Hallo, bei uns läuft Pfsense seit 2013 quasi nebenbei unter Hyper-V unter Windows 10, ursprünglich Windows 8: Einachst core i5-Mainboard Bastelserver mit zusätzl. Twin-Realtek Netzwerkkarte, diese exkl. nur für pfsense im Multiwan (LTE und DSL) . Eine alte 80Gb Intel SSD als Bootlaufwerk und für die Hyper-V-VM. 3x8 TB HDs als Speicher für unsere Netzwerkbackups und als Mediaserve mit Streamingdienste.  Diese nutzen exkl. eine 10 Gb Netzwerkarte für die Backupdienste. Brauche hier mind. 250Mb/s um alle unsere Vmware- und Windows-Server in der Nacht zu sichern. Alles in allem hat das unter 1.000 Euro gekostet (mit ursprl. 3x4TB), dabei war die 10Gb Netzwerkkarte mit Abstand das teuerste Teil. Die Firewallperformance ist um Lichtjahre besser als bei unserer Sophos-Kiste (wurde inzw. komplett stillgelegt) und Backups und Updates über Snapshots sind total einfach. Selbst bei Vollast auf dem 10Gb-Netz (max. 400Mb/s mehr schaffen die HDs beim Lesen nicht) merkt man bei der Firewallperformance nichts.

Das mit dem "Mixed Content" sehe ich erstaunlicherweise nicht bei jedem Link / Thread im Forum. Manchmal kommt es, manchmal nicht. Ich habe mich mit der Meldung noch nicht weiter beschäftigt, vielleicht auch nur ein Chrome Hinweis. Evtl. werden nicht alle teile der Webseite per https geladen, sondern manche auch per http. ggf. Werbung oder Screenshots etc. und deswegen kommt diese Meldung. Grundsätzlich würde ich erst einmal sagen, dass Squid entsprechend funktioniert.

Ja, ich vermute auch, daß es bei mir an der Firmware-Version lag. Einfach deswegen, weil nicht viel anderes anderes übrigbleibt. Aber so einfach ist das dann auch wieder nicht: Ich habe damals (das war letztes Jahr) mit dem Draytek-Support gesprochen und dabei haben wir auch die Firmware-Version gecheckt. Naja, das ist jetzt Geschichte.

Aloha Da es sich bei dem Mount /var/dhcpd/DEV um ein devfs - also spezielles Dateisystem - handelt, ist die Größenangabe nebensächlich. Das ist normal so. Zudem weise ich dezent darauf hin, dass "geht nicht" keine adäquate Fehlerbeschreibung ist. Ist DHPC auf dem entsprechenden Interface aktiv? Ein korrekter Portrange konfiguriert? Sonstige Einstellungen korrekt konfiguriert? Der Client im richtigen Netz? etc. etc. etc.

Puh! wischt sich über die Stirn Da waren gerade die Tippfinger schneller als das Kleinhirn mit "Ey, hast du das überhaupt nachgeschlagen, dass es so ist!? - Ööööhm…" Gut dann hatte ichs ja noch halbwegs richtig im Kopp ;) Ist zwar ein schlechtes Beispiel aber z.B. eine Ad-Domain, die Werbung ausliefert wäre damit schneller blockbar (auf bspw. einem Smartphone via WLAN hinter pfSense) als via 127.0.0.1, einfach weil das Phone dann noch eine Verbindung versucht mit 127.0.0.1, dort einen Error bekommt (oder evtl sogar nicht?) und irgendwas auszuliefern versucht. Bei einem NXDomain (kein DNS gefunden) wird die Verbindung direkt in die Tonne gekloppt. Spart unnötige Verbindungen. (Bei Werbung könnte man jetzt noch argumentieren, dass das Ausliefern von einem 1x1 transparenten Dummy-Pixel bspw. noch sinnvoller wäre aber anyway :D) Edit: Hab den Thread Titel mal dahingehend angepasst, dass es ein bestätigter Fehler mit Fix in progress ist.

