Besten Dank für die Hilfe ich habe deinen Vorschlag versucht und leider gingen wieder alle Mails raus. Daraufhin habe ich als Quelle den Exchangeserver mit Port "any" und Ziel WAN_Init7 mit "any" genommen und es ging immer noch. Das hat mir definitiv zum Nachdenken gegeben. Anschliessend ist mit der obenstehende Post von viragomann nochmals angsehen "Allerdings muss du meines Wissens in System > Advanced > Miscellaneous den Haken bei "Skip rules when gateway is down" setzen, um zu verhindern, dass pfSense die Regel nicht übergeht, wenn das gesetzte Gateway down ist und die nächstbeste Regel anwendet, die dann alles an jedem beliebigen Gateway erlaubt. Ja, der Wortlaut der Option ist nicht ganz schlüssig." –> nun den Haken wieder entfernt - und voila Jetzt gehen keine Mails mehr raus Besten Dank

ich habe es geschaft danke für deine hilfe :)

Wenn du es für VOIP brauchst am besten dafür eine eigene Regel machen mit der Quell IP oder Zielport. Wenn du alles auf Static Port machst könnten dir irgendwann die Ports ausgehen. Steht dann Outbound NAT auch auf manuell? States oder Firewall nach dem anpassen mal resetet?

Hallo! @greenhornxxl: Soll heissen: User Gruppe A soll auf VLAN 1 User Gruppe B soll auf VLAN 2 User Gruppe C soll auf VLAN 1 + 2 Zugriff bekommen. In der Firewall -> Rulesets kann ich lediglich Interfaces und IP's verwalten und mit statischen IP's im Tinnel möchte ich nicht arbeiten. Ich auch nicht. Ich hab das für mich so gelöst, dass ich für jede Berechtigungsgruppe (habe auch 3) einen eigenen OpenVPN Server mit verschiedenen Tunnel-Netzen angelegt habe, die eben auf unterschiedliche Ports auf einer IP lauschen. Zwecks besserer Übersicht habe ich den einzelnen Tunneln noch einen ausdrucksvollen Alias gegeben, die ich in den Firewall Regeln verwende. Ist natürlich auch mit etwas Arbeit verbunden.

Alles klar Vielen Dank für das Feedback, dann schreibe ich eine schöne Anleitung für die USER ;-)

Hi bakunin, das Verhalten ist ganz normal, wenn du carp auf beiden Devices konfiguriert hast. Auf der Backup Firewall macht du nur die Regel für das Netzwerk. Alles andere wird ausschließlich auf der Master Firewall konfiguriert. Dann funktioniert es auch mit dem Carp ohne Probleme und alles wird syncronisiert. Viele Grüße Christian

Moin, schau mal unter Status –> RRD Graphs --> Traffic Vielleicht unter System --> Advanced -->  Miscellaneous --> Periodic RRD Backup setzen Reicht das? -teddy

Hallo, ein IPsec VPN von einer Firewall hinter anderen  Firewall per NAT ist immer suboptimal. Besser und einfacher wäre mit Sicherheit das VPN auf dem lancom aufzubauen oder das Lancom zu entfernen. Ihr werdet nie den Tunnel von Site B nach Site A initialisieren können, nur umgekehrt. Es fehlt ESP auf der WAN Seite der pfSense. Du schriebst, ihr habt eine Allow all Regel der Source  IP auf dem WAN interface erstellt, es muß meiner Meinung nach als Source IP die interne IP der Lancom sein. Um den Fehler einzugrenzen, bzw. zu beheben empfehle ich eine allow all Regel auf das WAN interface mit logging. Auf der Gegenseite dann ein Dauerping um den Tunnel zu initialisieren Dann sieht man in Schritt 1 was in den Firewalllogs ankommt, Schritt 2 wäre dann die IPsesc logs zu prüfen. Wenn du die logs schickst kann dir wahrscheinlich besser geholfen werden. Gruß Christoph

Der Client IST mit Admin-rechten gestartet und bis gestern hat er auch klaglos selber die routen eingetragen. Er trägt auch jetzt einige routen ein, nur die wichtige Route in unser Netz fehlt… Das ist etwas schräg.

