von uploaded.net beschrieben wurde. Ich habe mich bereits nach vergleichbaren Lösungen im Internet umgesehen und habe nur die Anleitung von dem VPN Anbieter Mullvad gefunden: https://notizblog.tripax.de/2015/08/pfsense-mit-vpn-anbieter-verbinden-mullvad-net/ Was die Mullvad Anleitung von der Perfect-Privacy Anleitung unterscheidet ist, dass im OpenVPN Client "route-nopull;route 10.8.0.1" steht. Dazu wurde im Interface vom OpenVPN Client eine statische IPv4 IP "10.8.0.11" und eine Gateway IPv4 IP "10.8.0.1" vergeben. Jetzt frage ich mich, ob  der Punkt  1) für die Failover Konfiguration überhaupt wichtig ist.

Moin, habe meinen Beitrag korrigiert, es sind ~55MByte/s zwischen den Netzen, getestet mit Netio. -teddy

Ok, die von mir genannten Einstellungen hatten bei mir funktioniert. Wenn du AES256 bei Phase 2 möchtest, dann wähle dies aus und markiere SHA1+SHA256. Ansonsten ist AES128 auch völlig ausreichend.