Ich hatte bei meiner 750 auch Probleme damit, irgendwann hing die Ausgabe ohne das ich zum flashen kam. Letztendlich hatte ich die Nase gestrichen voll, no Risk, no Fun  8). Ich habe einfach die Befehle zum flashen in die autoexec.bat geschrieben und die Kiste gestartet. Strike, kann die Kiste natürlich auch final bricken … -teddy

Um ein paar seltsame Ideen auszuräumen: die bisherige TinyCA bat die Funktion, bei der Erstellung eines Zertifikates das Zertifikat mit einem Passwort zu versehen, welches man beim Importieren angeben musste. Nochmals: ein Zertifikat hat NIE ein Passwort, es gibt immer nur den privaten Schlüssel, der ein Passwort hat. Bei deinem bisherigen Format (pkcs12) ist lediglich der Schlüssel in der gleichen Datei wie das Zertifikat als Paket gespeichert. Das ändert aber nichts an der Aussage. Wir wollen aber keine OpenVPN Zertifikate benutzen. Es sollen reine ipsec Verbindungen sein. Es gibt keine "OpenVPN" Zertifikate. Es gibt lediglich TLS/SSL Zertifikate nach x.509 (https://de.wikipedia.org/wiki/X.509). Dass diese Zertifikate heute für relativ viele Einsatzgebiete genutzt werden, ändert nichts daran, dass im Grundprinzip als Datei betrachtet alles das Gleiche ist. Ob das nun ein Zertifikat für einen Webserver, IPSec, OpenVPN etc. ist, spielt dabei keine Rolle. Lediglich wird für manche das gelieferte Format eine Rolle spielen (.pem, .p12, etc. -> https://de.wikipedia.org/wiki/X.509#Dateinamenserweiterungen_f.C3.BCr_Zertifikate) Das Einzige, was tatsächlich Zertifikate unterschiedlich macht, sind die gesetzten Flags, was es für ein Zertifikat ist (CA, Server, Client). Aber auch hier ist es lediglich diesen Bits geschuldet, für was das Zert genutzt werden kann. Alles andere ist völlig gleich. Ich weiß jetzt nicht WOFÜR es bei deinem Einsatzgebiet ein nochmals mit Passwort geschützter Key sein muss, kenne aber selbst KEINE VPN Appliance, die unbedingt für IPSEC ein Zertifikat mit passwortgeschütztem Key benötigt. Es würde auch keinen Sinn machen, denn die Anwendung/Appliance müsste jedes Mal beim Neustart o.ä. den Key neu in den Speicher laden, dabei entschlüsseln etc. und dabei ist im Normalfall kein User anwesend, der den eintippen kann. Somit würde man das Passwort auf dem gleichen Device hinterlegen, was den Key an der Stelle wieder vollkommen unnütz macht. Deshalb werden u.a. auch bspw. Webserver nicht mit einem TLS Key/Zert gesichert, der noch ein Passwort hat, da ansonsten bei jedem Webserver Neustart der Key eingegeben werden müsste. Und wenn nicht, müsste der Key im Klartext auf der Maschine vorhanden sein was wieder das Passwort als 2. Faktor unnütz macht. Deshalb als Denkanstoß einfach mal nachsehen, OB das überhaupt sein muss oder ob es einfach nur "bisher so war". Es ist ansonsten auch kein Problem, wie schon geschrieben, dem Schlüssel im Nachhinein ein Passwort zu verpassen, für die meisten Einsatzgebiete aber einfach unnötig. Wenn es nur um den sicheren Transfer des Schlüssels geht, ist ein PW geschütztes ZIP wie Virago meint garantiert ebenso sicher. Und einmal eingespielt in der Anwendung, Appliance oder dem Keystore wird der Schlüssel in den allermeisten Fällen eh nie wieder genutzt. Grüße

mit Extrahardware meinte ich halt nur "Router auf eigener Hardware", keine VM im hp ;)

