Hallo michaeljk, @michaeljk: Angenommen wir haben folgenden Aufbau: WAN1, WAN2, LAN. Die WAN-Ports haben unterschiedliche MAC-Adressen. Im Speedport wird die MAC-Adresse zu WAN1 als Ausnahme ("Gerät im LAN umleiten") deklariert, so dass dort nur die DSL-Leitung genutzt wird. Beide WAN-Ports werden am Speedport angeschlossen. In der pfsense definiert man ein neues Alias (z.B. DSLONLY) und legt per NAT-Rule fest, dass der Traffic dieser Gruppe über WAN1 geleitet werden soll. Als Default-Gateway ist der WAN2-Port eingerichtet. Würde dies so funktionieren? Ja, das müsste eigentlich funktionieren. Ich habe das zwar mit pfSense nicht getestet, aber einen ähnlichen Aufbau mit einem anderen Router am laufen. Dieser hat zwei WAN-Interfaces mit zwei unterschiedlichen IP-Adressen (die beide am Speedport Hybrid hängen) und ein LAN-Interface. Für eine der beiden WAN-Adressen wurde eine LTE-Ausnahme erstellt und somit kann ich für beliebige IP-Adressen aus dem LAN direkt auf dem Router eine Ausnahme erstellen. Gruß, bjarne

Es ist jetzt zwar schon etwas her, aber ich möchte trotzdem kurz eine Rückmeldung zu dem Thema geben. Der Speedport blockt, wohl als eine Art "Sicherheits-Feature", ICMP/PING per Default. Man kann PING auch nicht freischalten oder eine Ausnahme hinzufügen. Da die IPv4, über die der IPv6-Tunnel aufgebaut wird, aber von HE per PING erreichbar sein muss, kann ich gar keinen Tunnel erstellen. Finde ich doch etwas unschön, da ich somit erstmal kein DualStack nutzen kann, obwohl theoretisch sogar natives IPv6 zur Verfügung steht.

So ich hab den Traffic Shaper jetzt mal auf dem Echsystem eingerichtet und in der Tat funktioniert das VoIP Telefonieren ohne Aussetzer, wirklich sehr sehr cool.  8) Noch eine Frage, ich hab jetzt für beide WAN Anschlüsse und mein VVOIP Interface per Wizard die Regeln angelegt. Es gibt aber noch neun andere Netze, diese würden bei einer Internetverbindung in die qDefault fallen (soweit ist mir das klar). Aber warum brauche ich dann in meinem VVOIP Interface auch die Queues? Oder bräuchte ich die gar nicht solange es nur in Richtung WAN geht/kommt? [image: traffic_shaper.png] [image: traffic_shaper.png_thumb]

Und kurz noch als Anhang bzgl. überkomplex und Kanonen auf Spatzen: Gerade in einer pfsense 2.3 Testumgebung OHNE irgendwelche Doku das Paket "haproxy" installiert und dann in der GUI aufgerufen. Hier gibt es nun neu "Templates", mit denen schon einige Anwendungsfälle vorgestellt und vorkonfiguriert werden. Und was finden wir? -> Serving multiple domains from 1 frontend Create configuration? Damit habe ich zumindest gerade ohne großes konfigurieren 3 Frontends und 3 Backends konfiguriert bekommen, die einem zumindest die grobe Vorstellung vermitteln, warum und was wo konfiguriert wurde. Als Startpunkt um das für sich ans Laufen zu bekommen sollte doch das nicht verkehrt sein? Und ansonsten darf man gerne fragen.

Ich kann natürlich beim Static-Mapping pro Gerät in den DNS-Feldern den speziellen DNS eintragen, das funktioniert wie beschrieben auch einwandfrei. Mein Problem ist dort nur die mangelnde Flexibilität und vor allem die fehlende Übersicht - ich kann nirgends in einer Gesamtliste alle Geräte sehen, welche den speziellen DNS verwenden. Und wenn die IP des DNS sich ändern sollte, muss man alle Static Mappings dafür einzeln anfassen und ändern, daher auch meine anfängliche Idee eines Firewall-Alias mit zugehöriger Regel. Soweit ich das sehe, kann man nur im primären DHCP-Pool Static Mappings eintragen. Dort muss ich aber zwingend ebenfalls eine Range definieren. Setze ich dort bereits den DNS-Server, so gilt dieser wohl auch für alle Static Mappings, oder sind diese davon getrennt? Bei einem zweiten Gateway konnte man problemlos per Firewall-Rule ein Advanced-Setting vornehmen, ich dachte eigentlich, dass ein anderer DNS-Server ähnlich leicht zu konfigurieren wäre :) Da ich 2x WAN zur Verfügung habe: Würde das ganze funktionieren, wenn der spezielle DNS in einem anderen Subnet (z.B. einem bisherigen Transfernetz) stünde und ich dann eine NAT-Regel mit Port-Forwarding definiere?

