moin, versuch mal beim Router der UPC admin admin oder admin password oder administrator password ect… normal ist das auf default, wenn nicht dann ruf bei der Hotline an, und sag du hast ein Problem bei der Portweiterleitung, und du musst ein paar Ports zumachen was auch immer, und brauchst das PWD - wenn du nett bist bekommst du es :) die letzten 6 zeichen/ziffern der MAC adresse sind auch ein warmer tipp :) und sag du willst ne statische IP4 adresse, und das möge bitte vermerkt werden, dann erzählt er/sie dir dass ihnen die ip4 adressen langsam ausgehen und man auf ip6 portiert wird, dann sag sie mögen dir bitte ne fixe geben und vermerken dass du nicht auf ip6 portiert wirst, mach das aber bald, sonst gehts dir so wie mir, wachst morgens auf, und musst feststellen dass nichts mehr geht ;) hab ne private 250Mbit leitung mit ner statischen IP also die UPC ändert die IP adressen nur im Problemfall, also bei mir ist sie bis zum Tag der IP6 portierung 2 Jahre lang gleich gewesen, ich bat dann um rückportierung da meine Hardware keine ip6 kann, zack 10 min später inkl eintrag man möge portierungen unterlassen war alles beim alten, ;) mit freundlichkeit geht da viel bei der Hotline ;)

Update:  Key Lifetime für Phase 1 auf 86400 gesetzt, Phase 2 auf 3600 - Ping vom externen Netz, über IPSec ins interne Netz …. OK. Ping bekommt Antwort. Andersrum vom internen Netz ins RemoteNetz übers IPSec ... negativ .... weiterhin werden die Pakete ins Internet und nicht in den Tunnel geschickt. <seufz>.... snbtch !!</seufz>

Der Grund steht doch auch in Redmine: "It's not valid to configure a PPPoE server on an interface that's a PPPoE client. We'll need to add input validation to prevent such a configuration." Beides auf dem gleichen Interface wird nicht funktionieren. Solltest Du das auf unterschiedlichen Interfaces konfigurieren, dann ist das ein neuer Bug. Diesen ggf. melden.

Soo liebe Leute, selbst ist der Mann. Für alle die das gleiche Problem haben: Unter Possible Login Times passen momentan nur 10 Zeiten. Die 11. Zeit wird nicht übernommen. Wir schauen momentan, inwiefern man die Abkürzung "wk" von Mo-Fr. umdefinieren kann. Falls ich was rausfinde, melde ich mich noch einmal. Gruß NoiR

Hey, da kann ich auch noch etwas beisteuern: Wir haben hier für unser Management VLAN einen TL-WR710N (bei Amaz0n für knapp 30 €) mit OpenWRT "upgegradet", dann mit einem Nano-USB-Stick erweitert und OpenVPN installiert. Kostenpunkt: ca 40€ + Zeitaufwand: ca 30min zur Installation und einrichtung (wenn man sich mit openWRT auskennt). Es gibt aber auch einige Howtos dazu. Dieses Gerät könnte auch als WLAN-/LAN-Ruter dienen, hat aber kein DSL-Modem… Läuft bei uns perfekt stabil (mit VLANs, OpenVPN, etc...) Viele Grüße, Flomow

GRML Problem gelöst! Man sollte doch mal länger drüber nachdenken. Zum Hintergrund: Der Client auf den ich weiterleiten wollte nutzt direkt den Weg über meine Fritzbox, welche am KD Kabelmodem hängt (Gateway: 172.20.21.22) pfSense betreibe ich aktuell ja parallel zur KD Leitung und das pfSense ist der Gateway 172.20.21.100. Die Lösung ist also im Client den Gateway zu ändern auf 172.20.21.100, denn die SYN_RECV Meldungen bedeuteten, dass eine eingehende Verbindung zwar erkannt wurde, jedoch der TCP Handshake fehlschlug, da dieser über einen anderen Gateway versendet wurde. Naja manchmal muss man erst Stunden suchen und hier posten, bis man selber dahinter kommt. ;)

interessiert mich auch. hast du eine Lösung gefunden?

Grazie! Sieht vielversprechend aus …

Zu allem kann ich dir leider keine Antworten bieten, dazu hatte ich bislang zu wenig Bedarf mit custom kernel modules zu hantieren, aber für mich würde die loader.conf.local mehr Sinn machen, da diese Datei ein OS/Update überlebt, die loader.conf ggf. überschrieben wird (wie auch im Doku/Wiki erwähnt). Ansonsten war mein Verständnis, dass die txz Packages bei der Installation ja lediglich entpackt werden, insofern würde ich vermuten, dass auch die Kernel Objects und Symbols aus dem txz gehen. Viele Grüße Jens