Der Meinung bin ich (leider) auch. Das später zu ändern wird kaum möglich sein. Klar kannst du das Swap noch ändern mit Bordmitteln, das aber dann an das Haupt-Slice anzuhängen könnte etwas schwerer werden. Wenn du noch nicht viel damit gemacht hast, würde ich dazu tendieren ein Backup (config.xml) zu machen und die Kiste einfach schnell neu zu installieren. Hast du da so viel RAM drin oder hängt das mit einer falschen/komischen Swap Detection zusammen, dass da 32GB SWAP Space eingerichtet wurden? Ich kenns aus der Vergangenheit nur, dass er so viel SWAP erstellt hat, wenn du auch so viel RAM hattest? Ansonsten kanns bei SSDs auch nicht verkehrt sein, ein wenig Platz einfach frei zu lassen, die Flash Zellen und dein Wear Level danken es dir ;)

Nun, manchmal gibt es halt "Randbedingungen" und dann kann man halt nichts machen …  ;D [image: well.jpg] [image: well.jpg_thumb]

Also Hier kommt es gelegentlich mal vor, dass die Seite des CP den Code nicht annimmt, beim zweiten mal geht es meistens. Ich habe auch manchmal das Problem, dass nach der Eingabe des Codes der Browser anschließend nen Fehler anzeigt, der Client aber erfolgreich freigeschaltet wurde. Was is auch schon hatte ist, dass einige der generierten Vouchers einfach nicht gingen, was man auf der Seite Status -> Captive Portal -> "Test Voucher" überprüfen kann. Nachdem ich kürzere Vouchers mit anderen Einstellungen generiert habe war alles gut Das ist jetzt keine echte Lösung, aber eventuell kannst du das Problem umgehen indem du die Leute per QR Code einloggen lässt? Gäste sind recht begeistert von der Möglichkeit zwei QR Codes zu scannen und das wars (Zwei, weil einer für das WLAN notwendig ist) Das ist relativ einfach zu realisieren: Ne URL mit nem Parameter in der QR Code und die Captive Portal Seite etwas abändern sodass das Feld automatisch gefüllt und dann gleich abgeschickt wird Hier hab ich die Infos her: https://forum.pfsense.org/index.php?topic=79957.0

Hab von Lötkolben & Seriellen Dingern keine Ahnung ^^ Deswegen hat dieser Topic auch mittlerweile 3 Seiten ;) Hoffe mit dem bestellten Kabel funktioniert jetzt alles Wenn nicht melde ich mich hier wieder Danke für eure Hilfe JeGr, magicteddy und 2chemlud !

Danke. Da gehts darum, ob der Treiber erst bei Verwendung des Geräts, beim Anstecken eines USB-Geräts, geladen wird oder schon beim Booten. Mir ging es aber auch noch um die spezifische Firmware(-Datei). pfSense resp. FreeBSD sind ja strikte Open-Source-OS und wollen ja möglichst nichts drin haben, das lizenzrechtlich Probleme machen könnte. Wie mein Fedora Linux auch. Die Firmware, die da von den Treibern gebraucht/geladen wird, ist aber meist von den Chipsatzherstellern und rechtlich geschützt. Closed Source. Drum braucht es ja auch ein Abnicken, der Lizenzbestimmung. Siehe hier unter https://www.freebsd.org/cgi/man.cgi?query=rsu&apropos=0&sektion=4&manpath=FreeBSD+10.3-RELEASE+and+Ports&arch=default&format=html After you have read the license in /usr/share/doc/legal/realtek you will     want to add the following lines to loader.conf(5): legal.realtek.license_ack=1 Und dann braucht es auch noch die entspr. Firmware-Datei /boot/kernel/rsu-rtl8712fw.ko. Ist das in pfSense 2.3 schon alles fix-fertig gemacht/geregelt? Oder muss ich das noch machen, das Acknowledgment der Lizenzbestimmung? Ich habe diverse USB-WLAN-Adpater mit Chipsätzen, die eigentlich unter pfSense 2.3 laufen sollten, aber ich bekomme Fehlermeldungen mit urtwn0: timeout waiting for firmware readiness urtwn1: timeout waiting for firmware readiness urtwn1: timeout waiting for chip autoload urtwn1: timeout waiting for chip autoload urtwn1: timeout waiting for chip autoload Darum frage ich vertieft danach. Beim USB-WLAN-Adpater-Treiber rsu erscheint nur gerade /interfaces.php?if=opt1 General Configuration Reserved Networks im web-GUI von PfSense. Das liegt eventuell auch daran, dass die Firmware nicht geladen wird/fehlt. Gruss AW