Hallo ich bin selber neu hier und kann dir bei deinen Kernfragen (pfSense) nicht helfen, aber evtl. bei der Multimediageschichte. Ich habe seit Jahren folgendes Setup: ein Fileserver zum darauf arbeiten und Medien ablegen (ein NAS geht auch bzw. ein NAS-selbstbau). ein NAS als Backup vom ersten, 1x in der Woche automatische Backup mit rsync. ein WindowsPC mit MediaPortal fürs TV und Filmvergügen, das MyFilms Plugin ist XBMC überlegen. drei XBMC/Kodi Clients für TV-Nebenstellen (als einfacher Kodi-Client reicht der neue RasPi2 vollkommen aus, der alte war etwas zu lahm. Alte PCs sind gut für OpenElec und auf dem Mac gibts auch eine Kodi-Version) Wichtig für den Mischbetrieb ist das Anlegen von nfo-Files, damit kann Kodi, MediaPortal und diverse Katalogsoftware etwas anfangen. Auf jeden Fall würde ich nicht versuchen die zentrale Medienablage auch zum Player zu machen. Dieser Server/NAS wird laufend nach mehr Festplatten schreien und muss 24h laufen um für alle Benutzer (falls du nicht alleine lebst) und TV-Aufnahmen Sinn zu machen. Das heißt er wird Krach machen, Staub verwirbeln und mag es nicht dauernd ein- und ausgeschaltet zu werden (dauert auch zu lange).

Danke, war im falschen Beitrag!

Ja / Nein / istmirdochegal Nicht ohne weiteres, da Perl nicht zum installierten Programmpaket gehört. Man müsste manuell Perl installieren und dann ein entsprechendes Startskript einfügen, welches den Service steuert. Problematisch dann noch die Auslastung, sollte das Skript irgendwie hängen oder Amok laufen, dann reißt es ggf. die pfSense weg. Deshalb bin ich selbst kein großartiger Fan davon, irgendwelche Fremd-Services auf Border Gateways zu packen (wo sie eigentlich nichts zu suchen haben). In einer DMZ hinter der FW wäre der Service hier besser aufgehoben, sofern das eine Option ist. Grüße

@teddy: wenn er auf den Interfaces wirklich Gigabit zu Gigabit schieben will, würde ich ggf. nicht auf die APU setzen, die das zwar auch noch wuppen kann, aber m.E. da manachmal Luft nach oben brauchen könnte. Zudem hat sie nur 3 Interfaces, in den Anforderungen hieß es mind. 4? Wenn nicht in den "Billigbereich" abrutschen heißt, dass er dafür auch ein wenig mehr Geld in die Hand nehmen möchte/würde, dann würde ich eher in die Richtung Atom C2358 gehen. Ist zwar gleich eine kleine Ecke teurer, dafür hat man aber wesentlich mehr Spielraum an Ressourcen, da die meisten Kisten mit dem 23er auch AES NI und Intels Quickassist unterstützen und somit auch theoretisch Gigabit per VPN stemmen können ohne ins Schwitzen zu kommen. Das bemerkt man dann schon im Umgang mit dem Gerät. Das kommt aber wie gesagt sehr aufs Budget an, bei der APU im Komplettpack (je nach Ausführung) kann man bei ~200€ ankommen, bei der C2358 ist man dann auch schonmal bei ~400-450€. Grüße

Was könnte hier mein Fehler sein ? Wenn der Proxy transparent sein soll muss man die "interfaces bridgen". nun will ich ein Gästenetz einrichten das hinter meinem bestehendem Netz läuft. Und für wen möchtest Du das tun? WLAN oder LAN Gäste, mit Radius Server oder Captive Portal in VLANs oder nicht, nur für WLAN Gäste oder auch für Deine WLAN Geräte? Schreib mal bitte ruhig ein bisschen mehr dazu, sonst raten wir hier alle im freien Fall.

Deine Situation kann man auch anders lösen. Ich vermute Du benutzt das CP zur Authentifizierung der User und Gewährung des Internet-Zugangs. Hierbei gibst du warscheinlich jedem Nutzer einen eigenen Benutzernamen und ein Passwort. Idealerweise werden die Nutzerkonten über den Pfsense Freeradius-Server verwaltet. Wenn dem so ist, dann könntest du auch eine WPA2-Enterprise Zugriffskontrolle verwenden. Der Zugang zum WLAN und damit zum Internet wird damit nicht über einen einzigen Pre-Shared-Key genehmigt, sondern jeder Nutzer bekommt weiterhin seinen eigenen Benutzernamen und ein Passwort, dass auch weiterhin im Radius-Server verwaltet wird. Einziger Unterschied ist, das nicht das CP beim Radius-Server für eine Authentifizierung angfragt, sondern der WLAN-Accesspoint fragt die Authentifizierung beim Radius ab. Das CP benötigst Du dann nicht mehr.

