Stimmt natürlich, keine Frage. Ich bin gespannt wie es mit der kommenden 2.2 und den C-Serie Atoms weitergeht, da man nach ersten Berichten dann mit dem C2750/2758 durchaus Richtung Gigabit VPN hinbekommen sollte. Das wäre gerade für End2End Tunnel natürlich eine feine Sache. Bin aber auch gespannt, wie der J1900 performed, eine günstige(re) Lösung die zwischen den APUs und einem C-Atom einzugliedern wäre und Gigabit routen kann ist immer fein, zumal man gerade im Heimbereich nicht unbedingt VPN mit Gigabit braucht, routen aber schön wäre.

Die Windows Domain hat da eigentlich wenig Streß damit, da dort inzwischen der meiste Kram via UDP/TCP abgewickelt wird, was wiederum alles sauber über den Tunnel läuft. Es bietet sich aber schon aus Latenzgründen an, dass man auf der anderen Seite des Tunnels einen replizierten DC hinstellt, dann können die beiden DCs sich da abgleichen und die Clients authentifizieren sich lokal.

Habe ein wenig getestet. Der Dienst syslogd hat sich "aufgehangen" und reagierte auch nicht auf den Befehl service syslogd (stop) (start) (restart). Also blieb mir nichts anderes übrig als mit kill -9 [PID] den Prozess zu eliminieren. Danach konnte ich den Dienst mit service syslogd start wieder problemlos starten. Gruß Peter

habe es aber mitterlweile selbst hinbekommen. Für so ein Thema ist es immer sehr von Nutzen, wenn man hinterher noch erläutert, WIE man es denn hinbekommen hat. Es kann ja sein, dass Andere das gleiche Problem haben und denen damit auch geholfen wäre… Grüße

Ich habe auch nur eine SD Karte drin. Squid mit Cache und Snort laufen ohne Probleme. Auch bei 200 MBits ist noch Reserve da. Ich würde daher nicht nach Leistung entscheiden, sondern Lust und Laune ;)

Kann geschlossen werden. Habe den Stick zum Laufen bekommen. Der Stick muss als U3G Treiber geladen und als Modem only konfiguriert werden: # kldload u3g # kldstat Id Refs Address            Size    Name ... 7    1 0xffffffff81b6e000 5ffb    u3g.ko # echo 'u3g_load="YES"' >> /boot/loader.conf # pkg install usbutils # lsusb                                                                                                                  Bus /dev/usb Device /dev/ugen3.2: ID 12d1:14ac Huawei Technologies Co., Ltd. # cat << EOF > /etc/devd/huawei-e1820.conf attach 100 {         device-name "u3g[0-9]+";         match "vendor" "0x12d1";         match "product" "0x14ac";         action "/usr/sbin/ppp -ddial saunalahti"; }; EOF # sysctl -a dev.u3g | egrep '\.ttyname' dev.u3g.0.ttyname: U0 # cu -s 115200 -l cuaU0.0 Connected AT^U2DIAG=0 OK ~. [EOT]

Also, bei 100MBt ist die AN, bei Gbit ist die aus, und die linke ist immer an für Aktivität? Das ist aber ziemlich dumm gemacht? Sollte viel besser Orange bei 100Mbit, Grün bei 1Gbit. Das 'leuchtet' mehr ein ;-)

Als Master meine ich den VPN Server mit dem sich die Clients (die anderen RZ's) verbinden. Welche Server hinter welcher Blase stehen soll dabei vollkommen irrelevant sein - da sich das VPN über die 3 RZ's strecken soll. Es geht mir nur erst einmal um die Router Konfiguration - die Webserver Cluster, etc. kommt später. Bsp.: Anfrage - DNS - pfsense-1-1 - load-balancer-rz1 - webserver-rz1 Anfrage - DNS - pfsense-2-1 - load-balancer-rz2 - webserver-rz2 Anfrage - DNS - pfsense-3-1 - load-balancer-rz3 - webserver-rz3 Das wäre an sich kein Problem. aber um die Daten synchron zu halten würde hinter webserver-rzX ein Fileserver Cluster stehen, welches über VPN mit den anderen Fileserver repliziert.

Im LAN gab es oben noch eine Any to Any Pass Rule. Hatte die nur wieder entfernt, da die Einträge trotzdem gekommen sind. Tut mir leid, dass es in meinem Post so rüber gekommen ist als hätte ich nur das probiert. Mittlerweile hat sich die Situation allerdings geklärt. Schuld waren falsche Outbound NAT Rules. Nachdem ich gemerkt habe, dass ich Outbound NAT gar nicht brauche und alle Regeln entfernt hatte kamen auch keine Log Einträge mehr in der Firewall :) Trotzdem danke :) Gruß