Hallo JeGr, mein Gedanke war, dass die Gäste eine beliebige Adresse eingeben können und immer auf die Seite zum Uploaden weitergeleitet werden. Das funktioniert, wenn WAN angeschlossen ist und ich z.B. mit dem Handy eine beliebige Seite öffne. Im Hintergrund wird eine DNS Anfrage gestellt (und beantwortet), der Browser versucht dann mittels der IP die Seite zu öffnen und wird auf das CaptivePortal und somit auf die Upload-Seite weitergeleitet. Aber ohne DNS verläuft die Anfrage im Sand und es kommt eine Fehlermeldung das die Seite nicht erreichbar ist. Ohne Umwandlung in eine IP-Adresse kein Captive Portal. Meine Gedanke war jetzt einen DNS- Server aufzusetzen und alle Anfragen mit 192.168.1.3 zu beantworten. Ginge das auch mit dem Forwarder oder Resolver? Ich habe gerade ein wenig gelesen und wenn ich das richtig verstehe wäre der Forwarder das richtige?!? Aber was muss ich unter Host oder Domains eintragen damit alle Anfragen mit meine gewünschten IP beantwortet werden? Vielen Dank schon mal für Eure Hilfe. Dirk

Hallo zusammen Leider konnte mir bisher niemand weiterhelfen. Da ich noch etwas weiter gesucht habe fand ich dass hier auf: https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#BSDPF To enable the transparent proxy and the DNS proxy, add the following to your torrc. VirtualAddrNetworkIPv4 10.192.0.0/10 AutomapHostsOnResolve 1 TransPort 9040 DNSPort 53 Use the PF ruleset below as an example for FreeBSD and OpenBSD prior to 4.7. your internal interface int_if = "fxp0" Tor's TransPort trans_port = "9040" set skip on lo scrub in rdr pass on $int_if inet proto tcp to !($int_if) -> 127.0.0.1 port $trans_port rdr pass on $int_if inet proto udp to port domain -> 127.0.0.1 port domain Use the PF ruleset below as an example for OpenBSD 4.7 and later. your internal interface int_if = "fxp0" Tor's TransPort trans_port = "9040" set skip on lo match in all scrub (no-df random-id) pass in quick on $int_if inet proto tcp to !($int_if) rdr-to 127.0.0.1 port $trans_port pass in quick on $int_if inet proto udp to port domain rdr-to 127.0.0.1 port domain Nun bin ich mir aber nicht sicher welches Regelset ich brauche? Vor 4.7 oder nach 4.7. Da beim nach 4.7 nichts mehr über FreeBSD steht. Und wie, wo krieg ich die Regel in die PFsense. Danke euch für eure Antworten

Danke für die Hilfe, der Tip mit dem anderen Browser funktioniert, liste wird jetzt geladen.

