Ja, das hatte ich, glaub ich, zuvor schon erwähnt. Damit du mit deiner VPN-IP aus dem Netz rausgehst, ist Outbound NAT nötig, ansonsten hätten die Pakete die interne IP des Rechners als Quell-IP und würden im Internet verworfen werden. 1:1 NAT macht eben beides, inbound und outbound NAT. Wenn du die Regel verwirftst, musst du dafür eine gesonderte Outbound NAT Regel anlegen, die so aussehen könnte. Ich nehme dafür an, dass du verschiedene Ports an mehrere Rechner weiterleiten möchtest, ansonsten könntest du es ja auch beim 1:1 NAT belassen. Lege erst einen IP-Alias für alle Rechner an, die über die VPN-IP rausgehen sollen. Am Outbound NAT Tab schalte auf "Hybrid Outbound NAT rule generation" und klick auf Save. Dann füge unter Mappings eine Regel hinzu: Interface = PTYOPENVPN, Source-Type = Network, -Address = <der oben="" angelegte="" alias="">, der Rest kann auf den Standardwerten bleiben. Was hier sympathischer ist, bleibt deine Entscheidung.</der>

Andi, kannst Du denn aus LAN oder WLAN in dein Haustechnik-Netz pingen, sprich, hast Du Regeln in der Firewall, die den Zugriff auf "Haustechnik" erlauben? Das wäre der erste Schritt. Wenn die App jedoch mit Broadcasts nach der Steuerung sucht, dann hast Du wirklich ein Problem, denn diese Broadcasts enden definitionsgemäß am Subnetz und werden eben nicht geroutet. Frage in dem Fall den Hersteller der Anlage/App, wie korrekt vorzugehen ist. Per Konfiguration des Netzwerks ist das jedenfalls nicht möglich (auch nicht per NAT  ::) ).

@sebden: Hey und danke schon mal! Das wäre auch einen Versuch wert, leider ginge mir dann die ClamAV Filterung verloren  :( Aber ich teste es! Gut das wäre zwar brachial aber ginge bestimmt. -> Außerdem ist der Zielhost (irgendwas mit cortalconsors) aus der Firewall genommen worden, das hatte ich via nsookup ermittelt Und nur Cortal consors bei dem Proxy als Ausnahme hinterlegen und zwar nur für den einen Klienten oder mehrere sollte auch gehen. Oder aber man arbeitet mit einer User Authentifizierung am Proxy und bildet Gruppen und die Gruppe mit dem einen Benutzer lässt man dann eben bei dem Proxy einfach Cortal Consors benutzen ohne zu filtern. Das sollte auf jeden Fall funktionieren.

Hallo! @DarkMasta: Daher habe ich eine NAT Outbound Rule erstellt. Interface: WAN Protocol: any Source: Netzwerk (VLAN IP) Destination: any Translation: spezifische IP von ISP die bei virtual IP hinterlegt wurde Ist mein vorgehen korrekt? Schaut gut aus. @DarkMasta: Wenn das VLAN intern eine Regel hat über eine spezielle WAN Schnittstelle(Virtuelle IP) zu kommunizieren, ist es möglich z.B. eine Webcam in diesem internen VLAN übere eine andere Virtuelle IP zu kommunizieren? Du meinst eine NAT-Regel, in der du die virtuelle IP auf die Hosts im VLAN wie die Webcam weiterleitest? Sollte so funktionieren. Jedenfalls wenn du deine Webcam direkt über eine IP ansprechen kannst. Viele Webcam-Apps möchten die Cam unbedingt per Multicasts finden, das geht aber nicht über einen Router.

Die hauptsächliche Änderung der letzten Regel war das der Source Port auf any gesetzt wurde oder? Statt vorher 8000.  :o

Hey, ich habe Squid samt Suidguard im Einsatz, auch mehrmals schon neu einrichten können. Laut einem alten Beitrag in irgendeinem Forum muss man SquidGuard immer vor(!) Squid als Package installieren. Im Anschluss erst Squid (in meinem Fall immer Version 3, die 2 sei unkomplizierter) installieren. Funktionierte immer! Um dann den Filter greifen zu lassen sind auch immer die selben Klicks notwendig, da sonst nach einem Distributionsupdate oder größeren Änderungen der Filter wieder alles durchlässt. Das sind ein Klick auf "Save" in den betreffenden ACL's, dann ein Klick auf "Save" im "general settings" gefolgt von einem "Apply" auf der selben Seite. Habe viel probiert, es klappte aber immer nur genau so, auch nur in den genannten Reihenfolgen. Mein Squid läuft übrigens nicht-transparent.

Übeltäter scheint gefunden. Es ist tatsächlich Squid. Lädt an den psf Dateien von Windowsupdates scheinbar auch dann herunter wenn schon viele Stunden nichts angefordert wurde. Zumindest passte einer der IPs zum Eintrag im Squid Log für ein Windows Update. Leider kann ich so nie vernünftig sehen welcher lokale PC den Anstoß zum Download gab. Kann man eigentlich dafür sorgen das Squid die Datei zwar cached, aber gleichzeitig auch schon dem anfordernden Client zur Verfügung stellt?