Hey, ich mische mich jetzt mal direkt mit ein, das spart sicherlich Kommunikationszeit… Wir versuchen nicht das Netzwerk aufzurüsten oder zu verbessern, es geht lediglich darum die bestehende iptables-Firewall gegen eine pfsense-Lösung auszutauschen. Natürlich gebe ich dir recht, dass diese Konstellation mit einer solchen DMZ nicht wünschenswert ist und dies niemand freiwillig nachbauen wollen kann. Allerdings haben wir diese bestehende Struktur und momentan nicht die Möglichkeit etwas zu ändern. Irgendwo in der Planung (damals, vor unserer Zeit) ist gewaltig was schief gelaufen und durch mangelnde Kommunikation hat sich das nicht verbessert. Das Abteilungsnetz hat keine Möglichkeit zu wachsen und auch für die DMZ ist (bisher) kein anderer IP-Adressbereich verfügbar (gewesen). Uns sind in der Hinsicht die Hände gebunden. Man könnte jetzt darüber diskutieren, ob es dann nicht eine Alternative wäre, dass man das Abteilungsnetz in drei eigene Subnetze aufteilt und die DMZ ebenfalls. Allerdings steht dann der Aufwand die Konfiguration anzupassen und alles was sonst noch da dran hängt, was wir jetzt noch nicht überblicken können gegenüber dem Aufwand, den IST-Zustand der iptables-Firewall auf pfsense abzubilden. Hierbei ist die Umstellung auf pfsense unsere Wahl... Wie du selbst gesagt hast, so wie wir das abgebildet haben geht es. Zumindest theoretisch, praktisch haben wir mit pfsense dabei noch Probleme. Und genau da bräuchten wir die Hilfe... Gruß cBoLsmUiEc

Kann geclosed werden! Im WLAN Interface muss der Haken bei "Allow intra-BSS communication" natürlich gesetzt werden  ;D

Nicht schimpfen - es ist unschön und ich hasse es - aber es ist wie es ist. Ich schimpfe nicht ;) ich staune nur. Trotzdem verstehe ich dann nicht, warum ihr das nicht mit VLANs schöner lösen und damit das leidige Problem mit mehreren Subnetzen auf dem gleichen Interface umgehen könnt? Grüße

In den Firewall Regeln werden Blocks angezeigt. Wenn keine passieren, wird der Traffic wohl durchgelassen. Allerdings schreibst du Jetzt komm ich noch vom WLAN in das LAN und wollte das unterbinden mit einer weiteren Regel. Dann ist die Regel falsch, denn du verbietest nur LAN ADDRESS. Also den Zugriff vom WLAN auf die LAN Adresse der Firewall. Nicht auf das LAN network.

So, bin weiter gekommen. Ich hab den Benutzer heinz statt in der von mir erstellten Gruppe CaptivePortal Group mal in die Admin Gruppe genommen. Hier gehts. In der CaptivPortalGroup hatte ich das CapivePortal Login drin. Was braucht man denn noch so? Grüße Heinz

Hi tschuya, versetz Dich doch mal in die Lage eines Außenstehenden, der Dein Vorhaben nicht kennt. Hier fehlt einfach noch etwas Input, um mit Deinen Schilderungen klar zu kommen. auf welcher Hardware läuft die pfSense vielleicht mal ein kleiner Netzwerkplan, um Dein Vorhaben etwas zu verdeutlichen. was spielt die Zywall für eine Rolle Mit Deinen bisher gelieferten Daten einfach nur Rätselraten…. ;) Gruß orcape

Scheinbar tritt das Phänomen nur im Main Mode auf. Sobald ich auf den Aggressive Mode wechsel, baut sich die Verbindung auf. Das muss doch auch im Main Mode gehen.  :o

Grundsätzlich spricht dagegen, dass du etwas tust das nicht unterstützt (Supported) ist. Nicht nur das, was JH sagt, sondern du gehst somit auch Gefahr nach einem Update wieder "deine" Version der Konfiguration hochzuladen, die vllt nicht mehr unterstützt wird. Das Config.XML Schema bspw. darf/kann sich jederzeit ändern, sollten bspw. Funktionien o.ä. hinzukommen. Das heißt, du hast hier keinen automatischen Prozess, sondern etwas wo du ständig Hand anlegen musst. Wenn du solche direkten Änderungen im Radius brauchst, den die pfSense mit der simplen GUI nicht abbilden kann, dann solltest du drüber nachdenken (bei 120 Usern ist das ja nicht mehr so ein "kleines Setup"), ob sich eben nicht die Anbindung eines externen Radius Servers lohnt. Den kannst du dann eben auch gern zerbasteln wie du willst, ohne deine Firewall/Gateway damit ins Nirvana zu schippern. Gruß

Hi, Es würde keinen Sinn machen, wenn es nicht gehen würde. Ich weiß nicht wo du suchst, aber wenn du eine Regel erstellst gibt es meist als Destination oder Source Address die Auswahl "Single Name or ALIAS(!)". Dann kann darunter in der Textbox der entsprechende Alias eingetragen werden (und wird auch versucht mittels auto-completion zu ergänzen). Gruß