Also hier mal die Erfolgsmeldung: Die Migration hat glänzend funktioniert. Ich bin jetzt online mit dem neuen APU2. Nach der Installation auf die mSATA holt sich pfSense die Konfig vom USB-Stick und ist dann sofort passend konfiguriert. Beim ersten Start der Web-UI wird zwar dennoch der Wizard aufgerufen, aber den habe ich einfach abgebrochen. Ein paar Einstellungen mußte ich in der Web-UI noch vornehmen, da ja die HW anders ist. Das waren aber nur Kleinigkeiten. -flo-

Im squidguard

Firefox und Internet Explorer haben rein gar nichts angezeigt. Es lag am Zertifikat. Zertifikatsfehler bekomme ich jetzt natürlich immer noch, da es nur ein selbst signiertes ist. Das ausgelieferte zertifikat hatte diese form im CN "Bla Bla Blub". Ohne punkte oder anderem Bezug zum hostnamen.

Du meinst wahrscheinlich net.link.bridge.phil_member und net.link.bridge.phil_bridge. Das hatte ich eingestellt und es funktionierte ja auch alles. bis auf das die Kiste plötzlich nicht mehr erreichbar ist. vielleicht muss ich doch nochmal alles von Grund auf neu machen… Wollte das aber eigentlich vermeiden, weil sooo viel Spaß macht das ja nun doch nicht. ;-) Gruß Kai

Ich habe jetzt das pfSense-memstick-serial-2.2.6-RELEASE-amd64.img für mein neues APU2 heruntergeladen. Installiert habe ich es auch schon, serielle Konsole geht auch.(*) Jetzt muß ich nur noch die alte durch die neue Box ersetzen, dafür brauche ich aber einen Zeitraum, in dem meine Frau das Internet nicht braucht.  ;) (*) In der Konsole gibt es nach den Anzeigen des BIOS ab dem Bootvorgang von der HD eine ziemlich kaputte Anzeige. Man kann es lesen, aber ein Teil sieht aus, als ob Zeichen gedoppelt werden, ein erstes pfSense-Boot-Menü in einem Logo zeigt nach jedem Zeichen offenbar ein Leerzeichen an. Ab dem Bootvorgang von FreeBSD sieht es wieder vernünftig aus. Ist das Problem bekannt / lösbar?

wenn die Packages gar kein Bestandteil der eigentlichen Firewall sind, wundert mich das nicht mehr. ;) Naja ich will es damit auch nicht "wegdiskutieren", aber es stecken hinter den Packages eben andere Maintainer als hinter dem Core. Teils leider nicht mehr aktive Leute, weshalb mit 2.3 auch viele Pakete erstmal im Nirvana hängen, von denen ich hoffe, dass sich jemand als Maintainer findet. Teils sind aber auch die Upstream Projekte inzwischen tot. Naja, das Meckern ist ja kein eigentliches Mecker, nur ein Hinweis auf die Umstände, die mir nicht gefallen ^^ Deshalb auch mit ;) Augenzwinkern. Der Openvpn Server müsste noch etwas erweitert werden (user log, anzeige, config export), dass habe ich aber vorgeschlagen bzw. mich an die existierenden Feature Requests drangehängt. Was fehlt dir denn? User logins siehst du doch in den Logs? Config-Export in welcher Hinsicht (Client Config hat ein extra Package das das erledigt, ansonsten via System Backup?) (Habe mir einen pfsense Boot Stick erstellt, der an der Firewall hängt und auf den regelmäßig die Config.xml kopiert wird. Im Fehlerfall dann stick ziehen und auf neuer Hardware installieren, Netzwerkkarten richtig Zuweisen, automatisches packages installieren, reboot und fertig ;) Auch eine interessante Idee. Wir haben da was Skript-artiges gebastelt, was per SSH/SCP die config.xml und alle subversionen zyklisch runterlädt und gegen ein lokales GIT auto-committed, dann aber mit den Infos aus der pfSense, also wer was wann wie verändert hat. Damit haben wir quasi noch ein halbes Audit-Log dazubekommen. Die Komplexität ein eigenes Package zu erstellen oder die Unmöglichkeit schnell eine eigene Seite reinzuhängen stört mich aber wirklich. Mich manchmal schon, wenn ich mir denke, dass ich das gern machen würde aber es mich viel zu viel Zeit kosten wird ;) Den Punkt mit der eigenen Seite verstehe ich allerdings noch nicht ganz :) Grüße Jens

@Markus: Wie in anderem Thread bereits geschrieben könnte man auch mit einem Server glücklich werden indem man besondere Clients einzeln eine fixe IP zuweist und den Rest dann einfach blockiert, aber das sei jedem selbst überlassen :)