Für die VPN hast du das Outbound NAT umgestellt, wenn ich es richtig im Kopf habe auf "Hybrid". Wenn so, wird automatisch eine Regel für das neue Netz erstellt. Wenn du auf manuell gestellt hast, musst du die Regel selbst hinzufügen. Das Outbound NAT tut nichts anderes als die Quell-IP, die ja ursprünglich die des LAN-Computers ist, auf eine bestimmte andere, zumeist die Interface-IP, umzusetzen, wenn ein IP-Paket aus der pfSense raus geschickt wird. Das ist nötig, damit die Antwort-Pakete wieder dahin zurückkommen. Im Hybrid-Modus werden oben die manuell erstellten Regeln angezeigt und unten die automatisch erstellten. Wenn du über WAN rausgehen möchtest, brauchst du für deinen gesamten internen IP-Bereich, der raus darf, eine Regel wie: Interface = WAN Source = z.B. LAN2 Netz Destination = any (default) Translation = Interface address (default) Wenn du diese Regel nicht hast, musst du sie erstellen. Im automatischen und im Hybrid-Modus erstellt pfSense eine WAN-Regel für jedes interne Netz und bildet diese gesammelt ab.

Viragomann Danke für die schnelle Antwort, jetzt funktioniert es sehr gut und ich kann pingen und natürlich auch mein Server weiter installieren Die regeln müssen also angemacht werden, was mich aber erstaunt hat ist dass es bei vSphere nicht musste, aber egal, nochmal vielen Dank

ihr werdet lachen, aber ein UAP-AC-LITE ist gerade vorhin geordert und schon auf dem weg zu mir. :) das gast-wlan werde ich aber wohl vorerst von der fb managen, da simpel via fritzfon zu aktivieren/deaktivieren. die vlan-geschichte werde ich mir später sicher mal zu gemüte führen, step eins ist jetzt aber erstmal die firewall in betrieb zu nehmen. und wenn der AP wirklich so gut ist in sachen abdeckung, kann ich endlich meinen fritz-powerline 546E deaktivieren. gruss maddis

Du musst in Services -> Snort auf das gewünschte Interface klicken (Bleistiftsymbol, zum editieren) und dort auf das Preprocessors TAB gehen (bei WAN heißt es "WAN preprocs"), dort findest du weiter unten "HTTP inspect" und kannst das komplett deaktivieren. Wird aber allgemein nicht empfohlen, die Preprocs komplett rauszunehmen, eher einzelne Regeln, die stören…

Danke dir!

Wow, sehr strange. Hatte ich jetzt noch auf keiner Plattform ;) Wenn es höher wäre hätte ich noch schmunzelnd bemerkt, ob du Fahrenheit ausliest, aber das ist mal wirklich seltsam. Nunja solang die Kiste sich nicht über Gebühr heiß anfühlt kann man damit sicher leben :)

Also in der URL steht ja der DNS Name … hast du mal versucht über Diagnostics -> DNS Lookup zu schauen wohin das führt wenn du nach 1CON269 oder 1CON255 einen DNS Lookup machst? Hast du einen eigenen DNS Server / Resolver auf der pfSense aktiv oder nutzt du Host Overrides? Vielleicht wird ein lokaler Rechner unter dem DNS Namen geführt und der Verkehr geht versehentlich zum Squid.

Jaaaahhhhhhhhhhhuuuuuuuuuuuuuuuuu danke es hat funktioniert danke danke danke

comm error könnte eigentlich nur Kabel/Netzwerk oder dann eben im dümmsten Fall Login vom "admin" sein. Hast du das alles mal nachgesehen?

Wird ja auch dann um die 500€ kosten. Eher zwischen 250 und 400€. Je nachdem ob bspw. APU2 oder Lanner NCA-1010, von der es immer mal wieder günstige Angebote gibt.

Bis Richtung Ende des Jahres hoffe ich auch, dass die APU2 endlich finalen Status bekommt (und ein finales BIOS), aber bis dahin würde ich ggf. (je nach Budget) einen Blick auf die Lanner NCA-1010 werfen. Hat bislang bei unseren Kunden so ziemlich alles abgefackelt was sein muss (Branch Office mit VPN Tunnel etc.), läuft lautlos da ohne Lüfter, Energie liegt ähnlich niedrig wie APU2 und Baugröße ist sogar noch kleiner (wenn das ein Problem sein sollte). Insofern durchaus die Alternative wert.

Wenn sich kein Maintainer mehr findet und es auch niemand aus dem Team übernimmt (wobei die eh schon genug zu tun haben), könnte es etwas dauern, bis die wieder kommen. Es bringt ja aber auch nichts einmal ein Alpha/Beta Quality Build hochzuladen und das dann da drin versauern zu lassen. Dann häufen sich Supportfragen warum X nicht läuft und hinterher heißt es wieder salopp "pfSense ist scheiße" weil ein Unterpaket nicht geht. Da kann ich die Entscheidung mal auszumisten schon verstehen.

Ich vermute mal das die Firewall weil lange nix von deinem Telefon kommt einfach zumacht. Dies kannst du verhindern in dem zu im Telefon NAT Keep Alive aktivierst. Damit werden alle paar Sekunden ein Paket zum Provider geschickt was dafür sorgt das die Firewall offen bleibt. Einfach mal schauen ob es da was gibt.