Also von Hand habe ich die fehlende Route nun eintragen können, aber warum sendet das VPN diese Route nicht mehr zuverlässig mit??? route add 10.10.10.0 mask 255.255.255.0 10.10.90.9 metric 1 =========================================================================== Schnittstellenliste 40...00 ff 9f e2 87 d6 ......TAP-Windows Adapter V9 14...00 21 6a 6b 52 59 ......Microsoft Virtual WiFi Miniport Adapter 13...00 24 7e ec d2 fa ......Bluetooth-Gerät (PAN) 11...00 21 6a 6b 52 58 ......Intel(R) WiFi Link 5300 AGN 10...00 26 55 be 7a dc ......Intel(R) 82567LM Gigabit Network Connection   1...........................Software Loopback Interface 1 39...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 43...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 42...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 58...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4 34...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter 59...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5 60...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen:     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik           0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.120    25       10.10.10.0    255.255.255.0      10.10.90.9      10.10.90.10    21       10.10.90.8  255.255.255.252  Auf Verbindung      10.10.90.10    276       10.10.90.10  255.255.255.255  Auf Verbindung      10.10.90.10    276       10.10.90.11  255.255.255.255  Auf Verbindung      10.10.90.10    276         127.0.0.0        255.0.0.0  Auf Verbindung        127.0.0.1    306         127.0.0.1  255.255.255.255  Auf Verbindung        127.0.0.1    306   127.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    306       192.168.2.0    255.255.255.0  Auf Verbindung    192.168.2.120    281     192.168.2.120  255.255.255.255  Auf Verbindung    192.168.2.120    281     192.168.2.255  255.255.255.255  Auf Verbindung    192.168.2.120    281         224.0.0.0        240.0.0.0  Auf Verbindung        127.0.0.1    306         224.0.0.0        240.0.0.0  Auf Verbindung      10.10.90.10    276         224.0.0.0        240.0.0.0  Auf Verbindung    192.168.2.120    281   255.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    306   255.255.255.255  255.255.255.255  Auf Verbindung      10.10.90.10    276   255.255.255.255  255.255.255.255  Auf Verbindung    192.168.2.120    281 =========================================================================== Ständige Routen:   Keine IPv6-Routentabelle =========================================================================== Aktive Routen: If Metrik Netzwerkziel            Gateway   1    306 ::1/128                  Auf Verbindung 40    276 fe80::/64                Auf Verbindung 11    281 fe80::/64                Auf Verbindung 11    281 fe80::694e:bf91:e36d:c778/128                                     Auf Verbindung 40    276 fe80::89b6:3595:5f20:bc28/128                                     Auf Verbindung   1    306 ff00::/8                Auf Verbindung 40    276 ff00::/8                Auf Verbindung 11    281 ff00::/8                Auf Verbindung =========================================================================== Ständige Routen:   Keine