@cartel: Hey. Leider finde ich keine Anhaltspunkte warum ich für den VPN-Tunnel ein anderes Netz verwenden sollte. Warum nicht gleich in VLAN oder LAN? Was spricht dagegen? Hallo … wie meinen ??? Welches Netz meinst du genau? Oder fragst du wirklich warum das Netz das zwichen den Verbindungen genutzt und über das Internet geroutet wird ein anderes sein soll als dein lokales? Welche VPN-Verbindungsart wählst du .... ?? und so vieles mehr was eine Antwort schwer macht. LG

Hi Pippin, Mit Zertifikats ID meinen Sie Common Name? Korrekt. Die Zertifikats ID muss mit dem Common Name übereinstimmen. Grüße Philipp

Kann ebenfalls bestätigen das es NICHT zusammen funktioniert. Wollte es zum Werbung blocken hernehmen was mit DNSBL für den Traffic welcher nicht über Squid läuft auch geht. Alles was über Squid läuft geht an pfBlocker vorbei. Habe jetzt als Workaround eine ADs Blacklist in Squid aktiviert und kann damit erstmal leben.

Hi zusammen, hat denn keiner das Problem, nur bestimmte User bzw. Quell IP Adressen durch den clamav zu schicken? Ich habe auch versucht, über den c-icap bestimmte IP Adressen zuzulassen, das funktioniert aber leider auch nicht. Bei den ACLs kann ich auch keine ACL finden, die sich auf den Virenschutz bezieht. Hat jemand vielleicht noch einen Tip für mich? Vielen Dank! Viele Grüße Tino

@Artefakt: Hi, puh, die apu1d4 ist aber auf der Weboberfläche sehr träge nach dem Update auf 2.3. Hätte ich nicht gedacht, dass es so langsam wird. Erinnert mich wieder an die Reaktionszeiten der Alix. Ich hoffe, da kommt noch was nach… https://forum.pfsense.org/index.php?topic=109763.msg611506#msg611506

Ich zitiere es ja ungern, aber "Geht nicht!" ist keine valide Fehlerbeschreibung! Damit ist niemand - nicht zuletzt dir selbst - geholfen. Da du nur LAN und OPT1 erwähnst, gehts wohl theoretisch nur um Freigaben lokaler Art und da sind - wie meine beiden Vorredner schon gesagt haben - die Firewall-Regeln der erste (und norm. einzige) Ansprechpartner. Wenn du nicht auf LAN und OPT das gleiche Netz hast, dazwischen irgendwelches komisches geNATte oder anderweitige abstruse Routings hast, ist das genau der Punkt den man konfiguriert. Gruß

a) Default Block Logging abschalten b) Eigene Regel anlegen und dort das Logging nicht einschalten Geht beides, hängt aber von deiner Aufgabenstellung ab.

Wenn du mit Tunnelblick (über MAC wohl ;)) die Leistung schaffst, dann kann das auch ein ordentlicher Router mit genug Power. Das ist das einzige Kriterium, dass eben CPU/Acc/Codecs sowie NICs passen sollten. Dann wirst du auch ähnliche/gleiche Werte sehen. Wieso auch nicht? ;) Wegen mir könnte man das auch über OpenVPN machen… wenn das geht?! (und das konnte ich bisher noch nicht ersehen) Was konntest du noch nicht ersehen? Es gibt ja nun genug dutzend+1 Anleitung, wie man via OpenVPN Provider (oder eben deine eigene Maschine) allen Traffic vom Router an den Provider/via deinen Host ins Netz schickt. Dass das wesentlich einfacher via OpenVPN zu handhaben ist, liegt daran, dass das Setup via OpenVPN am Ende dir ein vollständiges Interface + Gateway + Regeltab in pfSense gibt, auf dem du alles nötige konfigurieren kannst bzw. dessen Gateway du eben in Regeln zum policy based routing verwenden kannst. Mit IPSec ist das zumindest meines Wissens nicht so ohne weiteres einfach möglich (weil da das Pseudo Interface fehlt). Ich gestehe aber gern ein, dass ich die Aufgabenstellung via IPSec noch nicht hatte, für sowas (vollverschlüsselten Traffic von A via B versenden) wurde in fast jeder Doku OpenVPN verwendet. Grüße

Merci! Läuft wieder. Bisher hatte ich da noch nie Probleme, die Maschinen laufen schon einige Versionen lange…

Hier steht die Lösung :-X: https://forum.pfsense.org/index.php?topic=105567.0 Henri <><

Hallo JeGr, vielen Dank für die Info. Ich kann das aber nicht ganz nachvollziehen. Leider sind die Zertifikate (mehrere 1000) schon alle erstellt und in der CA ist bisher nicht die URL für die crl hinterlegt. Dass es funktioniert, kann ich mit Gewissheit sagen, weil ich es mit einem Ubuntu so realisiert habe. Nur leider klappt das so mit freeBSD anscheinend nicht. Gibt es nicht eine andere Möglichkeit, die CRL zu benutzen? Vielen Dank Viele Grüße Tino