@Lindi genau :) Zum Verständnis: WAN NET ist NICHT das Internet (auch wenns kurz in der Übersetzung so klingen mag), sondern das Netzwerk-Segment, welches auf dem WAN gebunden ist. Bei DSL bspw. das Netz, in dessen Bereich die IP liegt, die dir dynamisch zugewiesen wird. Also ein Netzsegment der Telekom/Vodafone oder sonstwem. Richtig ist in der Tat "any" da du ja ins Internet, also "überall" hin willst :) Ebenso wichtig ist auch die Reihenfolge, was Flix schon richtig beschrieben hat. Hier zählt, was zuerst zutrifft, greift. Also deine "nicht aufs LAN zugreifen Regel" ganz nach oben. ODER noch einfacher: Ändere dein Ziel bei der Erlauben-Regel so ab: Allow FROM (OPT1 NET) to (!LAN NET) Also erlaube den Zugriff aus OPT1 (einer IP aus dem Bereich, der auf OPT1 vergeben wird, also 192.168.188.0/24 ?) nach !(nicht) LAN Netz -> ergo überall hin außer ins LAN. Damit sparst du dir die Block Regel obendrüber mit dem LAN. Das klappt aber nur, wenn du "nur" diese beiden Interfaces (LAN/OPT1) hast. Sobald bspw. noch ein OPT2 dazu käme, ist es besser, das mit 2 Regeln wie Flix beschrieben hat zu lösen, denn dann soll ja meist nicht nur den Zugriff auf LAN sondern auch ins andere OPT Netz geblockt werden. Das aber nur als kleine Ausführung. :) Grüße

Hallo JeGr, genauso wie in der doc.pfsense definiert haben wir das eingerichtet + die Authentifizierung usw. klappt alles Prima, nur die übertragenen Bytes (accounting) funktioniert nicht. Ich habe das ganze auch schonmal ohne MySQL also ohne DB-Anbindung probiert, auch da werden die Accounting-Dateien in dem jeweiligen Ordner ./daily ./weekly ./monthly usw. mit der mac-adresse angelegt, aber haben immer den Inhalt "0". Also scheint irgendwas am Accounting nicht zu funktionieren. Wo muss ich denn suchen, bei Captiveportal oder bei Freeradius2 ? Irgendwie kann keiner (auch im Englischen Forum) helfen …

Und du redest die ganze Zeit an dem vorbei was ich schreibe ;) Was ich sag(t)e ist, dass - sobald die Anbindung wichtig genug ist, dass sie nicht down sein soll, es den meisten Entscheidern völlig egal ist, ob das active/passive oder active/active ist, hauptsache es ist HA - hochverfügbar. Natürlich hängt da noch die Zuleitung dran, aber die ist nicht in der Hoheit des Admins/der Firma, da kann man also durchaus den ISP gängeln für. Aber wenn der Border Gateway absäuft steht der Admin/Netzwerker/whoever ziemlich dumm da. Und wenn ich mir dann irgendeine HA Lösung von Cisco, Juniper oder wasauchimmer hole, nur weil die Entscheider da tolle Labels, große Marketingaktionen und dicke Eier sehen, lege ich mehr hin, als 2 potente Kisten (immer noch völlig egal ob eine passiv ist oder nicht) plus pfSense Support einzukaufen. So passiert mehrfach letztes Jahr bei unseren Kunden. Mehrere tausend Euro gespart, weil die entsprechende <label>Lösung teurer gewesen wäre und man gemerkt hat - hey das geht auch anders/besser. Damit aber genug OT von mir, hier gehts trotzdem um DNS :)</label>

hier mal so ein Beispiel… ... Ist das der Tunnel, oder vielleicht schon wieder ein anderer, oder kommen noch die Einträge... [image: Log.jpg_thumb] [image: Log.jpg]

Wenn ich mich nicht ganz täusche, kann man Aktualisierungen mittels Kindersicherung (Einstellungen -> Allgemein -> Einschränkungen) unterbinden. Kann man zur Not auch mal versuchen  :)

Und warum antwortest Du auf die Frage, bei welchem deutschen Distri man die NetGate Geräte bekommt, mit einem Link u.a. zur OPNsense Appliance? Dein Mitteilungsbedürfnis in allen Ehren, aber dann bitte auch die Antworten geben, nach denen gefragt wurde. @gonzopancho: I am amused by this thread. We just signed our first European distributor for pfSense.  So you should see results from that in the next 30-45 days. … Und da Du selbst in dem Thread geschrieben hast, solltest Du die Antwort auch noch kennen. Aber anstatt sie zu posten gibt es wieder Tiraden von (großteils unnützen) Links.  ::)

Route zum OVPN-Tunnelnetz setzen. Wenn auf dem Router bereits die Route in das LAN 192.168.0.0/24 bekannt ist, kannst du das auch auf der dortigen pfSense über Outbound-NAT lösen: Eine Regel hinzufügen für das IPSec-Interface, Source ist das VPN-Tunnelnetz und als Translation Address gibst du die LAN address an.

Oder - jetzt da es Frank sagt - warum nicht gleich einen USB-WLAN Adapter in den Rechner klöppeln? Dann ist man garantiert immer mit dem Rechner verbunden ;) und wenn die nicht ins Internet sollen, reicht das auch? Wobei ich die Lösung mit einem kleinen Redirection Router wie dem MikroTik fast besser finde :)