Hi Rudi, ich habe mich dem Thema auch mal angenommen weil ich ein Backup Uplink für meine reguläre Internetverbindung haben wollte die transparent sich in meine Infrastruktur einfügt. Ausgestattet habe ich mein APU 1D4 mit dem bis Dato aktuellsten Pfsense 2.2.6 einer Compex WLE200NX (Atheros Chips werden sehr gut unterstützt) Sierra Wireless MC 7110 Ich kann dir also bestätigen dass die MC 7110 zu 100% funktioniert :-). Getestet habe ich das ganze mit der Telekom. Testen werde ich es noch mit O2 und dem ehemaligen ePlus Netz, wenn man das noch so auseinanderhalten kann. Aber die Specs sagen dass die Karte alle LTE Frequenzen kann die von den deutschen Providern genutzt werden. Hier muss ich mal Pishfry aus dem Forum danken der über die Karte (bzw. dem US Pendant) in einem Thread alle nötigen Infos von sich gegeben hat die man braucht um die Karte Ready für OpenBSD bzw. Pfsense zu machen. Der Thread ist folgender: https://forum.pfsense.org/index.php?topic=86064.0 Zusammengefasst: Die Karte sollte, wenn komplett neu, im QMI Modus laufen und die QMI Firmware drauf haben. Der Modus wird nicht von PFsense/OpenBSD unterstützt. Direkt eine aktuelle DIP Firmware zu flashen ging nicht. Die Firmware hat das Gerät einfach nicht gefunden. Man muss dazu erst den Modus wechseln. Dazu habe ich bei Amazon eine mPCIe Karte mit Simkartenslot gekauft und an meinen Windowsrechner gehängt (Mit Simkarte). Hier kann man auch erstmal mit dem Rechner die Karte testen. Um den Modus umzustellen habe ich mich per Putty auf den passenden Com-Port verbunden (Findet man über den Gerätemanager unter den Com-Ports). Und mit folgenden Befehlen den Modus umgestellt: AT!ENTERCND="A710" AT!UDPID=68A3 AT!RESET 68A1 bedeutet es ist im QMI Modus und 68A3 ist der DIP Modus. Im QMI Modus kann die Zeichenfolge auch in den Details des Gerätes im Gerätemanager sehen. Sobald es umgestellt ist registriert Windows ein neues Gerät. Jetzt sollte das DIP Firmware Upgrade funktionieren. Das Gerät sollte vom Updater gefunden werden und die DIP Firmware geflashed werden. Ist das getan ist sie fertig für die PFsense. Rein damit und die Antenne dran. Nun sollten mehrere neue Interfaces in PFsense auftauchen (cuaU0.x). Eines davon, bei mir cuaU0.3 ist das eine welches funktioniert. Die anderen schaffen einfach keine Verbindung. Eine PPP Verbindung mit diesem Interface einrichten. Diese PPP Verbindung in einem Interface auswählen und unter Status->Interfaces den Connect Button drücken. Fertig. :-) Die MC7710 habe ich für ca. 170 € über Ebay besorgt. So zu kaufen gibt es sie ja nicht mehr. Urls: mPCIe Adapter: https://www.amazon.de/gp/product/B00Q9PWUZS/ref=oh_aui_detailpage_o00_s00?ie=UTF8&psc=1 Windows QMI Treiber: https://source.sierrawireless.com/resources/airprime/software/airprime-mc-series-windows-drivers-qmi-build-4431/ DIP Firmware: https://source.sierrawireless.com/resources/airprime/software/mc7710-swi9200x_03,-d-,05,-d-,29,-d-,03_dip/ AT Tutorial: http://www.3g-modem-wiki.com/page/executing+AT-commands+under+Windows Ändern des Modus: https://forum.sierrawireless.com/viewtopic.php?f=117&t=6759, https://gist.github.com/mmv-ru/1a52c10a4d5577a5ed30 MC7710 OEM PW: http://bc.whirlpool.net.au/bc/hardware/?action=h_view&model_id=1210, https://gist.github.com/mmv-ru/1a52c10a4d5577a5ed30 Ebay: http://www.ebay.de/itm/100-NEUE-Sierra-Wireless-MC7710-AirPrime-3G-4G-LTE-HSPA-GPS-Modul-/271599015465?hash=item3f3c901629:g:zSEAAOSwHnFVpJPc Ich hoffe das macht es einacher für alle die sich für das Thema interessieren.