Ich hab heute mal im Bios rumgespielt, nachdem ich folgenden Thread gefunden hatte: https://forum.pfsense.org/index.php?topic=78147.0 Nachdem ich auf GEN1 umgestellt hatte, wurde die intel pro 1000 quad weiterhin nicht erkannt. testweise haben wir eine Karte von Sun eingebaut und ein 'pciconf' liefert, immerhin, folgenden output: none1@pci0:0:31:3: class=0x0c0500 card=0x78511462 chip=0x8c228086 rev=0x05 hdr=0x00     class      = serial bus     subclass  = SMBus     bar  [10] = type Memory, range 64, base 0xf7e19000, size 256, enabled     bar  [20] = type I/O Port, range 32, base 0xf040, size 32, enabled none2@pci0:1:0:0: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00     class      = network     subclass  = ethernet     bar  [10] = type Memory, range 64, base 0xf6000000, size 16777216, enabled     bar  [18] = type Memory, range 64, base 0xf7438000, size 32768, enabled     bar  [20] = type Memory, range 64, base 0xf7430000, size 32768, enabled     cap 01[40] = powerspec 2  supports D0 D3  current D0     cap 05[50] = MSI supports 32 messages, 64 bit, vector masks     cap 11[70] = MSI-X supports 32 messages                 Table in map 0x18[0x0], PBA in map 0x18[0x4000]     cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)                 speed 2.5(2.5) ASPM disabled(L0s)     cap 09[94] = vendor (length 8)     cap 09[9c] = vendor (length 64)     ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected none3@pci0:1:0:1: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00     class      = network     subclass  = ethernet     bar  [10] = type Memory, range 64, base 0xf5000000, size 16777216, enabled     bar  [18] = type Memory, range 64, base 0xf7428000, size 32768, enabled     bar  [20] = type Memory, range 64, base 0xf7420000, size 32768, enabled     cap 01[40] = powerspec 2  supports D0 D3  current D0     cap 05[50] = MSI supports 32 messages, 64 bit, vector masks     cap 11[70] = MSI-X supports 32 messages                 Table in map 0x18[0x0], PBA in map 0x18[0x4000]     cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)                 speed 2.5(2.5) ASPM disabled(L0s)     cap 09[94] = vendor (length 8)     cap 09[9c] = vendor (length 64)     ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected none4@pci0:1:0:2: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00     class      = network     subclass  = ethernet     bar  [10] = type Memory, range 64, base 0xf4000000, size 16777216, enabled     bar  [18] = type Memory, range 64, base 0xf7418000, size 32768, enabled     bar  [20] = type Memory, range 64, base 0xf7410000, size 32768, enabled     cap 01[40] = powerspec 2  supports D0 D3  current D0     cap 05[50] = MSI supports 32 messages, 64 bit, vector masks     cap 11[70] = MSI-X supports 32 messages                 Table in map 0x18[0x0], PBA in map 0x18[0x4000]     cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)                 speed 2.5(2.5) ASPM disabled(L0s)     cap 09[94] = vendor (length 8)     cap 09[9c] = vendor (length 64)     ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected none5@pci0:1:0:3: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00     class      = network     subclass  = ethernet     bar  [10] = type Memory, range 64, base 0xf3000000, size 16777216, enabled     bar  [18] = type Memory, range 64, base 0xf7408000, size 32768, enabled     bar  [20] = type Memory, range 64, base 0xf7400000, size 32768, enabled     cap 01[40] = powerspec 2  supports D0 D3  current D0     cap 05[50] = MSI supports 32 messages, 64 bit, vector masks     cap 11[70] = MSI-X supports 32 messages                 Table in map 0x18[0x0], PBA in map 0x18[0x4000]     cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)                 speed 2.5(2.5) ASPM disabled(L0s)     cap 09[94] = vendor (length 8)     cap 09[9c] = vendor (length 64)     ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected Bei einem 'ifconfig' taucht nichts neues auf, nur die bereits konfigurierten Interfaces. Viele Grueße,

Auf iOS 8.x kommt man wohl nur mit einem Backup zurück, ein anderes fallback gibt es leider nicht.

Top! Danke dir! Werde das mal testen und mich gegebenenfalls nochmal melden.

wenn du eine Reservierung für die MAC Adresse machst hast du die möglichkeit für diese MAC Adresse einen eigenen DNS Server einzutragen im DHCP Server unter DHCP Static Mappings for this interface.