Ja klar! APU1D4 mit Build 4/5/2014 als embedded System mit dem Image pfSense-2.2.4-RELEASE-4g-amd64-nanobsd-20150725-1957. Das 4GB Image wurde auf eine 8GB CF Karte mit dem Win32DiskImager geschrieben. Und durch Deine Fragen bin ich auf einen Teil der Lösung gekommen. Ich habe den Bereich "Diagnostics: NanoBSD" gefunden, in dem als default die CF Karte als Read only eingetragen ist. Nachdem ich auf R/W geändert habe, hat die Installation funktioniert. Vielen Dank! ..aber: Damit kommt das nächste Problem. Auch nach Installation durch pkg ist der Befehl pkg_add unbekannt. Vieles googlen half nichts. Wie bekomme ich den Befehl pkg_add? Viele Grüße Matze

Wenn Webseiten nicht aufgerufen werden können, ist es häufig ein Problem mit der MTU. Ruf mal Seiten auf, die MTU-Checks macht.

OpenVPN mit TAP ist aber m.W. ebenso unter pfSense nicht supported eben aus den genannten Gründen - weil es nur Probleme produziert sowas zu bauen. @stkoepp: Mit "aber andere machen das auch" wird das gewünschte Konstrukt leider auch nicht sinnvoller. Nur weil andere Hersteller Unfug verbauen, müssen es nicht alle nachmachen. Es gibt auch tolle "WAN Beschleuniger", die - zumindest hat mir bislang noch keiner was anderes bewiesen/gezeigt - nichts anderes als ein bisschen Cache Proxy und Kompression machen. Trotzdem werden die teilweise angepriesen, als wären sie die geilste Erfindung seit Geschnitten Brot und man könne damit seine Leitung verdoppeln oder gar verdreifachen! Sorry, dass ich die hier keine Hoffnungen machen kann. Ich verstehe deine Lage, dass das gemacht werden soll/muss, weil andere das so diktieren (die ggf. schlichtweg keine Ahnung oder gefährliches Halbwissen haben). Dass du das ausbaden musst, da fühle ich mit dir. Aber wie gesagt, das macht die initiale Aussage des Software Herstellers nicht sinnvoller (alle Clients müssen im gleichen Netz sein) oder die augenscheinliche "Lösung" (VPN mit gleichem Subnetz) nicht besser. Grüße

Hi, was hast Du unter NAT-Outbound für eine Einstellung gewählt. Gruß orcape

@Chrisi: Herzlichen Dank dass du uns hast teilhaben lassen an der Lösung, ich denke dass das vielen mit ähnlichen Problemen weiterhelfen kann, und sei es nur als Lösungsansatz!

Ich denke OVH bezieht sich auf den Hoster (http://hilfe.ovh.de/proxmox)

Wenn du eine Telefonanlage hast dann hast du quasi einen Punkt an dem der Anschluss der Telekom Terminiert in form von ISDN in der Regel sprich alle Nummer auf einen Geräte an dem dann die Telefone hängen auf die die Nummern von der Telefonanlage verteilt werden. Hast du mehrere Telefone (in diesem Fall müssten die ja SIP fähig sein) muss sich jedes Telefon selbst per SIP registrieren. Für den Heimbereichen/Keines Büro empfele ich eine Fritzbox die hat meist zwei Analoge, einen ISDN Anschluss und DECT für mehrere Schnurlose im Bauch damit erschlägt man fast alles. Der Vorgänge von dem Allnet konnte es nicht daher flog dieser bei uns raus und weil Allnet damals noch nichts hatte haben wir uns für den Vigor 130 entschieden. Trafficshaper macht auf jeden Fall Sinn so das Sprache priorisiert wird.