Standortvernetzung mit OpenVPN aber ohne TAP!!!! In deutscher Sprache und einfach zum abtippen funktioniert 100% und ist ich möchte meinen tausend mal aufgesetzt und erfolgreich konfiguriert worden. Da sollte also nichts "schief" gehen.

Bin immer noch an der IPv6 Thematik dran. Was mir aufgefallen ist, sollte die WAN Schnittstelle nicht auch wenigstens eine Link-lokal IPv6 Adresse haben ? *** Welcome to pfSense 2.3-RELEASE-pfSense (amd64) on pfsense *** WAN_PORT (wan)  -> re2        -> v4: 192.168.217.2/24 LAN_BRIDGE0 (lan) -> bridge0    -> v4: 172.16.17.254/24 LAN_PORT (opt1) -> re1        -> WLAN_BRIDGE0 (opt2) -> ath0_wlan0 -> WLAN_GUEST (opt3) -> ath0_wlan1 -> v4: 172.16.19.254/24 PIA_VPN (opt4)  -> ovpnc1    -> v4: 10.104.1.6/32 WLAN_VPN (opt5) -> ath0_wlan2 -> v4: 172.16.20.254/24 VLAN10_DMZ (opt6) -> re1_vlan10 -> v4: 172.16.50.254/24 VLAN20_VPN (opt7) -> re1_vlan20 -> v4: 172.16.21.254/24 0) Logout (SSH only)                  9) pfTop 1) Assign Interfaces                10) Filter Logs 2) Set interface(s) IP address      11) Restart webConfigurator 3) Reset webConfigurator password    12) pfSense Developer Shell 4) Reset to factory defaults        13) Update from console 5) Reboot system                    14) Disable Secure Shell (sshd) 6) Halt system                      15) Restore recent configuration 7) Ping host                        16) Restart PHP-FPM 8) Shell Enter an option: 8 [2.3-RELEASE][root@pfsense.lan-net.local]/root: ifconfig re2 re2: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500         options=8209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic,linkstate>ether 00:0d:b9:33:9c:42         inet 192.168.217.2 netmask 0xffffff00 broadcast 192.168.217.255         nd6 options=23 <performnud,accept_rtadv,auto_linklocal>media: Ethernet 100baseTX <full-duplex>status: active [2.3-RELEASE][root@pfsense.lan-net.local]/root:</full-duplex></performnud,accept_rtadv,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic,linkstate></up,broadcast,running,promisc,simplex,multicast> Das  Neighbor Discovery ist aktiv. In der Firewall sehe ich immer wieder IPv6 Adressen welche am WAN geblockt werden auf Port 1900, 5355 usw. Nicht das noch Regeln auf dem WAN-Interface nötig sind um die v6 IP-Adressen anzunehmen ?

Das mit dem Dashboard habe ich jetzt auch nicht so ganz verstanden  :- Zu deinem eigentlichen Problem, wie machen sich die "Verbindungsabbrüche" den bemerkbar ? Bist Du über LAN oder WLAN angebunden ? In dem Fall würde ich im Hintergrund zwei mal einen dauer ping laufen lassen. Einmal intern auf die pfSense und einmal auf einen Server im Internet. Dann sollte sichtbar sein was es ist. Ein internes Netz Problem oder der Provider.

So habs hinbekommen, weiß aber nicht warum !? Hab bei System / Advanced / Firewall & NAT unter Network Address Translation. Den NAT Reflection mode for port forwards umgestellt auf Pure NAT und den Hacken bei Enable automaic outbound NAT for Reflection. Jetzt gehts aber hab keine Ahnung was das jetzt wirklich macht - hat da jemand eine Erklärung dazu?? Besten Dank!