Hi, thx für deine Mühe! Naja, hatte zwar lange über pfsense gelesen und foren auf fragen durchsucht die bereits gestellt wurden, aber mit Hardware welche ich bereits hatte, wollte da versuchen mit der aktuellen HW es auszuprobieren bevor ich mir eine kaufe. Ich hatte im Inet in einem Form gelesen das dieser Digitus ausreicht, ich dachte auch schon daran das es keine Gute Idee war. Du bestätigst mir das, immerhin kann ich den noch zurückbringen ;) Da ich den M93p bereits hatte wollte ich es ausprobieren ob das so funkt, wie man sieht nur bedingt. In der hoffnung ich hätte evtl doch etwas übersehen an der config schrieb ich hier rein. Werde nun doch eine HW mit dual GBit zulegen wie ich es auch zuerst vorhatte. TIA fNx

Gibt es dafür eine Lösung, Nicht benutze Switch Ports einfach abschalten Switch Port Security Switch ACLs dynamische VLANs (MAC basierend) oder wie geht Ihr mit diesem Risiko um? AD Anmeldung und dann Kabel lose Geräte via Radius Server & Zertifikat (nicht exportierbar) absichern Kabel gebundene Geräte via LDAP absichern Squid & SquidGuard als HTTP-Proxy mit Benutzeranmeldung in der DMZ installieren Alle nicht benötigten LAN-Dosen kommen dann ins Default-VLAN (untagged), welches du sonst nicht nutzt - fertig Also das default-VLAN ist das für den Admin und da sind so oder so alle Geräte drin und da hat außer dem Admin niemand Zugriff und der Admin am besten nur mittels SSH-Key. Ein extra VLAN z.B. VLAN151 anlegen und dort alle leeren Ports der Netzwerksteckdosen rein packen und dann alles verbieten und dann einen Snort Sensor dort rein platzieren schafft es irgend jemand die still gelegten Ports auf zu wecken oder zu reaktivieren, dann bekommst Du eine Mail oder SMS vom Snort Server und weißt auch genau an welcher Netzwerkdose der Störer mit seinem Gerät dran hängt. Fertig. Im jedem Fall habe ich einen Client im LAN, den ich nicht kenne und von dem ich auch nichts merke. Im schlechteren Fall habe ich auch noch ein Problem mit dem gesamten Netz, wenn er "zufällig" eine schon vergebene IP-Adresse benutzt … Das kann dann nicht mehr passieren? Denn alle leeren Dosen und Netzwerkports sind in einem extra VLAN und für dieses ist dann alles gesperrt und der Snort Server informiert Dich dann darüber an welchem Port gerade jemand herum spielt! Und wenn er seinen eigenen PC ausklingt und seinen privaten Laptop anschließt ist dort immer noch die LDAP und/oder Radius Sicherung die er nicht erfüllt und man kann das dann auch via ACLs oder Snort rules melden lassen. mal die Frage, wie Ihr mit der Situation umgeht … Arbeitsanweisungen dahin gehend unterschreiben lassen und alle zwei Jahre neu unterschreiben lassen! Bei Fehlcerhalten eine Mail an alle Gruppenleiter, Abteilungsleiter und die GF bzw. GL das hinsichtlich einer Nichtbeachtung dieser Anweisung nun gerade Probleme entstehen und rate mal wer dann dort ganz schnell alles anruft und nachfragt!? Dann steht der Admin nicht immer so alleine da! Denn ist auf dem privaten Laptop eine MS Windows Home version installiert und gerade an dem Tag kommt MS Euch mal besuche geht der Geschäftsführer eventuell ab ins Kittchen und Du kannst auf Linux umstellen! Oder aber eine Windows Pro Version und eine Menge freeware die nur privat genutzt werden darf! Hmmmm, lecker wenn Dich dann einer anschxxxt kannst Du die Prozesse vor gericht gar nicht mehr zählen und musst eventuell jedes Mal zahlen!

@BlueKobold: Danke für deine Info zu DMZ und Co  - hatte ich fast vergessen mich zu bedanken  :)

Deine Punkte sind definitiv richtig… Was ich allerdings erreichen wollte ist, dass der CentOS Server vom LAN isoliert ist. Sprich, falls jemand eine Rootshell auf dem CentOS erhält, z.B. durch Apache Vulnerabilites, so soll er nicht auf's LAN zugreifen können... Dazu habe ich nun eine Firewall zwischen CentOS und dem eigentlichen LAN geschaltet. CentOS kann nur aufs Internet zugreifen, aber das LAN ist explizit verboten.