Ich habe bei mir zuhause das Netz in diverse Subnetze aufgeteilt: LAN: Das normale LAN für die ganzen Rechner im Haus GST: Gästenetz mit vollem Zugang auf das Internet und Einschränkungen auf die anderen Netze DMZ: Servernetz: NAS, diverse Server, VoIP-Telefonanlage. Diverse Server sind übrigens über Bonding (2 x 1GBit/s = 2GBit/s) am Switch angebunden ISO: Isoliertes Netz, welches NUR Zugriff auf das Internet hat, aber nicht auf die anderen Netze. Hier läuft u.A. eine RIPE-Probe und ein Icinga-Server Alle Geräte sind an einem zentralen 24-port managed Switch, in dem sich entsprechende VLANs befinden. Von der Performance bringt das alles eigentlich nichts, allerdings hat es viele Vorteile für die Sicherheit, da man über Firewall-Regeln die Dienste steuern kann, die zwischen den Netzen erlaubt sind. Damit die Clients im LAN auch die Server im DMZ sehen müssen Avahi für Bonjour Regeln in der Firewall für DLNA

Ich hatte selbst erst mit Pound begonnen, dann Varnish dazu genommen und bin dann schließlich bei haproxy gelandet: Bei der Suche nach einer funktionierenden Config bin ich dann auf http://ezoltan.blogspot.de/2014/10/highly-available-l7-load-balancing-for.html gestoßen: Here is the content of the haproxy.conf file: global   log 127.0.0.1 local0 info   maxconn 10000   daemon   quiet   tune.ssl.default-dh-param 2048 defaults   log global   mode http   option httplog   option dontlognull   timeout connect 60000ms   timeout client 30000ms   timeout server 60000ms   timeout check 60000ms   stats enable   stats uri /stats frontend fe_ex2013   mode http   bind *:443 ssl crt /etc/ssl/certs/exchange_certificate_and_key_nopassword.pem   acl autodiscover url_beg /Autodiscover   acl mapi url_beg /mapi   acl rpc url_beg /rpc   acl owa url_beg /owa   acl eas url_beg /microsoft-server-activesync   acl ecp url_beg /ecp   acl ews url_beg /ews   acl oab url_beg /oab   use_backend be_ex2013_autodiscover if autodiscover   use_backend be_ex2013_mapi if mapi   use_backend be_ex2013_rpc if rpc   use_backend be_ex2013_owa if owa   use_backend be_ex2013_eas if eas   use_backend be_ex2013_ecp if ecp   use_backend be_ex2013_ews if ews   use_backend be_ex2013_oab if oab   default_backend be_ex2013 backend be_ex2013_autodiscover   mode http   balance roundrobin   option httpchk GET /autodiscover/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_mapi   mode http   balance roundrobin   option httpchk GET /mapi/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_rpc   mode http   balance roundrobin   option httpchk GET /rpc/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_owa   mode http   balance roundrobin   option httpchk GET /owa/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_eas   mode http   balance roundrobin   option httpchk GET /microsoft-server-activesync/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_ecp   mode http   balance roundrobin   option httpchk GET /ecp/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_ews   mode http   balance roundrobin   option httpchk GET /ews/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013_oab   mode http   balance roundrobin   option httpchk GET /oab/healthcheck.htm   option log-health-checks   http-check expect status 200   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt backend be_ex2013   mode http   balance roundrobin   server lab-ex01 10.30.1.11:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt   server lab-ex02 10.30.1.12:443 check ssl inter 15s verify required ca-file /etc/ssl/certs/ca-bundle.crt

@Dennis0212: Hallo, vielleicht kann mir jemand helfen. Ich bekomme auf einer WG x1250e keine Console mit FreeDos. Mit Pfsense 1.2.3 Bootet die CF und Console kommt. Möchte gerne 2.1.3 Installieren und per CF Card betreiben. USB und IDE sind nicht verlötet. Hörst Du denn die drei Beeps? Hatte das gleiche Problem, hat aber nicht gepiept. Es lag an der CF-Card. hatte sie nicht korrekt bespielt (es fehlten Dateien). Hatte dann ein anderes Programm genommen, um das Image aufzuspielen, dann ging es.

Wow, Du musst über das Wochenende Deine Kristallkugel ja auf Hochglanz gebracht haben oder Du hast zuviel BBC-Sherlock geschaut. OP erwähnt nur, dass er den Zugriff auf das Web-IF seiner pfSense via OpenVPN sperren möchte und Du weißt sofort etwas von seinen VLANs und wie man SSH mit Zertifikaten betreibt. IPMI ist auch ein tolles Schlagwort, Respekt!