Du kannst auf einem physikalischen Interface VLANs stapeln und darüber dann bis zu 4096 WAN Interfaces bauen (je nachdem wieviele VLAN Tags Dein Switch und der NIC zulassen). https://doc.pfsense.org/index.php/VLAN_Trunking https://doc.pfsense.org/index.php/Assign_Interfaces

Hat wunderbar funktioniert (auch wenn IPSec im Vergleich zu OpenVPN doch recht fummelig zu confen ist). Schönes WE!  8)

@BlueKobold: Kingston schreibt dazu: Alle MLC-basierten SSDNow Laufwerke von Kingston sind jetzt TRIM-kompatibel. Einige unserer SSDNow-Laufwerke der ersten Generation sind nicht TRIM-kompatibel. Genau das ist ja das Problem, ich habe auf dem Datenblatt von Kingston nichts davon gefunden, jedoch gibt es eine FAQ wo gezeigt wird wie man TRIM in Windows 7 aktiviert, was nur darauf schließen lässt..

Ja, okay… das ist auch deutlich günstiger! Danke!

Ja, der Traffic über diese Verbindung ist minimal. Ein Schliesssystem. Also ab und zu mal ein paar Pakete mit irgendwelchen ID's oder sowas…

Hier meine funktionierende Konfig für eine Lan2Lan Kopplung zwischen Pfsense und Fritzbox. Ich muss aber anmerken, dass es VPN-Technisch keine Traum-Ehe der beiden Geräten ist. Dafür ist die Fritzbox mit den Einstellmöglichkeiten zu limitiert. Gruß Rubinho Fritzbox VPN Konfig: vpncfg { connections {   enabled = yes;   conn_type = conntype_lan;   name = "Lan2Lan";   always_renew = yes;   reject_not_encrypted = no;   dont_filter_netbios = yes;   localip = 0.0.0.0;   local_virtualip = 0.0.0.0;   remoteip = 0.0.0.0;   remotehostname = "dyndns.derPfsense.de";   remote_virtualip = 0.0.0.0;   localid {     fqdn = "dyndns.derFritz.de";     }   remoteid {     fqdn = "dyndns.derPfsense.de";     }   mode = phase1_mode_aggressive;   phase1ss = "def/3des/sha";   keytype = connkeytype_pre_shared;   key = "Presharedkey";   cert_do_server_auth = no;   use_nat_t = no;   use_xauth = no;   use_cfgmode = no;   phase2localid {     ipnet {       ipaddr = 192.168.178.0;  #IP Netz vom Fritzbox LAN       mask = 255.255.255.0;       }     }   phase2remoteid {     ipnet {       ipaddr = 192.168.0.0; # Sammelnetz zur Pfsense       mask = 255.255.0.0;       }     }   phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";   accesslist =   "permit ip any 192.168.1.0 255.255.255.0", # Lan1 der Pfsense   "permit ip any 192.168.2.0 255.255.255.0"; # Lan2 der Pfsense   }   ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",                       "udp 0.0.0.0:4500 0.0.0.0:4500"; } //EOF [image: phase1zurfritz.JPG] [image: phase1zurfritz.JPG_thumb] [image: phase2zurfritz.JPG] [image: phase2zurfritz.JPG_thumb]

Dann ist das genau so wie ich gesagt habe. Die Anfrage geht an die .253 die Antwort kommt aber von der .254 weil die ja eh im selben Netz ist und daher nicht mehr über die .253 Antworten muss. Dann hat man eben ein asymmetrisches routing was eben leider dazu führt das Sitzungen wie RDP oder SSH abbrechen können. Am besten wäre wirklich wie du schon schreibst Multi WAN also das eine PfSesne alles macht oder spricht da was gegen? Wenn ja dann am besten ein Tarsnfernetzt zwischen beiden PfSensen aufbauen also ein neue Netz was nichts mit den aktuell bestehenden zu tun hat und dann darin vpn der einen auf die andere PfSense verweisen. Damit könnte es vielleicht gehen. Der Aufwand ist aber denke ich größer als einfach eine PfSense hin zu bauen die alles macht. Multi WAN ist ja in den neusten Versionen kein Problem mehr.

Das ist ja mein Problem, ich würde das gerne genau so machen wie du es sagst, aber irgendwie stimmt da etwas mit dem Routing nicht. Der Tunnel steht, aber wenn ich per Diagnostic versuche einen Ping (von dem erstellten Interface oder von dem OpenVPN Client selber) auf www.google.de oder heise.de zu schicken und hab da bereits einen 100% Paketverlust… Ich weiß nur leider nicht wo ich nach dem Fehler suchen kann da mir OpenVPN sagt der Tunnel wäre aufgebaut. //edit: So hab es nun hinbekommen, mein Fehler war das ich versucht habe eine TUN Verbindung zu einem TAP-only Port herzustellen. Nun wird alles sauber geroutet und es funktioniert!!! Das hat mich ganze 3 Tage gekostet :D.. Gruß

Na ja … umgebogen via Rule habe ich es ... jedoch wenn man eine Failover Config erstellen möchte dann ist man auf den APinger angwiesen. Was das State Killing angeht, so kenne ich diese Option... hilft jedoch nicht. Ich habe inzwischen herausgefunden das nach einem Neustart in der apinger.conf nur das WAN IF aufgeführt ist, das VPN IF taucht nicht auf. Nach einem Neustart von APinger taucht dieses jedoch dort auf. Scheinbar wird der APinger vor dem GW gestartet, und das GW fehlt deswegen in der Config. Hier fehlt irgentwo scheinbar ein trigger...